Modelo de maturidade de processos para avaliação da conformidade com a LGPD: um estudo de caso em uma instituição educacional no Brasil
DOI:
https://doi.org/10.18265/2447-9187a2025id8652Palavras-chave:
dados pessoais, LGPD, privacidade, proteção, segurança da informaçãoResumo
Nas últimas décadas, o aumento exponencial das atividades digitais trouxe benefícios econômicos e sociais por meio da rápida adoção da Tecnologia da Informação e Comunicação (TIC). No entanto, essa expansão também impulsionou a coleta massiva de dados. As organizações utilizam a TIC para otimizar operações, aprimorar as experiências do público-alvo e tomar decisões estratégicas baseadas em dados. Esse aumento substancial nos dados gerados e compartilhados elevou os riscos de violação de privacidade, sendo necessárias regulamentações legais específicas. A Lei Geral de Proteção de Dados (LGPD), estabelecida no Brasil em 2018, regulamenta a coleta e o processamento de dados pessoais para proteger a privacidade dos indivíduos. Este estudo propõe um modelo de maturidade de processos para auxiliar as organizações a cumprir os requisitos legais da LGPD, oferecendo uma estrutura clara e eficaz para avaliar o nível de maturidade da organização em relação à Lei. O modelo compreende 27 processos organizacionais derivados dos requisitos da LGPD, categorizados em 5 grupos temáticos, sendo eles: tratamento de dados pessoais, direitos ao titular dos dados, transferência internacional de dados, governança e segurança da informação e sanções administrativas. Um estudo de caso foi conduzido em uma instituição de ensino no Brasil, com análise restrita às informações e documentos públicos da instituição. Foram realizadas duas avaliações dentro de grupos responsáveis por processamento de dados pessoais, governança e segurança da informação. Os resultados deste estudo revelaram um nível de conformidade com a legislação menor do que o previsto, sugerindo a necessidade de ajustes institucionais para atender aos seus requisitos. Essas descobertas indicam que, embora existam diretrizes e modelos, a aplicação prática desses mecanismos ainda enfrenta desafios, principalmente no que diz respeito à maturidade organizacional e à conformidade regulatória. Nesse sentido, o modelo proposto pode servir como uma ferramenta valiosa para as organizações implementarem e monitorarem processos de proteção de dados.
Downloads
Métricas
Referências
ARAÚJO, E. F. M.; VILELA, J.; SILVA, C. T. L. L.; ALVES, C. F. Are my business process models compliant with LGPD? the LGPD4BP method to evaluate and to model LGPD aware business processes. In: BRAZILIAN SYMPOSIUM ON INFORMATION SYSTEMS, 17., 2021, Uberlândia. Proceedings […]. New York: ACM, 2021. DOI: https://doi.org/10.1145/3466933.3466982.
BARBOSA, T. S.; LOPES, J. M.; PIAU, D. D. N. D.; SILVA, M. S.; TELES, E. O. A Lei Geral de Proteção de Dados (LGPD) nas instituições públicas de ensino: possíveis impactos e desafios. In: ENCONTRO NACIONAL DE PROPRIEDADE INTELECTUAL (ENPI), 7., 2021, on-line. Anais […]. Aracaju: Associação Acadêmica de Propriedade Intelectual, 2021. p. 2114-2123. Disponível em: https://api.org.br/conferences/index.php?conference=ENPI2021&schedConf=ENPI2021&page=paper&op=view&path%5B%5D=1455. Acesso em: 25 set. 2025.
BIONI, B. R. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Editora Forense, 2018.
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal […]. Diário Oficial da União: seção 1, Brasília, DF, ano 148, n. 221-A, p. 1-4, 18 nov. 2011. Disponível em: https://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?data=18/11/2011&jornal=1000&pagina=1&totalArquivos=12. Acesso em: 29 jul. 2024.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para uso da internet no Brasil. Diário Oficial da União: seção 1, Brasília, DF, ano 151, n. 77, p. 1-3, 2014. Disponível em: https://www.in.gov.br/web/dou/-/lei-n-12-965-de-23-de-abril-de-2014-30054600. Acesso em: 14 nov. 2024.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 14 nov. 2024.
