Entrevista/ “Compliance não é custo: é capital reputacional, e a reputação é o ativo mais difícil de reconstruir”

“Precisamos de uma nova literacia organizacional, que, ao nível dos líderes, assenta numa compreensão estratégica de dados, IA e risco, na capacidade de fazer as perguntas certas e numa consciência ética sobre o impacto humano”, alerta Elsa Veloso, CEO e fundadora da DPO Consulting.

Num contexto em que os dados, a tecnologia e a regulação se cruzam de forma cada vez mais complexa, a liderança exige visão estratégica, literacia jurídica e capacidade de antecipação.

Jurista de formação, com um percurso sólido em funções executivas em grandes grupos de media e conteúdos, a fundadora e CEO da DPO Consulting construiu uma carreira na interseção entre direito, inovação e gestão. Em entrevista ao Link to Leaders, Elsa Veloso partilha o seu percurso profissional, a forma como transformou a privacidade e o compliance em alavancas de confiança e competitividade, e a sua visão sobre os desafios que o RGPD, a IA e os novos regimes regulatórios colocam hoje às organizações.

Pode partilhar um pouco do seu percurso profissional e explicar como chegou à liderança da DPO Consulting?

O meu percurso é a combinação de três dimensões onde sempre vivi: direito, inovação e gestão. Sou jurista de formação e advogada com a inscrição ativa na Ordem dos Advogados, porém a minha carreira passou muito cedo por funções executivas, primeiro como diretora central de marketing no então Grupo Lusomundo Media e depois como diretora-geral para a Europa no Grupo Planeta D’Agostini. Essa experiência deu-me uma compreensão muito concreta de modelos de negócio, de gestão da inovação, da reputação e da relação entre tecnologia, pessoas e decisão empresarial.

Quando o RGPD — o Regulamento Geral sobre a Proteção de Dados—, começou a emergir, tornou-se evidente que a privacidade deixaria de ser um tema jurídico para se tornar um tema de governance, compliance, estratégia e confiança. Especializei-me internacionalmente em privacy e lancei a marca DPO Consulting com um objetivo muito claro: ajudar as organizações a transformar conformidade em vantagem competitiva, e dados em confiança.
Hoje, lidero uma empresa altamente especializada, posicionada para apoiar organizações num mundo onde regulação, tecnologia e risco se conjugam e, evoluem a uma velocidade sem precedentes.

“Negócios construídos sobre dados, algoritmos e plataformas exigem uma leitura jurídica, mas também conhecimentos tecnológicos, operacionais e éticos.”

O que a levou a unir experiência jurídica e inovação no campo da privacidade e compliance?

Houve um momento em que percebi que o Direito tradicional se entrecruza com outras matérias para acompanhar a complexidade crescente do digital. Negócios construídos sobre dados, algoritmos e plataformas exigem uma leitura jurídica, mas também conhecimentos tecnológicos, operacionais e éticos.

A minha experiência nos media mostrou-me a pressão real por inovação, personalização e monetização. Quando aprofundei o RGPD e a confiança digital, ficou claro que estes dois mundos tinham de convergir. Na DPO Consulting atuamos precisamente nesse cruzamento: traduzimos obrigações legais complexas em modelos de governance, processos operacionais e análises da tecnologia — soluções que funcionam no dia a dia das empresas.

Quais são os maiores desafios das empresas para cumprir o RGPD, o NIS2 ou o RGPC?

Os desafios que as organizações enfrentam hoje neste domínio são, maioritariamente, de natureza estrutural. Em primeiro lugar, destaca-se a crescente complexidade regulatória. Diplomas como o RGPD e a respetiva Lei de Execução, a NIS2, o Regime Geral da Prevenção da Corrupção, os regimes aplicáveis aos canais de denúncia, o DORA ou o AI Act são, na prática, plenamente compreendidos apenas por quem os estuda de forma aprofundada e continuada.

Ainda assim, é frequente que as organizações abordem cada um destes regimes como se fossem realidades autónomas, tratadas em silos, quando aquilo de que verdadeiramente necessitam é de uma visão integrada de governance, capaz de articular requisitos legais, gestão de risco, controlo interno e estratégia.

Em segundo lugar, persiste, embora de forma cada vez menos acentuada, uma baixa maturidade organizacional. Em muitas estruturas ainda subsiste a lógica do chamado “projeto RGPD”: um esforço delimitado no tempo, que começa, termina e é arquivado. Esta abordagem contrasta com a realidade atual, que exige programas vivos e contínuos, assentes na identificação e gestão de riscos, na definição de métricas, na formação regular, na accountability e numa supervisão efetiva e permanente.

Acresce, ainda, a escassez de talento especializado. Profissionais que consigam conjugar conhecimento jurídico sólido com compreensão de inovação, tecnologia e princípios de governance são, reconhecidamente, raros no mercado, o que dificulta a implementação consistente e sustentável destes programas nas organizações.

Por fim, importa sublinhar um fator transversal e determinante: sem o envolvimento efetivo da gestão de topo, nenhum programa de compliance, governance ou ética organizacional é verdadeiramente sustentável. O compromisso da liderança não é apenas desejável — é uma condição essencial para que estas matérias deixem de ser vistas como obrigações formais e passem a integrar a cultura e a tomada de decisão estratégica da organização.

Existem erros comuns que as organizações continuam a cometer?

Sim, e são frequentemente evitáveis. Um dos erros mais comuns é tratar o RGPD como uma simples checklist de conformidade. Os documentos existem, mas não transformam comportamentos nem operações. A isto soma-se, em casos, a falta de mapeamento real de dados. Sem saber que dados existem, onde estão, quem lhes acede e com que base legal, não é possível garantir uma conformidade credível, consistente ou sustentável.

