🚨 A NIS2 já está em vigor. A conscientização sobre segurança é agora uma exigência legal na UE.

Verificar a conformidade
Inicie sua avaliação gratuita
Voltar ao Centro de Recursos

Conscientização sobre privacidade: o que é, por que é importante e como treinar seus funcionários

A maioria das violações de dados não é causada por hackers que conseguem romper os firewalls. Elas são causadas por funcionários que cometem erros evitáveis: enviar um arquivo para o destinatário errado, deixar um documento em uma unidade compartilhada com permissões incorretas, usar uma conta de e-mail pessoal para dados de trabalho ou cair no golpe de um e-mail de phishing que leva ao acesso não autorizado. A conscientização sobre privacidade é a prática organizacional de garantir que os funcionários compreendam o que são dados pessoais, quais são suas responsabilidades de acordo com regulamentações como o GDPR e como lidar com os dados de forma a proteger tanto os indivíduos quanto a organização.

O que é conscientização sobre privacidade?

A conscientização sobre privacidade é o grau em que os funcionários compreendem os riscos à privacidade e suas responsabilidades ao lidar com dados pessoais. Ela abrange tanto a dimensão jurídica — o que regulamentações como o GDPR exigem — quanto a dimensão prática: como esses requisitos se traduzem em decisões cotidianas sobre a coleta, o armazenamento, o compartilhamento e a exclusão de dados.

Um funcionário com forte consciência sobre privacidade sabe a diferença entre dados pessoais e dados não pessoais, compreende por que certas categorias de dados (dados de saúde, dados financeiros, opiniões políticas) exigem proteção adicional, reconhece quando uma solicitação de dados é legítima e quando pode ser uma tentativa de engenharia social, e sabe o que fazer caso suspeite que tenha ocorrido uma violação de dados.

A conscientização sobre privacidade é distinta da conscientização sobre segurança, mas está intimamente relacionada a ela. A conscientização sobre segurança concentra-se na proteção de sistemas e dados contra ameaças externas. A conscientização sobre privacidade concentra-se na forma como os próprios funcionários lidam com os dados. Na prática, as duas se sobrepõem significativamente: um e-mail de phishing que leva ao roubo de credenciais é tanto um incidente de segurança quanto uma violação de privacidade.

Por que a conscientização sobre privacidade é importante: o GDPR e o fator humano

De acordo com o GDPR, as organizações são responsáveis pela forma como os dados pessoais são tratados, inclusive quando esse tratamento dá errado em decorrência de um erro de um funcionário. Uma violação de dados causada por um funcionário que, acidentalmente, enviou uma lista de clientes por e-mail para o endereço errado ainda é uma violação que deve ser comunicada. A organização é responsável por comunicá-la à autoridade supervisora competente no prazo de 72 horas, notificar, se necessário, as pessoas afetadas e demonstrar que possuía medidas técnicas e organizacionais adequadas em vigor.

“Medidas organizacionais adequadas” incluem explicitamente o treinamento dos funcionários. O RGPD não especifica exatamente como deve ser esse treinamento, mas as autoridades de supervisão interpretam consistentemente essa exigência como uma conscientização contínua e relevante para a função, e não como um módulo único concluído no primeiro dia de trabalho.

A maioria das notificações de violação do GDPR apresentadas à Autoridade de Proteção de Dados da Holanda (Autoriteit Persoonsgegevens) envolve erro humano, e não ataques externos. O treinamento de conscientização sobre privacidade aborda a causa mais comum do tipo mais comum de violação.

Além da conformidade, a conscientização sobre privacidade protege a confiança que clientes, parceiros e funcionários depositam em uma organização. Uma violação de dados não é apenas uma questão regulatória, mas também uma questão de reputação. As organizações que conseguem demonstrar uma cultura genuína de responsabilidade em relação à privacidade estão mais bem posicionadas para manter essa confiança quando ocorrem incidentes.

