Quais foram os principais desafios da Sympla em seu processo de adequação e conformidade à LGPD?
Os principais desafios foram relacionados à mobilização e ao amadurecimento do ecossistema do nosso negócio. Embora o compromisso da Sympla com o tema seja elevado desde antes da LGPD, muitas vezes, nos deparamos com outras partes do setor com baixo engajamento e maturidade. Assim, foi necessário investir em capacitação e conscientização do nosso próprio mercado, incluindo parceiros, fornecedores e até clientes B2B e B2C, bem como disponibilizar soluções para simplificar a adequação legal de outros negócios do ecossistema que a Sympla se relaciona. Alcançar um maior grau de proteção de dados é, além de uma obrigação legal, um requisito de mercado exigido para empresas de tecnologia que buscam se relacionar com grandes parceiros, habilitar competitividade internacional, extrair valor de modelos de negócio disruptivos e, principalmente, respeitar a privacidade dos usuários. Em resumo, um dos maiores desafios foi garantir que o setor esteja preparado e seguro para explorar seu próprio potencial.
E quais os principais pontos de atenção nos processos de revisão de políticas e acompanhamento após a implementação?
Não é mistério que culturas organizacionais ágeis e inovadoras possuem maior aversão às políticas internas. O segredo está no fato que implementar políticas não significa aumentar burocracias e ao construir processos simples e multidisciplinares é possível obter um ambiente inovativo ainda mais qualificado. As políticas precisam ser perenes, adaptáveis e holísticas, bem como traduzirem a visão e cultura do negócio.
Além disso, uma política mais orientada a processos do que regras facilita o trabalho de acompanhamento após implementação e também promove mais capilaridade dos compromissos de proteção de dados nas áreas da empresa. Neste caso, os processos devem ser construídos, preferencialmente, de forma a não deslocar o colaborador de suas tarefas para alcançar o Programa de Privacidade – e as respectivas políticas preguiçosas. Pelo contrário, os processos devem ser desenhados com base nas rotinas e nos modelos de gestão das próprias áreas da empresa. Assim, o programa de privacidade é incorporado em toda a organização de forma orgânica e não é construído como um elefante separado e desconexo do negócio, em uma torre de marfim.
Por fim, é importante destacar que além de políticas e processos, um programa de adequação forte também considera a relevância das pessoas e da cultura organizacional. Entre mistérios e segredos, a chave está no desenvolvimento de colaboradores em privacidade e proteção de dados pessoais.
Quais são os principais desafios jurídicos e regulatórios atualmente em relação ao tratamento de dados pessoais?
No atual estado da arte, as leis de proteção de dados podem estar fadadas à obsolescência muito antes do previsto e assim iniciar um ciclo, cada vez mais curto, de atualizações no ordenamento jurídico. Não apenas pela evolução acelerada de novas tecnologias, como também pela forma como a legislação explora (ou não) determinados conceitos. Portanto, um dos principais desafios jurídicos e regulatórios que, inclusive, tem sido pouco tratado, é sustentar um ambiente de maior segurança jurídica para as corporações e instituições, com requisitos que sejam capazes de resistir ao progresso e acompanhar a velocidade da inovação.
Neste caso, uma lei mais resiliência não necessariamente significa suprimir perspectivas técnicas e priorizar uma visão mais principiológica. Na verdade, é importante conectar ambos os lados da moeda com mais maestria e articular uma construção multissetorial, inevitável para o sucesso da privacidade no mundo. Um exemplo é o conceito de Privacy by Design, que embora tenha aparecido em muitas legislações recentes, não foi retratado como peça central da forma como deveria. Em uma jornada repleta de incertezas, o Privacy by Design pode ser um dos poucos caminhos para garantir um elevado grau de proteção de dados como um padrão global, com grande adaptabilidade e alta longevidade. Todavia, o Privacy by Design raramente é observado pelas empresas e, quando é, apenas ao final do projeto de adequação – e não em toda sua extensão. A razão disso também está relacionada com a forma como é previsto em lei. Um erro que pode sacrificar a segurança jurídica por décadas e aumentar as barreiras da inovação e da proteção de dados.
Como a Sympla equilibra a busca por inovação tecnológica com a proteção da privacidade dos usuários?
Na Sympla, adotamos a estratégia de Privacy-Centered Design, que consiste no esforço em tornar a privacidade uma peça central do funcionamento de cada uma das áreas e não um componente perpetuado apenas pelo Programa de Privacidade que precisaria ser acessado pelos times em um fluxo apartado do modus operandis. Para tanto, os interesses de privacidade estão previstos em uma estrutura capilar e orgânica do SDLC, com processos ágeis, simples e inovadores de interação. Neste sentido, os colaboradores possuem autonomia e capacitação para implementar ferramentas que tem como principal objetivo identificar e mitigar riscos desde a concepção, evitando que um projeto seja maturado sem observar a proteção de dados e adiantando tarefas essenciais do Programa, tais como mapeamento ou avaliações.
Além disso, os profissionais de privacidade da Sympla estão empenhados em proteger valor, como também construir confiança com as partes, sendo capazes de gerar valor para o negócio de inúmeras formas. A partir do momento que o Programa realiza entregas de análises e soluções consistentes para as áreas de produto e tecnologia, com visão multidisciplinar e obstinada em habilitar o negócio, os responsáveis pela inovação da corporação não buscam o Programa apenas para cumprir com requisitos legais, mas porque entendem que somos motores da vitória.
Neste sentido, adotamos uma posição interna de “Horseback”, inspirada no modelo do Google Ventures, que consiste em trabalhar olhando para frente (pensando em como podemos viabilizar a inovação com recomendações rápidas e assertivas), e não para trás (mapeando tudo que pode dar errado e freando a jornada de desenvolvimento). Retratamos a posição Horseback da seguinte forma: “É como subir em um cavalo que corre em uma direção definida, avaliar o estribo, tecer recomendações sobre a qualidade da montaria e a melhor rota a ser seguida e, rapidamente, saltar para fora novamente, sem impactar a velocidade e o destino – e garantindo a vitória”. Não recomendo a adoção desta mentalidade de forma descabida para qualquer negócio, mas que sirva de reflexão sobre como as equipes de proteção de dados estão acostumadas a trabalhar. É essencial colocar o usuário no centro e aumentar a empatia com os objetivos do negócio para garantir a coexistência da inovação com a privacidade.
