Suas políticas de privacidade acompanharam sua transformação digital?

Para cada empresa que migra suas operações para o mundo online, existem possíveis armadilhas de privacidade que são/serão muito prejudiciais se forem mal gerenciadas.

À medida que novos regulamentos entraram em vigor no Brasil e no mundo, as apostas para acertar esse pivô são maiores do que nunca.

A pandemia de Covid-19 acelerou as transformações digitais, e as empresas devem considerar a implementação dessas quatro medidas focadas na privacidade:

1) Verifique como seus fornecedores e parceiros usam os dados dos clientes,

2) Realize avaliações de impacto para monitorar riscos,

3) Esforce-se para obter clareza em sua política de privacidade e

4) Designe um oficial de proteção de dados – DPO ( Data Protection Officer ).

Para empresas de todos os lugares, a Covid-19 acelerou a transformação digital a uma velocidade quase inimaginável. Em um esforço para sobreviver e voltar aos negócios com segurança, as empresas adotaram rapidamente serviços como contactless payments ( pagamento sem contato), aplicativos de de delivery e gerenciamento aprimorado de CX ( relacionamento com o cliente). Essas transições são vitais para que os negócios continuem, mas cada uma destas também apresenta/aumenta novos riscos. Para cada empresa que muda as físicas para operações Digitais/on-line, existem possíveis armadilhas de privacidade que serão muito prejudiciais se forem mal gerenciadas e, à medida que novas regulamentações entram em vigor no Pais e no mundo, as apostas para acertar esse pivô são maiores do que nunca.

Essa situação levanta dois grandes desafios para muitas empresas: primeiro, elas precisam tomar decisões rápidas sobre a aquisição de novas tecnologias: construir vitrines on-line, implementar plataformas de comunicação que processam os dados pessoais dos clientes e muito mais, de forma segura. Em segundo lugar, elas não têm experiência com infraestrutura de processamento de dados, ou mesmo tecnologia em geral. Isso se soma às equipes que tomam decisões rápidas sobre o uso de sistemas de tecnologia sobre os quais não conhecem muito. Pode haver uma tentação compreensível de tratar as preocupações com a privacidade como uma questão secundária – que pode ser abordada após a crise imediata – mas isso seria um erro, e que colocaria as empresas em risco elevado de multas, ações judiciais coletivas e dores de cabeça quanto a exposição negativa da marca, em caso de vazamentos.

Tem havido uma crescente pressão regulatória em ambos os lados do Atlântico. Aqui no Brasil a LGPD ( Lei geral de proteção de Dados) , A (GDPR) na Europa, que foi implementado em maio de 2018, e a Lei de Privacidade do Consumidor da Califórnia (CCPA) nos Estados Unidos, que se tornou aplicável por lei em (impactando qualquer empresa com presença na Califórnia e mais de US $25 milhões em receita anual), contêm protocolos rigorosos para o gerenciamento de dados do usuário, e ambos ameaçam multas acentuadas para empresas que erram com os dados.

A boa notícia é que gerenciar questões de privacidade não precisa ser mais uma tarefa assustadora além da façanha já hercúlea de mover grande parte do seu negócio online. Existem várias etapas simples e significativas que você pode seguir para minimizar o risco de uma violação de privacidade.

Para tornar sua rápida transformação digital o mais segura possível, considere implementar essas medidas focadas em privacidade. Cada uma delas pode ser feita de forma independente, mas se sua empresa puder marcar todas essas quatro caixas, você reduzirá bastante o risco de privacidade:

1) Esteja ciente de como seus fornecedores e parceiros usam os dados do cliente

As empresas podem ficar tentadas a entrar em contratos com fornecedores terceirizados que prometem soluções “plug-and-play” para uma série de desafios de transformação digital. E embora as empresas possam estar cientes de que devem revisar quaisquer Acordos de Processamento de Dados (DPA) durante a aquisições, há uma tendência de subestimar as consequências de pular essa etapa. De acordo com a A LGPD, CCPA e o GDPR, uma empresa pode ser responsabilizada financeiramente por não realizar a devida diligência em terceiros que processam dados de clientes.

