Modelo de maturidade de processos para avaliação da conformidade com a LGPD: um estudo de caso em uma instituição educacional no Brasil

Autores

DOI:

https://doi.org/10.18265/2447-9187a2025id8652

Palavras-chave:

dados pessoais, LGPD, privacidade, proteção, segurança da informação

Resumo

Nas últimas décadas, o aumento exponencial das atividades digitais trouxe benefícios econômicos e sociais por meio da rápida adoção da Tecnologia da Informação e Comunicação (TIC). No entanto, essa expansão também impulsionou a coleta massiva de dados. As organizações utilizam a TIC para otimizar operações, aprimorar as experiências do público-alvo e tomar decisões estratégicas baseadas em dados. Esse aumento substancial nos dados gerados e compartilhados elevou os riscos de violação de privacidade, sendo necessárias regulamentações legais específicas. A Lei Geral de Proteção de Dados (LGPD), estabelecida no Brasil em 2018, regulamenta a coleta e o processamento de dados pessoais para proteger a privacidade dos indivíduos. Este estudo propõe um modelo de maturidade de processos para auxiliar as organizações a cumprir os requisitos legais da LGPD, oferecendo uma estrutura clara e eficaz para avaliar o nível de maturidade da organização em relação à Lei. O modelo compreende 27 processos organizacionais derivados dos requisitos da LGPD, categorizados em 5 grupos temáticos, sendo eles: tratamento de dados pessoais, direitos ao titular dos dados, transferência internacional de dados, governança e segurança da informação e sanções administrativas. Um estudo de caso foi conduzido em uma instituição de ensino no Brasil, com análise restrita às informações e documentos públicos da instituição. Foram realizadas duas avaliações dentro de grupos responsáveis por processamento de dados pessoais, governança e segurança da informação. Os resultados deste estudo revelaram um nível de conformidade com a legislação menor do que o previsto, sugerindo a necessidade de ajustes institucionais para atender aos seus requisitos. Essas descobertas indicam que, embora existam diretrizes e modelos, a aplicação prática desses mecanismos ainda enfrenta desafios, principalmente no que diz respeito à maturidade organizacional e à conformidade regulatória. Nesse sentido, o modelo proposto pode servir como uma ferramenta valiosa para as organizações implementarem e monitorarem processos de proteção de dados.

Downloads

Não há dados estatísticos.

Métricas

Carregando Métricas ...

Referências

ARAÚJO, E. F. M.; VILELA, J.; SILVA, C. T. L. L.; ALVES, C. F. Are my business process models compliant with LGPD? the LGPD4BP method to evaluate and to model LGPD aware business processes. In: BRAZILIAN SYMPOSIUM ON INFORMATION SYSTEMS, 17., 2021, Uberlândia. Proceedings […]. New York: ACM, 2021. DOI: https://doi.org/10.1145/3466933.3466982.

BARBOSA, T. S.; LOPES, J. M.; PIAU, D. D. N. D.; SILVA, M. S.; TELES, E. O. A Lei Geral de Proteção de Dados (LGPD) nas instituições públicas de ensino: possíveis impactos e desafios. In: ENCONTRO NACIONAL DE PROPRIEDADE INTELECTUAL (ENPI), 7., 2021, on-line. Anais […]. Aracaju: Associação Acadêmica de Propriedade Intelectual, 2021. p. 2114-2123. Disponível em: https://api.org.br/conferences/index.php?conference=ENPI2021&schedConf=ENPI2021&page=paper&op=view&path%5B%5D=1455. Acesso em: 25 set. 2025.

BIONI, B. R. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Editora Forense, 2018.

BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal […]. Diário Oficial da União: seção 1, Brasília, DF, ano 148, n. 221-A, p. 1-4, 18 nov. 2011. Disponível em: https://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?data=18/11/2011&jornal=1000&pagina=1&totalArquivos=12. Acesso em: 29 jul. 2024.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para uso da internet no Brasil. Diário Oficial da União: seção 1, Brasília, DF, ano 151, n. 77, p. 1-3, 2014. Disponível em: https://www.in.gov.br/web/dou/-/lei-n-12-965-de-23-de-abril-de-2014-30054600. Acesso em: 14 nov. 2024.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 14 nov. 2024.

CGU – CONTROLADORIA GERAL DA UNIÃO. Acesso à informação pública: uma introdução à Lei nº 12.527, de 18 de novembro de 2011. Brasília, DF: CGU, 2011. Disponível em: https://www.gov.br/acessoainformacao/pt-br/central-de-conteudo/publicacoes/arquivos/cartilhaacessoainformacao-1.pdf. Acesso em: 29 nov. 2024.

CHRISSIS, M. B.; KONRAD, M.; SHRUM, S. CMMI: guidelines for process integration and product improvement. Boston: Addison-Wesley, 2003.

CMMI INSTITUTE. CMMI. [S.l.: s.n.], 2024. Disponível em: https://www.cmmiinstitute.com/cmmi. Acesso em: 14 nov. 2024.

