Já dizia a boa e velha frase “errar é humano, persistir no erro é burrice”. Claro que não somos perfeitos, e erraremos em alguns (vários) momentos da vida. No entanto, aprender com tais erros nos permite crescer e evoluir.
Errar é dolorido e, muitas vezes, pode nos levar a um caminho sem volta, todavia, para nosso crescimento e resiliência, é imperioso compreender o desacerto, a fim de evitar repeti-lo.
No caso da área de proteção de dados pessoais, esse tema é relevante, pois a partir de determinadas falhas será importante entender o que houve e aproveitar a experiência para deter novos problemas.
E como aproveitar as experiências consideradas negativas?
É essencial pensar no que deu errado, analisar o contexto, verificar como o problema foi resolvido e evidenciar todo o ocorrido.
Exemplos práticos:
Perda de prazos
Você recebeu uma demanda do titular, analisou o contexto, elaborou a resposta, mas perdeu o prazo legal. Como evitar que isso se repita? Como não perder prazos? Simples: organização, estrutura e treinamento. O ideal é ter um fluxo de atendimento ao titular estruturado, treinar os colaboradores, ter um canal de atendimento (e isso pode ser feito via e-mail, através de uma ferramenta etc.), saber quem analisa, quem responde, conhecer o prazo legal, ter meios de evidenciar os passos, utilizar KPIs (Key Performance Indicator) etc. É importante ter em mente: não há como perder prazos e precisamos que todos saibam disso.
Problemas com contratos
Você analisou um contrato com um fornecedor, do ponto de vista de privacidade, e não percebeu uma cláusula que acabou por deixar a empresa em posição complicada naquela relação. O que houve? Por que aquele detalhe não foi visto? Inicialmente, nossa opinião é de que sempre quem deve revisar qualquer contrato é um advogado. E por quê? Por toda a bagagem jurídica que é necessária para tal análise. Ainda, quem analisa tem que ter experiência com privacidade e proteção de dados pessoais, pois definir os agentes de tratamentos, tal como papéis e responsabilidade, além de não ser simples, pode trazer grandes prejuízos para a organização caso haja algum equívoco. É importante ter em mente: um contrato mal redigido pode quebrar uma empresa, e toda atenção é necessária.
Incidentes de segurança
Ocorreu um incidente. O que fazer? Ter assertividade no atendimento e aplicar o plano de respostas a incidentes é fundamental. Examinar toda a situação, compreender o porquê da ocorrência do incidente, de onde veio, como ocorreu, onde houve falha e como foi dada a resposta ajuda na exploração do cenário e na atuação no que se refere à aplicação dos controles necessários. É importante ter em mente: quanto mais rápida a atuação no incidente, menor será o prejuízo causado.
Lições aprendidas
O ponto é: considerar as lições aprendidas tem como objetivo evitar a recorrência das imprecisões, cooperar para a evolução da segurança dentro da empresa e praticar a melhoria contínua em todos os processos. Lembre-se sempre de registrar todo o ocorrido (quer seja em relatórios, sistemas, formulários) e de compartilhar com toda a equipe, para que todos entendam a situação e evitem repetir o equívoco.
Fato é que todos somos humanos e os erros ocorrerão. No entanto, é imprescindível estarmos preparados para reconhecer os lapsos, aprender com eles e trabalhar com o intuito de construir um programa de privacidade eficiente e assertivo.
Leia outros artigos da autora:
A atualização do formulário para comunicação de incidentes (CIS) e a atuação da ANPD
A repetição da política de privacidade e a falta de engajamento das organizações
Como apoiar a adesão ao programa de privacidade?
Mariana Sbaite Gonçalves: Líder do Núcleo de DPO do PG Advogados. Graduada em Direito pela Universidade Católica de Santos – UNISANTOS. MBA em SGI – Sistema de Gestão Integrada (Segurança do Trabalho – OHSAS 18001/Qualidade – I.S.O. 9001/Meio Ambiente – I.S.O. 14001 e Responsabilidade Social). MBA em Data Protection Officer (DPO) – IESB. Pós-Graduada em Direito e Processo do Trabalho (Damásio De Jesus). Pós-Graduada em Advocacia Empresarial (PUC/MINAS).
Pós-Graduada em Direito da Proteção e Uso de Dados (PUC/MINAS). LLM em Proteção e Dados: LGPD e GDPR (FMP e Faculdade de Direito da Universidade de Lisboa). Mestranda em Science in Legal Studies, pela Ambra Univertisity (Orlando/FL). DPO (Data Protection Officer) certificada pela EXIN. Information Security Officer (I.S.O.) certificada pela EXIN. Articulista do Encarregado.org. Coautora do artigo: The ISO 27000 Family and its Applicability in LGPD Adaptation Projects for Small and Medium- Sized Enterprises publicado pela Associação Internacional ISACA (Information Systems Audit e Control Association). Coautora do livro: LGPD e Cartórios – Implementação e Questões Práticas. Coautora do livro: “Mulheres na Tecnologia”. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados) e da ANADD (Associação Nacional da Advogadas (os) de Direito Digital).
