Muito se fala sobre treinamento a respeito da LGPD para colaboradores e até mesmo parceiros e prestadores de serviços, mas você sabe exatamente o motivo e a importância desse tipo de procedimento dentro do seu negócio?
Vazamento de dados e os perigos para a organização
Segundo uma pesquisa realizada pela Kaspersky, empresa que atua no segmento de cibersegurança e privacidade digital, em 2021 apenas 54% (cinquenta e quatro por cento) das organizações ofereciam treinamentos para colaboradores sobre conscientização de como se proteger na internet. Contudo, aproximadamente 85% (oitenta e cinco por cento) dos incidentes de segurança estão relacionados a erros humanos.
O relatório ainda apontou que a educação é um pilar essencial para a conscientização, pois auxilia na tomada de ações pensando em estratégias eficientes com o intuito de garantir a segurança do negócio.
Dentre os perigos que incidentes de segurança podem causar, tem-se golpes realizados diretamente aos titulares com o intuito de fraudar operações, furtar dinheiro, roubar outros dados, etc. Tais situações podem, de forma direta ou indireta, atingir as empresas.
Diretamente porque se for comprovada a culpa da empresa, essa deve arcar com as sanções previstas na LGPD, que abrangem desde o pagamento de multa e publicização do incidente, até mesmo bloqueio total ou parcial de banco de dados, de forma temporária ou permanente, o que se mostra extremamente prejudicial ao negócio já que a falta de acesso a bancos de dados pode impossibilitar sua atuação e, indiretamente, já que todo este contexto não lhe trará uma boa visibilidade perante o mercado, o que também irá prejudicá-la, seja quanto a não contratação por clientes, seja quanto a parcerias negadas ou rescindidas.
A importância de realizar treinamento interno para colaboradores
Um dos pilares de adequação à LGPD é a realização de Comunicação e Treinamentos, justamente para as pessoas que compõem a organização estejam cientes sobre a importância da LGPD e de se pensar a segurança da informação, e para que entendam qual o seu papel neste processo, com o intuito de auxiliarem e até mesmo ajudarem quanto a continuidade deste processo de segurança dos dados pessoais.
A ANPD lançou um Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte no qual fala expressamente sobre medidas que devem ser tomadas por estes tipos de empresas. Uma das medidas administrativas é justamente a Conscientização e Treinamento, com o intuito de que colaboradores tomem ciência acerca de suas obrigações e responsabilidades no que diz respeito a privacidade e ao tratamento de dados pessoais.
Dentre os assuntos descritos no Guia que podem ser úteis para apresentar em treinamentos, constam:
• Como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing, que podem ocorrer, por exemplo, ao clicar em links recebidos na forma de pop-up de ofertas promocionais ou em links desconhecidos que chegam por e-mail;
• Manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas;
• Não compartilhar logins e senhas de acesso das estações de trabalho;
• Bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros;
• Dentre outros.
Nós já falamos sobre como proteger sua empresa de ataques de phishing e, um dos pontos que abordamos como sendo essencial é justamente o treinamento, pois, é através da conscientização dos colaboradores que eles conseguirão reconhecer essa situação e um e-mail desse tipo e poderão barrar esse tipo de perigo à empresa.
Além disso, outro ponto fundamental que deve ser abordado é a importância de se ter atenção e seguir o que dispõe a Política de Segurança da Informação. Neste documento constam: “um conjunto de diretrizes e regras que tem por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização”.
Ou seja, ela traz regras internas que devem ser seguidas pelos colaboradores e situações que precisam de atenção quanto ao tratamento de dados pessoais.
Algumas situações no dia a dia parecem ser simples, como é o caso do bloqueio de computadores quando se afastar de estações de trabalho, mas, na prática muitos colaboradores acabam não se atentando a ela e não a seguindo por, até mesmo, não terem conhecimento sobre os possíveis riscos que isso pode trazer. Em se tratando de trabalho remoto/home office, os colaboradores precisam estar ainda mais atentos, pois pode ocorrer de terceiros alheios ao negócio acabarem tendo o acesso a estes dados por um descuido.
Às vezes, algumas ações corriqueiras não aparentam demonstrar perigo, por isso o treinamento deve exemplificar situações, por mais cotidianas que possam parecer, para justamente trazer o alerta sobre elas e qual deve ser a postura do colaborador para que não ocorra ou até mesmo para lidar com ela, caso aconteça.
Conclusão
As pesquisas realizadas vêm mostrando que um dos grandes causadores de incidentes de segurança é a falha humana.
Dito isso, é notável que os treinamentos são importantes não apenas para que os colaboradores auxiliem na adequação do negócio à LGPD pelo que dispõe a legislação, principalmente com relação as sanções, mas também porque eles são titulares dos dados pessoais e um dos preceitos da lei é a “autodeterminação informativa”, previsto no artigo 2º, que trata do direito da pessoa de controlar e proteger seus próprios dados.
Diante deste cenário, é importante que a sua empresa possa contar com uma assessoria jurídica especializada em privacidade e proteção de dados que possa auxiliar na adequação do seu negócio à LGPD, analisando a realidade da organização e propondo as melhores práticas, pensando nos documentos adequados, etc, e que possa realizar um treinamento completo para os colaboradores com o intuito de minimizar os riscos de incidentes de segurança por falha humana, seja por ação ou descuido, por exemplo.
Por Ana Luiza da Silveira