Seguindo na análise das diretrizes apresentadas pelo Tribunal de Contas da União (TCU) no acórdão TC nº 1384/2022 para que os órgãos públicos adequem sua atuação à proteção dos dados pessoais, trata-se agora de um dos pilares essenciais para um programa de compliance de dados pessoais: a capacitação.
Para que o órgão ou o ente público possa atuar respeitando o direito à proteção de dados pessoais em todas as fases dos seus processos de trabalho é necessário, antes de tudo, que os agentes responsáveis por desenvolver na prática essas atividades compreendam exatamente em que consiste essa atitude protetiva do direito fundamental e qual a conduta se espera deles. Mas, além disso, é necessário que todos os colaboradores do órgão tenham consciência da importância do tema, para que se construa um ambiente e uma cultura institucional voltados à proteção de dados pessoais.
Daí a necessidade de que o programa de compliance de dados pessoais envolva, sob pena de ser inefetivo, a preocupação com a comunicação eficiente e adequada dos conhecimentos (ou seja, das políticas, dos princípios e das regras acerca da proteção de dados pessoais) e das diretrizes de atuação em conformidade com esses conhecimentos, bem como o treinamento e a capacitação dos colabores, para que eles possam saber como agir diante de situações que, de alguma forma, envolvam o tratamento de dados pessoais pelo órgão público.
Nesse sentido é que o TCU orienta que os órgãos públicos elaborem seus Planos de Capacitação, com planejamento e direcionamento de iniciativas voltadas tanto a transmitir a todos o conteúdo do programa de compliance de dados pessoais quanto a preparar e a habilitar tecnicamente seu pessoal a lidar com o tratamento de dados pessoais em conformidade com o direito fundamental do titular de dados e de forma aderente aos princípios e às regras referentes ao tema.
Esse Plano de Capacitação, que deve integrar, pois, o programa de compliance de dados pessoais do órgão, deve englobar tanto ações voltadas à difusão do conhecimento (comunicação/conscientização) quanto ao treinamento (capacitação) dos colaboradores: as primeiras ações são importantes para que todos os colaboradores possam conhecer as políticas organizacionais relacionadas à proteção de dados pessoais e se dar conta do quanto suas próprias ações são relevantes para a proteção do direito fundamental; as últimas ações, por sua vez, visam capacitar tecnicamente aqueles que trabalham diretamente com o assunto, tornando-os aptos a atuar de acordo com essas políticas, as regras e os princípios que compõem o microssistema da proteção de dados pessoais.
Com efeito, as ações de comunicação (conscientização) devem ter foco não apenas nas pessoas diretamente envolvidas na atividade de tratamento de dados pessoais, mas em todos os colaboradores, para que eles se conscientizem da importância do tema e das consequências de eventuais violações de dados pessoais.
Por outro lado, as ações de capacitação, por se voltarem ao incremento do conhecimento técnico sobre a matéria, devem ser planejadas considerando os diferentes níveis de envolvimento dos colabores com o tema, de forma que aqueles que ocupem funções com responsabilidades essenciais referentes à proteção de dados pessoais recebam treinamento diferenciado que vá além do nível básico oferecido aos demais colaboradores que lidam diretamente com o tema mas com menores atribuições.
Vale destacar, ademais, que nada impede que o órgão ou ente público elabore dois planos apartados: um para a comunicação/conscientização e outro para o treinamento dos colaboradores.
Além disso, o Plano de Capacitação deve ser elaborado considerando a situação concreta do órgão público, ou seja, cada órgão deve construir o seu próprio planejamento (evitando-se as soluções one size fits all), de forma a determinar, de acordo com a sua realidade, qual será o enfoque principal da sua comunicação referente ao tema da proteção de dados pessoais e quais as competências deverão ser desenvolvidas em cada unidade ou setor que lide com o tratamento de dados pessoais ou em cada fase do processo de trabalho em que esse tratamento é feito. Noutras palavras, o Plano de Capacitação deve ser elaborado para atender às necessidades específicas, peculiares do órgão.
Por exemplo, a comunicação sobre o conteúdo programa de compliance de dados pessoais – que tem de ser direta, efetiva, periódica e ostensivamente apoiada pela Alta Administração – deve considerar as especificidades de seu público-alvo, qual seja, todos os diversos colaboradores em atividade naquele órgão público. Nesse sentido, o ideal é que essa comunicação seja pensada para cada grupo de colaboradores, adaptando-se a linguagem e a abordagem utilizadas e tendo em conta a identidade e a cultura institucional na qual aquele grupo de colaboradores está inserido. É essencial, ademais, que se monitore constantemente a eficácia dessa comunicação, para se verificar se ela está sendo efetiva na construção de uma cultura institucional de proteção de dados pessoais, e, se for o caso, promover os ajustes necessários.
Já as capacitações ou treinamentos devem ser planejados especialmente a partir do mapeamento de eventuais lacunas de conhecimento sobre o tema. Além disso, como exposto, devem ser identificados todos os colaboradores que estejam diretamente envolvidos em atividades em que se realiza o tratamento de dados pessoais e, dentre estes, quais exercem as funções com responsabilidades essenciais relacionadas à proteção de dados pessoais, de forma que todos eles recebam capacitação técnica condizente com suas atribuições e que, em especial, estes últimos recebam treinamento diferenciado que esteja de acordo com o nível de conhecimento necessário para o exercício da atividade e com o grau de responsabilidade assumida.
Esses treinamentos podem ser realizados sob diversas modalidades (presencial, virtual ou híbrido), em um ou mais módulos, com periodicidade maior ou menor. Tudo vai depender das necessidades de capacitação que forem identificadas para aquele órgão específico. A título de exemplo, podem ser realizados treinamentos e capacitações iniciais gerais presenciais (que, via de regra, são mais impactantes, mas menos aprofundadas) e, depois, módulos online específicos, destinados a cada setor ou grupo, em que será possível desenvolver de forma mais detida os temas considerados prioritários para cada equipe.
Não se pode esquecer também da necessidade de capacitação da Alta Administração — esse treinamento, que deverá ser reforçado e realizado em separado (considerando a responsabilidade deste grupo de definir as diretrizes do órgão quanto ao próprio programa de compliance de dados pessoais), é primordial para garantir a eficácia do programa e uma comunicação que gere verdadeira adesão em razão do tone at the top.
Em resumo, a quarta dimensão proposta para o programa de compliance de dados pessoais da Administração Pública — qual seja, a capacitação, que envolve comunicação/conscientização e treinamento — abrange um aspecto essencial para a efetividade e o sucesso do programa: é por meio destas ações que se repassa aos colaboradores as diretrizes para uma atuação em conformidade com a proteção de dados e os capacita a atuar segundo estas diretrizes, o que agrega valor à atividade pública por conformar a atuação do Estado à salvaguarda do direito fundamental. Mas, além disso, em nosso sentir, no momento em que o colaborador percebe que o Estado está efetivamente preocupado em atuar para proteger um direito do qual ele também é titular, isso pode gerar imediata identificação e, por consequência, uma maior aderência espontânea ao programa de compliance de dados pessoais, o que contribui substancialmente para seu sucesso.
Fonte: JOTA. Leia matéria completa.