Como as empresas de tecnologia enfrentam uma onda de regulação e o potencial de mais ações judiciais e finas maiores, a antiga estratégia de “se mover rapidamente e quebrar as coisas” é insustentável. Regulados de mais maneiras, as empresas de tecnologia devem repensar sua estratégia de conformidade para lidar com a regulamentação em escala. Sua abordagem anterior de ação dedicada e focada para questões regulatórias específicas não funcionará mais.
The So What
Regulators are targeting tech companies with more regulation and stringent enforcement across jurisdictions from California to the EU to India.
With more topics being regulated in more ways, tech companies must rethink their compliance strategy to deal with regulation at scale. Their previous approach of focused, dedicated action for specific regulatory issues will no longer work.
To ensure that innovation continues, tech firms must make this nova abordagem uma parte do seu ciclo de inovação, em vez de aparecer nos processos existentes.
This task is given increasing urgency by the rapidly developing regulation of AI.
Go Deeper
Regulators are broadening their focus. Eles estão indo além da privacidade e da concorrência para áreas como moderação de conteúdo (por exemplo, a Lei de Segurança Online do Reino Unido, aprovada em outubro), proteção de menores (a legislação de Utah aprovada em março visa proteger os membros da Media de Media Social) e as Empresas de Pagamento de Tecnologia e o Departamento de Pagamento de Pagamentos de Tecnologia). Transparência e responsabilidade. Toda a tecnologia poderá em breve ser regulada como os subsetores MedTech e Fintech, com relatórios programados e exame regulatório.
Regulatory bodies now insist on transparency and accountability. The EU’s Digital Markets Act mandates stringent audits, enhanced transparency reports, and the appointment of a compliance officer by the company’s board—an indication of the heightened accountability expected in the tech industry. All of tech could soon be regulated like the medtech and fintech subsectors, with scheduled reporting and regulatory examination.
O advento da IA está trazendo uma nova onda de regulamentação. Ordem executiva do Presidente Biden em segurança de IA em novembro e a Lei de AI proposta pela UE sinaliza o início de uma onda de regulamentação global . Muitas outras jurisdições em todo o mundo estão se preparando para introduzir legislação semelhante.
A aplicação e a intervenção se intensificaram. As dez maiores multas sob o regulamento geral de proteção de dados da Europa, totalizando aproximadamente € 3,8 bilhões (US $ 4,1 bilhões), foram cobradas em empresas de tecnologia e multas cumulativas sob esse regulamento agora excedem 4,4 bilhões de euros. (Veja a exposição.) Aplicação em questões de concorrência em particular está aumentando. A Microsoft teve que alterar significativamente seu acordo de aquisição de US $ 69 bilhões com a Activision Blizzard, finalizada em outubro, após intervenção regulatória; A Adobe abandonou sua aquisição de US $ 20 bilhões da FIGMA no final de 2023, depois de declarar que "não havia caminho claro para receber as aprovações regulatórias necessárias". rapidamente. Embora abordagens tradicionais como lobby, padrões voluntários e cooperação com os reguladores ofereçam alguns benefícios, eles ficam aquém.
Now What
Leaders of any tech company, not just Big Tech, must recognize that the landscape has transformed—and will continue to evolve rapidly. Although traditional approaches like lobbying, voluntary standards, and cooperation with regulators offer some benefits, they fall short.
Companies must build efficient and effective compliance processes, addressing regulation at scale while keeping costs under control and maintaining the ability to innovate at pace:
- Manage regulator relationships. Isso é tão vital quanto o gerenciamento de relacionamentos com os clientes. Os reguladores esperam respostas rápidas, consistentes e precisas às suas solicitações.
- lobby efetivamente. Estratégias incluem educar os reguladores, alinhar a interpretação de leis e diretrizes e definir compromissos voluntários.
