Como Construir uma Cultura Corporativa de Proteção de Dados de Alta Performance?



Por Gustavo Schainberg S. Babo


Um dos grandes desafios da maioria das empresas sempre foi o processo de construção de cultura e de governança. Os valores definidos pela empresa orientam desde os processos de recrutamento até as rotinas internas e as interações entre os colaboradores. Um ambiente de trabalho saudável e que reflete os princípios que a empresa se propõe são, além de um diferencial competitivo no recrutamento e na produtividade dos colaboradores, essencial para que as empresas alcancem as suas metas e objetivos. Existem corporações com uma cultura interna tão bem definida que transborda para o seu próprio posicionamento de marca.


Quando falamos de cultura em privacidade e proteção de dados, o desafio é ainda maior. A grande verdade é que o tema nunca foi uma prioridade para quase nenhuma empresa e precisamos respeitar a dificuldade que é orientar uma mudança de mentalidade absoluta. Isso significa dedicar mais tempo dos programas de conformidade para desenvolver essa cultura, o que vai muito além de só realizar treinamentos “para inglês ver”. Afinal, não importa os esforços empenhados em outras partes do projeto, nada será eficiente e sustentável no longo prazo, sem uma cultura. Ou seja, a cultura supera a estratégia, sempre.


Em seguida, verificaremos 11 dicas valiosas sobre como desenvolver uma estratégia para construir a cultura de proteção de dados de uma corporação com alta performance.


1. Apresente-se


O primeiro passo para iniciar a sua estratégia de consciência coletiva em privacidade na corporação é apresentar-se, uma vez que a maioria dos colaboradores provavelmente possuem muito pouco contexto sobre as principais responsabilidades e funções da área de proteção de dados.


Dessa forma, introduza os profissionais que estão na frente do projeto de conformidade e esclareça a origem e do que se trata essa nova demanda. Ofereça também explicações sobre as principais interações que podem acontecer e disponibilize uma forma de comunicação acessível e intuitiva. Lembre-se que é fundamental que os colaboradores se sintam o mais confortável possível para acionar a estrutura de privacidade e proteção de dados.


A sua estratégia para construir uma cultura corporativa de proteção de dados com alta performance começou!


2. Fragmente a informação e dê continuidade


A iniciativa básica utilizada para construir qualquer tipo de cultura é oferecer informações aos colaboradores. A grande dificuldade nessa aparentemente simples tarefa é transformar informação em conhecimento e, em seguida, conhecimento em cultura.


Contudo, a primeira vez que somos apresentados para uma informação, é criada apenas uma memória rápida e não funcional. Assim sendo, o simples acesso desse conteúdo não necessariamente consolida-o em conhecimento, pois é preciso que a informação se transforme em intuição ou em conhecimento eficientemente aplicável. Esse longo processo de construção cognitiva só funciona ao estar sempre divulgando pequenos fragmentos de informações de forma periódica, até que seja absorvida. Ou seja, apenas um onboarding da área uma única vez não contemplaria esse processo.


Para tanto, a primeira dica para oferecer essas informações é fragmentá-las. Ou seja, estar constantemente tratando do tema e aprofundando as abordagens aos poucos. Esse processo de continuidade na oferta de informações sobre privacidade e proteção de dados também auxilia para que o colaborador não se esqueça de suas obrigações e da necessidade de gerar interfaces com a área.


Uma das soluções comuns vista em empresas para fragmentar essas informações é uma estratégia chamada de privacy pills ou privacy drops. A ideia é enviar um fragmento de informação de privacidade para os colaboradores dentro das ferramentas de comunicação da empresa, como slack, workspace, e-mail, whatsapp, entre outras. Essa comunicação deve acontecer de forma contínua e periódica, por exemplo, uma vez por mês, para sempre.


Essa estratégia permite abusar da criatividade para buscar a alta performance. Evite utilizar apenas comunicações textuais e explore também imagens, cartilhas, cartazes, flyers, vídeos, gifs, vídeos e até memes. Construa uma identidade padrão desses comunicados e insira neles as informações que precisa passar para os colaboradores.


No envio dos fragmentos, comece com assuntos mais simples, como a definição de dados pessoais e dados sensíveis e aprofunde com o tempo para outros temas, tais como princípios, direitos, obrigações, processos e ferramentas. Dessa forma, a maturidade da cultura de proteção de dados acompanha a maturidade do programa de conformidade. Assim, quanto mais avançado o projeto, mais profundidade é possível trabalhar nas estratégias de cultura.


3. Traduza a informação


É certo que o input de privacidade e proteção de dados possui uma linguagem complexa e apática. Além do juridiquês e de conceitos técnicos de segurança da informação e governança de dados, nem os próprios profissionais de privacidade concordam completamente com algumas interpretações.


Como dito anteriormente, é recomendado substituir textos para formas mais criativas e inovadoras de se comunicar com o colaborador. Contudo, fique atento também para a tradução dessas informações para uma abordagem compreensível por todos.


