Criar um programa de privacidade eficaz é essencial para qualquer organização que coleta, utiliza ou trata dados pessoais. Um programa de privacidade abrangente ajuda as organizações a cumprir as exigências legais, gerenciar os riscos à privacidade e manter a confiança dos clientes e partes interessadas.
A preparação e uma abordagem estratégica organizada são sempre elementos-chave para navegar com sucesso em um cenário em mudança como o atual. As necessidades de privacidade de cada organização serão impactadas por uma variedade de fatores, incluindo tipo de negócio, presença global, outros regimes e exigências regulatórias aplicáveis e abordagem geral de conformidade e risco. No entanto, as etapas descritas abaixo ajudarão as empresas a se organizarem e terem uma estratégia significativa para 2023 em termos de privacidade.
Faça um balanço do seu programa atual
Cada organização deve avaliar seu programa de privacidade pelo menos uma vez por ano. A melhor maneira de conduzir esta avaliação variará, mas uma maneira útil de proceder é desenvolver um questionário ou lista de verificação para ajudar a identificar onde as atualizações do programa de privacidade podem ser necessárias. Independentemente da abordagem, a revisão precisa abordar mudanças significativas nos fluxos de dados (por exemplo, a adição por uma empresa tradicional de uma linha de negócios ou entidade voltada para o consumidor), presença geográfica, transformações tecnológicas, tamanho – seja do ponto de vista do número de funcionários ou da receita – e outras questões que impactam significativamente o perfil de privacidade da organização. As empresas também precisam entender seu papel com relação aos dados pessoais (por exemplo, operador ou controlador) para atender adequadamente às obrigações da legislação aplicável.
Estas informações são fundamentais para identificar atualizações ou mudanças necessárias para o programa de privacidade e documentação subjacente. Tais atualizações frequentemente terão impacto nos registros de tratamento/mapas de dados, políticas ou avisos online ou internos de privacidade, termos de privacidade com prestadores de serviços ou parceiros comerciais, bem como atualizações técnicas para facilitar os direitos novos ou atualizados do titular dos dados. Dependendo das jurisdições envolvidas, mudanças mais significativas também podem exigir a conclusão de avaliações de interesse legítimo, avaliações de impacto de proteção de dados, a nomeação ou aprovação de um encarregado de proteção de dados e a emenda ou implementação de acordos de transferência de dados intra-empresa.
Confirme quais leis se aplicam à sua organização
Além de entender o estado atual do programa de privacidade de sua organização, é importante entender o que e como as leis de privacidade novas ou atualizadas podem se aplicar. Lembre-se de que sua empresa pode estar sujeita a várias legislações de proteção de dados mesmo que atue apenas no Brasil: esta será a situação caso, por alguma razão qualquer, a empresa realize transferências internacionais de dados pessoais. Dependendo da situação a empresa estará submetida ao Regulamento Geral sobre a Proteção de Dados da Europa ou a outras legislações de outros países, como a California Consumer Privacy Act nos Estados Unidos. Tenha também atenção ao escopo das legislações, ou seja, a que elas efetivamente se aplicam.
Seja flexível e antecipe novas mudanças
Com a escalada de mudanças nas leis de privacidade, as empresas devem se concentrar na construção de um programa de privacidade que permita a inclusão de novas exigências de privacidade como parte de um programa consolidado, em vez de uma abordagem que se limita a atender a exigências específicas do país ou do estado. Ter seções separadas no seu aviso de privacidade para a LGPD ou o RGPD, por exemplo, pode fazer sentido para muitas organizações como abordagem inicial, mas quase certamente será mais viável para as empresas considerar a transição para um programa mais neutro em termos geográficos (ou pelo menos de país ou região) que atenda às exigências das novas leis estaduais e não necessariamente faça distinção entre residentes de diferentes estados ou países. Com exceções onde for necessário, isto pode significar fornecer informações sobre privacidade que atendam aos altos requisitos da legislação mais exigente (ou seja, fornecer mais informações do que as exigidas em certos estados ou jurisdições) ou oferecer um conjunto consolidado de direitos do indivíduo/consumidor mesmo que alguns ou todos esses direitos não sejam exigidos por lei em um determinado lugar. Este não é um empreendimento fácil, no entanto, e as empresas que se encaminham para esta abordagem consolidada precisarão ter certeza de que podem e cumprirão qualquer promessa de privacidade que fizerem aos indivíduos, mesmo que tais promessas não sejam obrigatórias por lei.
