🚨 A NIS2 já está em vigor. A sensibilização para a segurança é agora uma obrigação legal na UE.

Verificar a conformidade
Inicia o teu teste gratuito
Voltar ao Centro de Recursos

Sensibilização para a privacidade: o que é, por que é importante e como formar os teus colaboradores

A maioria das fugas de dados não é causada por hackers que conseguem ultrapassar as firewalls. São causadas por funcionários que cometem erros que se poderiam evitar: enviar um ficheiro para o destinatário errado, deixar um documento numa unidade partilhada com permissões erradas, usar uma conta de e-mail pessoal para dados de trabalho ou cair num e-mail de phishing que leva a um acesso não autorizado. A sensibilização para a privacidade é a prática organizacional que garante que os colaboradores compreendam o que são dados pessoais, quais são as suas responsabilidades ao abrigo de regulamentos como o RGPD e como lidar com os dados de forma a proteger tanto os indivíduos como a organização.

O que é a sensibilização para a privacidade?

A sensibilização para a privacidade é o grau em que os colaboradores compreendem os riscos relacionados com a privacidade e as suas responsabilidades ao lidar com dados pessoais. Abrange tanto a dimensão jurídica — o que regulamentos como o RGPD exigem — como a dimensão prática: a forma como esses requisitos se traduzem nas decisões do dia-a-dia sobre a recolha, o armazenamento, a partilha e a eliminação de dados.

Um colaborador com uma forte consciência em matéria de privacidade sabe distinguir entre dados pessoais e dados não pessoais, percebe por que razão certas categorias de dados (dados de saúde, dados financeiros, opiniões políticas) exigem proteção adicional, reconhece quando um pedido de dados é legítimo e quando pode tratar-se de uma tentativa de engenharia social, e sabe o que fazer se suspeitar que ocorreu uma violação de dados.

A sensibilização para a privacidade é diferente da sensibilização para a segurança, mas está intimamente relacionada com ela. A sensibilização para a segurança centra-se na proteção de sistemas e dados contra ameaças externas. A sensibilização para a privacidade centra-se na forma como os próprios funcionários lidam com os dados. Na prática, as duas coisas sobrepõem-se bastante: um e-mail de phishing que leva ao roubo de credenciais é tanto um incidente de segurança como uma violação de privacidade.

Por que é importante a sensibilização para a privacidade: o RGPD e o fator humano

Ao abrigo do RGPD, as organizações são responsáveis pela forma como os dados pessoais são tratados, incluindo quando esse tratamento corre mal devido a um erro de um colaborador. Uma violação de dados causada por um colaborador que, acidentalmente, enviou uma lista de clientes por e-mail para o endereço errado continua a ser uma violação que tem de ser comunicada. A organização é responsável por comunicá-la à autoridade de controlo competente no prazo de 72 horas, notificar, se for o caso, as pessoas afetadas e demonstrar que tinha medidas técnicas e organizacionais adequadas em vigor.

As «medidas organizacionais adequadas» incluem explicitamente a formação do pessoal. O RGPD não especifica exatamente como deve ser essa formação, mas as autoridades de controlo interpretam sistematicamente este requisito como uma sensibilização contínua e relevante para as funções de cada um, e não como um módulo pontual concluído no primeiro dia de trabalho.

A maioria das notificações de violação do RGPD apresentadas à Autoridade de Proteção de Dados dos Países Baixos (Autoriteit Persoonsgegevens) deve-se a erros humanos, e não a ataques externos. A formação sobre sensibilização para a privacidade aborda a causa mais comum do tipo de violação mais frequente.

Para além da conformidade, a sensibilização para a privacidade protege a confiança que os clientes, parceiros e colaboradores depositam numa organização. Uma violação de dados não é só uma questão regulamentar, é também uma questão de reputação. As organizações que conseguem demonstrar uma cultura genuína de responsabilidade em matéria de privacidade estão melhor posicionadas para manter essa confiança quando ocorrem incidentes.

