ARTIGOS

O PORTAL DA MICRO, PEQUENA E MÉDIA EMPRESA.

Inovação, Startups e LGPD

Alexandre Antabi
CEO da MACHER TECNOLOGIA

Compartilhe:

Como evitar que projetos de Inovação – externos ou internos – se tornem uma dor de cabeça para a privacidade e proteção de dados? Entenda os riscos de uma adoção de ferramentas sem a análise dos times de TI e Privacidade

Seria praticamente impossível falar de inovação sem comentar sobre soluções em nuvem (Cloud), no formato de software como serviço (Software-as-a-Service – “SaaS”) e projetos de Transformação Digital.  

A Transformação Digital pode ser brevemente definida como o processo de adoção de ferramentas, sistemas e soluções “Digitais” para criar ou modificar processos internos e/ou a cultura da organização, visando oferecer uma melhor percepção de serviço para o seu ecossistema, bem como a sua otimização.

Ela deve ser pervasiva à organização e quebrar seus silos através da adoção de estratégias bem desenhadas e planejadas. Sincronizadas. Ou seja, não focar em uma área específica, mas sim cobrir a organização por completo, quebrando as barreiras departamentais para oferecer produtos e serviços melhores para aqueles que irão consumi-lo – o ecossistema. Tal ecossistema envolve, por exemplo:

  • Funcionários
  • Parceiros de negócio
  • Clientes

E a ideia é realmente simplificar os processos e trazer a noção de valor a quem o utiliza efetivamente. Ela pode começar por determinadas áreas, mas precisa ter o foco global e, portanto, na organização como um todo.

A Transformação Digital vai utilizar – então – tecnologia, processos e pessoas para redefinir experiências e expectativas de usuários, possibilitando a criação (ou a atualização) de modelos de negócio e novas formas de rentabilizar produtos e serviços, sendo a inovação, o “motor” – o “enabler” – desta mudança.

A inovação está tanto na melhoria das atividades existentes, como na criação de novas soluções – internas, ou “client-facing”.

Para inovarmos no dia a dia, não precisamos ser o “Professor Pardal” das histórias em quadrinhos. A inovação parte da melhoria de processos, da observação, do teste de novos métodos e abordagens na resolução dos problemas – dos mais comuns aos mais complexos, da melhoria contínua, da criação daquele pequeno MVP.

Para testarmos novos conceitos mais rápido ou, implementarmos melhorias “imediatas”, muitas empresas vão lançar mão de produtos e serviços inovadores de: Startups!

Startups, inovação e Transformação Digital

As startups são amplamente reconhecidas por fazerem parte do processo de inovação de empresas “maiores” e as ajudarão em:

  • Implementar soluções e melhorias de forma mais rápida, permitindo também o teste de novas abordagens e funcionalidades;
  • Implementação de ferramentas minimamente validadas, sem necessitar de tempo e equipe própria de desenvolvimento, havendo uma multitude de opções no mercado para atacar diversos “problemas” diferentes;
  • Implementação de soluções especializadas ou de nicho;
  • Possibilidade de testar e explorar novos mercados com maior agilidade;
  • Possibilidade de responder à concorrência e às demandas de consumidores com maior velocidade;
  • Fomentar a cultura de inovação interna e o intraempreendedorismo;
  • A adoção de Startups no negócio, a exposição das equipes à metodologia, mentalidade e ambientes de inovação geram diferencial competitivo. O sucesso das iniciativas, por sua vez, vai depender da escolha dos parceiros e das soluções corretas que – alinhadas à estratégia de transformação digital – vão ajudar a organização a identificar potenciais áreas de crescimento e novos negócios.

Shadow IT e os riscos para privacidade e negócios

Vimos acima os benefícios da adoção de produtos e serviços de Startups, da cultura de inovação e da adoção de novos modelos “Digitais”, com uso de tecnologia. Mas e quando essa adoção é feita sem se atentar aos processos da organização e sem se atentar também aos processos de revisão da TI?

Bem, nestes casos, apresento o Shadow IT.

O Shadow IT é o termo utilizado para definir serviços, softwares e equipamentos que são utilizados sem o conhecimento (e aprovação) do time de TI da empresa.

Quando você utiliza aquele aplicativo bacaninha para resolver um problema de sua área, você está possivelmente criando mais um caso de Shadow IT. Quando seu departamento contrata uma solução de uma Startup, sem a revisão do time de TI, ele está possivelmente criando mais um caso de Shadow IT.

Um exemplo clássico é uma área ir buscar uma solução no mercado para resolver uma “dor” interna, uma necessidade de melhoria e, esquecer de revisar sua aquisição com o time de TI e privacidade. Mais complicado ainda é quando esta solução é “gratuita” ou não oferece um nível de serviço para tal aquisição em nível “corporativo”.

