Tópico cabuloso, polêmico. Tem data fixa (16/08/2020). O “valor” para o usuário final é “questionável”. Será que a gente consegue entregar um projeto assim usando, por exemplo o Scrum? Ou voltamos para o tradicional waterfall?

Antes de responder à pergunta principal, acho importante pontuar a minha interpretação de valor. Como cita o artigo do Robbin Schuurman (1), valor é algo variável. Neste caso do LGPD, estamos protegendo a empresa de multas e oferecendo transparência e controle ao titular do dado.

Olhando desta forma, a nossa definição de valor já começa a tomar mais sentido do que simplesmente uma adequação burocrática. O “questionável” do primeiro parágrafo também pode ser riscado porque o foco da LGPD está, justamente, no usuário titular dos dados. Na proteção dos seus dados. O usuário é a razão da lei.

Fazendo uma breve pausa, para executar o projeto de adequação, será necessário envolver as áreas de negócio (incluindo revisão dos processos), de TI e jurídico, sendo a implementação das medidas corretivas também multidisciplinar. Cada personagem, em sua área de conhecimento, terá um papel crítico na identificação das atividades necessárias assim como na correção e validação dos gaps.

“Mas Alexandre… de onde veio a ideia de sugerir o waterfall para a condução de um projeto deste porte?” 

 Antes da execução propriamente dita, de acordo com meu ponto de vista, será necessário todo um trabalho de preparação. Entender como a sua organização opera e trata os dados em seu poder. Quais são os pontos de coleta e compartilhamento. Para daí então fazer seu gap analysis e tratar os problemas individualmente.

Assim, aqui temos um projeto de escopo fechado, com data definida e partes interessadas identificadas. Um projeto onde os requerimentos estão previamente definidos e com baixa volatilidade.

“Mas precisamos voltar ao waterfall??” 

Não.

Respondendo à pergunta original do artigo, acredito que podemos lidar com o LGPD dentro de um projeto ágil. Na minha visão, em um projeto de conformidade deste tipo, teremos:

  • Um backlog potencialmente priorizado pelos itens que oferecem um maior risco (maior exposição) ou itens que representem dependências para outros projetos e outros times;
  • Um trabalho adicional de envolvimento dos peers para definição das atividades, prioridades e esclarecimento de dúvidas e sugestões do time – inclusive com interações mais frequentes com estes personagens, não limitado às cerimônias;
  • Uma atenção especial à Gestão de Riscos e envolvimento da gestão neste processo;
  • Ter uma transparência extrema e troca de informação constante com outros times que participam do processo de adequação. Seja para tratar de dependências como para definir estratégias e abordagens para determinados problemas.

Podemos entregar os ajustes continuamente, antes do prazo.

Este artigo do ISACA traz um estudo de caso bem interessante sobre como é possível mapear controles da GDPR (versão européia da LGDP e regulamentação na qual a LGPD foi baseada) em user stories e tasks: https://www.isaca.org/Journal/archives/2018/Volume-2/Pages/complying-with-gdpr.aspx . Peço atenção já que alguns itens demonstrados no artigo estão sob copyright dos autores ou instituições.

Já este autor, Ruud Van Driel, sugere algo interessante: A implementação de testes de segurança em diversos momentos do processo de entrega de software bem como a implementação de pontos de aceitação de riscos pelo PO – https://www.linkedin.com/pulse/agile-scrum-gdpr-ruud-van-driel-cissp/ . Neste artigo, ainda pude aprender um pouco sobre o conceito de S-Scrum e Secure Scrum! Você pode ver mais sobre o tema no artigo da IT World (2).

Um ponto que acho importante ressaltar. O manifesto ágil traz o seguinte valor:

Working software over comprehensive documentation 

Lembre-se de, ao desenvolver sua estratégia de adequação, que você pode ser cobrado em comprovar seus controles e medidas de proteção. Certas documentações precisarão ser geradas e não serão menos importantes que os ajustes de software propriamente dito.

Assim, para finalizar, podemos conduzir o processo de adequação seguindo diferentes modelos e princípios em gestão de projetos. Use aquilo que for melhor para sua organização e que faça sentido para seu time!

Caso queria ler um pouco mais sobre a LGPD, tenho este outro artigo publicado sobre o tema: A LGPD está chegando e ela pode ser boa para seu negócio – https://www.linkedin.com/pulse/lgpd-est%C3%A1-chegando-e-ela-pode-ser-boa-para-o-seu-neg%C3%B3cio-antabi/

 E você, já começou a dar os primeiros passos? Já tem seu backlog criado? Caso precise de um auxílio, acesse a página da Macher Tecnologia https://www.machertecnologia.com.br ou através dos meus contatos aqui do LinkedIn.

 

Referências: 

(1) https://www.scrum.org/resources/blog/10-tips-product-owners-business-value

(2) https://www.itworld.com/article/2956152/how-secure-scrum-can-help-you-build-better-software.html

 

Se interessou pelo tema? 

* Este material não tem como objetivo oferecer consultoria, recomendação, direção ou aconselhamento de qualquer tipo. Não oferece quaisquer garantias de acurácia, completude ou conformidade. Para uma análise especializada e adequada à sua necessidade, por favor entre em contato. 

Solicite um contato personalizado em https://www.machertecnologia.com.br/contact/