CGU – CONTROLADORIA GERAL DA UNIÃO. Acesso à informação pública: uma introdução à Lei nº 12.527, de 18 de novembro de 2011. Brasília, DF: CGU, 2011. Disponível em: https://www.gov.br/acessoainformacao/pt-br/central-de-conteudo/publicacoes/arquivos/cartilhaacessoainformacao-1.pdf. Acesso em: 29 nov. 2024.
CHRISSIS, M. B.; KONRAD, M.; SHRUM, S. CMMI: guidelines for process integration and product improvement. Boston: Addison-Wesley, 2003.
CMMI INSTITUTE. CMMI. [S.l.: s.n.], 2024. Disponível em: https://www.cmmiinstitute.com/cmmi. Acesso em: 14 nov. 2024.
CORTINA, S.; VALOGGIA, P.; BARAFORT, B.; RENAULT, A. Designing a data protection process assessment model based on the GPDR. In: WALKER, A.; O’CONNOR, R.; MESSNARZ, R. (ed.). Systems, softwares and services process improvement: EuroSPI 2019. Cham: Springer, 2019. p. 136-148. (Communications in Computer and Information Science, v. 1060). DOI: https://doi.org/10.1007/978-3-030-28005-5_11.
COTS, M.; OLIVEIRA, R. Lei geral de proteção de dados pessoais: comentada. 2. ed. São Paulo: Revista dos Tribunais, 2019.
CRESPO, M. Proteção de dados pessoais e o poder público: noções essenciais. In: CRAVO, D. C.; CUNDA, D. Z. G.; RAMOS, R. (org.). Lei Geral de Proteção de Dados e o Poder Público. Porto Alegre: Escola Superior de Gestão e Controle Francisco Juruena: Centro de Estudos de Direito Municipal, 2021. p. 16-28. E-book. Disponível em: https://lproweb.procempa.com.br/pmpa/prefpoa/pgm/usu_doc/ebook_lgpd_e_poder_publico_23052021.pdf. Acesso em: 14 nov. 2024.
CUNHA, B. Q. O vazamento de dados do e-commerce Netshoes: implicações da Lei Geral de Proteção de Dados (LGPD). 2022. Trabalho de Conclusão de Curso (Bacharelado em Direito) – Universidade Federal Rural do Semiárido, Mossoró, 2022. Disponível em: https://repositorio.ufersa.edu.br/handle/prefix/8898. Acesso em: 29 nov. 2024.
DANIEL, M. A. A evolução e aplicação da segurança da informação por meio da Lei Geral de Proteção de Dados pessoais (LGPD): um estudo de caso em uma instituição financeira. 2022. Trabalho de Conclusão de Curso (Bacharelado em Tecnologias da Informação e Comunicação) – Universidade Federal de Santa Catarina, Araranguá, 2022. Disponível em: https://repositorio.ufsc.br/handle/123456789/233375. Acesso em: 14 nov. 2024.
FAYAYOLA, O. A.; OLORUNFEMI, O. L.; SHOETAN, P. O. Data privacy and security in it: a review of techniques and challenges. Computer Science & IT Research Journal, v. 5, n. 3, p. 606-615, 2024. DOI: https://doi.org/10.51594/csitrj.v5i3.909.
FERREIRA, L.; OKANO, M. T. Um panorama da implementação da LGPD no Brasil: uma pesquisa exploratória com 216 profissionais. In: SIMPÓSIO DOS PROGRAMAS DE MESTRADO PROFISSIONAL (SIMPROFI), 16., 2021, São Paulo. Anais […]. São Paulo: CPS, 2021. p. 1203-1213. Disponível em: http://www.pos.cps.sp.gov.br/files/artigo/file/1156/bccaf2858e19a55702075c3afbfee4be.pdf. Acesso em: 14 nov. 2024.
