A nova função de oficial de proteção de dados do GDPR

O trabalho mais quente agora pode ser o novo cargo de Diretor de Proteção de Dados exigido pela legislação GDPR da União Europeia que entrará em vigor em maio.

Neste Podcast Repensar o Marketing, a CMO da Act-On, Michelle Huff, entrevista David Fowler sobre a nova função e o que as empresas precisam saber. Fowler é o chefe de conformidade digital da Act-On.

O Regulamento Geral de Proteção de Dados, ou GDPR, é uma grande peça de legislação e se aplica aos 510 milhões de cidadãos da UE, bem como a qualquer empresa que faça negócios com eles, independentemente de onde estejam. Entre os muitos requisitos está o novo cargo de Diretor de Proteção de Dados.

] Esta transcrição foi editada por causa do tamanho. Para obter a medida completa, ouça o podcast.

Michelle Huff : Você pode nos lembrar o que é GDPR? E por que precisamos saber e nos preparar para isso?

David Fowler : O GDPR, ou o regulamento geral de proteção de dados, é a próxima reescrita das leis digitais na União Europeia. É a maior legislação dos últimos 20 anos. Se você pensar no nosso mercado onde estávamos há 20 anos e onde estamos hoje, certamente o canal digital se transformou em dados de usuários, direitos de dados, acesso individual etc. dentro da União Europeia. E é uma legislação muito pesada.

Michelle : Estamos todos nos preparando para o GDPR, isso é uma prioridade para mim aqui no marketing. Mas é um caso de uso especial, já que outros profissionais de marketing utilizam a automação de marketing muitas vezes para enviar e-mails, e eles precisam estar em conformidade com suas práticas e ferramentas. Então, você pode nos atualizar sobre como o Act-On está se saindo em seus preparativos?

David : A lei não entrará em vigor até maio de 2018. Há muitas coisas que nós, como empresa, devemos observar, e você, como cliente, deve observar, em termos de suas responsabilidades sob RGPD.

E muito depende de qual lado dessa cerca você cai, se você é o controlador de dados ou o processador de dados. E no nosso caso, em Act-On, somos os dois. Atuamos como processador dos dados de nossos clientes e também como controlador de seus dados, caso estejamos fazendo marketing para você. Temos um golpe duplo, por assim dizer, no que se refere às nossas obrigações.

Há cerca de um ano, realizamos uma avaliação terceirizada de nossa preparação para o GDPR por meio de uma empresa chamada Truste, que é a organização que certifica nosso site e nossos princípios de privacidade. A partir desse documento, elaboramos uma espécie de plano de trabalho em termos do que precisamos começar a analisar para colocar nosso navio em ordem para o GDPR.

Provavelmente estamos entre a segunda e a terceira base agora, no que se refere a onde estamos como organização. Mas é realmente muito complexo. Porque a maneira como as coisas são interpretadas por nossos clientes pode ser completamente diferente de como nós mesmos vemos as coisas. Estou muito confiante de que, em maio do ano que vem, quando o GDPR entrar em vigor em 26 de maio, estaremos prontos.

Michelle : Parece tão longe, mas tão perto. Um dos requisitos do GDPR é que toda empresa tenha esse papel de responsável pela proteção de dados. Você pode nos contar mais sobre essa função e como as pessoas devem pensar sobre suas responsabilidades?

David : O responsável pela proteção de dados é um novo conceito na União Europeia, o que significa que você deve ter na equipe um funcionário que não faça nada além de ser responsável por suas obrigações contínuas sob o GDPR.

Mesmo que estejam em sua folha de pagamento, eles relatam à autoridade de proteção de dados do país em que você reside. Você pode ver desde o início que pode haver alguns princípios interessantes de hierarquia de relatórios. Mas o ponto é que eles são uma extensão da autoridade de proteção de dados em sua organização.

Eles têm a responsabilidade de garantir que você, como organização, esteja cumprindo sua preparação para o GDPR, cumprindo suas obrigações sob a lei e em seus preparativos contínuos no que se refere a qualquer coisa que possa aparecer. Essencialmente, eles são uma extensão da autoridade de proteção de dados no país em que você está, mas se reportam a você no nível C.[

Michelle : Isso é apenas para as empresas com sede na UE? Ou é para quem está fazendo negócios na UE? Quais empresas estão realmente impactadas e realmente começando a contratar para essa função?

Davi : Essa é uma boa pergunta. O trabalho mais quente agora na União Europeia é o oficial de proteção de dados. Se você fizer uma pesquisa no Google, obterá vários resultados. Mas o ponto é que a lei GDPR é aplicada a qualquer empresa que tenha cidadãos europeus em seu banco de dados. Portanto, independentemente de onde você esteja no planeta, se estiver fazendo marketing para cidadãos europeus e tiver um determinado tamanho ou uma certa vertical, será necessário ter um DPO na equipe. No caso da Act-On, como temos uma grande parte de nossos clientes na Europa e ultrapassamos 250 funcionários, seremos obrigados a nomear um responsável pela proteção de dados antes de maio do próximo ano.