CORTINA, S.; VALOGGIA, P.; BARAFORT, B.; RENAULT, A. Designing a data protection process assessment model based on the GPDR. In: WALKER, A.; O’CONNOR, R.; MESSNARZ, R. (ed.). Systems, softwares and services process improvement: EuroSPI 2019. Cham: Springer, 2019. p. 136-148. (Communications in Computer and Information Science, v. 1060). DOI: https://doi.org/10.1007/978-3-030-28005-5_11.

COTS, M.; OLIVEIRA, R. Lei geral de proteção de dados pessoais: comentada. 2. ed. São Paulo: Revista dos Tribunais, 2019.

CRESPO, M. Proteção de dados pessoais e o poder público: noções essenciais. In: CRAVO, D. C.; CUNDA, D. Z. G.; RAMOS, R. (org.). Lei Geral de Proteção de Dados e o Poder Público. Porto Alegre: Escola Superior de Gestão e Controle Francisco Juruena: Centro de Estudos de Direito Municipal, 2021. p. 16-28. E-book. Disponível em: https://lproweb.procempa.com.br/pmpa/prefpoa/pgm/usu_doc/ebook_lgpd_e_poder_publico_23052021.pdf. Acesso em: 14 nov. 2024.

CUNHA, B. Q. O vazamento de dados do e-commerce Netshoes: implicações da Lei Geral de Proteção de Dados (LGPD). 2022. Trabalho de Conclusão de Curso (Bacharelado em Direito) – Universidade Federal Rural do Semiárido, Mossoró, 2022. Disponível em: https://repositorio.ufersa.edu.br/handle/prefix/8898. Acesso em: 29 nov. 2024.

DANIEL, M. A. A evolução e aplicação da segurança da informação por meio da Lei Geral de Proteção de Dados pessoais (LGPD): um estudo de caso em uma instituição financeira. 2022. Trabalho de Conclusão de Curso (Bacharelado em Tecnologias da Informação e Comunicação) – Universidade Federal de Santa Catarina, Araranguá, 2022. Disponível em: https://repositorio.ufsc.br/handle/123456789/233375. Acesso em: 14 nov. 2024.

FAYAYOLA, O. A.; OLORUNFEMI, O. L.; SHOETAN, P. O. Data privacy and security in it: a review of techniques and challenges. Computer Science & IT Research Journal, v. 5, n. 3, p. 606-615, 2024. DOI: https://doi.org/10.51594/csitrj.v5i3.909.

FERREIRA, L.; OKANO, M. T. Um panorama da implementação da LGPD no Brasil: uma pesquisa exploratória com 216 profissionais. In: SIMPÓSIO DOS PROGRAMAS DE MESTRADO PROFISSIONAL (SIMPROFI), 16., 2021, São Paulo. Anais […]. São Paulo: CPS, 2021. p. 1203-1213. Disponível em: http://www.pos.cps.sp.gov.br/files/artigo/file/1156/bccaf2858e19a55702075c3afbfee4be.pdf. Acesso em: 14 nov. 2024.

FINKELSTEIN, M. E.; FINKELSTEIN, C. Privacidade e lei geral de proteção de dados pessoais. Revista de Direito Brasileira (RDB), v. 23, n. 9, p. 284-301, 2019. DOI: https://doi.org/10.26668/IndexLawJournals/2358-1352/2019.v23i9.5343.

KALINOWSKI, T. B. Business process maturity assessment: concept, methods and tools. Acta Universitatis Lodziensis, v. 257, p. 229-240, 2011. Disponível em: https://dspace.uni.lodz.pl:8443/xmlui/handle/11089/744. Acesso em: 14 nov. 2024.

KNOKE, F.; NWANKWO, I. Practitioner’s corner – managing data protection compliance through maturity models: a primer. European Data Protection Law Review, v. 8, n. 4, p. 536-543, 2022. DOI: https://doi.org/10.21552/edpl/2022/4/14.

LABADIE, C.; LEGNER, C. Understanding data protection regulations from a data management perspective: a capability-based approach to EU-GDPR. In: INTERNATIONAL CONFERENCE ON WIRTSCHAFTSINFORMATIK, 14., 2019, Siegen. Proceedings […]. Siegen: Association for Information Systems, 2019. p. 1292-1306. Disponível em: https://aisel.aisnet.org/cgi/viewcontent.cgi?article=1261&context=wi2019. Acesso em: 14 nov. 2024.

LEE, J.; LEE, D.; KANG, S. An overview of the Business Process Maturity Model (BPMM). In: CHANG, K. C.-C.; WANG, W. CHEN, L.; ELLIS, C. A.; HSU, C.-H.; TSOI, A. C.; WANG, H. (ed.). Advances in Web and Network Technologies, and Information Management (APWeb WAIM 2007). Berlin: Springer, 2007. p. 384-395. (Lecture Notes in Computer Science, v. 4537). DOI: https://doi.org/10.1007/978-3-540-72909-9_42.

