No Brasil pós LGPD as organizações deverão adotar processos para atender aos titulares dos dados. Esses titulares, uma vez legitimamente empoderados deliberarão sobre o destino dos seus dados, custodiados pelas organizações que os utilizam sob os mais diversos pretextos.
Pode parecer simples, mas não se engane! Isso exigirá protocolos e processos afiados no que diz respeito ao diálogo com titulares e outros membros do ecossistema surgidos juntamente com o ambiente de proteção à privacidade promovido pelas leis. Mais que protocolos “afiados” para manter a fluidez do diálogo, esses processos deverão ser efetivos quanto ao acatar a vontade dos respectivos titulares. Por esse motivo desdobramentos no âmbito tecnológico serão inevitáveis. Para que você tenha ideia do tamanho do esforço vamos ver o que os artigos 17 e 18, ambos dispostos no capítulo III da LGPD, nos diz a respeito:
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Definitivamente não é simples! As ações descritas no rol do artigo 18 podem trazer grande dor de cabeça para as organizações, diante da prontidão exigida pela Lei e frente ao desejo imediato do titular. Nesse cenário podemos enfrentar, além da adequação de processos, que talvez, não seja eficaz hoje para tratar o trivial da TI na organização em iterações semelhantes, sérias questões relacionadas à barreiras técnica presente em legados e não adequadas (em alguns casos não adequáveis) para a nova realidade. Quer ver um exemplo muito simples? Diante de uma solicitação (realizada por um titular) que exige ser esquecido pela organização, todos os dados pertinentes aquela pessoa deverá, desde que não exista nenhuma ressalva legal (ex.: fisco, trabalhista, previdenciário e etc.) ser varrido da infraestrutura informacional da organização. Definitivamente o titular espera não ver seus dados figurando em nenhum sistema ou assemelhado naquela organização e deve ser atendido. Árdua tarefa! Imaginem um backup deixado de lado ou o fluxo de dado não considerado no mapeamento e que retorna ou exibe os dados de um titular que exige o tal direito ao esquecimento? Entendeu a complexidade da discussão? Outros aspecto que remete o inciso II do artigo 18: questões relacionadas a disponibilidade passam a ser relevantes para manutenção da conformidade (energia e refrigeração por exemplo).
Algo é certo: a organização deve adequar seus processos de atendimento para colher de maneira competente as solicitações apresentadas pelos titulares, independentemente da relação que existe. Diante do exposto cabe ressaltar que poderá ser inexequível conduzir essa tratativa por processos rudimentares e é necessário preparar a organização para isso, lançando mão de ferramentas, adequação de processos, protocolos e scripts e treinamento dos envolvidos.
Tratar além do relatado acima resolve parte do desafio, ainda é preciso conferir exequibilidade para o tratamento das diretrizes apresentadas no artigo 18 por meio da criação de mecanismos que permitam a aplicação dos mesmos nas soluções da TI quando requeridos. Contudo, para que isso ocorra é necessário interromper a produção de artefatos não adequados (ou não conformes) com a nova realidade apresentada pela Lei e conceitos como PbD. Nesse quesito as organizações precisam romper com a criação de débitos de conformidade (produtos digitais não aderentes à Lei). A produção de processos, sistemas e soluções tecnológicas (mesmo após 14 de agosto de 2018) que não refletem os princípios preconizados pela LGPD ainda é uma realidade nas organizações desatentas e com isso novos passivos regulatórios são introduzidos no ambiente tecnológicos, e precisarão de resolução brevemente.
Dono do Produto e Dono do Processo (Product Owner e Process Owner)
Frente a essa “novidade” é importante estabelecer quem são os “donos dos produtos digitais” e os “donos dos respectivos processos” se ainda não tiver sido definido na organização. As soluções devem possuir proprietários de carne e osso, com nome e CPF afim de que esses respondam não só pela evolução dos mesmos, mas também pelos aspectos relacionados à privacidade da informação. Dado esse primeiro passo, é importante que os respectivos “owners” se coloquem “nos sapatos” do titular dos dados e exercitem sobre as possibilidades de, maneira abrangente, uso e as solicitações que poderão surgir, tal como a portabilidade dos dados, por exemplo. Nesse exercício é importante tomar como referência a abrangência que o verbo tratamento ganha em virtude da redação da Lei e também as diretrizes apresentadas no artigo 18. Repare que até esse ponto não estamos falando de requisitos não funcionais relacionados à segurança da informação, mas tão somente sobre o titular, enquanto usuário das soluções e processos da organização interagindo sobre os dados que são de sua propriedade.
Reforço o mantra: a produção de débitos regulatórios nas soluções tecnológicas tem que parar!
