Repensando o papel dos CPOs: Priorizando a operacionalização de controles de privacidade em detrimento da experiência jurídica
Texto original disponível neste link.
Em abril de 2020, iniciei minha função como diretor de privacidade do Silicon Valley Bank, após ter ocupado o cargo no Capital One. Meu tempo no SVB foi enriquecedor e desafiador, marcado pelo desenvolvimento de um programa de privacidade global maduro em meio ao enorme crescimento do banco. Infelizmente, essa jornada tomou um rumo inesperado no início deste ano com a falência do SVB. Ao iniciar minha busca pelo próximo cargo de CPO, fiquei surpreso com a prevalência de diplomas de Direito listados como qualificação obrigatória para cargos de CPO em aberto.
Complexa paisagem de privacidade
É certo que os CPOs devem navegar em um cenário complexo de leis e regulamentos de proteção de dados. Monitorar, interpretar e fornecer orientação jurídica sobre as leis de privacidade é uma função crucial que as empresas devem ter para gerenciar os riscos de privacidade de forma eficaz. Não sou advogado, mas venho criando e executando com sucesso programas de privacidade corporativa nos últimos 24 anos. O que estou acostumado a ver, pelo menos nos últimos 18 anos em minhas três últimas empresas, é um setor de privacidade corporativa que trabalha em conjunto com advogados especializados em leis de privacidade.
A evolução das leis de privacidade
No início dos anos 2000, as empresas talvez conseguissem se safar com advogados redigindo e publicando avisos de privacidade sem as operações, os controles, a correção, o monitoramento e as atividades de teste necessários para garantir a conformidade de hoje. As leis de privacidade de dados evoluíram tremendamente na última década. Essa complexidade jurídica pode ter levado à noção de que os CPOs devem ser formados em direito para interpretar e cumprir essas normas. Embora o conhecimento jurídico continue sendo importante, ele não deve ser considerado o principal determinante da eficácia de um CPO.
Ênfase em habilidades operacionais
Como as leis de privacidade relativamente novas, como o Regulamento Geral sobre a Proteção de Dados da União Europeia e a Lei de Privacidade do Consumidor da Califórnia, permitem que os titulares dos dados acessem ou excluam dados, tenham o direito de restringir as atividades de tratamento ou exijam a implementação da privacidade desde a concepção, as empresas precisam entender o que é necessário para criar, gerenciar e monitorar programas de privacidade por meio de processos operacionais, controles, tecnologia de privacidade, ferramentas e automação. A ênfase deve mudar para um conjunto de habilidades operacionais para que os CPOs gerenciem com eficácia a privacidade dos dados na era digital moderna.
Operacionalizando a privacidade
É fundamental que os CPOs tenham a capacidade de transformar os requisitos legais em ações práticas nos diversos departamentos da empresa. Operacionalizar os controles de privacidade significa integrar perfeitamente as considerações de privacidade às atividades, sistemas, políticas e processos diários de uma organização. Isso requer um profundo entendimento do processo comercial, da tecnologia e dos aplicativos, dos fluxos de dados, da classificação e das taxonomias de dados, dos produtos e serviços, das estratégias de atenuação de riscos, da resposta a incidentes, da retenção de dados, do marketing, do risco de terceiros, do monitoramento e dos testes, do treinamento e da colaboração eficaz entre os vários departamentos – e nada disso requer um diploma de doutor em direito ou experiência em escritório de advocacia.
Colaboração entre o jurídico e o departamento de privacidade
Se for possível encontrar um candidato a emprego com título de doutor e profunda experiência na implementação de operações e controles de privacidade, ótimo. Mas acredito que a melhor abordagem é deixar que os especialistas jurídicos se concentrem em fornecer consultoria e assessoria jurídica sobre os requisitos das normas de privacidade. Deixe que o departamento jurídico trabalhe na elaboração, revisão e negociação de cláusulas de privacidade em vários contratos e acordos, monitore as leis e regulamentações de privacidade, interprete as leis e seus impactos sobre a empresa, responda a litígios, avalie possíveis riscos legais, ou elabore e/ou revise avisos de privacidade. No entanto, não espere também que seu consultor jurídico crie e execute as operações de um programa global de privacidade, gerencie a estratégia geral de execução de privacidade, integre controles aos processos de negócios e forneça consultoria jurídica para si (conflito de interesses!).
Conclusão
Ambas as funções são essenciais para o gerenciamento eficaz da privacidade. Os advogados internos de privacidade devem se concentrar principalmente em fornecer orientação jurídica e garantir a conformidade legal, enquanto o CPO assume uma função estratégica e operacional no desenvolvimento e na implementação do programa de privacidade da organização em várias funções. Meu conselho para os gerentes de contratação: continuem publicando ofertas de CPO, mas removam o diploma de direito da lista de qualificações exigidas.
Disclaimer: A IAPP é a proprietária e autora do conteúdo original. O Prof. Matheus Passos traduziu o texto de forma não oficial com a permissão da IAPP, mas sem a supervisão ou revisão editorial da IAPP.