FINKELSTEIN, M. E.; FINKELSTEIN, C. Privacidade e lei geral de proteção de dados pessoais. Revista de Direito Brasileira (RDB), v. 23, n. 9, p. 284-301, 2019. DOI: https://doi.org/10.26668/IndexLawJournals/2358-1352/2019.v23i9.5343.
KALINOWSKI, T. B. Business process maturity assessment: concept, methods and tools. Acta Universitatis Lodziensis, v. 257, p. 229-240, 2011. Disponível em: https://dspace.uni.lodz.pl:8443/xmlui/handle/11089/744. Acesso em: 14 nov. 2024.
KNOKE, F.; NWANKWO, I. Practitioner’s corner – managing data protection compliance through maturity models: a primer. European Data Protection Law Review, v. 8, n. 4, p. 536-543, 2022. DOI: https://doi.org/10.21552/edpl/2022/4/14.
LABADIE, C.; LEGNER, C. Understanding data protection regulations from a data management perspective: a capability-based approach to EU-GDPR. In: INTERNATIONAL CONFERENCE ON WIRTSCHAFTSINFORMATIK, 14., 2019, Siegen. Proceedings […]. Siegen: Association for Information Systems, 2019. p. 1292-1306. Disponível em: https://aisel.aisnet.org/cgi/viewcontent.cgi?article=1261&context=wi2019. Acesso em: 14 nov. 2024.
LEE, J.; LEE, D.; KANG, S. An overview of the Business Process Maturity Model (BPMM). In: CHANG, K. C.-C.; WANG, W. CHEN, L.; ELLIS, C. A.; HSU, C.-H.; TSOI, A. C.; WANG, H. (ed.). Advances in Web and Network Technologies, and Information Management (APWeb WAIM 2007). Berlin: Springer, 2007. p. 384-395. (Lecture Notes in Computer Science, v. 4537). DOI: https://doi.org/10.1007/978-3-540-72909-9_42.
MORGADO, G. P.; GESSER, I.; SILVEIRA, D. S.; MANSO, F. S. P.; LIMA, P. M. V.; SCHMITZ, E. A. Práticas do CMMI® como regras de negócio. Produção, v. 17, n. 2, p. 383-394, 2007. DOI: https://doi.org/10.1590/S0103-65132007000200013.
MPDFT – MINISTÉRIO PÚBLICO DO DISTRITO FEDERAL E TERRITÓRIOS. MPDFT e Netshoes firmam acordo para pagamento de danos morais após vazamento de dados. MPDFT, Brasília, DF, 5 fev. 2019. Disponível em: https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2019/10570-mpdft-e-netshoes-firmam-acordo-para-pagamento-dedanos-morais-coletivos-apos-vazamento-de-dados. Acesso em: 2 set. 2024.
PAULK, M. C.; CURTIS, B.; CHRISSIS, M. B.; WEBER, C. V. Capability maturity model, version 1.1. IEEE Software, v. 10, n. 4, p. 18-27, 1993. DOI: https://doi.org/10.1109/52.219617.
PEREIRA, R.; SILVA, M. M. ITIL maturity model. In: IBERIAN CONFERENCE ON INFORMATION SYSTEMS AND TECHNOLOGIES, 5., 2010, Santiago de Compostela. Proceedings […]. Santiago de Compostela: IEEE, 2010. p. 1-6. Disponível em: https://ieeexplore.ieee.org/document/5556698. Acesso em: 14 nov. 2024.
PINHEIRO, P. P. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). 2. ed. São Paulo: Saraiva, 2020.
RNP – REDE NACIONAL DE ENSINO E PESQUISA. LGPD: tudo o que você precisa para se adequar. Brasília, DF: RNP, 2022. Disponível em: https://www.rnp.br/sistema-rnp/adeque-se-a-lgpd. Acesso em: 14 nov. 2024.
