Com a entrada em vigor de marcos legislativos significativos, como o Regulamento Geral de Proteção de Dados (GDPR), de 2016, e a Lei Geral de Proteção de Dados (LGPD), de 2018, torna-se indispensável destacar o papel do Data Protection Officer. Esse profissional, também conhecido como Encarregado da Proteção de Dados, é o responsável por orientar as empresas na contínua adequação a essas leis.
Mas o papel do DPO vai além.
Ele não apenas desempenha uma função fundamental no auxílio aos agentes de tratamento em relação à conformidade, mas também em promover a conscientização interna, conduzir auditorias rigorosas e manter uma vigilância constante.
Quais são os maiores desafios do DPO?
Um DPO eficaz é versátil e abrangente em sua expertise. Ele tem a responsabilidade de compreender profundamente todos os aspectos da organização, com ênfase especial nas áreas que lidam e administram dados pessoais. Isso porque, em uma empresa, os dados pessoais fluem por diversos departamentos, desde o marketing e vendas até recursos humanos e suporte ao cliente.
Em cada um desses pontos, há riscos e oportunidades associados ao tratamento desses dados. E é aqui que o Encarregado se torna indispensável.
Dessa forma, com a rápida evolução da tecnologia e as constantes mudanças nas regulamentações, o DPO enfrenta vários desafios, tais como:
Manter-se atualizado sobre as leis;
Gestão de recursos disponíveis;
Fortalecer a cultura interna de privacidade.
Especificamente nas startups, impulsionadas pela inovação, o DPO pode confrontar-se com desafios intensificados, sejam eles inéditos ou já familiares.
Startups, inovação e proteção de dados
A mesma inovação que move as startups a crescimentos exponenciais também pode abrir portas para riscos relacionados à proteção de dados.
Nesse contexto, um estudo da Fraunhofer-Publica, intitulado “How data protection regulation affects startup innovation”, lança luz sobre essa dualidade. Segundo a pesquisa, a regulamentação da proteção de dados tem um impacto ambíguo na inovação das startups: ela pode tanto estimular quanto restringir a inovação:
“Nossos resultados mostram que os efeitos da regulamentação da proteção de dados sobre a inovação em startups são complexos: ela simultaneamente estimula e restringe a inovação“.
A agilidade e a propensão para a experimentação são características distintas das startups, permitindo-lhes adotar novas soluções com rapidez. Esse ritmo acelerado, impulsionado pela necessidade de lançar produtos e coletar feedback dos stakeholders, muitas vezes também faz com que essas empresas priorizem resultados imediatos.
No entanto, essa dinâmica pode inadvertidamente relegar questões cruciais de conformidade, como a privacidade, a um plano secundário, entrando em potencial conflito com as regulamentações de proteção de dados.
Em nações emergentes como a Índia, onde o setor tecnológico cresce a passos largos, a Lei de Proteção de Dados Pessoais Digitais (DPDP), de 2023, foi projetada para introduzir as startups ao universo da conformidade de maneira progressiva, conforme destacado pelo TICE News.
Inicialmente, startups em fase de desenvolvimento podem ser dispensadas de certas obrigações da DPDP, como as restrições ao armazenamento e uso de dados do cliente sem consentimento direto. No entanto, essa flexibilidade é temporária, e serve como um período de transição, dando espaço para que essas empresas se adaptem e ajustem suas operações conforme necessário.
Esse marco regulatório não é apenas uma norma local, mas sim um reflexo de uma tendência global que ressalta a importância das startups adotarem uma postura proativa em relação à conformidade de proteção de dados.
A atuação do DPO em startups
Conforme já mencionado, uma startup deve conciliar sua inovação e agilidade com legislações vigentes.
Nesse cenário, o DPO emerge como uma figura estratégica, garantindo que os esforços inovadores estejam em sintonia com os tais requisitos legais. Ele não apenas orienta a empresa na integração segura de tecnologias emergentes, mas também na formulação de modelos de negócios que priorizem a privacidade e a gestão de riscos.
De forma prática, o Encarregado deve adotar as seguintes estratégias na sua atuação em startups:
Entendimento profundo do modelo de negócio: O DPO deve compreender a fundo o modelo de negócio da startup, incluindo seus produtos, serviços e mercados-alvo. Isso permite que ele identifique potenciais riscos e oportunidades relacionados à proteção de dados em cada etapa do processo.
Integração com equipes de desenvolvimento: Em startups, onde o lançamento de produtos acontece em ritmo acelerado, o DPO deve trabalhar em estreita colaboração com as equipes de desenvolvimento. Isso garante que a privacidade seja considerada desde a fase inicial de design de um produto ou serviço.
Realização de treinamentos constantes de proteção de dados: Dada a natureza dinâmica das startups, é essencial que o DPO promova treinamentos regulares para manter todos os membros da equipe atualizados sobre as melhores práticas de proteção de dados.
Implementação de ferramentas tecnológicas: O DPO deve estar à frente na adoção de ferramentas e soluções tecnológicas que auxiliem na gestão e proteção de dados, tais como softwares especializados em gestão de dados e gerenciamento de riscos. Estas soluções são cruciais para startups que processam grandes volumes de informações, garantindo uma proteção de dados mais eficiente e otimizada.
Feedback contínuo: Em ambientes de startups, onde a interação é chave, o Encarregado deve estabelecer canais de feedback com diferentes departamentos, garantindo que as preocupações relacionadas à proteção de dados sejam prontamente abordadas.
Parcerias estratégicas: O DPO deve buscar parcerias com outras startups, organizações e especialistas em proteção de dados. Isso pode ajudar a compartilhar conhecimentos, melhores práticas e até mesmo recursos.
Flexibilidade: Em startups, as mudanças podem ocorrer rapidamente. O DPO deve ser flexível e adaptável, pronto para ajustar estratégias conforme a empresa evolui.
Preparação para auditorias: Dada a possibilidade de fiscalizações e auditorias, o DPO deve garantir que a startup esteja sempre pronta para demonstrar sua conformidade com as regulamentações, mantendo registros detalhados de todas as atividades relacionadas à proteção de dados.
Conclusão
Navegar pelo universo dinâmico das startups e garantir uma inovação consciente é, sem dúvida, uma tarefa árdua e vital para o DPO. A conformidade, longe de ser um empecilho, se estabelece como uma ferramenta essencial para alavancar uma inovação que seja, ao mesmo tempo, sustentável e harmônica.
A incessante busca por inovação não deve, em momento algum, negligenciar a privacidade e os direitos dos titulares dos dados.
Observamos desafios análogos em diversos setores. Na indústria alimentícia, por exemplo, há uma necessidade constante de cumprir com rigorosas normas de segurança alimentar, assegurando a qualidade e segurança dos produtos. No ramo da construção civil, padrões rigorosos de segurança e sustentabilidade são impostos para garantir edificações seguras e ecologicamente corretas.
Assim, da mesma forma que estes setores se esforçam para inovar mantendo a integridade e segurança, as startups têm o desafio de equilibrar inovação com proteção de dados.
Neste contexto, o papel do Encarregado é de suma importância, conduzindo as empresas por este caminho intrincado. Cabe a ele evidenciar à Alta Gerência que, ao adotar práticas rigorosas de proteção de dados, a empresa não só consolida a relação de confiança com seus clientes, mas também se resguarda de potenciais desafios jurídicos e prejuízos à sua imagem.