Passo a passo para integrar o home office à conformidade da empresa à LGPD, por Edgard Amaral*
/ A pandemia acabará, mas o modelo híbrido de trabalho, não. Em julho do ano passado, segundo o IBGE (Instituto Brasileiro de Geografia e Estatísticas), 8,8 milhões de brasileiros estavam trabalhando em casa. O quadro é complementado por pesquisa do IPEA (Instituto de Pesquisa Econômica Aplicada) de novembro de 2020: 84,8% dos trabalhadores em home office tinham carteira assinada e estavam ligados a uma empresa. 15,2% eram profissionais autônomos.
Um dado, em especial, ressalta a força desse novo contexto no Brasil: levantamento feito pelo portal de empregos e recrutamento InfoJobs mostra que o número de vagas para profissionais trabalhando tempo integral ou parcial em home office cresceu 85% entre janeiro de 2020 e janeiro de 2021. O número, que agora soma 25.888, era de 4.010 no início de 2020.
Mesmo com a vacinação da população contra a COVID-19, não acontecerá um retorno em massa ao escritório.
Em 2021, não é possível esperar mais: é hora de integrar o trabalhador remoto às políticas de segurança e privacidade que as empresas estão adotando para entrar em conformidade com a LGPD (Lei Geral de Proteção de Dados).
A maior parte das empresas optou por disponibilizar, para os colaboradores em home office, dispositivos digitais de propriedade da própria organização. Quer utilize-se um ativo corporativo, quer utilize-se um PC de propriedade do profissional remoto, faz-se necessário garantir o alinhamento desse ambiente às melhores práticas de segurança e, num segundo momento, à LGPD.
É importante ressaltar que a busca de conformidade à LGPD é um processo vivo, com mudanças constantes. Não adianta implementar uma inovadora solução de segurança digital e considerar que a empresa (sede e pontos remotos) está alinhada à LGPD. Dada a complexidade de garantir que o trabalhador remoto está atuando de acordo com as melhores práticas da segurança e da privacidade de dados, é necessário seguir um roteiro bem definido de transformação da cultura.
Nessa jornada, é fundamental contar com o apoio de consultorias com expertise no redesenho de processos, o core da conformidade à LGPD. São empresas com histórico de projetos baseados nos frameworks ISO 27001 (norma de qualidade em segurança) e NIST (framework de segurança digital do National Institute of Standards and Technology, dos EUA). Outro elemento crítico da busca à conformidade à LGPD é contar com serviços providos por profissionais certificados nessa área.
Uma forma de buscar conhecimento sobre a LGPD é realizar as provas e certificações do EXIN. Nesse contexto, o caminho para a certificação DPO inclui várias provas: Information Security Foundation (baseada na ISO 27001), o difícil teste Privacy and Data Protection Pratictioner e o exame Privacy and Data Protection Foundation.
Abaixo, o passo a passo sobre como inserir os trabalhadores remotos de um hipotético escritório de contabilidade numa visão de segurança e privacidade de dados.
Fase A: Análise do contexto da empresa de contabilidade
Ação 1: Realizar um workshop com a presença de todos os colaboradores da empresa, do C-Level ao recepcionista. Trata-se de um briefing geral sobre a LGPD e a jornada que a empresa terá de trilhar para entrar em conformidade com a lei. O workshop é apenas o kick-off de um processo de comunicação intenso com todos os colaboradores, envolvendo treinamento e reuniões contínuas para promover uma cultura empresarial comprometida com a proteção de dados pessoais. Esses esforços têm de envolver também o trabalhador remoto.
Ação 2: Ao final do workshop, criar um grupo multidisciplinar, reunindo profissionais formadores de opinião de todas as áreas da empresa. É fundamental incluir, nesse grupo, pessoas que trabalham em home office. O nome desse grupo é comitê de privacidade.
Ação 3: Assessment, quando se tira uma foto do cenário atual da empresa. A meta é verificar quais são os processos oficiais e quais são os processos realizados na prática. O assessment também verifica quais as tecnologias em uso tanto na sede da empresa como no trabalho remoto. Trata-se de uma etapa realizada a quatro mãos, incluindo experts da empresa de consultoria em privacidade de dados e o comitê interno da empresa. Em relação ao trabalhador em home office, será necessário checar processos e tecnologias em uso.
Fase B: Redesenho dos processos
Ação 1: Análise dos gaps tanto de processos como de tecnologias. A partir das descobertas da fase de assessment, levantar todos os gaps, as possíveis falhas da cultura empresarial. É nessa etapa que se constroem os pré-requisitos para redefinir processos e tecnologias que promovam a conformidade do trabalhador remoto à LGPD.
Ação 2: A partir de todas as etapas anteriores, os gestores desta empresa de contabilidade irão definir as prioridades em relação à conformidade à LGPD. Por exemplo: quais trabalhadores remotos manipulam dados sensíveis que, vazados ou violados, podem expor a empresa e seus clientes a atacantes digitais. Uma vez definidas essas prioridades, o ciclo de conformidade à LGPD volta a acontecer, com constantes ações de treinamento e comunicação e alterações no uso de tecnologias e nos processos.
Elevar a maturidade digital do home office é, hoje, uma demanda crítica das empresas brasileiras.
Não há mais espaço para improvisações – a responsabilidade pela proteção do dado pessoal criado, processado e transmitido pelo trabalhador remoto é da empresa. Essa realidade está trazendo novos desafios jurídicos e trabalhistas, com a necessidade de contratos de trabalho – seja com pessoa física, seja com pessoa jurídica – que incluam os cuidados com dados pessoais.
A ANPD (Autoridade Nacional de Proteção de Dados) começará, em agosto, a fiscalizar as empresas brasileiras. Mais e mais marcas estão compreendendo que a credibilidade que vem de proteger os dados de clientes e colaboradores é um fator crítico para o crescimento da empresa em 2021, e além.