Ao construir uma casa, é necessário pensar na qualidade dos tijolos desde o início do projeto. Antes disso, é preciso nivelar o terreno e fincar estacas firmes para garantir a solidez das paredes e muros. Depois de finalizada a obra, ainda existe uma camada de segurança que pode ser adicionada, tanto física quanto digital, como grades de ferro e sistemas de alarme, mas esses itens de nada serviriam se o terreno tivesse buracos ou as paredes não suportassem o telhado. Quando se trata de produtos e serviços é a mesma coisa: é fundamental refletir sobre os requisitos e incorporar medidas de segurança desde a concepção e durante todo o ciclo de desenvolvimento do mesmo.
A descrição acima está relacionada com “Security by Design”, um conceito que consiste na adesão e integração de medidas de proteção já no estágio de idealização de um produto ou serviço, com o objetivo de reduzir riscos cibernéticos e criar soluções adequadas às necessidades dos usuários. Se considerarem todo retrabalho e investimentos necessários para correção de falhas (bugs), os líderes das corporações começarão a entender que investir em segurança desde a concepção do software compensa, afinal, consertos e ajustes acabam custando mais caro e, em alguns casos, sendo menos eficazes. Além da economia financeira, essa abordagem contribui para redução de possíveis danos mediante um ataque, inclusive aqueles que possam comprometer a imagem das organizações.
Baseada na regulação europeia, a brasileira Lei Geral de Proteção de Dados Pessoais (LGPD), nº 13.709/18, traz a tona outros dois princípios importantes para o consumidor final: “Privacy by Design” e “Privacy by Default”. O primeiro convida toda equipe de criação e desenvolvimento a refletir sobre a importância da privacidade do usuário, o que garante que o produto final respeitará isso como valor fundamental. Já o segundo princípio coloca a privacidade dos usuários em primeiro plano e determina que, caso este não tenha escolhido se dá ou não permissão do uso de seus dados, subentende-se, por via de regra, que o uso está desautorizado.
A lei entrou em vigor em setembro de 2020, mas suas sanções passarão a valer em agosto de 2021. Para as empresas, isso significa um aumento de responsabilidade sobre o tratamento de dados pessoais, pois devem garantir sua integridade, confidencialidade e disponibilidade, sendo que a última interfere diretamente na experiência do usuário. Surge no horizonte o princípio da minimização dos dados, que prevê que se o dado não atende ao tratamento proposto, mantê-lo é um risco desnecessário para as organizações. Além disso, o emprego da minimização de dados torna a experiência melhor para o usuário, que passa a fornecer menos informações.
Com a LGPD, torna-se essencial a transparência sobre todo o ciclo de vida do dado pessoal. Chegou o momento de convidar à mesa de desenvolvimento de projetos os especialistas em segurança e privacidade, que poderão garantir a governança do produto ou serviço prestado desde sua base. A tecnologia entra como um aliado fundamental na gestão de processos que podem ser automatizados ou verificados sistematicamente, facilitando o cumprimento das leis.
Como é habitual no Brasil, a maior parte das empresas só começará a se preocupar com a governança dos dados quando sentirem impacto nos bolsos, o que custará muito caro, pois será necessário adequar tecnologias e educar funcionários de todos os setores. Tudo isso demanda tempo e investimento não apenas na adequação de processos e aquisição de tecnologias, mas principalmente para o desenvolvimento de uma nova cultura. Certamente, ganharão destaque empresas que já estão investindo em segurança e privacidade e que, por consequência, respeitam os direitos dos seus clientes.
Leonardo Lemes, sócio-diretor da Service IT.