Admissão e o início da jornada de conscientização


A admissão anuncia o início de uma relação que sempre se espera seja duradoura entre um empregado e um empregador. Como em qualquer relação, a de emprego também precisa de regras e, para o que nos interessa no tema de privacidade e proteção de dados, é nesse momento que o empregado terá o primeiro contato em relação às regras internas da empresa, de uma maneira geral. Neste contexto, uma das tarefas principais no que diz respeito à conscientização é o ajuste do processo de on boarding ou integração do funcionário, visto que, com a Lei Geral de Proteção de Dados, as empresas que já tinham em sua agenda a responsabilidade ambiental e social, também terão de passar a se preocupar com o tratamento regular de dados pessoais que, naturalmente, realizam por meio de seus empregados.


O treinamento é importante por diversos fatores. Primeiro, porque as cartas precisam estar claras na mesa, de forma que, não é viável cobrar uma postura do funcionário, sendo que as regras não foram bem explicadas ouse é que foram explicadas algum dia.Portanto, não basta apenas oferecer o treinamento, é importante determinar por quais meios o treinamento será realizado e se este está sendo bem aplicado, e aqui fica uma ponderação:será mesmo que um vídeo em uma plataforma e-learning serve como treinamento inicial do funcionário? Temos condições de aferir a apreensão do conteúdo por quem o assistiu?O conteúdo disponibilizado está claro e atualizado acerca dos valores professados pela empresa e as regras que precisam ser seguidas?O conteúdo disponibilizado leva em consideração as necessidades do programa de governança?

Tais questionamentos precisam ser realizados, uma vez que o sucesso de um programa de governança em privacidade está intimamente atrelado à postura dos funcionários em relação aos dados pessoais com os quais têm contato diariamente, de forma que, a mera disponibilização de vídeo, talvez não se preste a treinar o funcionário, mas apenas realizar uma comunicação. O que se espera de um treinamento é que o funcionário esteja preparado para as demandas voltadas ao tema e que esteja consciente da sua importância e papel nas engrenagens dessa máquina chamada programa de governança em privacidade e proteção de dados.


Além disso, para que as regras sejam bem explicadas, é importante que as próprias regras, independentemente de qualquer exposição, sejam inteligíveis ao funcionário. Portanto, a empresa precisa prezar pela simplicidade na linguagem de suas normas interna se materiais de treinamento, uma vez que, passado o processo de integração, nada impede que o funcionário consulte tais materiais e, caso sua compreensão seja penosa, é alta a possibilidade de interpretações equivocadas e, por consequência, atitudes equivocadas.


O mesmo deve ser aplicado no treinamento, que deve ser conduzido de maneira leve para que o conteúdo seja compreendido facilmente. Apesar dos conselhos acima, outro questionamento pode surgir: em organizações grandes em que a rotatividade é grande, talvez seja complicado planejar e aplicar treinamentos iniciais com tanta eficácia como o necessário, sobretudo porque, o treinamento inicial acaba por ter certa carga de generalização, visto que cada funcionário quando alocado em suas áreas, terá demandas mais específicas dadas as particularidades de cada área.


A resposta a esse questionamento leva em consideração a necessidade de maturidade dos próprios funcionários que já estão na empresa, para que essa maturidade seja levada adiante aos novatos. O que isso quer dizer? Quanto menor a maturidade dos funcionários que já estão na empresa, maior deve ser a especificidade e eficiência do treinamento inicial feito no processo de integração. Pois é, isso é um ciclo, valores e bons comportamentos são passados adiante.Se mantemos a conscientização dos funcionários que já estão em nossa organização, os novos funcionários tendem a se espelhar e seguir os bons passos que já se encontram na empresa. Além disso, essa maturidade propicia que o treinamento inicial possa ser mais geral, delegando explicações mais específicas a treinamentos realizados nas áreas.


Assim, o treinamento inicial poderá ser aplicado para apresentação dos documentos que compõem o programa de governança, indicação dos valores, diretrizes gerais e princípios que devem ser atendidos quando do tratamento dos dados pessoais, incidente de segurança e pontos de contato no programa de governança, enquanto as áreas aplicam o respectivo treinamento de proteção de dados voltados às suas demandas específicas.


Para que essa delegação do treinamento tenha sucesso, é importante que haja a identificação e nomeação de pontos focais do Encarregado pela proteção de dados pessoais em cada área da empresa. Esses pontos focais são geralmente chamados de privacy champions, embaixadores de privacidade, agentes de privacidade, multiplicadores, enfim, existem diversas nomenclaturas para identificá-los.


Seja qual for a nomenclatura adotada pela empresa, é importante que cada área possua o seu ponto focal para o tema da privacidade, uma vez que este profissional poderá se dedicar também ao treinamento dos novos funcionários em relação às demandas específicas da área em que está alocado e monitorar o bom comportamento dos funcionários da sua área em relação às regras de proteção de dados.Todo o exposto até aqui deve ser aplicado a funcionários terceirizados que estejam alocados internamente na empresa. Isto porque, esse terceirizado também poderá ter acesso a informações pessoais, de forma que, se está alocado em caráter permanente na empresa, também deve estar inserido na agenda de treinamentos, pois, caso venha a cometer algum equívoco com dados pessoais, a tomadora dos serviços será responsabilizada.


Por fim, para que todo esse processo possa ser sólido e duradouro, é recomendável que a empresa realize uma avaliação periódica da qualidade e eficiência dos treinamentos, visto que, com o tempo, as normas internas podem ser atualizadas, as vulnerabilidades da empresa podem mudar e, os treinamentos também devem ser adaptados.



Diogo Silva Marzzoco é advogado da equipe de Proteção de Dados no Pinhão e Koiffman Advogados


Helio Ferreira Moraes –Vice-Presidente de Compliancee Boas Práticas do HUBRH+ abprh, Sócio de Proteção de Dados no Pinhão e Koiffman Advogados