Por Gustavo Babo
Semana passada, verificamos várias metodologias de privacidade e proteção de dados para serem aplicada no começo do desenvolvimento de novos produtos, serviços ou features. Se você ainda não conferiu, sugiro dar uma olhada antes de seguir com esse texto. A ideia do Privacy-Centered Design é justamente aplicar os interesses da área de privacidade e proteção de dados na concepção das tecnologias, de uma forma incorporada ao processo de desenvolvimento, evitando criar tarefas e gargalos mais radicais. Assim, constrói-se um fluxo e uma relação entre as áreas mais sólida, trabalhando privacidade como um parceiro de negócios e não só como uma obrigação.
A incorporação dessas ferramentas também pode ser utilizada para dar agilidade nas análises do time de privacidade, a fim de endereçar pontos antes não identificados ou resumir alguma situação. Independentemente, ainda é extremamente necessário o desempenho das funções da área de privacidade e proteção de dados em um trabalho mais profundo e detalhado, com o rigor técnico exigido para uma profissão de compliance.
Seguiremos o raciocínio e o fluxo de um hipotético Sprint. Agora, vamos abordar ferramentas inovadoras para gerir dinâmicas e obter insights relevantes em proteção de dados.
Vale lembrar que as metodologias a seguir não compõe necessariamente a estratégia de Privacy by Design, uma vez que são focadas nessas dinâmicas para obter insights para a área de proteção de dados, além dos relatórios e esforços já empregados pela área. 1) Brainstorm Reverso
A primeira metodologia é uma técnica de Brainstorm Reverso, para identificar problemas e soluções dentro de um novo produto ou na própria organização. A base dessa ferramenta é explorar a capacidade natural das pessoas de verem mais facilmente os problemas do que as soluções. Nesse caso, em vez de pedir a um grupo para debater ideias que funcionariam, o grupo discute sobre todas as maneiras pelas quais eles poderiam fazer com que um plano falhasse.
Dessa forma, pode ser mais fácil criticar e ver lacunas em um projeto, comparado quando os times se concentram apenas em definir uma estratégia para o sucesso. Depois que o grupo tiver essa lista, será possível examinar as situações concretas e encontrar maneiras de obter o efeito oposto para alcançar o sucesso. É uma técnica que trabalha fortemente a ideia da prevenção, um princípio da maioria das legislações de privacidade e proteção de dados.
Etapas para o Brainstorm Reverso: 1. Descreva o problema: Identifique o problema ou o desafio e defina-o com clareza. 2. Reverta o problema: Em vez de pensar nas soluções para o problema, tente questionar quais são as causas desse problema e o que motivaria ele acontecer. 3. Brainstorm reverso: Depois de citar quais são as causas do problemas, reverta novamente os insights, questionando como você pode obter o efeito oposto às causas do problema. 4. Descreva as soluções: Foque agora em tentar entender as possíveis soluções para as causas desse problema, utilizando as possibilidades levantadas na etapa anterior, em que você detalhou como pode evitar que as causas se materializem. 5. Identifique as soluções: Defina com o grupo quais das ideias de soluções descritas anteriormente, são possíveis e quais resolvem não só o problema inicial descrito, mas também as origens percebidas na etapa de reversão. Vocês conseguem enxergar uma potencial solução em comum?
Confira um exemplo simples da utilização do Brainstorm Reverso:
2) Declaração do Problema do Titular
A Declaração do Problema do Titular pode ser utilizada para compreender qual problema de privacidade e proteção de dados um usuário pode encontrar ao utilizar o seu produto. Entender a experiência do usuário é fundamental para aplicar salvaguardas de transparência ou alcançar outros requisitos legais, além de fazer parte da compreensão da sua expectativa.
A ideia da ferramenta é descrever as condições e a situação de um usuário, compreendendo o que eles sentem e como podem ser impactados. Isso aumenta a probabilidade de você desenvolver um produto dentro das expectativas do titular e que gere mais identificação com ele, entendendo as limitações e definindo soluções viáveis.
Etapas para a Declaração de Problema do Titular:
1. Eu sou: Defina quem é o seu titular. 2. Estou tentando: Descreva qual ação que ele está tentando fazer. 3. Mas: Cite o que pode estar impedindo ele de realizar essa ação. 4. Por que: Detalhe os motivos dele não estar conseguindo realizar suas intenções. 5. O que me faz sentir: Imagine quais sensações e impactos o titular pode ter ao falhar em executar essa ação.
Confira um exemplo simples da utilização da Declaração de Problema do Titular:
3) Privacy S.C.A.M.P.E.R O S.C.A.M.P.E.R é uma metodologia de brainstorm desenvolvido pelo Bob Eberle, na qual são realizados 07 questionamentos diferentes que guiam o time para visualizar um problema em diferentes perspectivas. Vamos utilizar uma adaptação e uma reinterpretação desses questionamentos para que seja possível identificar gaps em atividades de tratamento, além da análise técnica, legal e metodológica.
Questionamentos para o Privacy S.C.A.M.P.E.R:
1. Substituir: Questione se não existiria uma outra atividade de tratamento menos invasiva para atingir a mesma finalidade. É possível substituir todo o processamento ou ao menos parte dele?
2. Combinar: Como podemos combinar os interesses de privacidade com o desenvolvimento deste produto? Como ele pode auxiliar para que todos atinjam os seus objetivos?
3. Adaptar: Descubra se não existe uma maneira de apenas adaptar o produto que você já possui, sem adicionar novas atividades de tratamento. Avalie alternativas e prioridades.
4. Modificar: Pense em como você pode modificar o seu produto para atingir um melhor nível de compliance ou alcançar as expectativas dos titulares. Faça questionamentos como “podemos modificar o nosso produto, visando melhores práticas em privacidade, sem alterar os resultados esperados?”
5. “Put to another use”: Podem existir desvios de finalidade dos dados coletados? É possível explicar isso para o titular? Como ele vai ser impactado com isso? O que ele vai sentir em relação ao desvio? Quais as proteções e fundamentações legais?
6. Eliminar: Quais dados podem ser eliminados, anonimizados ou minimizados? Como podemos atingir o mesmo resultado, sem usá-los?
7. Reverter: O seu time pode rearranjar ou alterar alguma atividade de tratamento para obter um resultado melhor, sem passar pela área de privacidade? Quais as probabilidades de isso acontecer e como você pode evitar as consequências disso?
Na próxima semana, iremos continuar com a ferramenta Privacy SWOT Analysis.