Em todo o mundo, as empresas provavelmente estão desperdiçando fundos preciosos em ferramentas que nem sempre atendem às suas expectativas. Em alguns casos, ferramentas que elas nem precisam.

 

Não se pode provar isso. É um palpite baseado em conversas que tenho com clientes, com indivíduos, em conferências e treinamentos de IAPP.

 

Existem muitas ferramentas disponíveis, algumas muito boas e outras nem tanto. Alguns fornecedores oferecem promessas tentadoras:

 

"... XXX é a única solução que pode resolver a LGPD."

"... XXX é a ferramenta de documentação LGPD abrangente e mais amigável do mercado."

 

Obviamente, uma ferramenta que atenda às expectativas de uma empresa não necessariamente atenderá às suas. Aqui estão dez dicas (em nenhuma ordem específica) para evitar desperdiçar dinheiro e garantir que você está fazendo o investimento certo.

 

1. Entenda as diferentes categorias de ferramentas

 

Vale a pena examinar as primeiras páginas do Relatório de fornecedores de tecnologia de privacidade da IAPP para entender os vários tipos de ferramentas de "Tecnologia de privacidade". O IAPP usa as seguintes categorias:

 

Gerenciamento do Programa de Privacidade:

• Gerenciamento de avaliação
• Gerenciamento de consentimento
• Mapeamento de dados
• Resposta a incidentes
• Gerentes de informações de privacidade
• Escaneamento de sites

 

Gerenciamento de privacidade da empresa:

• Monitoramento de atividades
• Descoberta de dados
• Desidentificação / pseudo anonimização
• Comunicações empresariais

 

O diagrama a seguir representa uma visão holística de um "sistema" típico de programa de privacidade para uma empresa com economia movida a dados pessoais (dados de funcionários não representados):

 

Partes do programa podem se beneficiar da automação.

 

A aplicação das categorias de ferramentas IAPP pode ficar assim:

 

Esse é apenas um esboço preliminar, pois algumas das definições de categoria são bastante amplas. Dentro das categorias, existem muitas ferramentas especializadas e algumas que cobrem muitas categorias.

 

É difícil comparar ferramentas, a menos que você saiba por que precisa delas. Assim, suas necessidades serão diferentes de outras empresas. São muitos fatores diferentes para considerar. A natureza do seu negócio, setor, escala de operação, volumes de dados processados, distribuição geográfica, requisitos de integração, maturidade, adesão de executivos e... orçamento disponível.

 

2. Você realmente precisa de uma nova ferramenta?

 

As ferramentas existentes que você já usa em sua empresa podem ser adequadas às suas necessidades. Como alternativa, a adaptação das ferramentas existentes pode atender a novos requisitos. A maioria das organizações usa ferramentas semelhantes ao Excel ou SharePoint e, dependendo dos fatores mencionados acima, elas podem ser adequadas ao seu objetivo.

 

Caso a empresa entenda que é necessário uma nova ferramenta, buscar uma #privacytech com competência, como a PrivacyTools, é o ideal.

 

Aqui está uma visão geral de como o SharePoint foi adaptado para um ROPA em 2016. Ele era adequado ao cliente naquele momento e eu imagino que o cliente agora tenha uma solução mais robusta:

 

 

3. Especificação de Requisitos

 

Certifique-se de documentar requisitos funcionais e não funcionais. Isso permitirá avaliar como as ferramentas correspondem às suas necessidades. Priorize os requisitos e faça a linha de base dos critérios de seleção antes de considerar qualquer ferramenta.

 

Documente vários casos de uso que detalham como você trabalha em partes específicas do seu programa. A ferramenta deve suportar a maneira como você trabalha; você não precisa revisar como trabalha para ajustar a ferramenta.

 

Lembre-se de incluir os requisitos de integração. As ferramentas que se integram ao seu cenário existente trarão benefícios e evitarão etapas manuais ou interfaces estranhas.

 

Se você não pode produzir as especificações de requisitos você mesmo, obtenha ajuda de um analista de negócios para obter requisitos em toda a organização e desenvolver os casos de uso.

 

4. Alinhar com as políticas da empresa e os padrões de tecnologia

 

Sua empresa pode ter uma política de compras que você deve cumprir. Pode haver uma área de governança de TI que dite os tipos de tecnologia, fornecedores preferenciais, contratos existentes, etc. Um fornecedor que já trabalhe com a sua empresa, pode ter uma solução que atenda às suas necessidades.

 

5. Caso de negócios

 

Um caso de negócios é essencial. Muitas empresas exigem um para:

 

• Justificar por que a ferramenta é necessária
• Quanto custará para implementar e executar
• Os riscos envolvidos
• Benefícios comerciais esperados e/ou economia
• Acompanhar a realização dos benefícios

 

Seja particularmente cuidadoso com o "custo de execução". Muitas empresas esquecem-se de levar em consideração que as ferramentas geralmente precisam que as pessoas assumam a responsabilidade por elas ou interpretem as vastas quantidades de insights que elas geralmente oferecem - custos de funcionários.

 

6. Use uma SDP e envolva compras

 

Envolva seu departamento de compras ou fornecimento (se você tiver um). Eles geralmente ajudam a gerenciar o processo geral de Solicitação de Proposta (SDP) e podem ter ferramentas específicas para comparar as várias propostas de fornecedores usando os critérios de seleção ponderada que você documentou anteriormente.

 

Não mude os critérios de seleção de sua empresa somente por conta da urgência empregada pela situação. Seus colegas de compras também levarão muita experiência em negociação de contratos à mesa, se essa for uma das suas fraquezas.

 

Eles provavelmente também farão alguma diligência no fornecedor - eles são viáveis ??financeiramente, têm um histórico verificado, etc.?

 

7. Evite ferramentas que gerem automaticamente "documentação LGPD"

 

Existem algumas ferramentas no mercado que irão gerar um belo conjunto de documentação supostamente "compatível com a LGPD". Parece que tudo o que você precisa fazer é digitar o nome da sua empresa, alguns nomes e posições, assinalar algumas atividades genéricas de processamento e pronto! Você é compatível!

 

8. O fornecedor entende completamente a proteção de dados?

 

Pessoalmente, quero trabalhar com fornecedores que entendem completamente os requisitos de proteção de dados que também estou tentando atender. É fácil perceber se um fornecedor "entende" vendo o site deles.

 

Quão compatível é o uso de cookies?

 

Como é o aviso de privacidade deles - representa seus interesses como um titular de dados ou é voltado para proteger os interesses deles?

 

Um aviso de privacidade revela muito sobre uma empresa.

 

Você se sente ameaçado ou envolvido?

 

9. Escalabilidade e localização

 

Se você é uma organização grande com várias entidades legais que talvez estejam espalhadas por vários países, será capaz de estabelecer a estrutura organizacional geral do Grupo na ferramenta?

 

Quão localizada é a ferramenta? Você possui escritórios em vários mercados, por exemplo, Reino Unido, Dinamarca, França, Alemanha, Espanha, Brasil, Emirados Árabes Unidos, Índia etc. Eles poderão navegar na ferramenta em seu idioma nativo?

 

10. Apenas LGPD?

 

Se a ferramenta estiver alinhada apenas com as orientações de uma autoridade supervisora ??específica, por exemplo, Datatilsynet na Dinamarca, ICO no Reino Unido, CNIL na França ou está alinhado apenas com a #LGPD (ainda que sua organização esteja sujeita a leis e regulamentos aplicáveis ??que não sejam a LGPD), convém considerar outras soluções que podem oferecer suporte a programas de privacidade globais.