Na ECOMPLY estamos observando em primeira mão que a maioria das empresas terceirizam a proteção de dados a um consultor. Isto faz perfeito sentido por razões que já discutimos em outros artigos do blog. Neste artigo, analisaremos as diferentes configurações que os projetos de consultoria em proteção de dados possuem e os tipos de interação cliente-consultor que acontecem nestes projetos. Você pode comparar a configuração de seu negócio com estes tipos e considerar como a ECOMPLY pode melhor apoiá-lo.
Consultoria em proteção de dados
Quando as pessoas falam em consultoria, isto pode significar muitas coisas. Enquanto algumas consultorias podem ser apenas um pequeno número de horas ou um único conselho por telefone, outras podem ser meses (até mesmo anos) de trabalho em tempo integral contribuindo para um projeto. Além disso, a consultoria pode ser limitada a pequenos aspectos de uma empresa ou cobrir múltiplas áreas ou mesmo a empresa inteira.
Portanto, primeiro temos que descrever que tipos de projetos estamos vendo como sendo comuns no negócio de consultoria em proteção de dados antes de podermos adentrar em cada um deles com mais detalhes.
Aconselhamento ocasional
O cliente pode dizer ao consultor: "Nós iremos até você quando precisarmos de você".
Nesta configuração, o cliente está tratando a organização de proteção de dados de forma autônoma. O DPO é normalmente um funcionário em tempo integral do negócio do cliente. Somente ocasionalmente, para questões difíceis ou contestadas, o cliente procura o consultor para obter seu conselho. O consultor normalmente não está ciente das atividades cotidianas do cliente e precisa sempre obter novas informações sobre o contexto.
Com frequência vemos este tipo de consultoria quando o consultor é um advogado que se concentra em dar conselhos legais específicos (em contraste com um mandato do encarregado da proteção de dados (DPO)). Esta configuração é mais frequentemente encontrada em grandes empresas com equipes dedicadas à proteção de dados.
A configuração contratual geralmente não é "DPO como serviço" (DPOaaS), mas sim faturamento individual.
Supervisão em Colaboração
O cliente pode dizer ao consultor: "Geralmente confiamos no seu conselho. Vamos decidir juntos".
Outra configuração muito comum é o 'supervisor à distância'. Nesta configuração, o consultor tem uma interação permanente e recorrente com o cliente e normalmente detém o mandato do DPO. O elemento-chave para a supervisão é que o cliente tem um ou mais dos chamados Coordenadores de Proteção de Dados nomeados que lidam com todas as tarefas do dia-a-dia. O consultor de supervisão se concentra em questões de grande porte, priorização, aconselhamento e realização de auditorias regulares. Como tal, o supervisor está bem ciente da organização de proteção de dados a partir das linhas laterais. Pode-se dizer que esta é a configuração (terceirizada) que os legisladores da GDPR tinham em mente.
Esta configuração é mais frequentemente encontrada em organizações de médio porte com 1000 a 10000 funcionários, onde há orçamento suficiente para designar pessoal interno, mas ainda há a necessidade de contar com um especialista externo.
A configuração contratual é tipicamente "DPO-as-a-Service" (DPOaaS).
Supervisão como serviço completo
O cliente poderia dizer ao consultor: "Precisamos que você se encarregue de tudo. Informe-nos se precisar de alguma coisa".
Por último e mais comumente, encontramos a situação de consultor de serviço completo na qual o consultor externo da DPOaaS é o principal ator da organização de proteção de dados. O consultor do DPOaaS é o DPO nomeado e também cuida da maioria das tarefas do dia-a-dia. Do lado do cliente, há pessoas de contato, mas muitas vezes não com conhecimento completo do projeto. O cliente recebe relatórios regulares sobre o trabalho e o progresso do consultor.
A configuração contratual é tipicamente "DPO como um serviço" (DPOaaS), mas a um preço mais alto em comparação com a colaboração.
Como funciona cada interação
Agora que descrevemos cada configuração, vamos inspecionar como é na prática a interação consultante-cliente. Quantas reuniões estão acontecendo? In-loco ou on-line? Que documentos são trocados?
Aconselhamento ocasional
Como no cenário "Aconselhamento ocasional" a interação entre o cliente e o consultor acontece de forma tão irregular e os itens de trabalho podem não estar relacionados, o consultor precisa de informações contextuais completas ao lado de cada solicitação de consultoria. O consultor pode solicitar informações adicionais, se necessário. Os resultados são normalmente discutidos pessoalmente e entregues como um pacote de documentos para o cliente. As datas de início e término da interação são próximas umas das outras.
