Desde que as sanções da LGPD começaram a valer no Brasil (2021), temos visto as empresas se adequarem à nova realidade regulatória e aprimorarem seus sistemas de proteção e privacidade, seja com dados internos ou de funcionários. No entanto, estar em dia com a lei é apenas uma parte da equação. A outra parte, igualmente crítica, está relacionada ao aumento exponencial dos ataques cibernéticos, que exigem uma resposta mais estratégica e integrada.
De acordo com dados do Check Point Software, mais de 90% dos cyberattacks contra empresas são feitos por meio de e-mails enviados aos funcionários. Essa prática, conhecida como phishing, destaca como os colaboradores podem ser a porta de entrada para ataques cibernéticos.
Mesmo com várias camadas de proteção implementadas pelas equipes de TI — responsáveis por configurar firewalls, filtros de e-mail e outras tecnologias de segurança que bloqueiam cerca de 99% dos links maliciosos —, o 1% que escapa ainda representa um perigo significativo.
Ou seja, apesar das tecnologias de ponta, as soluções técnicas sozinhas não são suficientes.. Por isso, é essencial ir além das ferramentas de segurança cibernética, e investir em tecnologias de gerenciamento de riscos que impulsionem a criação e o fortalecimento de uma verdadeira cultura de privacidade. Esse esforço deve ser uma ação coletiva, promovida por um Comitê de Privacidade e Proteção de Dados, com o apoio do DPO (Encarregado de Proteção de Dados) e colaboração indispensável das equipes de TI e RH.
Mas, se sua empresa ainda sequer tem um Comitê de Privacidade ou um DPO designado, iniciar com um pequeno time de privacidade pode ser o ponto de partida para estruturar práticas efetivas de proteção de dados. Mesmo que esse time comece com apenas um ou dois colaboradores, o objetivo é que, futuramente, evolua para um comitê robusto, liderado pelo DPO. Esse grupo deve atuar de forma transversal, engajando-se com todas as áreas da empresa para promover uma cultura de privacidade consistente, na qual cada colaborador, independentemente de seu setor, compreenda e valorize a importância da proteção de dados.
Desenvolver uma cultura de privacidade começa com um elemento-chave: educação.. As pessoas precisam ser treinadas para identificar, proteger e tratar dados pessoais, além de entender os riscos de segurança envolvidos no uso de dispositivos físicos e digitais. O treinamento deve ser contínuo e atualizado, abordando as ameaças mais recentes e as melhores práticas de proteção. Afinal, em um cenário de constante evolução tecnológica, manter todos atualizados não é apenas importante — é necessário.
Dito isso, ressalta-se que para construir e manter uma cultura de privacidade e segurança de dados na empresa, é necessário adotar práticas consistentes. Abaixo, destacamos três passos importantes para avançar nesse processo:
- Designar um encarregado e instituir um Comitê de Privacidade: O primeiro passo é estabelecer liderança e responsabilidade dentro das empresas.
A designação de um DPO é fundamental, já que ele será o responsável por supervisionar as práticas de proteção de dados e auxiliar o Controlador a assegurar a conformidade com a LGPD. Além disso, a formação de um Comitê de Privacidade é fundamental e pode começar com um grupo reduzido, mas já oferece uma visão integrada e facilita a colaboração entre as áreas da empresa para alinhar iniciativas de segurança e privacidade. À medida que amadurece, sua atuação pode ser ampliada, envolvendo áreas como Comercial e RH para fortalecer a gestão de riscos e implementar boas práticas.
- Promover uma conscientização contínua sobre a LGPD e boas práticas de segurança: A construção de uma cultura de privacidade depende diretamente da conscientização dos colaboradores. Isso vai além de treinamentos pontuais: é necessário criar iniciativas contínuas que mantenham o tema presente no dia a dia da empresa.
Treinamentos regulares sobre identificação de ataques de phishing, proteção de dados e uso seguro de dispositivos são fundamentais para acompanhar as ameaças mais recentes. Para reforçar esse aprendizado, simulações de phishing permitem praticar situações reais, enquanto ações, como gamificação, tornam o processo mais dinâmico e engajador. Complementar isso com conteúdos curtos e discussões rápidas em reuniões, mantém o tema ativo no dia a dia e fortalece o entendimento do papel de cada colaborador na proteção de dados.
- Gestão centralizada do Programa de Privacidade: Para que as práticas de proteção de dados sejam eficientes, a empresa precisa de um ponto centralizado para gerenciar o programa de privacidade e avaliar seu progresso. Isso significa que, implementar plataformas, como a Palqee é uma solução ideal para essa tarefa, permitindo que a organização engaje todos os colaboradores no programa. Com uma ferramenta centralizada, é possível monitorar a adesão ao conteúdo educacional, verificar se as tarefas de cada colaborador foram cumpridas dentro do prazo e mensurar o nível de engajamento e conhecimento de todos sobre o tema. Além disso, a plataforma facilita o monitoramento regular da maturidade da organização em relação à privacidade e segurança de dados. Vale comentar que avaliar o que já foi implementado e identificar pontos que ainda precisam de atenção ajuda a manter o programa alinhado às melhores práticas e às exigências regulatórias.
Fomentar e manter uma cultura de privacidade fortalecida exige o envolvimento de toda a organização e o compromisso contínuo com práticas que vão além da conformidade legal. A proteção de dados não é responsabilidade, apenas, de um comitê ou do DPO, ela deve ser incorporada ao cotidiano de cada colaborador, tornando-se parte da identidade da empresa.
Por isso, investir em ferramentas que centralizem e automatizem a gestão da privacidade, enquanto promovem engajamento e aprendizado, é um passo estratégico para alcançar esse objetivo.
No fim, mais do que cumprir a LGPD, criar uma cultura de privacidade é sobre construir confiança: com clientes, parceiros e colaboradores. Empresas que priorizam a proteção de dados mostram que estão comprometidas não apenas com a segurança, mas com valores que fortalecem sua reputação e garantem sua relevância em um mundo cada vez mais tecnológico.
Ana Carolina Teles, especialista de GRC e IA na Palqee.