Michelle : Isso é interessante. Essa pessoa pode residir em qualquer lugar do mundo? Ou eles têm que residir na UE?

Davi : Depende. É engraçado porque eu estava na reunião do GDPR na semana passada em Bruxelas. E esse exemplo foi em uma das sessões em que participei, onde você tinha uma empresa multinacional em vários países da União Europeia. E foi uma resposta muito complexa para uma pergunta muito complexa. A net/net é que você deveria ter uma. Onde essa pessoa realmente se senta, se senta fisicamente, acho que é uma daquelas coisas que serão determinadas com base em como é gerenciado no futuro depois de lançado. Como a maioria dessas coisas acontece, eles acabam voltando para as equipes jurídicas para obter uma opinião.

Michelle : Por que é necessário?

David : Essencialmente, é uma espécie de ombudsman, em termos de adoção de melhores práticas no final do dia. Porque dos 99 artigos do GDPR e dos 173 considerandos, isso é muito trabalho pesado no que se refere a como você opera seu negócio digital ou seu negócio de marketing, independentemente da própria lei. Acho que é mais uma solução paliativa para garantir que você ou qualquer pessoa obrigada a seguir o GDPR o esteja seguindo. E é um daqueles papéis que acho que vai amadurecer com o tempo. Parece ótimo em conceito, mas a realidade é que, quando começar, veremos como isso funciona.

Portanto, ser capaz de gerenciar por meio do GDPR e certamente gerenciar os requisitos do GDPR é um empreendimento enorme. E não é necessariamente apenas uma função de negócios. Este papel é realmente destinado a ser um tipo de pessoa altamente orientada tecnicamente. Então, você pensa no diretor de privacidade. Essa pessoa terá uma inclinação mais técnica, bem como de processos de negócios. Eles poderão falar sobre os assuntos técnicos, bem como sobre os negócios ao mesmo tempo.

Michelle : Como alguém pode pensar sobre isso pelo lado positivo, fazendo limonada de limões? Como você acha que as empresas e os profissionais de marketing poderiam realmente pensar sobre esse DPO de forma positiva, em vez de considerá-lo um fardo ou apenas um requisito que devemos cumprir?

David : Acho que é uma daquelas coisas em que você aproveita a experiência do indivíduo. O GDPR é uma grande peça de legislação. E não há ninguém lá fora que possa dizer, eu entendo perfeitamente. E essa pessoa poderá ajudar a facilitar o entendimento do GDPR em sua organização. Vejo isso como um benefício, não como um ponto negativo. Porque você pode encontrar maneiras de fazer as coisas melhor e com mais eficiência. E você pode encontrar mais fontes de receita, podendo aproveitar a experiência desse indivíduo em seus futuros desenvolvimentos de marketing de produto ou desenvolvimento de produto.

Se estivermos tendo a mesma conversa daqui a cinco anos, enquanto temos três ou quatro anos sob nosso controle desse indivíduo em particular trabalhando na empresa, acho que você descobrirá que será muito mais proveitoso do que doloroso.

Mas haverá alguns solavancos iniciais na estrada, como sempre acontece quando as coisas vão ao ar. Mas acho que, em última análise, alavancar essa base de conhecimento é certamente uma vantagem. E vejo essa pessoa definitivamente ligada à organização de marketing porque tudo começa quando um cliente está envolvido no que se refere à receita e ao engajamento. Se eu fosse um profissional de marketing, CMO de uma organização, estaria junto com essa pessoa porque acho que isso só traz benefícios para a função geral desse grupo da organização.

Michelle : Onde as pessoas podem aprender mais? Ou há coisas fora do Act-On que as pessoas realmente deveriam consultar e aprender mais?

David : Depende de onde você está fisicamente. Alguns países estão muito à frente de outros em termos de comunicação de notificação do GDPR. Temos nosso hub GDPR, que está funcionando agora em nosso site. Estaremos postando muito mais informações lá à medida que nos aproximamos do dia. Mas cada país é responsável por lançar isso. Você verá após as férias um grande impulso promocional da União Europeia em termos de preparação para o GDPR.

E sinta-se à vontade para entrar em contato conosco em [email protected] Esse e-mail virá diretamente para mim. E estou mais do que feliz em orientá-lo na direção certa.

Michelle : Obrigada, David. Sempre perspicaz. É ótimo poder apenas falar sobre isso.

Davi : Obrigado. Boa sorte a todos.