MORGADO, G. P.; GESSER, I.; SILVEIRA, D. S.; MANSO, F. S. P.; LIMA, P. M. V.; SCHMITZ, E. A. Práticas do CMMI® como regras de negócio. Produção, v. 17, n. 2, p. 383-394, 2007. DOI: https://doi.org/10.1590/S0103-65132007000200013.

MPDFT – MINISTÉRIO PÚBLICO DO DISTRITO FEDERAL E TERRITÓRIOS. MPDFT e Netshoes firmam acordo para pagamento de danos morais após vazamento de dados. MPDFT, Brasília, DF, 5 fev. 2019. Disponível em: https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2019/10570-mpdft-e-netshoes-firmam-acordo-para-pagamento-dedanos-morais-coletivos-apos-vazamento-de-dados. Acesso em: 2 set. 2024.

PAULK, M. C.; CURTIS, B.; CHRISSIS, M. B.; WEBER, C. V. Capability maturity model, version 1.1. IEEE Software, v. 10, n. 4, p. 18-27, 1993. DOI: https://doi.org/10.1109/52.219617.

PEREIRA, R.; SILVA, M. M. ITIL maturity model. In: IBERIAN CONFERENCE ON INFORMATION SYSTEMS AND TECHNOLOGIES, 5., 2010, Santiago de Compostela. Proceedings […]. Santiago de Compostela: IEEE, 2010. p. 1-6. Disponível em: https://ieeexplore.ieee.org/document/5556698. Acesso em: 14 nov. 2024.

PINHEIRO, P. P. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). 2. ed. São Paulo: Saraiva, 2020.

RNP – REDE NACIONAL DE ENSINO E PESQUISA. LGPD: tudo o que você precisa para se adequar. Brasília, DF: RNP, 2022. Disponível em: https://www.rnp.br/sistema-rnp/adeque-se-a-lgpd. Acesso em: 14 nov. 2024.

ROCHA, A. R.; ZABEU, A. C.; MACHADO, C. F. MR-MPS-SW:2016 and CMMI-DEV v2.0: an initial experience of harmonization. In: BRAZILIAN SYMPOSIUM ON SOFTWARE QUALITY (SBQS ’18), 17., 2018, Curitiba. Proceedings […]. New York: ACM, 2018. p. 287-295. DOI: https://doi.org/10.1145/3275245.3275285.

SANTOS, R. G. T. A Lei Geral de Proteção de Dados Brasileira: uma política pública regulatória. 2020. Trabalho de Conclusão de Curso (Especialização em Avaliação de Políticas Públicas) – Instituto Serzedello Corrêa, Brasília, DF, 2020. Disponível em: https://sites.tcu.gov.br/recursos/trabalhos-pos-graduacao/pdfs/A%20Lei%20Geral%20de%20Prote%C3%A7%C3%A3o%20de%20Dados%20Brasileira_%20Uma%20pol%C3%ADtica%20p%C3%BAblica%20regulat%C3%B3ria.pdf. Acesso em: 14 nov. 2024.

SARASWAT, A. K.; MEEL, V. Protecting data in the 21st century: challenges, strategies and future prospects. Information Technology in Industry, v. 10, n. 2, p. 26-35, 2022. Disponível em: http://www.it-in-industry.org/index.php/itii/article/view/854. Acesso em: 14 nov. 2024.

VASCONCELOS, C. R.; SALIB, M. L. L. Lei geral de proteção de dados pessoais: desafios e impactos para o Poder Público. 2021. Trabalho de Conclusão de Curso (Bacharelado em Direito) – Faculdade Católica de Rondônia, Porto Velho, 2021. Disponível em: https://lgpd.tcero.tc.br/wp-content/uploads/2021/07/TCC-Charles-Roge%CC%81rio-Vasconcelos_TCE-RO.pdf. Acesso em: 19 out. 2024.

WARREN, S. D.; BRANDEIS, L. D. The right to privacy. Harvard Law Review, v. IV, n. 5, p. 193-220, 1890. Disponível em: https://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html. Acesso em: 14 nov. 2024.

ZITOUN, C.; BELGHITH, O.; FERJAOUI, S.; GABOUJE, S. S. D. DMMM: Data management maturity model. In: 2021 INTERNATIONAL CONFERENCE ON ADVANCED ENTERPRISE INFORMATION SYSTEM (AEIS), 2021, St. Petersburg. Proceedings […]. St. Petersburg: IEEE, 2021. p. 33-39. DOI: https://doi.org/10.1109/AEIS53850.2021.00013.

Downloads

Publicado

19-12-2024

Como Citar

ANDRADE FILHO, J. P. de; MOTTA, G. H. M. B. Modelo de maturidade de processos para avaliação da conformidade com a LGPD: um estudo de caso em uma instituição educacional no Brasil. Revista Principia, [S. l.], v. 62, 2024. DOI: 10.18265/2447-9187a2025id8652. Disponível em: https://periodicos.ifpb.edu.br/index.php/principia/article/view/8652. Acesso em: 9 out. 2025.

Edição

Seção

Ciência da Computação
Smart Citations via scite_