Inicialmente, os projetos de conformidade às legislações de proteção de dados foram vistos apenas como custo para as organizações. Mas, com o passar dos anos, a privacidade foi se transformando em um imperativo para os negócios, e um componente crítico da confiança do cliente. Pesquisas recentes revelam que muitas empresas já estão se beneficiando financeiramente dos investimentos feitos em privacidade para mitigar despesas no caso de incidentes de segurança, gerar eficiência operacional e preservar uma boa imagem e reputação.
De acordo com o “2022 Data Privacy Benchmark Study“, da Cisco, 83% dos 4,9 mil profissionais ouvidos em 27 países, incluindo o Brasil, acreditam que as leis de privacidade vêm tendo impacto positivo para os seus negócios. Os benefícios estimados aumentaram de US$ 2,9 milhões, em média, para US$ 3,0 milhões. A maioria dos entrevistados está obtendo benefícios pelo menos três vezes maiores do que seus investimentos em privacidade.
A maioria das organizações já reconhece hoje a sua responsabilidade em usar os dados de forma ética e adequada. E acredita possuir processos para garantir que qualquer uso de dados pessoais, incluindo a tomada de decisões automatizada, atenda às expectativas dos clientes. Porém, mais da metade dos consumidores seguem preocupados sobre como seus dados estão sendo usados, especialmente pelos sistemas de na IA, com muitos dizendo que confiam menos nas organizações que usam a tomada de decisão automatizada baseada em dados pessoais.
A transparência é particularmente importante para os clientes, e as organizações precisam de estruturas e governança responsáveis sobre o uso de dados pessoais, especialmente quando aplicados em IA. Não por acaso, entre os profissionais ouvidos pela Cisco,
- 90% acreditam que seus clientes não comprariam da empresa se ela não protegesse adequadamente os seus dados;
- 91% consideram as certificações externas de privacidade, como a ISO 27701, importantes para o seu processo de compra;
- e 94% já estão relatando uma ou mais métricas de privacidade ao seu Conselho de Administração.
No Brasil
No Brasil, a “1ª Pesquisa Nacional da Cultura de Privacidade“, realizada pela Palqee e Copenhagen Business School, avaliou o nível de confiança dos colaboradores na Cultura de Privacidade de suas empresas e chegou ao score de 7,8, em uma escala de 1 a 10. Participaram do estudo mais de 2,7 mil funcionários de empresas de diversos segmentos e portes.
O cálculo do indicador considera o nível de expectativa dos colaboradores em 10 pilares. O pilar “Segurança da
Informação” atingiu a maior pontuação da lista (8.3) enquanto o pilar “Treinamento obteve a menor nota (7.0).As expectativas por parte dos colaboradores entre todas as empresas participantes se mostrou alta, com uma média de 9.6 em 10. Entretanto, a percepção da existência da cultura teve uma pontuação mais baixa, com uma média de 8.1. Isso indica que existe um bom nível de conscientização entre as empresas participantes, porém, existe espaço para melhorias na execução e implementação dos programas.
Importante: mesmo não sendo necessária a adequação à Lei Geral de Proteção de Dados (LGPD) para a participação no estudo, 90% das empresas participantes já haviam iniciado ou concluído atividades de adequação e/ou conscientização interna.
No entanto, alguns pontos merecem atenção.
Quando analisado o index ao nível departamental, a área de Estratégia obteve a menor pontuação (6.7) seguida por departamentos que, na maioria das empresas, tratam um alto volume de dados pessoais como Marketing (7.0), RH (7.0) e TI (7.3).
Outro fator relevante identificado foi a discrepância na percepção da Cultura de Privacidade entre colaboradores que se relacionam direto com o cliente e aqueles que trabalham no “back-office” das empresas. Os departamentos que se relacionam direto com o cliente, como Lojistas, Vendas e Suporte, obtiveram uma pontuação maior de modo geral, o que pode ser causado pelo fato de que departamentos que têm uma autoridade maior para definir como os dados pessoais são tratados tendem a demonstrar uma menor confiança na Cultura de Privacidade da empresa.
