24 de fevereiro de 2022

Pensando em segurança e privacidade na gestão de produto

A partir de agosto de 2021, tivemos a entrada em vigor total da Lei Geral de Proteção de Dados (LGPD), incluindo o capítulo que abrange a aplicação de sanções pela Autoridade Nacional de Proteção de Dados (ANPD) contra empresas que não se adequarem à pauta.

Com isso, o que já era um movimento tímido no país, passou a virar uma verdadeira corrida por adequação por parte das empresas, no que diz respeito ao tratamento de dados pessoais em seus produtos e serviços.

Na gestão de produto não é diferente. Com o foco em Product Analytics ficando cada vez mais forte, como pensar na gestão e desenvolvimento de produtos que integrem conceitos de segurança e privacidade desde sua concepção? 

Dá retorno investir em segurança e privacidade?

Quando falamos sobre ROI (Return of Investiment) é praticamente impossível que qualquer pessoa pense em investimentos relativos a cibersegurança e privacidade. Ocorre que, embora sejam temas muitas vezes longe da atenção das empresas, já é comprovado que um bom plano preventivo, com ferramentas e mecanismos efetivos no cumprimento da legislação vigente e que garantam a proteção em todo o ciclo de tratamento de dados pessoais nos produtos, geram uma economia considerável em relação a multas, processos judiciais e danos à imagem da marca.

De acordo com o “Relatório do Custo de uma Violação de Dados 2021” da IBM, que contou com mais de 500 organizações globais em 17 países, o custo médio de uma violação de dados é de US $4,24 milhões, desde a detecção até a resposta pós-violação.

O estudo “Cisco Data Privacy Benchmark Study”, divulgado em janeiro de 2020, revelou que, a cada US $1 investido, o ROI da proteção de dados em média no mundo seria de US $2,7. Ou seja, um retorno percentual é de 270%. Aproximadamente 70% das organizações entrevistadas nesse estudo dizem que obtiveram benefícios comerciais a partir do investimento em privacidade. Entre eles, estão mais agilidade, maior vantagem competitiva, maior atratividade para os investidores e maior confiança por parte do cliente final.

Gráfico retirado do relatório do custo de uma violação de dados 2021 da IBM

Privacy by Design


Privacy by Design é um dos conceitos fundamentais a ser compreendido e adotado numa gestão de produtos preocupada com a proteção de dados pessoais. Foi trazido há tempos por Ann Cavoukian, pesquisadora e ativista da proteção de dados em Ontário – Canadá, para abordar os efeitos cada vez maiores das tecnologias de informação e comunicação na nossa privacidade. É um conceito inclusive expressamente abordado no artigo 25 da General Data Protection Regulation (GDPR), da União Europeia.

Embora não nos dê passos práticos, consiste basicamente em 7 princípios norteadores para que o desenvolvimento de um produto tenha a questão da privacidade pensada em todas as etapas desde o início, como algo intrinsecamente relacionado a ele.

7 princípios do Privacy by Design para segurança e privacidade em produto
7 princípios do Privacy by Design

Privacy by Default

Tão relevante quanto o anterior, o Privacy by Default já se apresenta como um conceito mais operacional. Diz respeito à adoção da proteção de dados e segurança da informação como padrão em absolutamente todos os processos e atividades desenvolvidos por uma empresa.

É por esse conceito que se subentende que uma empresa que preza por privacidade é uma empresa que adota e comprova definições de medidas de segurança adequadas, bem como técnicas e procedimentos organizacionais a serem aplicados de forma padronizada e constante, inclusive na área de produtos.

Como aplicar no desenvolvimento de produtos

É inegável que tais conceitos ultrapassam a gestão de produto numa empresa, devendo integrar-se à cultura organizacional numa visão macro, que deve abranger todas as etapas e processos internos. Entretanto, como Product Owner sempre levo comigo alguns conhecimentos pautados na LGPD e nos conceitos acima:

Respeitar a privacidade do usuário

Ainda no Product Discovery, é importante pensarmos e mapearmos como o usuário vai interagir com o produto e quais dados ele vai dispor. É fundamental que a coleta dos dados ocorra na menor quantidade possível, isto é, que sejam coletados apenas os dados estritamente necessários para finalidade a que são propostos, e que essa finalidade consiga ficar clara ao titular.

É fundamental a adoção de algumas funcionalidades e comunicação de certas informações, por meio de Termos de Uso e Política de Privacidade, bem como aviso de uso de Cookies.

Compliance

É importante que o backlog esteja alinhado e com adequação à legislação de proteção de dados existente, sendo ela hoje principalmente (mas não exclusivamente) representada pela Lei Geral de Proteção de Dados – LGPD no Brasil.

A lei é clara: tratamento de dados é qualquer ação/verbo que envolva dados pessoais. Ou seja, da mera coleta à distribuição ou compartilhamento. Havendo tratamento de dados é obrigatório que se enquadre em pelo menos uma das bases legais previstas no Art.7º. Nessa hora um bom alinhamento com o departamento jurídico da sua empresa é indispensável.

Design e desenvolvimento

Em termos técnicos e junto ao mapeamento de adequação, devem ser adotados desde o princípio os mais fortes padrões de segurança possíveis para o produto. No design, é importante que sejam priorizadas interfaces simples de entender e usar quanto ao controle e visualização pelo usuário de seus dados pessoais.

Impacto no time de Produto


Por fim, é importante termos em mente que nossa atuação tem total impacto em como a questão da proteção de dados será vista e lidada em todo ciclo de vida de um produto. Não apenas devemos nos aprofundar na temática específica de cada produto, mas em como nosso produto pode interferir na privacidade dos usuários finais, principalmente quando falamos de tecnologia.

Algumas últimas sugestões concretas para POs, PMs, Analistas de Produto, etc.:

  • Defender a condução de avaliações periódicas de proteção de dados pessoais no nosso produto, desde o início. Além de, com isso, manter um nível adequado de atualização dos termos de uso e políticas de privacidade, investindo em formas de compreensão e simplificação das informações, como Visual Law e Legal Design;
  • Defender a criação e manutenção de uma política interna de exclusão de dados pessoais, principalmente aqueles que não têm mais uso ou não mais detém de base legal (ex: quando o usuário pede exclusão de seus dados, finalização de sua conta, etc);
  • Pensar que transparência (quanto a tratamento de dados pessoais) deve ser um pilar de todo produto. Quanto mais clareza e controle o usuário tiver sobre suas informações, melhor.

Referências sobre o assunto:

Confira outros conteúdos essenciais para PMs:

Autoria de:

Você também pode gostar de ler