ROCHA, A. R.; ZABEU, A. C.; MACHADO, C. F. MR-MPS-SW:2016 and CMMI-DEV v2.0: an initial experience of harmonization. In: BRAZILIAN SYMPOSIUM ON SOFTWARE QUALITY (SBQS ’18), 17., 2018, Curitiba. Proceedings […]. New York: ACM, 2018. p. 287-295. DOI: https://doi.org/10.1145/3275245.3275285.
SANTOS, R. G. T. A Lei Geral de Proteção de Dados Brasileira: uma política pública regulatória. 2020. Trabalho de Conclusão de Curso (Especialização em Avaliação de Políticas Públicas) – Instituto Serzedello Corrêa, Brasília, DF, 2020. Disponível em: https://sites.tcu.gov.br/recursos/trabalhos-pos-graduacao/pdfs/A%20Lei%20Geral%20de%20Prote%C3%A7%C3%A3o%20de%20Dados%20Brasileira_%20Uma%20pol%C3%ADtica%20p%C3%BAblica%20regulat%C3%B3ria.pdf. Acesso em: 14 nov. 2024.
SARASWAT, A. K.; MEEL, V. Protecting data in the 21st century: challenges, strategies and future prospects. Information Technology in Industry, v. 10, n. 2, p. 26-35, 2022. Disponível em: http://www.it-in-industry.org/index.php/itii/article/view/854. Acesso em: 14 nov. 2024.
VASCONCELOS, C. R.; SALIB, M. L. L. Lei geral de proteção de dados pessoais: desafios e impactos para o Poder Público. 2021. Trabalho de Conclusão de Curso (Bacharelado em Direito) – Faculdade Católica de Rondônia, Porto Velho, 2021. Disponível em: https://lgpd.tcero.tc.br/wp-content/uploads/2021/07/TCC-Charles-Roge%CC%81rio-Vasconcelos_TCE-RO.pdf. Acesso em: 19 out. 2024.
WARREN, S. D.; BRANDEIS, L. D. The right to privacy. Harvard Law Review, v. IV, n. 5, p. 193-220, 1890. Disponível em: https://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html. Acesso em: 14 nov. 2024.
ZITOUN, C.; BELGHITH, O.; FERJAOUI, S.; GABOUJE, S. S. D. DMMM: Data management maturity model. In: 2021 INTERNATIONAL CONFERENCE ON ADVANCED ENTERPRISE INFORMATION SYSTEM (AEIS), 2021, St. Petersburg. Proceedings […]. St. Petersburg: IEEE, 2021. p. 33-39. DOI: https://doi.org/10.1109/AEIS53850.2021.00013.
Downloads
Publicado
Como Citar
Edição
Seção
Licença
Copyright (c) 2024 Jonas Pereira de Andrade Filho, Gustavo Henrique Matos Bezerra Motta
Este trabalho está licenciado sob uma licença Creative Commons Attribution 4.0 International License.
Esta revista, seguindo as recomendações do movimento de Acesso Aberto, proporciona seu conteúdo em Full Open Access. Assim os autores conservam todos seus direitos permitindo que a Revista Principia possa publicar seus artigos e disponibilizar pra toda a comunidade.
A Revista Principia adota a licença Creative Commons 4.0 do tipo atribuição (CC-BY). Esta licença permite que outros distribuam, remixem, adaptem e criem a partir do seu trabalho, inclusive para fins comerciais, desde que lhe atribuam o devido crédito pela criação original.
Os autores estão autorizados a enviar a versão do artigo publicado nesta revista em repositório institucionais, com reconhecimento de autoria e publicação inicial na Revista Principia.
Demais informações sobre a Política de Direitos Autorais da Revista Principia encontram-se neste link.
(precisa estar logado)