Seu foco principal ao revisar os DPAs do fornecedor deve ser garantir que eles estejam em conformidade com a privacidade e que suas políticas de dados estejam alinhadas com as políticas de dados declaradas da sua empresa. Caso contrário, uma empresa corre o risco de violar sua própria política de privacidade. Além disso, verifique sobre subcontratados em qualquer fornecedor DPA. Deve haver garantia de que os fornecedores não subcontratarão outro processador, a menos que explicitamente instruído pela sua empresa a fazê-lo. Isso garante que sua empresa esteja legalmente protegida se um fornecedor descarregar unilateralmente as obrigações de dados para um terceiro não compatível.

2)   Ao processar dados, realize avaliações de impacto para monitorar o risco

As avaliações de impacto para o processamento de dados são exigidas em muitos casos pela LGPD e GDPR, mas não exigidas pela CCPA. No entanto, em tempos de mudanças frenéticas, a implementação de avaliações básicas de risco para atividades de dados – por mais entediante que seja – força as empresas a pensar criticamente antes de tomar uma decisão potencialmente prejudicial sobre questões como armazenamento de dados, subcontratação e muito mais. Além disso, no caso de ser acusado de uma violação de privacidade, uma trilha demonstrando etapas proativas para mitigar o risco é lida favoravelmente pelos reguladores.

3) Esforce-se para obter clareza em suas políticas de privacidade

À medida que as principais partes interessadas reavaliam as políticas de privacidade antes da aplicação, considere como o documento é lido. Seu objetivo é tornar essa política acessível a todos os seus clientes — não apenas aos especialistas jurídicos. Você pode pensar que está se cobrindo incluindo frases abertas à interpretação para se preparar para qualquer requisito regulamentar futuro, mas sua prioridade deve ser ajudar seus clientes cada vez mais experientes em privacidade a entender sua política e confiar em sua empresa. 

4) Designar um Data Protector Officer – Diretor de Proteção de Dados (DPO)

Não importa o tamanho de uma empresa, centralizar a responsabilidade pelas decisões de dados é preferível a difundir a responsabilidade em vários departamentos. Isso é mais verdadeiro do que nunca em tempos de mudanças rápidas. Os DPOs servem como um ponto focal para questões de privacidade dentro de uma organização e uma ligação vital com os órgãos reguladores, enquanto o caráter da aplicação da lei de privacidade permanece ambíguo. Mesmo que a pessoa não tenha experiência em privacidade, capacitar um único par de olhos para se concentrar na privacidade é uma maneira rápida e consciente dos custos de eliminar riscos.

Conforme declarado no início, gerenciar bem a rápida transformação digital pode exigir ações arriscadas. Mas, no clima atual, dependendo da generosidade regulatória é um risco desnecessário para as empresas, quando elas podem tomar medidas simples e orientadas por processos para reforçar a privacidade.

A implementação da privacidade de dados exibe muitos recursos do dilema de “inconsistência de tempo” do economista — é muito cedo para fazê-lo até que seja tarde demais. E, como já vimos em algumas situações, “tarde demais” pode significar um sério tropeço em uma conjuntura comercial crítica.

Dadas das dicas! O que você acha do assunto?

Curiosidades

No ranking dos setores que mais sofreram ataques cibernéticos no Brasil em 2021, estão:

1° Varejo/Atacado: 2.158 organizações (+ 238%);
2° Saúde: 1.685 (+ 64%);
3° Governo/Militar: 1.495 (+ 55%);
4° Comunicações: 1.351 (+ 357%);
5° Lazer/Hotelaria: 1.235 (+220%);
6° Transporte: 833 (+ 152%);
7° Finanças/Bancos: 696 (+ 65%);
8° Manufatura: 608 (+ 247%);
9° Educação/Pesquisa: 428 (+ 18%);
10° Utilities: 382 (+ 201%).

Fonte: Fundação Vanzolini