O que a conscientização sobre privacidade significa, na prática, para os funcionários

A conscientização sobre privacidade não significa transformar os funcionários em advogados especializados em privacidade. Trata-se de proporcionar a eles o conhecimento prático necessário para lidar corretamente com os dados em suas funções específicas. Na maioria das organizações, isso se resume a um conjunto de competências essenciais:

  • Identificação de dados pessoais. Nomes, endereços de e-mail, números de telefone, endereços IP, dados de localização, informações de saúde, dados financeiros: os funcionários precisam saber o que se considera dado pessoal no contexto de seu trabalho.
  • Compreendendo o princípio do “necessário para o desempenho da função”. O acesso aos dados pessoais deve ser restrito às pessoas que precisam deles para o desempenho de suas funções. Os funcionários que compreendem isso são menos propensos a compartilhar dados de forma informal ou a conceder acesso desnecessário.
  • Como lidar corretamente com solicitações de dados. O que fazer quando um cliente pede para consultar seus dados, solicita a exclusão ou se opõe ao tratamento. Saber que existe um procedimento e a quem encaminhar o caso é mais importante do que conhecer todos os detalhes do GDPR.
  • Manuseio seguro de dados no dia a dia. Enviar dados confidenciais por canais criptografados, não armazenar dados pessoais em contas de e-mail pessoais ou unidades compartilhadas não seguras, bloquear a tela ao se ausentar da mesa de trabalho e não discutir dados de clientes em espaços públicos.
  • Reconhecer e comunicar incidentes de privacidade. Um e-mail enviado para o destinatário errado, um anexo enviado à pessoa errada, um dispositivo perdido com dados não criptografados: os funcionários que sabem que isso constitui uma possível violação e a quem devem comunicar o incidente permitem que as organizações cumpram o prazo de notificação de 72 horas.

Treinamento de conscientização sobre privacidade: como garantir que o conteúdo seja assimilado

Os mesmos princípios que se aplicam ao treinamento de conscientização sobre segurança também se aplicam ao treinamento de conscientização sobre privacidade: sessões curtas, regulares e relevantes para a função são mais eficazes do que sessões longas, esporádicas e genéricas. Um módulo anual de e-learning sobre o GDPR, com duração de 30 minutos, garante a conformidade apenas no papel. Ele não altera de forma confiável a maneira como um funcionário do atendimento ao cliente lida com uma solicitação de acesso de titular de dados seis meses depois.

Um treinamento eficaz de conscientização sobre privacidade apresenta várias características:

  • Baseado em cenários. O treinamento que apresenta situações realistas — “você recebe um e-mail solicitando que encaminhe os dados pessoais de um cliente a um terceiro; o que você faz?” — desenvolve habilidades de tomada de decisão, e não apenas conhecimento.
  • Relevante para a função. Os riscos à privacidade enfrentados por uma equipe de atendimento ao cliente são diferentes daqueles enfrentados nas áreas financeira, de RH ou de TI. Um treinamento que aborde o trabalho diário real do funcionário tem mais chances de ser assimilado e colocado em prática.
  • Repetido regularmente. As normas de privacidade evoluem. As práticas de tratamento de dados mudam. Uma nova ferramenta ou processo pode trazer novos riscos à privacidade. O treinamento contínuo garante que a conscientização acompanhe essas mudanças.
  • Documentado. A capacidade de comprovar que o treinamento foi concluído — quem, quando e o que foi treinado — já constitui, por si só, um requisito de conformidade. Um treinamento que deixa um registro de auditoria tem um valor significativamente maior do que aquele que não o faz.

A plataforma de treinamento em conscientização sobre segurança da Guardey aborda a privacidade como parte de seu programa mais amplo, oferecendo às organizações uma plataforma única para a conscientização tanto sobre segurança quanto sobre privacidade, com os recursos de acompanhamento e geração de relatórios necessários para atender tanto aos auditores quanto aos responsáveis pela proteção de dados.

A conscientização sobre privacidade e segurança são inseparáveis

Promova a conscientização sobre privacidade em sua organização e torne-a mensurável.

Solicite uma demonstração
Dinela Lokvancic
Dinela Lokvancic Especialista em Marketing Dinela mantém a presença online da Guardey atualizada. Ela cria conteúdos que tornam acessíveis temas complexos de segurança cibernética e ajuda as organizações a compreender por que a formação em consciencialização sobre segurança é importante para as suas equipes.
PRONTO PARA COMEÇAR?

Junte-se a mais de 500 empresas que já protegem suas equipes com o Guardey

Comece seu teste gratuito de 14 dias
14 dias grátis · Sem cartão de crédito · Acesso total · Configuração em 5 minutos
Ou agende uma demonstração personalizada