Atualmente, mediante o surgimento de Leis que visam assegurar ao indivíduo a retomada do controle sobre a sua individualidade, e, por consequência, da sua privacidade, diversos países aderiram ao movimento de regular, com denotado rigor, a forma como dados pessoais são coletados e utilizados, primando por um controle que da entrada do dados em sistemas informatizados, seu processamento e a saída da informação, que gera o conhecimento esperado para a tomada de decisões, tudo ocorra seguindo as finalidades especificadas, com a transparência devida ao titular dos dados.

O processo de adequação a Lei Geral de Proteção da Dados, no Brasil, é bem sabido, criou um notório alvoroço, levando o mercado a uma certa instabilidade e incertezas sobre como dar continuidade as suas operações sem colidir com a nova norma em vigor. Ainda, é possível encontrar empresas, de todos os portes, que sequer iniciaram seu processo de governança de dados, o que, em algum momento, tal ausência, refletirá negativamente, seja porque atualmente uma fração significativa de consumidores repele empresas que não estejam em harmonia com as premissas que envolvem as responsabilidades sociais, ou, acabarão sendo notificadas pela Autoridade Nacional de Proteção de Dados.

Se de uma forma ou de outra, isso afetará a reputação da empresa perante o mercado e seus acionistas, todavia, é preciso que as empresas compreendam que não estão só no mercado.

Segundo Porter, cinco são as forças que afetam os negócios: (i) a rivalidade entre as empresas; (ii) o poder de barganha dos clientes; (iii) o poder de barganha dos fornecedores; (iv) os novos entrantes; e, (v) os produtos substitutos.

Na acirrada disputa do mercado, se sujeitar a riscos por não aderir ao cumprimento da legislação, parece, em apertada análise, falta de governança e gestão.

Dentro do processo de adequação, considerando que a Lei Geral de Proteção de Dados não descreve o caminho que deve ser perseguido, mas, tão somente, aponta aonde as empresas devem chegar quanto ao tratamento ético dos dados, se faz necessário buscar guarida nas melhores práticas em segurança da informação para dar provimento a controles que possam garantir que os dados pessoais tratados não sejam objeto de acesso não autorizado ou envolvidos em situações acidentais ou ilícitas.

A ISO 27001/27002 apresenta um rol de 14 controles, com diversos objetivos, que a critérios das empresas podem ser adotados para reger suas atividades. Não há, portanto, obrigatoriedade de abraçar todos os pontos, mas, é importante que a empresa promova uma avaliação dos riscos, as vulnerabilidades e as ameaças que rondam o seu negócio.

Um destes pontos, o controle A.7, trata da Segurança em Recursos Humanos, sendo dividido em: (i) antes da contratação (a. seleção; b. termos e condições de contratação); (ii) durante a contratação (a. responsabilidades da direção; b. conscientização, educação, treinamento em segurança da informação; c. processo disciplinar) e (iii) encerramento e mudança da contratação (responsabilidades pelo encerramento ou mudança da contratação).

Dois aspectos são notórios, o primeiro é que qualquer empresa estabelecida é edificada sobre material humano, e, o segundo, que a maciça parte dos eventos e incidentes experimentados pelas empresas, fragilizando a segurança da informação, é decorrente do próprio fator humano, seja porque este não tinha habilidades para atuar na função que lhe foi destacada, porque não recebeu treinamento adequado ou pela ausência de controle, por parte da empresa, das atividades que atribuiu ao colaborador.

Desta forma, a gestão de recursos humanos é um dos processos mais relevantes para empresa, pois é neste momento que ela abre suas portas, e seus ativos mais valiosos, para estranhos, que trazem costumes e hábitos fragmentados de operações coloquiais vividas e que colidem com as premissas contidas nas regras que visam a proteção dos recursos e serviços disponibilizados pela empresa, colocando em xeque os objetivos mercantis esperados por toda a cadeia de stakeholders.

O sociólogo alemão, Max Weber, considera que a burocracia (burocracia no seu melhor sentido, visando alcançar eficiência) é fator relevante para a gestão empresarial, pois, dá a ela o condão de criar parâmetros organizacionais para encontrar a mão de obra qualificada e que mais se adeque aos requisitos exigidos e necessários para maximizar resultados e dirimir despesas, visando, desta forma, atender as expectativas de seu planejamento estratégico, bem como sua missão e visão de mercado.

Para Weber a “administração burocrática significa, fundamentalmente, o exercício da dominação baseada no saber”.

Em síntese, o funcionário é aquele que possui formação profissional; devendo agir de forma diligente, metódica e disciplinada. Basicamente é a figura do empregado virtuoso!

A considerar a contratação de pessoal, deve, o departamento de recursos humanos, promover a seleção pessoal pautada nos critérios “competência, capacidade e produtividade”, que apontem na escolha de pessoal adequado, evitando o desperdício de tempo e recursos, incluído o financeiro.

Nesta toada, a qualificação e capacitação dos funcionários, inclusive em treinamentos internos e reciclagens, torna-se imprescindível para o bom desenvolvimento das atividades, não somente quanto a qualidade e desempenho esperado, mas, também, que as adversidades que possam surgir, sejam identificadas, tratadas e reestabelecidas no menor tempo possível, impedindo ou facilitando as diversas formas de ataques promovidas por cibercriminosos, por exemplo.

Um outro aspecto que encontra alicerce nas premissas já discorridas, está ligado a rotatividade de pessoal. É preponderante que se observe, em contrapartida das exigências de habilidades (skills) durante o processo seletivo, que a remuneração seja adequada e compatível com as funções exercidas, evitando que o funcionário se desmotive, busque outras fontes de renda paralela e afete o desempenho de suas atribuições, podendo culminar com a perda de colaborador valoroso para um concorrente, que, indubitavelmente, levará consigo parte da inteligência do negócio.

É saudável e recomendado que a empresa adote modelos de segregação de funções, evitando que sobre um único funcionário recaia várias obrigações, tendo em vista que isto abre espaço para a prática de atividades funestas, pois não há a acompanhando das atividades desenvolvidas, ou, em caso de desligamento da empresa, esta fique refém, afetando a continuidade dos seus negócios, deixando diversas áreas sem o devido suporte. Como bem diz o jargão: “quem tem um não tem nenhum, quem tem dois, tem um”!

Finalizando, sem esgotar o tema, o processo seletivo, a posterior contratação, a manutenção e integração do colaborar no seio da empresa está associado a um conjunto de controles previsto nas melhores práticas em segurança da informação, e, neste novo e complexo cenário, que impõem o cumprimento de medidas advindas dos regramentos em vigor, é um dos pontos primordiais a serem (re)desenhados pelas empresas.