Passo a passo para integrar o home office à visão LGPD

O home office tem tudo para continua fazendo parte da rotina dos colaboradores e exige alinhamento para proporcionar melhor experiência ao usuário e melhores práticas de segurança

Compartilhar:

*Por Edgard Amaral

 

A pandemia acabará, mas o modelo híbrido de trabalho, não. Em julho do ano passado, segundo o IBGE (Instituto Brasileiro de Geografia e Estatísticas), 8,8 milhões de brasileiros estavam trabalhando em casa. O quadro é complementado por pesquisa do IPEA (Instituto de Pesquisa Econômica Aplicada) de novembro de 2020: 84,8% dos trabalhadores em home office tinham carteira assinada e estavam ligados a uma empresa. 15,2% eram profissionais autônomos.

 

Um dado, em especial, ressalta a força desse novo contexto no Brasil: levantamento feito pelo portal de empregos e recrutamento InfoJobs mostra que o número de vagas para profissionais trabalhando tempo integral ou parcial em home office cresceu 85% entre janeiro de 2020 e janeiro de 2021. O número, que agora soma 25.888, era de 4.010 no início de 2020.

 

Mesmo com a vacinação da população contra a COVID-19, não acontecerá um retorno em massa ao escritório.

 

Em 2021, não é possível esperar mais: é hora de integrar o trabalhador remoto às políticas de segurança e privacidade que as empresas estão adotando para entrar em conformidade com a LGPD (Lei Geral de Proteção de Dados).

 

A maior parte das empresas optou por disponibilizar, para os colaboradores em home office, dispositivos digitais de propriedade da própria organização. Quer utilize-se um ativo corporativo, quer utilize-se um PC de propriedade do profissional remoto, faz-se necessário garantir o alinhamento desse ambiente às melhores práticas de segurança e, num segundo momento, à LGPD.

 

É importante ressaltar que a busca de conformidade à LGPD é um processo vivo, com mudanças constantes. Não adianta implementar uma inovadora solução de segurança digital e considerar que a empresa (sede e pontos remotos) está alinhada à LGPD. Dada a complexidade de garantir que o trabalhador remoto está atuando de acordo com as melhores práticas da segurança e da privacidade de dados, é necessário seguir um roteiro bem definido de transformação da cultura.

 

Nessa jornada, é fundamental contar com o apoio de consultorias com expertise no redesenho de processos, o core da conformidade à LGPD. São empresas com histórico de projetos baseados nos frameworks ISO 27001 (norma de qualidade em segurança) e NIST (framework de segurança digital do National Institute of Standards and Technology, dos EUA). Outro elemento crítico da busca à conformidade à LGPD é contar com serviços providos por profissionais certificados nessa área.

 

Uma forma de buscar conhecimento sobre a LGPD é realizar as provas e certificações do EXIN. Nesse contexto, o caminho para a certificação DPO inclui várias provas: Information Security Foundation (baseada na ISO 27001), o difícil teste Privacy and Data Protection Pratictioner e o exame Privacy and Data Protection Foundation.

 

Abaixo, o passo a passo sobre como inserir os trabalhadores remotos de um hipotético escritório de contabilidade numa visão de segurança e privacidade de dados.

 

Fase A: Análise do contexto da empresa de contabilidade

 

Ação 1: Realizar um workshop com a presença de todos os colaboradores da empresa, do C-Level ao recepcionista. Trata-se de um briefing geral sobre a LGPD e a jornada que a empresa terá de trilhar para entrar em conformidade com a lei. O workshop é apenas o kick-off de um processo de comunicação intenso com todos os colaboradores, envolvendo treinamento e reuniões contínuas para promover uma cultura empresarial comprometida com a proteção de dados pessoais. Esses esforços têm de envolver também o trabalhador remoto.

 

Ação 2: Ao final do workshop, criar um grupo multidisciplinar, reunindo profissionais formadores de opinião de todas as áreas da empresa. É fundamental incluir, nesse grupo, pessoas que trabalham em home office. O nome desse grupo é comitê de privacidade.

 

Ação 3: Assessment, quando se tira uma foto do cenário atual da empresa. A meta é verificar quais são os processos oficiais e quais são os processos realizados na prática. O assessment também verifica quais as tecnologias em uso tanto na sede da empresa como no trabalho remoto. Trata-se de uma etapa realizada a quatro mãos, incluindo experts da empresa de consultoria em privacidade de dados e o comitê interno da empresa. Em relação ao trabalhador em home office, será necessário checar processos e tecnologias em uso.

 

Fase B: Redesenho dos processos

 

Ação 1: Análise dos gaps tanto de processos como de tecnologias. A partir das descobertas da fase de assessment, levantar todos os gaps, as possíveis falhas da cultura empresarial. É nessa etapa que se constroem os pré-requisitos para redefinir processos e tecnologias que promovam a conformidade do trabalhador remoto à LGPD.

 

Ação 2: A partir de todas as etapas anteriores, os gestores desta empresa de contabilidade irão definir as prioridades em relação à conformidade à LGPD. Por exemplo: quais trabalhadores remotos manipulam dados sensíveis que, vazados ou violados, podem expor a empresa e seus clientes a atacantes digitais. Uma vez definidas essas prioridades, o ciclo de conformidade à LGPD volta a acontecer, com constantes ações de treinamento e comunicação e alterações no uso de tecnologias e nos processos.

 

Elevar a maturidade digital do home office é, hoje, uma demanda crítica das empresas brasileiras.

 

Não há mais espaço para improvisações – a responsabilidade pela proteção do dado pessoal criado, processado e transmitido pelo trabalhador remoto é da empresa. Essa realidade está trazendo novos desafios jurídicos e trabalhistas, com a necessidade de contratos de trabalho – seja com pessoa física, seja com pessoa jurídica – que incluam os cuidados com dados pessoais.

 

A ANPD (Autoridade Nacional de Proteção de Dados) começará, em agosto, a fiscalizar as empresas brasileiras. Mais e mais marcas estão compreendendo que a credibilidade que vem de proteger os dados de clientes e colaboradores é um fator crítico para o crescimento da empresa em 2021, e além.

 

*Edgard Amaral é CEO da consultoria em segurança digital Portnet Tecnologia

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...