Por Gustavo Babo Hoje vamos voltar a discussão sobre design de ferramentas e dinâmicas de privacidade. Se você perdeu a primeira parte, é só clicar aqui! 1) Privacy SWOT Analysis A Análise SWOT é uma ferramenta clássica para avaliar algumas questões de um projeto, como os pontos fracos e fortes, os diferenciais competitivos, os desafios e as ameaças. Vamos utilizar uma adaptação desse recurso, que pode ser utilizada basicamente em todo o programa de privacidade, não só para acompanhar o desenvolvimento de novos produtos.
Etapas para a Privacy SWOT Analysis: 1. Atividade ou projeto: Defina a atividade de tratamento, o projeto ou o produto que será analisado. 2. Pontos fortes: Indique quais os pontos fortes em relação aos interesses da área de privacidade e proteção de dados. 3. Pontos fracos: Indique quais são os pontos fracos em relação aos interesses da área de privacidade e proteção de dados. 4. Oportunidades: Descreva quais são as oportunidades dessa atividade ou desse projeto para o programa de privacidade, para empresa ou para o titular. 5. Ameaças: Descreva quais são as ameaças para a plena execução das intenções. 6. Estratégias para fazer com que as oportunidades sejam alcançadas pelos pontos fortes. 7. Estratégias para usar as oportunidades para minimizar os pontos fracos. 8. Estratégias para prevenir que as ameaças interfiram nos pontos fortes. 9. Estratégias para minimizar os danos quando os pontos fracos encontram-se com as ameaças. 10. Extraia as principais observações e os principais desafios encontrados. Elabora uma estratégia para trabalhar cada um dos pontos e insights gerados pel a aplicação do Privacy SWOT Analysis.
Confira um exemplo simples da utilização do Privacy SWOT Analysis:
2) “5 Why Analysis” O “5 Why Analysis” é uma ferramenta para ter uma melhor visualização das zonas cinzentas ou pontos desconhecidos de um problema ou risco, a fim de destrinchá-los e, por fim, partir para a adoção de salvaguardas mais específicas. A ferramenta auxilia, principalmente, a descobrir as causas primárias do problema, podendo então a equipe de privacidade tratar exatamente da raiz daquela situação, uma vez que cuidar apenas dos efeitos colaterais não é uma medida eficiente no longo prazo.
Com o 5 Why Analysis, é possível começar a compreender onde você deve focar mais energia, tentando identificar um “quick win’ e adotar uma salvaguarda de forma mais ágil e eficaz. Pode auxiliar também a identificar também um “privacy hack”, ou seja, uma vez que, para vários riscos e problemas analisados, uma mesma causa foi identificada, significa que essa causa é uma dor maior do que o esperado para o programa de privacidade e deve ser priorizada. É claro que tudo dependerá de uma análise contextual, mas as aplicações dessa ferramenta são tantas quanto a criatividade de quem a usa.
Confira um exemplo simples da utilização do Why Analysis logo abaixo. Note que um dos motivos principais da não realização do DPIA de uma atividade de tratamento de alto risco é muito distante do que poderia se imaginar previamente. Certamente, mais de uma causa primária é responsável por isso, o que indica a necessidade de se realizar múltiplas análises.
3) Análise R.D.T.
Quando é identificado um risco ou um problema, um dos maiores empecilhos para resolvê-lo é o fato que as pessoas conseguem visualizar muito melhor o problema do que as soluções. A Análise Risco, Desafio, Tarefa (RDT) consiste em tentar detalhar melhor as causas do problemas, de forma semelhante ao “Why Analysis” e, depois, convertê-los em desafios. Ao fazer isso, você consegue ter uma perspectiva melhor da solução, uma vez que altera a abordagem de “como eu posso mitigar esse risco?” para “quais os desafios que estão me impedindo de mitigar esse risco?”. Uma mudança sutil, mas que costuma aumentar a eficiência da análise de forma significativa.
Etapas para a Análise R.D.T: 1. Identificar o risco ou o problema. 2. Detalhar as causas, na tentativa de descobrir os motivos principais (“Why Analysis”). 3. Converter as causas dos problemas em desafios. Compreender o que não está deixando que esse problema seja resolvido ou o risco mitigado. 4. Definir as soluções para enfrentar cada um dos desafios descritos anteriormente. 5. Partir para um plano de mitigação, transformando as soluções em tarefas a serem cumpridas, através de um planejamento mais profundo e o estabelecimento de um cronograma. 6. Documentação dessa primeira esteira de resolução de problemas e mitigação de riscos. 7. Repetir o processo novamente, até que o máximo de riscos, problemas ou gaps sejam mitigados.
Vale lembrar que essa é uma estratégia simples. Pode ser necessário uma análise mais técnica e muito mais estruturada do que essas apresentadas no texto. Para as próximas semanas, vamos entrar com mais detalhes em cada um dos possíveis riscos relacionados à privacidade e proteção de dados e entender como outras ferramentas e metodologias podem auxiliar no controle e na mitigação.
Conclusão
Vale lembrar novamente que essas ferramentas não são “balas de prata”. Muito pelo contrário, todo o trabalho de um profissional de privacidade e proteção de dados para identificar, avaliar e mitigar riscos deve ser realizado com alta performance e dedicação. As ferramentas apresentadas nesse texto são apenas para facilitar o processo no desenvolvimento de novos produtos, em todas as etapas, utilizando metodologias colaborativas que podem ser implementadas por qualquer profissional, mesmo sem formação na área de privacidade e proteção de dados. Assim, as áreas podem convergir interesses, ganhar objetividade e agilidade. Juntamente com a construção de uma cultura, essas abordagens podem aumentar a eficiência dos programas de compliance como um todo, ao propor dinâmicas em equipe ou individuais para visualizar uma situação em diferentes perspectivas.
As metodologias também podem ser utilizadas exclusivamente pelos times de privacidade e proteção de dados que buscam gerar insights, resolver problemas ou criar processos mais interativos e eficientes, seguindo depois para uma análise técnica e crítica elaborada, aproveitando do que foi construído antes com as ferramentas. Uma última utilização seria após um trabalho de gestão de riscos ou construção de novos fluxos e estratégias, como uma espécie de reforço, na tentativa de compreender outras perspectivas de uma mesma situação.
Seguiremos nas próximas postagens, abordando um pouco mais de ferramentas para serem utilizadas na priorização de demandas, na busca por soluções e na construção de salvaguardas. Fiquem atentos e não se esqueçam de comentar, criticar sugerir, curtir e divulgar!