A LGPD diz que toda empresa precisa ter um canal para receber denúncias de privacidade e que essas denúncias devem ser prontamente verificadas e, em caso de serem verdadeiras, a empresa deve tomar as medidas cabíveis para a proteção dos dados.
Com o objetivo de gerenciar essas denúncias, criamos uma sequencia de ações que devem ser executadas assim que uma denúncia é recebida.
Utilize esta sequência como exemplo e adapte-a à sua empresa de acordo com suas necessidades e especificidades.
1. Confirme prontamente que a denúncia foi recebida
Mesmo que as denúncias de privacidade requeiram maior investigação, ao responder prontamente as denúncias de privacidade pode se construir uma comunicação mais efetiva com o denunciante. É também uma oportunidade para gerir as expectativas sobre como a denúncia será tratada:
- Explicar os passos para tratamento da denúncia e os prazos esperados.
- Prover informação de como a empresa coleta, usa e abre as informações ao tratar a denúncia.
- Fornece um número de contato, preferencialmente com o nome da pessoa, área da empresa que estará tratando a denúncia.
Isto pode evitar que o denunciante escale a denúncia para órgãos competentes e/ou ANPD.
2. Identifique e encaminhe as denúncias o mais rápido possível.
A privacidade pode ser apenas uma parte da denúncia, por exemplo, e pode envolver questões de ética ou conduta inapropriada.
Independentemente que a denúncia envolva outros aspectos, não espere que esses outros aspectos sejam resolvidos para endereçar a questão da privacidade. As denúncias de privacidade têm mais chance e serem resolvidas, se tratadas de maneira expedita, antes de escalar para instâncias superiores.
3. Entenda a razão da denúncia
É pouco provável que a denúncia inicial contenha toda a informação necessária para decidir como tratá-la. Falar com o denunciante dá a ele a chance de explicar a sua história e fazer perceber que ele foi ouvido.
Às vezes, uma reclamação de quebra de privacidade, pode ser a expressão de uma grande insatisfação com a empresa ou a maneira como ele foi tratado.
Se esse for caso, resolver as questões envolvidas pode ajudar a resolver a denúncia de privacidade.
Um denunciante que acredita que foi bem tratado, e que seus receios foram recebidos e tratados com respeito, está mais aberto a aceitar a resolução de sua denúncia.
4. Faça contato pessoal com o denunciante
Contato pessoal por telefone, ou pessoalmente, quando apropriado, é chave para construir confiança e é um grande movimento para a resolução, seja ela positiva ou negativa.
5. Faça contato regular com o denunciante
Se os denunciantes não forem mantidos informados sobre o que está acontecendo, eles podem supor que suas demandas não estão sendo tratadas ou não têm a devida atenção.
Forneça ao denunciante prazos realísticos de quando obter uma atualização do progresso de sua denúncia.
6. Forneça explicações significativas
A expressão de uma explicação não significa que a empresa concorda que houve uma quebra de privacidade segundo a LGPD, ou que ela não irá informar as razões porque não concorda com isso (Por exemplo, a empresa abriu informações pessoais em circunstâncias permitidas pela LGPD).
As pessoas reclamam porque elas não estão contentes ou não estão satisfeitas, e além disso, a explicação não é uma admissão de culpa.
7. Forneça razões claras para a decisão da empresa
Uma razão que pode levar o denunciante à ANPD é porque uma decisão foi dada sem as razões adequadas. Uma declaração do tipo: “Não há suporte para sua denúncia” ou “Sua denúncia não revelou nada impróprio pela LGPD”, sem apresentar nenhuma evidência, não é uma razão, é uma conclusão.
Uma razão apresenta:
- Porque não foi possível suportar a denúncia.
- Porque não houve quebra de privacidade pela LGPD.
No mínimo, o seguinte deve constar nas razões apresentadas:
- Analisou o contexto, natureza e extensão da denúncia.
- Avaliou a denúncia em termos dos princípios de privacidade relevantes.
- Considerou todos os critérios relevantes, tais como detalhes da legislação aplicável para a empresa e a LGPD.
- Determinou a extensão para qual a denúncia se aplica ou não.
8. Identifique que outras soluções podem ser fornecidas
Para resolver uma denúncia comprovada de quebra de privacidade, geralmente será necessário considerarem-se ações de remediação para a quebra.
Enquanto não é possível desfazer o ocorrido, explicar como e porque o problema ocorreu, e que caminho a empresa irá seguir ou seguiu para evitar que se repita, pode ajudar a resolver a denúncia e fazer sentir que a denúncia teve um resultado positivo. As maneiras de resolver uma quebra de segurança incluem:
- Desenvolver ou atualizar as políticas, processos ou instruções de trabalho.
- Dar um compromisso que os empregados irão ser retreinados.
- Melhorar a maneira como as informações são coletadas e como elas serão tratadas.
- Compromisso de realizar uma auditoria técnica e de segurança.
- Revisitar e revisar os contratos de outsourcing que envolvem informações pessoais.
Em relação às ações para remediar ou consertar o prejuízo da quebra de privacidade, em teoria, as medidas de remediação são voltadas para restaurar a situação para a posição antes da quebra de privacidade. Em muitos casos, pode ser possível obter uma solução não financeira, tais como:
- Corrigir documentos incorretos ou imprecisos alterando o documento ou permitindo ao denunciante prover uma notação que pode ser adicionada ao documento.
- Implementar segurança adicional a documentos que contem a informação pessoal do denunciante, tais como senhas ou criptografia.
- Tomar atitudes práticas como recuperar as informações pessoais ou retirá-las do website.
- Esclarecer precisamente qual informação pessoal estava envolvida e prover acesso administrativo ao denunciante dos documentos relevantes.
- Prover informação e assistência para o denunciante, lidar com as consequências da quebra (por exemplo, requisitar uma cópia do relatório de crédito de graça, ou acesso ao programa de assistência médica ao empregado)
E existem as opções financeiras, como indenizações.
A lista de opções não é exaustiva. Pergunte ao denunciante o que ele espera, e você pode se surpreender ao ser requisitado menos do que se espera, especialmente quando ele recebe uma desculpa significativa.