Conecte-se antecipadamente e com frequência com as principais partes interessadas
As equipes de privacidade não podem abordar novas leis de privacidade no vácuo sem a assistência crucial de muitas outras partes interessadas em toda a organização (TI, RH, jurídico, marketing, etc.). Como muitas das próprias equipes de privacidade, essas diferentes equipes comerciais são frequentemente sobrecarregadas – tanto do ponto de vista de recursos como do orçamento – e podem ficar frustradas com os contínuos pedidos de assistência após os pesados esforços exigidos pela LGPD. Portanto, as equipes de privacidade devem realmente planejar com antecedência para identificar as principais partes interessadas para as próximas atualizações e se engajar com elas com antecedência para compreender quais podem ser as prioridades concorrentes no horizonte e se existem prazos-chave que devem ser considerados (por exemplo, um prazo para fazer mudanças técnicas no sistema próximo ao final do ano ou uma transição para um novo provedor de website que irá prever mudanças no website durante um determinado período). Lembre-se de que criar um programa de privacidade eficaz envolve todas as áreas da empresa atuando em conjunto.
Preste especial atenção aos cookies e à estratégia adtech
Poucas questões estão criando mais incerteza no momento do que aquelas relacionadas ao uso de cookies e tecnologias similares, particularmente para publicidade comportamental online ou tipos similares de rastreamento e perfilagem de consumidores. As empresas têm lutado para implementar soluções técnicas significativas (por exemplo, um gestor de cookies) para atender aos requisitos de opt-in da LGPD. As organizações são obrigadas a cumprir com as exigências legais, mas os reguladores ainda não forneceram orientações significativas sobre como isto pode ser realmente realizado. Esperamos que os regulamentos pendentes forneçam orientações específicas e acionáveis nos próximos meses. No entanto, enquanto isso, as empresas devem começar a entender o que realmente implantaram em seus websites e aplicativos móveis e dar início ao processo de determinar como fornecerão aos consumidores o controle necessário sobre tais tecnologias (por exemplo, um opt-out universal através de um botão Do-Not-Share, um opt-in para certos ou todos os cookies não essenciais ou uma limitação potencial do uso de cookies para ajudar a diminuir as obrigações de conformidade). Iniciar o processo agora aliviará significativamente o fardo dos próximos passos, uma vez que o caminho real para a conformidade esteja mais claro.
Desenvolver uma abordagem para atualizações contratuais
Muitas organizações se engajaram em atualizações de tempo e mão-de-obra intensiva de seus acordos a fim de cumprir as obrigações da LGPD. Embora os termos abrangentes de privacidade e segurança devam geralmente tratar das exigências das leis de privacidade pendentes, será importante revisitar os modelos para fazer os ajustes adicionais necessários para que sejam suficientemente amplos para cobrir novos estados ou países. As equipes de privacidade devem trabalhar com suas equipes de compras e outras equipes para garantir que quaisquer modelos atualizados sejam incluídos no processo de contratação e que eles estejam se conectando com os principais provedores de serviços com antecedência para entender como e quando eles estarão adaptando seus próprios termos (já que muitos provedores maiores exigem que os clientes usem seus termos de privacidade com alterações limitadas ou sem alterações). As organizações que atuam como prestadores de serviços devem, da mesma forma, identificar quaisquer atualizações adicionais e se comunicar antecipadamente com os clientes para suavizar quaisquer atualizações e evitar um dilúvio de demandas de última hora.
Não existe uma maneira “certa” de criar um programa de privacidade eficaz para se preparar para novas leis de privacidade. No entanto, os passos acima descritos se destinam a ajudar as empresas a moldar a abordagem que é certa para elas. A longo prazo, se organizar e realmente trabalhar para construir um programa de privacidade que antecipe as mudanças abrirá o caminho para um esforço mais maduro e eficaz em geral.
Criar um programa de privacidade eficaz é um processo contínuo que requer o compromisso de todas as partes interessadas. Seguindo estas etapas-chave, as organizações podem desenvolver e implementar um programa de privacidade adaptado às suas necessidades específicas e que seja eficaz na proteção de dados pessoais e no cumprimento das exigências legais.
E sua empresa, já sabe como criar um programa de privacidade eficaz?
Leia o próximo texto da nossa série preparatória para a Maratona de Proteção de Dados – Ed. Janeiro 2023: Como monitorar e gerir um programa de privacidade?
Vamos que vamos e #colanopapai!
Para saber mais:
- Steps for building a privacy program, plus checklist
- 5 Key Steps to Developing Your Global Data Privacy Program
Adaptado de 2023 here we come: How to prepare your privacy program. Acesso em 24-Jan-2023.