Privacidade de Dados | Indícios de falta de maturidade pelas organizações

Assim como ocorreu com Segurança da Informação, o tema Privacidade de Dados também recebeu uma nova abordagem e um novo modo de atuação por parte de organizações e indivíduos com o objetivo de proteger seus dados e também adequar-se às regulações vigentes ao redor do mundo.

Desta forma, tem sido comum que as corporações implementem seus próprios Programas de Privacidade de Dados e se baseie em uma ou mais legislações, normas, frameworks e melhores práticas, buscando maturidade de seu público criando ou alterando processos e tecnologias, além (e mais importante) de prover conscientização, treinamento e capacitação.

Com isso os controles também são criados para medir a eficácia deste programa e das ações de implementação e manutenção, sendo as auditorias uma boa ferramenta para isso e, neste cenário, podemos destacar alguns pontos comums em grandes e médias organizações que compromente o sucesso do programa e evidenciam, de forma geral, a falta de maturidade que uma organização ainda possui e que deve caminhar em direção e mitigar estes pontos combinando medidas diversas:

• Falta de estrutura efetiva de Privacidade de Dados (DPO, CPO, Encarregado ou qualquer outra denominação que indique um responsável pelo tema, bem como um time especializado e capacitado)
• Conflito de interesses em estrutura de Privacidade de Dados (quando o time está subordinado a outras estruturas, como o Jurídico, Financeiro, Administrativo, Tecnologia da Informação ou outro que esteja em posição vertical na organização)
• Falta de mapeamento de dados pessoais
• Falta de conscientização, treinamento e capacitação das pessoas envolvidas e de toda a organização
• Falta de mapeamento de ativos de informação que contém dados pessoais
• Falta de conhecimento sobre regulações as quais a organização está sujeita
• Falta de processos de auto regulação para coleta, utilização, armazenamento, compartilhamento e retenção de dados pessoais
• Falta de ferramentas para auxiliar na gestão de Privacidade de Dados
• Ausência de processos de Privacy by Design e Privacy by Default

Como profissionais da área, é o mínimo que temos de focar para que possamos ter condições de levarmos adiante um Programa (e não um projeto, pois este tem começo, meio e fim) de Privaciadade de Dados e, a partir daí, refinarmos, adequarmos e melhorarmo continuamente neste processo.