Sempre fui fascinado pela dicotomia semântica da frase de Fernando Pessoa, "Navegar é preciso, viver não é preciso" ao usar a palavra preciso com o significado de exatidão ou de necessidade. O autor aproveitou a frase do general romano Pompeu "Navigare necesse est, vivere non est necesse" que originalmente tinha um significado só. Dito isso, minimizar é preciso.
Minimizar está associado ao princípio da necessidade e é uma maneira de construir um contexto melhor para gerenciar os riscos por meio da redução da superfície de ataque.
Na dinâmica dos projetos de conformidade com a LGPD colecionei algumas dicas para minimizar:
- Incluir nos treinamentos o hábito de todos os usuários minimizarem o uso de dados pessoais em todos os repositórios: sistemas, interfaces, planilhas, papel, ...;
- Implementar um programa para reduzir ao máximo o uso de papel (há projetos de "zero papel" em algumas organizações;
- Implementar um programa para reduzir ao máximo o uso de dados pessoais em planilha;
- Orientar às equipes de BI para anonimizar ao máximo os dados pessoais utilizados nas análises;
- Orientar às equipes de desenvolvimento a reduzir o uso de dados pessoais ao mínimo necessário;
- Orientar às equipes de desenvolvimento a utilizar dados anonimizados nas bases de teste e homologação, principalmente ao compartilhar dados com prestadores de serviço;
- Fazer uma campanha de minimização estimulando aos usuários fazerem análise crítica dos formulários, interfaces e uso de dados pessoais. É possível fazer uma ótima dinâmica e a equipe de conformidade vai se surpreender com o quanto os usuários se interessam e têm boas ideias sobre este assunto;
- Levar o assunto à alta gestão para que haja uma avaliação crítica top-down, pode ter certeza que muitos gestores já se incomodaram com excesso de dados pessoais;
- Alinhar com o jurídico para reduzir ao máximo os dados pessoais dos signatários de contratos e outros documentos, assim como no fornecimento de dados pessoais em processos que ficarão disponíveis nos tribunais;
- Implementar cláusulas de minimização nos contratos;
- Implementar o Privacy by Design com avaliação crítica de minimização;
- Orientar as equipes de marketing no uso de dados pessoais em pesquisas, campanhas e divulgações;
- Implementar DLP para entender a circulação de dados pessoais por email e em arquivos;
- Alinhar com as áreas de controle (auditoria, controles internos, apuração, conformidade, ...) a minimização e anonimização no caso de custódia temporária de dados pessoais.
Minimizar não é simples, mas é engajável, pode ter certeza que, mesmo sem saber, sua organização tem diversos usuários, desenvolvedores, marketeiros, advogados, cientistas de dados, gestores, clientes, fornecedores e parceiros fortemente motivamos para a minimização, e isso pode trazer grandes benefícios para a conformidade com a LGPD.
Writer * Columnist * MA Creative Writing * Journalist * Teacher * TEDx Speaker * Consultant
4 mEsse título me pegou! Muito bom.
Ouvidor-Geral do Município de Palmas, Encarregado Geral de Proteção de Dados e Coordenador da Carta de Serviços ao Usuário
4 mExcelente texto Fernando Nery
Engenheiro da Computação | Especialista em Perícia Forense | IA, Proteção de Dados e Cibersegurança
4 mExcelente artigo Fernando Nery, como você mesmo colocou, a minimização é uma abordagem mais propagável e com certeza alinhada com o pensamento de usuário de vários membros das organizações. Penso que é possível ainda minimizar a complexidade do risco em alguns casos, como o ponto dos dados para a equipe de desenvolvimento, pode-se ser usado dados sintéticos "irmãos" de alta qualidade para uma grande variedade de casos, dependendo da qualidade e do objetivo até mesmo nos casos das equipes de BI, faz sentido?