- Identificar e avaliar regulamentos relevantes. A interpretação consistente entre as jurisdições é crítica. New laws must be systematically analyzed for relevance and impact to adequately prioritize responses. Consistent interpretation across jurisdictions is critical.
- Desenvolva padrões internos. É fundamental desduplicar, agregar e simplificar os requisitos. Translating regulations into clear, actionable internal standards is vital for product and engineering teams to respond to the requirements efficiently. It is critical to de-duplicate, aggregate, and simplify the requirements.
- Criar e atualizar controles. A melhor maneira de fazer isso é projetar novos produtos - e até a arquitetura tecnológica da empresa - com a conformidade em mente. Certos controles precisam de padrões uniformes (como autenticação e controles de dados). Outros são mais personalizados e requerem treinamento para equipes de produtos e engenharia. Sempre que possível, os testes devem ser automatizados ou substituídos por feeds de dados ao vivo de controles automatizados. Turning standards into reality requires implementing effective controls across the organization. The best way to do this is by designing new products—and even the firm’s tech architecture—with compliance in mind. Certain controls need uniform standards (such as authentication and data controls). Others are more bespoke and require training for product and engineering teams.
- Monitor and test controls. Regular testing ensures that controls function as intended, using techniques like white-hat testing. Where possible, testing should be automated or replaced by live data feeds from automated controls.
- Seja claro sobre qual risco é aceitável. Isso impede novos debates sobre os níveis de risco de manter o desenvolvimento do produto. Empresas que não investiram em uma função holística de conformidade precisam recuperar o atraso e garantir que estão levando em consideração todas as leis e regulamentos importantes. As habilidades em suas equipes jurídicas atuais não serão suficientes. Isso inclui ferramentas para rastrear controles, testes e incidentes para garantir que os funcionários possam gerenciar efetivamente o risco de conformidade.
These strategies ensure that new products are compliant at release and stay compliant over time. Companies that have not invested in a holistic compliance function need to catch up and make sure that they are taking all key laws and regulations into account.
The Idea in Action
Tech firms are learning—as many other regulated companies already have—that they must build multiple compliance teams: a centralized enterprise team to lead the strategy and business-aligned teams to integrate compliance into daily operations. The skills in their current legal teams will not be sufficient.
Tech firms also need to build the appropriate systems. These include tools to track controls, testing, and incidents to ensure that employees can effectively manage compliance risk.
Compliance capabilities have to be integrated into a tech company’s thinking, which is not easy.
A cultura também precisa mudar. Os recursos de conformidade devem ser integrados ao pensamento de uma empresa de tecnologia, o que não é fácil. A mudança começa com uma abordagem proativa para Gerenciamento de riscos e forte apoio da liderança à conformidade. As empresas de tecnologia devem impedir que os processos de conformidade burocrática sufocam a inovação. Isso requer uma cultura em que o risco não é mais o problema de outra pessoa; A equipe deve identificar e abordar proativamente os problemas em potencial. Essa jornada geralmente leva de dois a quatro anos para ser concluída, mas as empresas que navegam com sucesso evitam armadilhas legais e obtêm uma vantagem competitiva significativa. Aqueles que não conseguem fazer isso correm a distração de consultas regulatórias, mudanças de produtos forçados, ações judiciais e multas. Atuar agora permite que você se concentre no que todas as empresas de tecnologia precisam-innovation. Inscreva -se
Compliance works best if the whole company buys into it, understanding that the organization needs a social license to operate. This requires a culture where risk is no longer someone else’s problem; staff should proactively spot and address potential problems.
If You Do Nothing Else
Build a modern compliance program that supports rather than hinders change. This journey often takes two to four years to complete, but companies that successfully navigate it will avoid legal pitfalls and gain a significant competitive advantage. Those that fail to do so risk distraction from regulatory inquiries, forced product changes, lawsuits, and fines. Acting now lets you focus on what all tech firms need—innovation.
The authors thank Bernhard Gehra and Matthew Barton for their invaluable contributions.