Podemos entender a importância de fragmentar e traduzir as informações disponibilizadas para os colaboradores através da teoria da Racionalidade Limitada, que busca compreender aspectos que influenciam a tomada de decisão do indivíduo baseada na limitação do próprio. Herbert Simon, criador dessa teoria, afirma que a racionalidade pessoal é limitada por três dimensões: a informação disponível, a limitação cognitiva da mente e o tempo disponível para tomada de decisão.


Sendo assim, precisamos induzir o processo de disponibilização de informações sobre proteção de dados para os colaboradores respeitando essas três dimensões de limitação racional. Isso significa fragmentar, traduzir e dar continuidade na disponibilização da informação de forma periódica.


Herbert também entende que os seres humanos tendem a converter informações complexas em situações mais simples, pois como possuem uma limitação cognitiva, costumam armazenar apenas um resumo mais enxuto daquilo que é apresentado.


Nesse processo de converter uma situação complexa para uma mais simples perde-se muita informação. Assim sendo, conteúdos importantes de privacidade e proteção de dados podem não estar sendo absorvidos pelos colaboradores se não forem simplificados. Ademais, informações simples são mais fáceis de serem armazenadas em memórias de curta duração e posteriormente transformadas em conhecimento aplicável. O trabalho do profissional de proteção de dados também é um trabalho de tradutor, utilizando técnicas de visual law e legal design ou mesmo simplificando a forma como uma informação será comunicada.


Uma outra técnica para compor o processo de tradução e simplificação da informação é o storytelling, o ato de contar histórias para facilitar a compreensão de conteúdos específicos. Ao fragmentar as informações e traduzi-las através de uma narrativa de storytelling, é possível impulsionar a eficiência das comunicações. Essas técnicas também permitem abordagens temáticas que podem facilitar o engajamento dos colaboradores.


4. Adapte a abordagem para a empresa


Uma outra dica valiosa é adaptar a abordagem das informações para que façam sentido para a realidade da cultura da empresa.


Primeiramente, busque adaptar o estilo da linguagem utilizada. Uma empresa mais inovadora, por exemplo, permite uma linguagem mais jovem e criativa. Já para empresas tradicionais, pode ser necessário ser mais formal. Em todas as ocasiões, tente ser sempre enxuto e compreensível.


É importante também adaptar o formato e a ferramenta utilizada para disponibilizar as informações. Citamos anteriormente as estratégias de privacy pills ou privacy drops, mas existem várias outras, como o denominado knowledge nuggets. Esse formato consiste em enviar as informações de forma mais desafiadora, através de puzzles, quizzes, charadas, testes, estudos de casos e outros desafios. O knowledge nuggets torna a absorção das informações mais envolvente e aumenta consideravelmente o engajamento.


Ademais, outras estratégias mais conhecidas também são igualmente eficientes, como palestras, eventos internos, newsletters ou o simples envio de comunicados sazonais, de preferência com muitas referências (é natal, alguém disse cookies?). Aproveite algumas datas importantes e lembre-se sempre que, independente do formato escolhido, busque a fragmentação e a continuidade da disponibilização dessa informação ao longo do tempo.


Alguns acontecimentos também podem ser oportunidades para relembrar os colaboradores sobre proteção de dados ou iniciar alguma campanha, tais como alterações significativas nas regulamentações ou mesmo incidentes de segurança da informação.


5. Varie a abordagem para os colaboradores


A cultura corporativa pode ser compreendida como aquela coisa invisível que une as organizações com os colaboradores e faz a empresa funcionar. Sendo assim, tratamos no tópico anterior sobre a necessidade de adaptar o estilo, a linguagem e o formato das informações comunicadas, para fazerem parte desse elo invisível já existente.


Contudo, é importante destacar que dentro de uma corporação existe um verdadeiro sincretismo de várias culturas individuais, ou seja, pessoas com diferentes backgrounds, percepções, interesses, desejos e experiências. Ao variar as abordagens, você consegue extrair o máximo do impacto possível em cada uma das culturas individuais dos colaboradores da empresa. Como disse o escritor Simon Sinek, “100% dos clientes são pessoas. 100% dos funcionários são pessoas. Se você não entende de pessoas, você não entende de negócios”.


Portanto, por mais que a corporação tenha sua própria linguagem, cada colaborador possui mais afinidade com um formato ou estilo do que outro. Sendo assim, ao tratar com uma área específica, uma abordagem específica pode ser muito positiva, considerando as principais personas de cada setor.


Como exemplo, você pode ser mais impactante ao utilizar uma linguagem empática com o time de RH, enquanto com o time de marketing pode ser melhor uma linguagem mais criativa ou visual. Quando for tratar com um time mais técnico, além de provavelmente precisar separar mais tempo para responder às perguntas dos perfis curiosos, uma linguagem mais objetiva e analítica pode ser mais adequada. Esse tipo de variação de linguagem é muito importante em treinamentos, pois é sinônimo de personalização. Ou seja, não personalize só o conteúdo, mas também fique atento com a linguagem utilizada.