O que a sensibilização para a privacidade significa, na prática, para os colaboradores

A sensibilização para a privacidade não tem a ver com transformar os colaboradores em advogados especializados em privacidade. Trata-se de lhes dar os conhecimentos práticos necessários para lidarem corretamente com os dados nas suas funções específicas. Na maioria das organizações, isso resume-se a um conjunto de competências essenciais:

  • Identificar dados pessoais. Nomes, endereços de e-mail, números de telefone, endereços IP, dados de localização, informações de saúde, dados financeiros: os colaboradores precisam de saber o que se considera dados pessoais no contexto do seu trabalho.
  • Compreender o princípio do «necessário para o desempenho das funções». Só as pessoas que precisam dos dados para o desempenho das suas funções devem ter acesso aos dados pessoais. Os colaboradores que compreendem isto são menos propensos a partilhar dados de forma informal ou a conceder acesso desnecessário.
  • Lidar corretamente com os pedidos de acesso aos dados. O que fazer quando um cliente pede para ver os seus dados, solicita a sua eliminação ou se opõe ao seu tratamento. Saber que existe um processo e a quem recorrer é mais importante do que conhecer todos os pormenores do RGPD.
  • Tratamento seguro dos dados no dia-a-dia. Enviar dados confidenciais por canais encriptados, não guardar dados pessoais em contas de e-mail pessoais ou unidades partilhadas não seguras, bloquear o ecrã ao afastares-te da secretária, não falar sobre dados de clientes em espaços públicos.
  • Reconhecer e comunicar incidentes de privacidade. Um e-mail enviado para a pessoa errada, um anexo enviado à pessoa errada, um dispositivo perdido com dados não encriptados: os colaboradores que sabem que isto constitui uma potencial violação e a quem devem comunicar o incidente permitem que as organizações cumpram o prazo de notificação de 72 horas.

Formação sobre sensibilização para a privacidade: como garantir que os conhecimentos fiquem gravados

Os mesmos princípios que se aplicam à formação em sensibilização para a segurança aplicam-se também à formação em sensibilização para a privacidade: sessões curtas, regulares e relevantes para as funções são melhores do que sessões longas, pouco frequentes e genéricas. Um módulo anual de e-learning sobre o RGPD com 30 minutos de duração cumpre os requisitos de conformidade no papel. Mas não muda de forma fiável a forma como um funcionário do serviço de apoio ao cliente lida com um pedido de acesso de um titular de dados seis meses depois.

Uma formação eficaz sobre sensibilização para a privacidade tem várias características:

  • Baseado em cenários. Uma formação que apresenta situações realistas, do tipo «recebes um e-mail a pedir-te para reencaminhar os dados pessoais de um cliente para um terceiro; o que fazes?», desenvolve as tuas capacidades de tomada de decisão, e não só o conhecimento.
  • Relevante para a função. Os riscos de privacidade que uma equipa de atendimento ao cliente enfrenta são diferentes dos que se verificam nas áreas financeira, de RH ou de TI. Uma formação que aborde o trabalho diário real de um colaborador tem mais hipóteses de ser retida e aplicada.
  • É algo que se repete regularmente. As regras de privacidade evoluem. As práticas de tratamento de dados mudam. Uma nova ferramenta ou processo pode trazer novos riscos para a privacidade. A formação contínua garante que a sensibilização acompanhe essas mudanças.
  • Documentado. A capacidade de comprovar que a formação foi concluída — quem, quando e o que foi feito — é, por si só, um requisito de conformidade. Uma formação que deixa um registo de auditoria vale muito mais do que uma que não o faz.

A plataforma de formação em sensibilização para a segurança da Guardey inclui a privacidade no âmbito do seu programa mais abrangente, oferecendo às organizações uma plataforma única para a sensibilização tanto em matéria de segurança como de privacidade, com as funcionalidades de acompanhamento e elaboração de relatórios necessárias para satisfazer tanto os auditores como os responsáveis pela proteção de dados.

A sensibilização para a privacidade e a segurança são inseparáveis

Promove a sensibilização para a privacidade na tua organização e torna-a mensurável.

Solicita uma demonstração
Dinela Lokvancic
Dinela Lokvancic Especialista em Marketing A Dinela mantém a presença online da Guardey atualizada. Ela cria conteúdos que tornam acessíveis temas complexos de cibersegurança e ajuda as organizações a entender por que a formação em consciencialização de segurança é importante para as suas equipas.
PRONTO PARA COMEÇAR?

Junta-te às mais de 500 empresas que já protegem as suas equipas com o Guardey

Começa o teu período de teste gratuito de 14 dias
14 dias grátis · Sem cartão de crédito · Acesso total · Configuração em 5 minutos
Ou marca uma demonstração personalizada