Importante ressaltar que o primeiro nível de Privacidade, Proteção de dados e Segurança da Informação começa em cada um de nós, nas nossas pequenas ações do dia a dia, e na ação proativa de reportar nossas próprias falhas. Em pesquisa recente da Universidade de Stanford com a Tessian, demonstra que 88% dos incidentes acontecem por erro humano, reforçando que as decisões de proteção de dados precisam ser tomadas com cautela, revisão e consciência.

E por que o Shadow IT é ruim para a privacidade e a proteção de dados?

Porque expõe a empresa a riscos desnecessários. Riscos, por exemplo, de:

  • Exposições e vazamento de dados pessoais / pessoais sensíveis (LGPD / GDPR);
  • Exposição e vazamento de informação confidencial;
  • Exposição e vazamento de Propriedade Intelectual;
  • Entre outros.

Risco desnecessário, principalmente por não abrir a oportunidade ao time de TI (e ao time de Privacidade) de avaliar e chancelar, por exemplo, os:

  • Termos de uso e Políticas de Privacidade;
  • Períodos de guarda;
  • Transferências Internacionais de Dados;
  • Dados oferecidos / enviados;
  • Medidas de segurança e procedimentos técnicos adotados pelo provedor de serviço (ex. TOMs);
  • Existência ou não de DPAs;

O Shadow IT, também tira a oportunidade do time de TI e de Privacidade, de oferecer:

  • Alternativas viáveis, pré-validadas, e eventualmente de uso estratégico para a organização (podendo envolver custo, suporte);
  • De mapear fornecedores (operadores);
  • De mapear os dados que saem da organização e sob quais propósitos;
  • De questionar propósitos e justificativas legais que eventualmente envolvam o compartilhamento de dados, por menor que seja (ex. E-mail, nome, foto de perfil);
  • De auditar fornecedores;
  • De identificar, mapear, mensurar riscos, traçar planos de ação e mitigação (caso seja necessário) e, por fim, de tomar decisões de forma consciente e informada!

 E por que o Shadow IT é ruim para os negócios?

Principalmente por expor organizações a riscos não mapeados, não mensurados e não avaliados.

Processos de compliance (LGPD inclusive) exigem uma atuação proativa e fiscalizadora constante. Costumamos dizer que processos de privacidade e proteção de dados têm uma data de início, mas nunca terminam! São cíclicos.

Quando falamos de “normas”, “procedimentos”, “standards” de TI, muita gente acredita que é apenas burocracia. E que pode ignorar para ser “ágil”.

Padronização de processos, visam – por exemplo – minimizar riscos de queda de sistemas, invasões, perdas de dados, danos à imagem. O objetivo principal dos controles não é dificultar o processo ou tornar a organização lenta. O controle de hoje previne o outage, o vazamento, a brecha de amanhã. Regras e regulamentos são de fato escritos com base em experiências prévias de uma empresa ou de um setor, com o objetivo de prevenir e minimizar riscos.

A não-conformidade de um sistema, processo ou até mesmo um pequeno componente do todo pode expor uma organização ao risco de multas, danos à imagem e eventualmente, perdas de negócios.

 Qual a mensagem deste artigo?

Transformação Digital, Inovação e Startups são extremamente positivas para as organizações e todas – independentemente de porte – devem começar seus projetos rapidamente. Usem as ideias, os conceitos e as soluções Digitais à vontade!

Mas não deixem os processos internos de lado. Processos, time de TI e de Privacidade estão lá para ajudar você a tomar decisões melhores, assumir riscos informados e ajudar a sua operação. O que se deve evitar é o passivo desconhecido de TI.

Como Peter Drucker já dizia: “O que pode ser medido, pode ser melhorado”. Em termos de LGPD, Privacidade e Proteção de Dados, esta frase tem 100% de adequação. Para melhorar as posturas empresariais, os times de TI e a Privacidade precisam ter ampla visibilidade dos processos, tratamentos e operadores. O mercado já dispõe de boas ferramentas para se otimizar tais atividades. Recomendo a DPO Helper que atende todos os perfis de empresas, inclusive as PMEs.

Receba o PME NEWS

Ao enviar o e-mail, você declara estar de acordo com as Políticas de Privacidade e de Cookies publicadas no site.



    PATROCINADOR

    Ao clicar em “Aceitar cookies”, você concorda com o armazenamento de cookies no seu dispositivo para melhorar a navegação no site, analisar o uso do site e nos ajudar na melhoria da qualidade dos nossos serviços Leia nossa política de privacidade e política de cookies