Supervisão na Colaboração
A interação na supervisão consiste em progresso regular e atualizações de conteúdo em um formato comum. Regularmente, o supervisor precisa ser capaz de compreender rapidamente o status quo e compreender o que há de novo. Por sua vez, o cliente precisa entregar relatórios concisos e completos. Como há muitas pequenas interações por um período indefinido, elas precisam ser rápidas e eficientes. O supervisor precisa julgar cada item de trabalho e ele só pode julgar com base em informações completas. Para economizar tempo, a interação é frequentemente on-line e assíncrona (via e-mail ou uma plataforma compartilhada).
Os contratos de projeto normalmente têm uma extensão automática, funcionando por muitos anos.
Supervisão como serviço completo
Nesta configuração, o supervisor não pode confiar no recebimento de informações completas por parte do cliente. Ao invés disso, ele próprio tem que reunir essas informações. Portanto, a interação consiste em que o supervisor peça informações e as processe. Uma vez que cada item de trabalho é feito, o consultor se reporta ao cliente com relatórios regulares e documentação de proteção de dados.
Os contratos do projeto normalmente têm uma extensão automática, funcionando por muitos anos.
Como a ECOMPLY apoia a interação cliente-consultor
ECOMPLY como Plataforma de Gerenciamento de Proteção de Dados conecta qualquer interação que ocorra entre qualquer um dos clientes e o(s) consultor(es). A seguir, inspecionamos o que isto significa na prática.
Aconselhamento ocasional
Nesta configuração, as informações do controlador são gerenciadas pelo controlador, ou seja, pelo cliente. Como o consultor externo pode não estar familiarizado com a ECOMPLY, muitas vezes não é necessário convidá-los como usuários para a plataforma. Ao contrário, a documentação relevante pode ser exportada da ECOMPLY e enviada por e-mail para o consultor. Quando isto acontece de forma recorrente, o consultor se familiarizará com o formato consistente de documentação ECOMPLY. O cliente tem o benefício de poder exportar facilmente qualquer documento ou informação sobre a organização de proteção de dados.
Supervisão em Colaboração
Para permitir uma colaboração eficiente entre o consultor (supervisor) e o cliente (controlador), todas as partes envolvidas têm contas de usuário na plataforma ECOMPLY com pleno acesso a todas as partes da organização de proteção de dados. Através da plataforma ECOMPLY, o consultor e o cliente podem colaborar de forma eficiente:
- Acesso às mesmas informações, a partir de painéis de controle concisos combinados com a capacidade de perfurar
- Capacidade de designar tarefas entre si, ver o progresso das tarefas e comunicar-se com os comentários
- Possibilidade de colaboração assíncrona onde as partes envolvidas não precisam estar na mesma sala ou videoconferência para poder progredir.
Supervisão como serviço completo
A interação no modo de serviço completo é a mais nova adição à plataforma ECOMPLY. Nesta configuração, o supervisor é o principal usuário da plataforma ECOMPLY. Aqui, ele pode lidar com qualquer uma das centenas de tarefas que fazem parte de suas funções. Como o consultor está oferecendo um serviço completo ao cliente, o cliente não precisa e nem quer ver os detalhes da organização de proteção de dados. Pelo contrário, o cliente se concentra nos resultados entregues pelo consultor. Como tal, a interação com o cliente consiste nestas entregas nos seguintes formatos:
- O dashboard do sistema fornece uma interface rica e fácil de entender na qual o cliente pode ver o status quo e quaisquer tarefas em aberto que ele precise cumprir.
- O consultor entrega seletivamente seus resultados a este dashboard, escolhendo o que o cliente precisa ter ou precisa saber em qualquer momento.
- O consultor tem um entendimento exato de quais informações o cliente tem e qual é o estado de sua documentação. (Esta é uma diferença fundamental para a situação em que um consultor envia seus resultados por e-mail ao cliente; ele não tem idéia se o cliente está usando informações atuais ou desatualizadas ou onde (e se) ele está armazenando os resultados adequadamente).
Para contratos de serviço completo, o novo modo de serviço completo em ECOMPLY é um benefício mútuo para o cliente e para o consultor.
O cliente deseja:
- não ter que se preocupar com as tarefas diárias de proteção de dados
- ver que sua empresa avança em direção à/estabelece a conformidade com a LGPD
- encontrar rapidamente documentação atualizada para várias situações
- ver os resultados do trabalho dos consultores
- ver para que ele está pagando ao consultor
O consultor deseja:
- mostrar os resultados de seu trabalho
- parecer profissional, apresentando seu trabalho em um dashboard muito detalhado mas ao mesmo tempo compreensível
- evitar que o cliente utilize documentos desatualizados
- justificar sua taxa mensal (taxa fixa)