Tópico cabuloso, polêmico. Tem data fixa (16/08/2020). O “valor” para o usuário final é “questionável”. Será que a gente consegue entregar um projeto assim usando, por exemplo o Scrum? Ou voltamos para o tradicional waterfall?
Antes de responder à pergunta principal, acho importante pontuar a minha interpretação de valor. Como cita o artigo do Robbin Schuurman (1), valor é algo variável. Neste caso do LGPD, estamos protegendo a empresa de multas e oferecendo transparência e controle ao titular do dado.
Olhando desta forma, a nossa definição de valor já começa a tomar mais sentido do que simplesmente uma adequação burocrática. O “questionável” do primeiro parágrafo também pode ser riscado porque o foco da LGPD está, justamente, no usuário titular dos dados. Na proteção dos seus dados. O usuário é a razão da lei.
Fazendo uma breve pausa, para executar o projeto de adequação, será necessário envolver as áreas de negócio (incluindo revisão dos processos), de TI e jurídico, sendo a implementação das medidas corretivas também multidisciplinar. Cada personagem, em sua área de conhecimento, terá um papel crítico na identificação das atividades necessárias assim como na correção e validação dos gaps.
“Mas Alexandre… de onde veio a ideia de sugerir o waterfall para a condução de um projeto deste porte?”
Antes da execução propriamente dita, de acordo com meu ponto de vista, será necessário todo um trabalho de preparação. Entender como a sua organização opera e trata os dados em seu poder. Quais são os pontos de coleta e compartilhamento. Para daí então fazer seu gap analysis e tratar os problemas individualmente.
Assim, aqui temos um projeto de escopo fechado, com data definida e partes interessadas identificadas. Um projeto onde os requerimentos estão previamente definidos e com baixa volatilidade.
“Mas precisamos voltar ao waterfall??”
Não.
Respondendo à pergunta original do artigo, acredito que podemos lidar com o LGPD dentro de um projeto ágil. Na minha visão, em um projeto de conformidade deste tipo, teremos:
- Um backlog potencialmente priorizado pelos itens que oferecem um maior risco (maior exposição) ou itens que representem dependências para outros projetos e outros times;
- Um trabalho adicional de envolvimento dos peers para definição das atividades, prioridades e esclarecimento de dúvidas e sugestões do time – inclusive com interações mais frequentes com estes personagens, não limitado às cerimônias;
- Uma atenção especial à Gestão de Riscos e envolvimento da gestão neste processo;
- Ter uma transparência extrema e troca de informação constante com outros times que participam do processo de adequação. Seja para tratar de dependências como para definir estratégias e abordagens para determinados problemas.
Podemos entregar os ajustes continuamente, antes do prazo.
Este artigo do ISACA traz um estudo de caso bem interessante sobre como é possível mapear controles da GDPR (versão européia da LGDP e regulamentação na qual a LGPD foi baseada) em user stories e tasks: https://www.isaca.org/Journal/archives/2018/Volume-2/Pages/complying-with-gdpr.aspx . Peço atenção já que alguns itens demonstrados no artigo estão sob copyright dos autores ou instituições.
Já este autor, Ruud Van Driel, sugere algo interessante: A implementação de testes de segurança em diversos momentos do processo de entrega de software bem como a implementação de pontos de aceitação de riscos pelo PO – https://www.linkedin.com/pulse/agile-scrum-gdpr-ruud-van-driel-cissp/ . Neste artigo, ainda pude aprender um pouco sobre o conceito de S-Scrum e Secure Scrum! Você pode ver mais sobre o tema no artigo da IT World (2).
Um ponto que acho importante ressaltar. O manifesto ágil traz o seguinte valor:
Working software over comprehensive documentation
Lembre-se de, ao desenvolver sua estratégia de adequação, que você pode ser cobrado em comprovar seus controles e medidas de proteção. Certas documentações precisarão ser geradas e não serão menos importantes que os ajustes de software propriamente dito.
Assim, para finalizar, podemos conduzir o processo de adequação seguindo diferentes modelos e princípios em gestão de projetos. Use aquilo que for melhor para sua organização e que faça sentido para seu time!
Caso queria ler um pouco mais sobre a LGPD, tenho este outro artigo publicado sobre o tema: A LGPD está chegando e ela pode ser boa para seu negócio – https://www.linkedin.com/pulse/lgpd-est%C3%A1-chegando-e-ela-pode-ser-boa-para-o-seu-neg%C3%B3cio-antabi/
E você, já começou a dar os primeiros passos? Já tem seu backlog criado? Caso precise de um auxílio, acesse a página da Macher Tecnologia https://www.machertecnologia.com.br ou através dos meus contatos aqui do LinkedIn.
Referências:
(1) https://www.scrum.org/resources/blog/10-tips-product-owners-business-value
(2) https://www.itworld.com/article/2956152/how-secure-scrum-can-help-you-build-better-software.html
Se interessou pelo tema?
- Busque um de nossos treinamentos em https://www.machertecnologia.com.br/catalogo-de-treinamentos/ . Somos um centro autorizado para aplicação de exames EXIN e oferecemos a certificação PDPE (Privacy and Data Protection Essentials) com foco na LGPD.
- Quer entender o que é a LGPD? Acesse nosso artigo “O que é a LGPD?” – https://www.machertecnologia.com.br/o-que-e-a-lgpd/
- Leia nosso artigo: “A LGPD está chegando e ela pode ser boa para seu negócio!” – https://www.machertecnologia.com.br/blog-a-lgpd-esta-chegando-e-ela-pode-ser-boa-para-seu-negocio/
- Leia nosso artigo: “O que é data minimization, ou minimização de dados?” –
- Acesse a íntegra da Lei Geral de Proteção de Dados: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
* Este material não tem como objetivo oferecer consultoria, recomendação, direção ou aconselhamento de qualquer tipo. Não oferece quaisquer garantias de acurácia, completude ou conformidade. Para uma análise especializada e adequada à sua necessidade, por favor entre em contato.
Solicite um contato personalizado em https://www.machertecnologia.com.br/contact/