Quando analisadas as respostas por cargos e nível hierárquico, o PrivacyCulture® INDEX demonstrou que colaboradores em cargos de gestão e liderança (executivos, diretores, gerentes e coordenadores) tiveram uma pontuação abaixo daqueles em cargos operacionais (que não possuem ninguém reportando para eles/elas).
A discrepância baseada na senioridade pode ser uma indicação de que os colaboradores que possuem maior responsabilidade na gestão dos dados pessoais estão menos confiantes na Cultura de Privacidade e em como fazer o uso adequado dos dados pessoais.
Existe uma necessidade imediata de melhorar a comunicação de iniciativas na área de Privacidade visando alinhar as expectativas, percepções e o comportamento dos colaboradores. O motivo pelo qual um gap entre esses aspectos pode existir pode variar, por exemplo, os participantes podem ter respondido de maneira a tentar receber a maior pontuação, ou alguns conceitos de privacidade são entendidos somente de maneira teórica e não de maneira prática.
Outro ponto identificado em comum entre os participantes foi a incerteza sobre quais dados pessoais podem ser compartilhados, com quem e quando.
Iniciativas como as listadas abaixo podem eliminar as incertezas e riscos nessa área.
• Manter um registro único de fornecedores, parceiros e terceiros que possuem qualquer relacionamento com a empresa.
• Revisar ou, onde necessário, assinar Acordos de Tratamento de Dados Pessoais com todos os terceiros.
• Implementar ferramentas para consulta sobre quais dados podem (ou não) ser compartilhados, tornando-a disponível para todos os colaboradores.
Vale ressaltar que confiança e conhecimento de melhores práticas em compartilhamento de dados são essenciais para minimização de riscos de incidentes.
Na Europa
O relatório “Privacy in Practice 2022″, da ISACA, mostra que lacunas persistentes nas habilidades de privacidade técnica estão afetando os programas de privacidade. Os entrevistados indicam que há falta de pessoal tanto as funções legais/de conformidade (46% dos entrevistados) quanto as funções de privacidade técnica (55% dos entrevistados), e o problema só piorou desde o ano passado.
Ao buscar profissionais para preencher essas funções, as empresas estão procurando por três coisas principais: conformidade/experiência legal (62%), experiência prática anterior em uma função de privacidade (56%) e experiência técnica (48%). Um diploma universitário não é necessariamente um pré-requisito. No entanto, os participantes afirmam que os candidatos nem sempre possuem as habilidades necessárias para essas funções, citando entre a falta de experiência com diferentes tecnologias e/ou aplicativos (64%); a baixa compreensão das leis e regulamentos aos quais uma empresa está sujeita (50%) e a falta de experiência com estruturas e/ou controles (50%) como os problemas mais urgentes a serem resolvidos, mesmo depois de três anos da aprovação do GDPR.
Apesar dos problemas com a equipe e as lacunas de habilidades, 41% dos entrevistados relatam estar muito confiantes ou completamente confiantes na capacidade de sua equipe de privacidade de garantir a privacidade dos dados e cumprir as novas leis e regulamentos de privacidade. Uma em cada 10 empresas participantes sofreu uma violação material de privacidade nos últimos 12 meses, consistente com os resultados do ano passado.
Ao explorar os principais tipos de falhas de privacidade que as empresas experimentam, as mais comuns são:
- A não adoção do Privacy by Design (63%)
- A falta de treinamento (59%)
- A detecção ruim ou inexistente de informações pessoais (47%)
Quando se trata de treinamento em privacidade nas empresas, a maioria (71%) dos entrevistados percebe um impacto positivo. No entanto, quase 70% avaliam o sucesso de um programa de treinamento de privacidade observando o número de funcionários que o concluem, em vez de medir a sua eficácia.
Para se proteger ainda mais, muitas empresas implementam controles de privacidade adicionais além do que são legalmente obrigadas a fazer, incluindo criptografia (76%), gerenciamento de identidade e acesso (74%) e segurança de dados (71%).