No início de 2021, a UniSoma concluiu seu projeto de adequação para a Lei Geral de Proteção de Dados Pessoais (LGPD). Foram quatro meses de discussões e articulações entre as áreas da empresa para garantir que a privacidade de nossos colaboradores e clientes estivesse devidamente protegida.
O grande desafio estava em construir um framework generalista o suficiente para ser aplicado a qualquer tipo de projeto. Afinal, como a UniSoma atua em consultoria e projetos há mais de 35 anos, trabalhou dados de diferentes segmentos de negócio ao longo desta jornada. Eventualmente, esbarrou em dados pessoais.
No entanto, outros entraves se somaram à empreitada. Um deles é que a UniSoma possui mais de 1 TB de artefatos legados e códigos-fonte produzidos pelos times de projetos, que têm relativa independência na condução das empreitadas (o que causa certa dor de cabeça ao DPO – Data Protection Officer).
Além disso, dúvidas relacionadas ao data discovery e ao monitoramento dos processos “pós-projeto de adequação” também foram temas que geraram bastante discussão.
Mas fato é que, quando as sanções entraram em vigor, a UniSoma já estava há 8 meses com seu projeto de adequação LGPD pronto. O resultado dos tantos desafios — e do trabalho árduo —, é a ferramenta PriScLA, acrônimo de Privacy Scanner for LGPD Analysis.
Uma robô que monitora os repositórios e bancos de dados de projetos, auxiliando o DPO na identificação de potenciais dados pessoais. Neste artigo, apresento a solução e por que ela é um avanço na proteção dos dados pessoais.
PriScLA monitora repositórios e bancos de dados
A ferramenta PriScLA é uma robô construída sobre a consolidada expertise em analytics da UniSoma. O nome (fala-se “Priscila”) remete ao sentimento de como as mulheres estão aumentando sua presença no universo corporativo, com destaque para as áreas de tecnologia — movimento no qual a UniSoma sempre foi protagonista.
Na prática, a ferramenta trabalha como um sniffer monitorando repositórios e bancos de dados de desenvolvimento. Uma vez que um documento ou um dataset é carregado, a robô PriScLA executa técnicas de análise de dados à procura de textos suspeitos. Por exemplo: nomes próprios ou CPFs.
As técnicas de análise de dados utilizam como referência os registros de nascidos do IBGE desde a década de 30. Além da identificação de números de CPF via reconhecimento de padrões. Os eventuais dados RAW suspeitos são armazenados em uma base de dados protegida e alguns indicadores são posteriormente apresentados na ferramenta de BI (Business Intelligence) para consulta do comitê de privacidade e do DPO.
É possível, por exemplo, ter um indicador de quais projetos são os mais críticos ou em quais arquivos os dados pessoais surgiram: documentos de especificação, apresentações PowerPoint, datasets para consumo de analytics, entre tantos outros.
Ferramenta contribui em tempo de resposta da LGPD
Outro ponto-chave da PriScLA é servir como um facilitador para o DPO caso uma pessoa física questione a empresa sobre a existência de um dado pessoal. Principalmente porque o tempo de resposta exigido pela LGPD para este tipo de demanda é um dos mais “agressivos” do mundo: de, no máximo, 15 dias.
A ferramenta contribui — e muito! — no trabalho pesado de “busca em profundidade”, mas não se pode negar que, fatalmente, os “falsos positivos” aparecem. É por isso que a atuação de pessoas se torna fundamental. O especialista humano precisa participar do processo para validar se determinado dado é (ou não) um risco do ponto de vista da privacidade.
A PriScLA é mais uma solução interna, desenvolvida sob a chancela em analytics da UniSoma. É o resultado de um trabalho desenvolvido em parceria com o comitê de privacidade da UniSoma, formado por Daniela Tassinari (head Gente&Gestão), Volnei dos Santos (head Operações&Inovação), Eduardo Milanez (DPO), e com a empresa BL Consultoria Digital — aos quais agradeço pela dedicação, contribuição e apoio nesta jornada que ainda não acabou.
Além disso, é uma ferramenta em constante evolução. Como próximos passos, pretendemos aumentar o escopo de atuação do sniffer, para que ele passe a monitorar também a base de conhecimento da empresa, e vamos sofisticar o algoritmo de análise de dados para minimizar os “falsos positivos”.
Se você também passa por estes mesmos desafios e gostaria de trazer mais segurança e agilidade na identificação de potenciais informações sensíveis e não protegidas, fale com a UniSoma e entenda porque somos referência em ciência de dados e inteligência artificial no Brasil.
Alberto Pereto