Geração e captura do conhecimento
Não basta somente exercitar com os respectivos “owners”, mas essa proposição deve produzir conhecimento e elevar gradualmente a maturidade da organização. Recentemente mergulhei no Lean Inception para entender, na prática, como a proposta pode auxiliar no processo de ideação e discussão de soluções tecnológicas de maneira abrangente. Imediatamente associei o assunto a questão da privacidade da informação e a construção de soluções aderentes ao GDPR e LGPD. O Lean Inception é um conjunto poderoso de ferramentas que se propõe a auxiliar, ou melhor, guiar os envolvidos na construção daquilo que deve ser a compreensão inicial e evolutiva de um produto digital por meio de “camadas”. O MVP (Minimum Viable Product) deve buscar encantar seus utilizadores entregando funcionalidades relevantes de cada uma dessas camadas. O entendimento dessa jornada evolutiva pode ser favorecida com a adoção do Lean Inception, de modo que o desenvolvimento ocorre de modo assertivo trazendo na maior brevidade possível valor ao negócio.
E nesse espírito, sugiro que desde a concepção do produto digital os envolvidos se preocupem com a preservação da privacidade dos titulares no que diz respeito ao manuseio dos dados pela organização. Hoje, em tempos de lei de privacidade, além da porção “Uau!” buscado na construção do MVP (topo da pirâmide) é necessário considerar os riscos inerentes ao tratamento dos dados, sob pena, até mesmo, de sanções administrativas, tais como bloqueio e eliminação dos dados conforme redação contida no artigo 52 da LGPD.
A figura abaixo, foi adaptada do livro do Paulo Caroli “Lean Inception: Como Alinhar Pessoas e Construir o Produto Certo”, e nela indico que além das “camadas” sugeridas na obra a questão da conformidade com a LGPD seja observada de maneira diligente. Deve-se promover a discussão sobre qual aspecto da proteção de dados deve ser priorizado e abordado desde o início (como alicerce do MVP) e aplicado de acordo com a evolução do produto. Esse tratamento deve ser pautado pela racionalidade e equilíbrio e envolver, de maneira ampla, outras partes interessadas na discussão.
Nessa missão é importante que a organização desenvolva a prática do PIA (Privacy Impact Assessment), e compreenda quais elementos, sob a luz do risco, devem ser agilizados a fim de atender pontos de maior exposição ou relevância. Abaixo link com material que contém maiores detalhes sobre o PIA:
Lançar mão das ferramentas do Lean Inception agregará a discussão sobre a relação do titular dos dados com a solução idealizada na organização. Isso certamente manterá a aderência com a Lei e evitará a introdução de débitos técnicos relacionados ao regulatório vigente. As ferramentas certamente incluirão rodadas para:
- construção da visão de produto;
- criação das personas (utilizados envolvidos);
- questões de UX e negócio;
- sequenciamento de funcionalidades;
- jornada dos usuários (personas);
- esboço do MVP.
A criação de personas se revela extremamente poderosa no auxílio de compreender o titular enquanto usuário e suas iterações. E nesse momento, eu sugiro o seguinte: que tal criar personas que revelem as intenções de alguém que está a espreita para explorar ameaças? Isso mesmo. Que tal criar uma persona para o hacker! Esse recursos certamente além de agregar nos aspectos de construção de funcionalidades também agregará na alimentação da discussão sobre adoção de contra medidas, criando um produto digital mais robusto e resiliente a ataques.
Colaboração e envolvimento
Para que esse objetivo seja alcançado, relaciono abaixo algumas dicas relevantes para condução dessa atividade:
- Para que haja êxito, é imprescindível juntar as pessoas certas nessa discussão. Não deixe ninguém de fora! Faça uma lista de envolvidos veja e reveja se alguém foi esquecido.
- Construa um ambiente propicio ao debate e troca de ideias e exerça o papel de facilitador. Não interfira com suas convicções a respeito dos temas debatidos.
- Construa cenários que partam da experiência dos titulares além do uso da solução pretendida. Pense na rotina dos titulares. Como por exemplo, como começam o dia, desenvolvem atividades rotineiras e, é claro, passando pela experiência na utilização das soluções e processos.
Espero que o artigo desperte o interesse dos leitores no assunto e que seja elemento indutor do tema na concepção do MVP a fim de evitar a criação de produtos digitais que não contemplam as questões de PbD (Privacy by Design) ou acolhem as diretrizes apresentadas na legislação. Em breve titulares estarão “batendo na porta” das organizações exigindo seus direitos e não bastará apenas termos processos para acolher tais solicitações. A empresa deverá fornecer o tratamento adequado para as possibilidades surgidas na redação do artigo 18 da LGPD e apresentar evidências, quando requerido. Será que tudo que produzimos desde agosto de 2018 até hoje está preparado para essa nova realidade?Denunciar
AUTOR: Alexandre Prata – CISSP, MBA, ITIL Expert, COBIT, LGPD e GDPR Executivo Sênior TI, Segurança Informação, Cyber Security, Privacidade e Proteção de Dados, GSTI e Estratégia/Processos
FONTE: LINKEDIN