Em último, mas não menos importante, continua-se a subestimar o fator humano. A maior parte dos incidentes tem origem em erros básicos, muitas vezes associados a desconhecimento ou a práticas incorretas. Do meu ponto de vista, a formação contínua é a medida mais eficaz e mais económica e continua a ser negligenciada.

“A IA não é apenas tecnologia, será um motor de transformação dentro das organizações”.

A IA está a transformar tudo. Que cuidados legais e éticos são essenciais?

A IA não é apenas tecnologia, será um motor de transformação dentro das organizações. Por isso, os pilares críticos passam por uma finalidade clara, para que serve e com que limites, pela transparência, que dados utiliza, com que critérios e com que risco, pelo controlo humano significativo, uma vez que a responsabilidade não pode ser delegada ao algoritmo, e pela não discriminação e ética, assegurando a mitigação de viés, a explicabilidade das decisões e a proteção dos direitos fundamentais, isto é, do nosso sistema de valores.

O AI Act materializa isto num modelo de gestão de risco que compreende classificação de sistemas, avaliações de impacto, documentação, monitorização e supervisão humana. Na DPO Consulting reforçamos que ética e transparência não são cosmética, são a condição de sustentabilidade presente e futura da IA.

Como estruturar um programa de governance de IA que seja inovador e seguro?

O ponto de partida passa por tratar a IA como um ativo estratégico, com mecanismos claros de controlo e accountability. Um programa robusto deve assentar num inventário completo dos sistemas de IA, na respetiva classificação de risco nos termos do AI Act, na realização de avaliações de impacto específicas (AI Impact Assessments), bem como na definição de políticas relativas a dados, treino, qualidade e explicabilidade. Deve ainda integrar critérios claros para a seleção e auditoria de fornecedores, mecanismos de monitorização contínua e canais de reporte adequados, assegurando o envolvimento de equipas multidisciplinares com responsabilidades claras e devidamente documentadas.

Este é o ADN do nosso programa executivo, adaptado às empresas, que visa apoiar os líderes a decidir com conhecimento, e não a “delegar” a tecnologia exclusivamente em equipas técnicas ou fornecedores.

Para além da conformidade, que valor acrescenta um programa de compliance maduro?

Um programa maduro funciona como um verdadeiro sistema de confiança empresarial. Acrescenta valor ao reduzir o risco jurídico, financeiro e reputacional, ao aumentar a eficiência através da clarificação de responsabilidades e processos, ao promover uma cultura organizacional ética e coerente e ao fortalecer a relação com clientes, parceiros e reguladores. Compliance não é custo: é capital reputacional, e a reputação é o ativo mais difícil de reconstruir.

Como devem as empresas preparar-se para incidentes de segurança?

Com preparação real e não teórica, cujos pilares são um plano de resposta testado, que não se escreve durante o incidente, a realização de simulações (tabletop exercises), a existência de backups e de planos de continuidade de negócio robustos, uma equipa multidisciplinar com papéis definidos e contratos tecnológicos claros, com SLAs e níveis de resposta. Quando há uma violação de dados, cada minuto conta. A qualidade da preparação determina a qualidade da resposta.

Que competências e mentalidades são essenciais para lidar com privacidade, dados e IA?

Precisamos de uma nova literacia organizacional, que, ao nível dos líderes, assenta numa compreensão estratégica de dados, IA e risco, na capacidade de fazer as perguntas certas e numa consciência ética sobre o impacto humano.

Ao nível das equipas, essa literacia exige competências técnicas em segurança, privacidade, analytics e IA, competências jurídico-regulatórias e competências humanas, nomeadamente comunicação, pensamento crítico e ética. A mentalidade essencial é a de responsabilidade tecnológica, reconhecendo que cada decisão tem impacto em pessoas reais.

“Sem literacia, a IA é percecionada como magia. Com literacia, é entendida como uma ferramenta estratégica”.

Que papel tem a literacia em IA?

Central. Sem literacia, a IA é percecionada como magia. Com literacia, é entendida como uma ferramenta estratégica. Equipas formadas compreendem as suas capacidades, limitações, enviesamentos, riscos e os critérios para aprovar ou rejeitar projetos. Lideranças com literacia tomam melhores decisões e protegem a organização. É o equivalente moderno da literacia digital há 15 anos.

Quais as tendências impactarão mais a privacidade e a IA nos próximos 3 a 5 anos?

Três movimentos estruturantes marcam este contexto. O primeiro é a consolidação regulatória e uma fiscalização mais rigorosa, resultantes da articulação entre o AI Act, o RGPD, a NIS2, o RGPC e o DORA, que impõem uma lógica de integração e maior maturidade regulatória.

O segundo prende-se com um maior escrutínio público e institucional, no qual decisões automatizadas, utilização de biometria, criação de perfis e incidentes passam a ter visibilidade imediata.

O terceiro é a convergência entre celeridade e resultados mensuráveis, exigindo às empresas a gestão destes domínios sob uma visão de topo, com métricas e modelos de governance integrados.

“Governance é a infraestrutura invisível que sustenta organizações mais éticas, competitivas e resilientes”.

Se tivesse de escolher uma única prioridade para as empresas, qual seria?

Sem dúvida, governance. A arquitetura de governance define quem decide, como decide, com que critérios, com que métricas e com que responsabilidade. Quando existe governance clara, tudo o resto, políticas, tecnologia, formação e auditorias, flui. Quando não existe, tudo é reativo, caro e frágil. Governance é a infraestrutura invisível que sustenta organizações mais éticas, competitivas e resilientes.