Para impactar ainda mais as culturas individuais, é possível também variar o formato, uma vez que alguns colaboradores preferem, por exemplo, comunicados periódicos ao invés do envio de newsletters ou da participação em palestras e cursos extensivos. Todos os formatos são importantes, mas ao variar, você impacta as preferências pessoais de cada um.


Por fim, procure variar também as ferramentas utilizadas, como os canais de e-mail em algumas ocasiões e, em outras, canais como slack, workspace, whatsapp, entre outros. Acredite, até um panfleto na parede do bebedouro ou banheiro pode fazer sentido para você. E fica aqui uma provocação para usar a criatividade em espaços físicos.


Mas tenha cuidado ao utilizar as abordagens estereotipadas. Por mais que cada área tenha um perfil mais provável, existem exceções que devem ser contempladas. Tenha cuidado também para a variação da abordagem não ficar muito confusa. Como gosto de dizer, busque a máxima eficiência, mas “não existem balas de prata".


6. Torne o colaborador parte do processo


Inserir o colaborador como parte do processo é um aspecto muito importante para aumentar o engajamento e a absorção das informações comunicadas em privacy drops, knowledge nuggets, treinamentos, cartazes, entre outros recursos.


Isso significa, por exemplo em um treinamento, não oferecer as respostas e esperar que eles entendam, mas sim apresentar os conceitos e deixar com que eles cheguem às suas próprias conclusões, através de uma exposição orientada.


O fato dele ter que raciocinar para chegar em uma conclusão é uma ferramenta poderosa para transformar informação em conhecimento, além de ajudar o colaborador a lembrar desse conteúdo quando confrontar uma situação semelhante ao que você proporcionou ao tornar ele parte do processo e permitir ele raciocinar por conta própria para chegar em uma resposta. Faça o colaboradores aprenderem a raciocinar sobre privacidade e não só entender os principais conceitos.


Inclusive, uma outra dica é tentar não fundamentar as demandas na simples existência de legislações e padrões de mercado com suas obrigações. Pode ser que muitas vezes realmente seja necessário, mas é interessante romper com a lógica de “precisamos fazer isso porque a legislação obriga” para fazer o colaborador compreender porque aquilo é importante para a corporação e para os titulares. Afinal, existem diversas legislações com diversos requisitos, justamente para proteger “aquilo que é importante''. Ataque a raiz.


Além disso, a construção de uma cultura de alta performance em proteção de dados amadurece não só com a utilização de todas essas estratégias e recursos, mas também com as próprias interfaces com a área. Para tanto, você pode utilizar essas dicas até durante as reuniões e conversas, alterando a abordagem de “isso é um problema” para algo mais colaborativo, que todos consigam concluir em conjunto que aquilo é um problema e busquem uma solução para ele.


7. Gamifique


Quando falamos em tornar o colaborador parte do processo, também pensamos em estratégias de gamificação ou ludificação. Esse conceito unifica o uso do design e da mecânica de jogos para abordar contextos e distribuir informações, com o objetivo de instruir, incentivar e influenciar o comportamento de um colaborador.


A gamificação explora instintos básicos do ser humano, como competição, diversão e recompensa. Utilizar estratégias como essas aumenta o engajamento e torna a absorção da informação mais atraente, impactando principalmente a geração de jovens extremamente dinâmicos e criativos dentro das corporações, que são facilmente desmotivados com estratégias tradicionais de aprendizado.


É possível implementar a gamificação na própria linguagem das estratégias de comunicação ou mesmo criar campanhas dentro da corporação com um sistema de pontuação e evolução, oferecendo recompensas e estimulando a competição saudável. Inclusive, existem iniciativas que constroem verdadeiros boardgames para compliance.


Um exemplo de estratégia de gamificação robusta e bem implementada é o Escape Room da Deloitte. A iniciativa é um treinamento de segurança da informação dentro de um jogo de escape, em que os colaboradores precisam resolver enigmas, juntar pistas e desbloquear fechaduras para saírem de uma sala em que estão confinados. Tudo isso com muito conteúdo sobre dados pessoais, incidentes de segurança e direito dos titulares..


8. Seja um parceiro de negócios


Uma parte importante da construção da cultura corporativa de proteção de dados é o próprio posicionamento da área dentro da empresa. Existem diversos falsos dilemas que devem ser rompidos, por exemplo, que é preciso abrir mão da privacidade para ganhar inovação ou segurança.


Os falsos dilemas podem travar a maturidade da cultura, mas isso é completamente reversível, uma vez que diferentes interesses podem coexistir perfeitamente. Como explicado no artigo da Raíssa Moura e da Daniela Monte-Serrat, “é missão primordial do profissional ou equipe de privacidade equalizar os interesses do negócio e a usabilidade dos produtos e serviços com a experiência dos usuários, ao mesmo tempo em que garante privacidade e proteção de dados” Assim sendo, em termos de privacy by design, é preciso desenvolver o conceito de “funcionalidade total” dentro da corporação.