O desenvolvimento de um produto ou serviço deve cuidar de questões relevantes no contexto de privacidade

“Mesmo as leis bem ordenadas são impotentes diante dos costumes“ — Nicolau Maquiavel 1469 – 1527.

As montadoras hoje não entregam um carro sem sistema de freios, espelhos retrovisores, ABS, airbags frontais, materiais internos não inflamáveis, dentre outros. Muitos destes não eram itens de série nos veículos há 40 anos ou não tinham seu uso aplicado em massa. Dentro do contexto da época, muitos destes itens eram considerados dispensáveis, na perspectiva do fabricante e dos proprietários. As estatísticas do trânsito demostram hoje o quão importante são.

A economia de dados e toda a revolução que ela provocou nos últimos 10 anos segue um caminho similar. E essa travessia vem enlouquecendo todo o mercado – de grandes players de tecnologia a startups –  pois escancara os gaps que existem hoje em seus produtos (ou em sua implementação), do ponto de vista de segurança da informação e privacidade de dados.

GDPR e LGPD são movimentos naturais que surgiram para direcionar e trazer o equilíbrio necessário entre inovação e proteção de dados. A necessidade destas leis é inquestionável. Porém, não há lei que traga sozinha resultados efetivos caso não haja disrupção na forma de como o desenvolvimento de produtos e soluções hoje tratam o tema de cybersecurity e privacidade de dados pessoais. Vale a provocação aqui de que uma plataforma ou um app, por mais cool and inspiring que seja, não sobrevive ileso a um vazamento de dados ou abuso na utilização destes. Privacidade pode não ser relevante no MVP de uma startup, porém, será essencial com a ampliação da base de clientes.

Privacy by Design é uma abordagem elaborada na década de 1990 por Ann Cavoukian, na época responsável pelo Gabinete de Informação e Privacidade do estado de Ontário/Canadá. A GDPR dedica o capítulo 25 inteiro ao tema de Privacy by Design. Curiosamente, este é um dos capítulos mais generosos da GDPR no sentido de prover direcionamento e recomendações ao mercado.

Menção feita pela autoridade de proteção de dados da Europa (ICO – Information Commissioner’s Office) sobre Privacy by Design: “Em essência, isso significa que você precisa integrar a proteção de dados em suas atividades de processamento e práticas de negócios, desde a concepção e por todo o ciclo de vida dos dados. Privacy by Design envolve considerar antecipadamente proteção de dados e privacidade em tudo que você faz. Contribuirá para a conformidade com os princípios e requisitos fundamentais do GDPR e demonstra comprometimento efetivo com o tema.”

Independentemente do método que a sua tribo utilize – agile, scrum, kanban, squads, cascade, extreme go horse (!!) – o desenvolvimento de um produto ou serviço deve cuidar de questões relevantes no contexto de privacidade. Exemplos:

1. Natureza dos dados que serão coletados ou tratados (cadastrais, transacionais, sensíveis, dados de navegação e rastreamento);
2. O consentimento do cliente para o uso dos seus dados;
3. A transparência com o cliente sobre como os dados serão tratados e com quem serão compartilhados;
4. Personalização de campanhas de marketing e ofertas de produtos –  cuidados na seleção de público utilizando critérios ou algoritmos enviesados;
5. Controle de acesso aos dados;
6. Tracking do uso das informações (logs para monitoramento);
7. Proteção contra vazamento ou divulgação indevida.

Product owners, scrum masters, UX designers, gestores ou especialistas de negócio, arquitetos de dados, estatísticos, desenvolvedores, testadores, times de devops e equipes do ongoing – todos estes possuem papel específico na implementação de segurança e privacidade.

Privacy by Design baseia-se em 7 princípios:

1. Preventivo não reativo – a concepção, desenho e implementação são conduzidas contemplando requisitos para evitar incidentes de privacidade dados;
2. Privacidade como configuração padrão – o produto é entregue tendo suas configurações iniciais setadas com a adequada privacidade;
3. Privacidade embutida no design da solução – privacidade incorporada a modelos de negócio e arquitetura de sistemas, aplicações e bancos de dados;
4. Full Funcionallity (no zero sum) – abordagem win win – os requisitos de negócio igualmente balanceados com os requisitos de proteção dos dados;
5. End-to-End Security – medidas de segurança e privacidade são aplicadas em todo o ciclo de vida dos dados – da coleta, armazenamento, tratamento, processamento, uso e descarte;
6. Visibilidade e Transparência – cliente com visão clara de como o produto trata os seus dados pessoais. Uma política de privacidade de dados bem elaborada pode salvar uma empresa. Com isso, evitamos uma abordagem “Privacy Zuckering”, uma referência aos escândalos recentes de mau uso de dados;
7. Respeito pelo cliente – abordagem user-centric. Aqui está a alma do conceito de proteção dos dados pessoais dos cidadãos. A avaliação da user experience definitivamente passa pelo conforto que o cliente tem de que o produto zela pelos seus dados.

Privacy by Design confere um tom concreto e prático à jornada de implementação de compliance com a GDPR e LGPD. Provém um enfrentamento efetivo a impactos em processos de negócio, arquitetura de sistemas, banco de dados, nas práticas internas de segurança da informação e na forma como a empresa se relaciona com os seus clientes e parceiros.

E assim o baile seguirá nos deleitando com a deliciosa e instigante dança entre inovação e privacidade de dados, em harmonia.