Novas oportunidades para os diretores de privacidade

Quando Bojana Bellamy explorou inicialmente as possibilidades de carreira abertas para alguém com sua formação jurídica, questões relacionadas com privacidade pareciam apenas uma especialidade, possivelmente promissora. Naquela época, em meados da década de 1990, a União Europeia estava analisando como regulamentar a maneira como as empresas manipulam informações delicadas recolhidas no decorrer de suas operações empresariais, em meio a crescentes preocupações dos consumidores.

A decisão de optar pelo reino da privacidade valeu a pena. A penetração da tecnologia da informação em quase todas as áreas de negócios trouxe consigo uma profissão em expansão: hoje, milhares de profissionais se dedicam a ajudar as empresas a navegar nas complexas águas jurídicas da manipulação de dados sensíveis.

Atualmente, Bellamy é diretora de privacidade de dados na Accenture, empresa de serviços de consultoria. Ela supervisiona uma equipe de seis pessoas, com cerca de outras 60 distribuídas pela empresa para garantir que dados pessoais – seja de funcionários, clientes ou clientes de seus clientes – sejam tratados adequadamente.

O crescimento da profissão viu uma mudança em seu status e a alta administração das empresas está de portas abertas para os que estão no ápice de sua atuação – os executivos-chefes de privacidade. “A questão se tornou inevitável”, diz. “Estrategicamente, as empresas precisam ser vistas como preocupadas com isso”. Agora, a UE, que já tem em vigor algumas das mais rigorosas normas para privacidade de dados no mundo, está elaborando uma nova legislação. Algumas pessoas estão pressionando para que o papel de gestor chefe de privacidade seja obrigatório nas grandes organizações.

As novas regras abordariam questões complexas, como se uma empresa pode enviar um banco de dados interno de recursos humanos para processamento no exterior. Ou se um parceiro de um empreendimento conjunto pode ter acesso ao banco de dados de uma empresa de marketing.

“A proteção dos dados se transformou em uma questão enorme para as empresas”, diz Christopher Kuner, sócio do escritório de advocacia Hunton & Williams. “Os dados são a matéria-prima para muitas companhias, como acontecia com o aço nos velhos tempos. É preciso ter procedimentos ao processar informações privadas, assim como é preciso ter procedimentos para manusear produtos químicos”. Isso já não vale apenas para as que lidam com novas tecnologias, como computação em nuvem, que suscita questões de privacidade muito complexas, diz Kuner. “Toda empresa tem um banco de dados de RH e a maioria tem listas de clientes, todas rigorosamente regulamentadas.”

Como evitar que esses bancos de dados terminem, por exemplo, no WikiLeaks, é uma das questões com as quais deve lidar um funcionário responsável pela privacidade. Quase todas as grandes empresas têm agora um cargo de chefia para gestão da área, diz Trevor Hughes, diretor da Associação Internacional de Profissionais de Privacidade, entidade americana que reúne 8 mil membros no mundo.

À medida que a tecnologia evolui, o mesmo se dá com a paisagem jurídica em torno dela. “Há uma dose incrível de instabilidade quando se trata de regulamentação sobre dados em todo o mundo. As regras estão sempre evoluindo na Europa, nos EUA e, cada vez mais, nos países em desenvolvimento. As empresas precisam se manter atualizadas”, diz.

O problema mais comum deriva do registro das bases de dados que contêm informações pessoais, obrigatório na maioria das jurisdições. Alguns itens provenientes de diferentes países, por exemplo, que precisam ser registrados, poderão ser regulamentados por várias autoridades nacionais segundo diferentes normas de privacidade.

Situações mais complexas surgem quando empresas querem enviar dados ao exterior para funções como faturamento ou folhas de pagamento. “Na UE, a legislação exige ‘proteção adequada’, de modo que não é possível desrespeitar as leis de proteção quando dados são enviados ao exterior”, diz Gabriela Krader, responsável pela proteção de dados empresariais na Deutsche Post DHL.

As organizações também estão propensas a ter problemas setoriais. Bancos ou companhias de seguro de saúde processam informações particularmente delicadas e seus clientes esperam que elas não sejam utilizadas para fins de marketing. Empresas de distribuição acumulam toneladas de endereços como subproduto de suas operações. “Cada caso traz uma questão de privacidade diferente, mas todos têm problemas de algum tipo”, diz Hughes.

Grande parte do trabalho de um profissional de privacidade no dia a dia envolve ajudar a ampliar a conscientização, em uma organização, sobre a existência de uma legislação referente a dados, diz Krader. “A principal tarefa que temos é comunicar. O que você precisa transmitir é o significado real da legislação”, diz.

A função principal é, naturalmente, impedir violações de privacidade, mas elas podem ocorrer. Devem estar em vigor sistemas que assegurem, por exemplo, que um funcionário subalterno não possa baixar muitos arquivos sensíveis sem ser questionado. Ou que a perda de um laptop por um empregado – um evento comum em qualquer empresa – não inicie uma crise de grandes proporções quando se descobre que ele contém uma lista não criptografada de dados pessoais detalhados dos funcionários. Um projeto de lei em consideração pela UE contempla obrigar as empresas que perdem dados pessoais a notificar as pessoas que possam ser afetadas pela falha de segurança. A ideia vem dos EUA, onde leis desse tipo foram aprovadas recentemente.

Em 2007, um vazamento de privacidade no TJX, grupo varejista americano proprietário da TK Maxx, foi amplamente divulgado devido a um sistema de notificação desse tipo. A empresa teve de pagar US$ 24 milhões a alguns bancos, após ter sido obrigada a revelar publicamente que mais de 45 milhões de números de cartões de débito e de crédito haviam sido roubados de seu sistema. Ao ampliar a visibilidade – e os custos financeiros – de vazamentos de privacidade, as regras induzem as empresas a intensificar seus esforços na manutenção da privacidade.

Segundo Bellamy, muitas vezes é preciso um incidente envolvendo um vazamento de dados para fazer com que uma empresa contrate seu primeiro diretor de privacidade ou para que amplie a capacitação de sua equipe. Além das ameaças legais e de reputação associadas a erros de proteção dos dados, os funcionários envolvidos com privacidade dizem que seu trabalho tem a ver também com melhorias na maneira como os dados são usados em uma organização. “É um papel estratégico e preventivo”, diz Bellamy. “Podemos agregar valor, por exemplo, incorporando a privacidade em nossos produtos. Para os clientes que nos confiam uma enorme quantidade de informações, é de importância crítica a maneira como lidamos com seus dados.”

Isso reproduz as exortações de Bruxelas para que as empresas adotem uma abordagem em que a proteção dos dados seja incorporada durante o processo de concepção de um novo produto ou serviço, e não como um apêndice posterior. É o que o setor público está defendendo. Os editais de algumas concorrências abertas tanto nos EUA como na Europa já especificam a proteção dos dados como um pré-requisito para empresas que desejam prestar serviços ao governo. Do lado jurídico, é improvável que a onda de preocupação em torno do tratamento de dados pessoais se dissipe. “A proteção de privacidade é como cumprir a legislação ambiental: você precisa mostrar que está dominando o assunto”, diz Kuner. (Tradução de Sergio Blum)

Fonte: Stanley Pignal, Financial Times, Valor Economico