Por que treinar funcionário sobre LGPD?

Hoje vou explanar (desabafar) sobre um tema que venho enfrentando nas adequações. Enfrentando literalmente, a resistência das empresas (Operadores, entenda-se fornecedores dos meus clientes de LGPD) para fornecer evidências de adequação.

De 06 adequações em andamento e dezenas de Operadores, apenas 01, estava realmente pronto e entregou prontamente tudo que solicitamos para evidenciar sua adequação. Alguns apresentam, conforme cobramos e a maioria tenta dos vencer pelo cansaço: estão adequados, depois não conseguem apresentar evidências ou apresentam documentos genéricos, desconexos e por fim, entram com mil argumentos para justificar ou invalidar a necessidade de apresentar evidência.

Parece que a maioria que está fazendo a adequação, interna ou com consultoria, pede para o Operador assinar um aditivo, declarando a adequação e pronto – check na adequação de fornecedores. Eu não acredito que isso atenda aos esforços mínimos para garantir que estou compartilhando dados com uma empresa adequada, em especial, quando tivermos um incidente e ele tenha ocorrido exatamente naquele Operador que só exigi um aditivo.

Sabe o ponto que quase ninguém comprova e discute a necessidade? Treinamento dos funcionários. Hoje mesmo recebi a resposta de um Operador (supostamente adequado) requerendo embasamento para minha exigência de evidência do treinamento, que ele declarou ter realizado no aditivo ao contrato de trabalho.

Se a ANPD declara:

“Capacitar e desenvolver o colaborador é prioridade para a ANPD! Para que um órgão público como a ANPD possa ter um corpo funcional qualificado e produtivo, uma das necessidades é a capacitação de seus servidores e colaboradores.

Qual é o entendimento que você acredita que ela terá quando for fiscalizar?

Será que ela irá se satisfazer com um aditivo que o funcionário assinou ou irá pedir evidência do treinamento (que é o que solicito sempre)? Cito o artigo 6º da LGPD.

Art. 6, X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas (grifo nosso).

E se o incidente ocorreu por falha do funcionário?

Fica a reflexão. Enquanto isso, sigo na batalha com empresas pseudoadequadas

Até a próxima #dosedelgpd

 

CONHEÇA MAIS SOBRE ALESSANDRA WOLFF:

Advogada, DPO por assinatura, Membro da Comissão Especial de Privacidade e Proteção de Dados – OAB/SP, contratos e negociações de TI, Diretora na W&S Central IT – Joinville e São Paulo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

plugins premium WordPress