Product market fit + privacidade?
Recentemente li dois livros sobre product market fit e como atingi-lo. São livros que provavelmente todo mundo que trabalha com produto já leu, e era o que eu precisava para começar a entender melhor uma dúvida que eu tenho desde que comecei a trabalhar com ética no desenvolvimento de tecnologia, mas se transformou em uma pergunta gritante desde que li a parte de “key-issues”, disponíveis no site do Center for Humaine Tech, do Tristan Harris (ex PM do Google que agora se dedica a construir tecnologia com direitos humanos embutidos — ou algo parecido).
Minha dúvida era: o conceito de Product market fit serve para privacidade?
Os livros que eu li foram: The Lean Startup e o The Lean Product Playbook: How to Innovate with Minimum Viable Products and Rapid Customer Feedback. Depois de ler fiquei pensando se existe PMF para privacidade. Ambos os livros recomendam passos bem claros pra tentar achar algo que realmente decole pra além dos poucos usuários iniciais — porém são passos e use cases que não são provocados por leis estabelecidas, que é o caso de privacidade. Na área de privacidade, demandas de usuários são abundantes: “não quero ver anúncios, não quero que leiam minhas mensagens ou saibam onde estou, não quero dar minha biometria pra governo ou polícia, não quero que meus dados estejam disponíveis para fraudadores”, etc.São frases comuns que aparecem em entrevistas com usuários tem quase 20 anos. Soluções também tem de monte, e 90% são soluções de segurança aplicadas aos dados, outras são soluções procedurais, tipo: “não coletar dados além do que você vai usar” — princípio que é parte do privacy by design, tão disseminado por ai como norma de compliance, muito pouco utilizado como diretriz centrada no usuário.
Agora que todos estamos portando nossas várias identidades, em forma de documentos, para o online, o risco de segurança potencial é ainda mais amplificado. O risco de privacidade (inerente à toda identidade digital) é a exigência de ter dados pessoais sobre indivíduos. A coleta, armazenamento e uso desses dados podem levar a violações de privacidade, uso indevido de dados e erosão da confiança por parte do consumidor.
Alguns desses riscos são comportamentais e exigem estruturas legais e regulatórias robustas para proteger os consumidores e fornecer supervisão governamental adequada. Pra isso temos LGPD, entre outras regulamentações.
Mas… e soluções técnicas?
O mais doido é que a demanda por mais privacidade existe e aparece em qualquer descoberta bem feita, ou pesquisa qualitativa. Mundialmente estão todos medianamente ressabiados com a maneira desastrada com a qual as bigtechs tem lidado com dados pessoais. Muitos se sentem inseguros e reféns das empresas para quem fornecem seus dados, na certeza de que não há solução pro problema, uma vez que precisam do serviço (o tal paradoxo da privacidade, só que aplicado em situações onde as pessoas não tem como pagar por serviços que são oferecidos em troca de seus dados, ou serviços pagos ainda não existem).
Lembrando que leis também atendem aos anseios de usuários, fixando regras para que as empresas respondam a essas demandas de modo padronizado, oferecendo à todos uma experiência justa. Por exemplo: todas as pessoas querem ir à praia e demandam acesso, o congresso, por pressão da demanda, determina que todos tenham acesso às praias. As empresas executam essa ordem construindo esses acessos, ou simplesmente não cercando as praias em frente à hotéis e resorts, por exemplo.
Em privacidade, já se determinou que os usuários tem pelo menos quatro direitos básicos sobre seus dados: download, alteração, transparência e acesso (além de vários outros, claro). São demandas da lei, que atendem aos anseios dos usuários, e devem se transformar em features. Os usuários podem querer mais do que 4 funcionalidades em privacidade, como por exemplo: não serem rastreados, ou não serem espionados por câmeras ou microfones eventuais. Podem querer que as empresas não guardem seus dados, ou que as empresas sequer coletem seus dados (e mesmo assim, desfrutar de serviços ofertados).
Então, a demanda existe. Essa demanda, muitas vezes, é uma demanda pela não ação. “Não me rastreiem, não guardem meus dados, não me prejudiquem com base nos dados que coletaram, não revelem para terceiros quem eu sou” — tanto é que a área de segurança é demandada exatamente por ser prevenção, e não remédio (outro princípio do privacy by design). Prevenção e proatividade na proteção dos dados é geralmente tarefa de segurança, e as soluções geralmente passam invisíveis pelo usuário final, como muitas açoes da área de segurança. Quanto mais segurança, menos incidentes, só que menor a percepção do usuário final sobre o trabalho de quem previne ataques e vazamentos. Assim, é difícil coletar algumas métricas detalhadas, centradas no usuário, citadas nos livros, como por exemplo "satisfação do usuário".
Nessa premissa, vários produtos encontraram seu product market fit, mas entre um público técnico limitado — gente que é especialista e entende que, ao utilizar um produto tecnicamente bem feito está protegido de eventuais acidentes com dados. Então, a escala é limitada. Muitos outros produtos que estão sendo construídos se apóiam em tecnologias de segurança para estabelecer proteção efetiva de dados ou controles de privacidade bem feitos, e poucas vezes conseguem imprimir um pouco do que chamamos de "usable privacy" na interface com os usuários. Um exemplo de usable privacy são as interfaces do WhatsApp para processamento de conteúdo efêmero:
A empresa conseguiu fazer a interface entre o usuário e a funcionalidade da privacidade (controle sobre a imagem/mensagem enviada) permitindo uma interação direta, sem intermediários, na hora do envio da mensagem. O Signal permitia isso antes, mas como é um aplicativo de nicho — no Brasil, pelo menos, talvez tenha encontrado a barreira demográfica na hora de escalar a adoção da mensagem efêmera no Brasil e Indonésia, como fez o Whats em semanas.
Pelo que eu li nos livros, product market fit não funciona sem que você conheça seus usuários a fundo. No lean startup o autor recomenda pelo menos 5 entrevistas qualitativas para validar um problema, mas assisti a vídeos de outras pessoas de produto recomendando menos discovery, mais testes, quando você já conhece a demanda. Essa recomendação pode ser real a partir de uma leitura de cenário rápida do sucesso das features de privacidade do Whatsapp vs Signal.
Ainda estou pensando nas métricas, que são importantes para detectar o "fit" do produto, — visto que falei de demografia ali em cima, números e escala. Vou deixar o post sobre métricas pra depois porque hoje é sábado e eu estou lendo outro livro, que fala que product market fit — entre outros hypes do product management, é mentira. O livro é o "The Big Product Lie: Why Minimum Viable Product, Product-Led Growth, And Product-Market Fit Are Myths (And Misleading Startup Frameworks)"
Quanto terminar de ponderar sobre isso tudo volto pra escrever sobre as métricas em privacidade, e as implicações sociais que podem existir entre a maneira que medimos métricas em privacidade em produto/engenharia versus métricas em privacidade para governança/compliance. (E depois conto sobre o terceiro livro, que tem potencial pra me mostrar que tudo isso é uma grande bobagem. Veremos.)
