Modelo de maturidade de processos para avaliação da conformidade com a LGPD: um estudo de caso em uma instituição educacional no Brasil
DOI:
https://doi.org/10.18265/2447-9187a2025id8652Palavras-chave:
dados pessoais, LGPD, privacidade, proteção, segurança da informaçãoResumo
Nas últimas décadas, o aumento exponencial das atividades digitais trouxe benefícios econômicos e sociais por meio da rápida adoção da Tecnologia da Informação e Comunicação (TIC). No entanto, essa expansão também impulsionou a coleta massiva de dados. As organizações utilizam a TIC para otimizar operações, aprimorar as experiências do público-alvo e tomar decisões estratégicas baseadas em dados. Esse aumento substancial nos dados gerados e compartilhados elevou os riscos de violação de privacidade, necessitando de regulamentações legais específicas. A Lei Geral de Proteção de Dados (LGPD), estabelecida no Brasil em 2018, regulamenta a coleta e o processamento de dados pessoais para proteger a privacidade dos indivíduos. Este estudo propõe um modelo de maturidade de processos para auxiliar as organizações a cumprir os requisitos legais da LGPD, oferecendo uma estrutura clara e eficaz para avaliar o nível de maturidade da organização em relação à Lei. O modelo compreende 27 processos organizacionais derivados dos requisitos da LGPD, categorizados em 5 grupos temáticos, sendo eles: tratamento de dados pessoais, direitos ao titular dos dados, transferência internacional de dados, governança e segurança da informação e sanções administrativas. Um estudo de caso foi conduzido em uma instituição de ensino no Brasil, com análise restrita às informações e documentos públicos da instituição. Foram realizadas duas avaliações dentro de grupos responsáveis por processamento de dados pessoais, governança e segurança da informação. Os resultados deste estudo revelaram um nível de conformidade com a LGPD menor do que o previsto, sugerindo a necessidade de ajustes institucionais para atender aos requisitos da LGPD. Essas descobertas indicam que, embora existam diretrizes e modelos, a aplicação prática desses mecanismos ainda enfrenta desafios, principalmente no que diz respeito à maturidade organizacional e à conformidade regulatória. Nesse sentido, o modelo proposto pode servir como uma ferramenta valiosa para as organizações implementarem e monitorarem processos de proteção de dados.
Downloads
Referências
ARAÚJO, E. F. M.; VILELA, J.; SILVA, C. T. L. L.; ALVES, C. F. Are my business process models compliant with LGPD? the LGPD4BP method to evaluate and to model LGPD aware business processes. In: BRAZILIAN SYMPOSIUM ON INFORMATION SYSTEMS, 12. 2021, Uberlândia. Proceedings […]. New York: ACM, 2021. DOI: https://doi.org/10.1145/3466933.3466982.
BARBOSA, T. S.; LOPES, J. M.; PIAU, D. D. N. D.; SILVA, M. S.;TELES, E. O. A Lei Geral de Proteção de Dados (LGPD) nas instituições públicas de ensino: possíveis impactos e desafios. In: ENCONTRO NACIONAL DE PROPRIEDADE INTELECTUAL (ENPI), 7., 2021, on-line.
BIONI, B. R. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Editora Forense, 2018.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei no. 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no [...]. Diário Oficial [da] República Federativa do Brasil, Brasília, DF, 2011. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. Acesso em: 29 jul. 2024.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para uso da internet no Brasil. Diário Oficial da União, Brasília, DF, 2014. Disponível em: https://www.in.gov.br/web/dou/-/lei-n-12-965-de-23-de-abril-de-2014-30054600. Acesso em: 14 nov. 2024.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei no. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF, 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 14 nov. 2024.
CGU – Controladoria Geral da União. BRASIL, C.-G. d. U. Acesso à informação pública: uma introdução à Lei nº 12.527, de 18 de novembro de 2011. Brasília: CGU, 2011. Disponível em: https://www.gov.br/acessoainformacao/pt-br/central-de-conteudo/publicacoes/arquivos/cartilhaacessoainformacao-1.pdf. Acesso em: 29 nov. 2024.
CHRISSIS, M. B.; KONRAD, M.; SHRUM, S. CMMI: guidelines for process integration and product improvement. Boston: Addison-Wesley, 2003.
CMMI Institute. CMMI Institute. 2024. Disponível em: https://www.cmmiinstitute.com/cmmi. Acesso em: 14 nov. 2024.
CORTINA, S.; VALOGGIA, P.; BARAFORT, B.; RENAULT, A. Designing a data protection process assessment model based on the GPDR. In: WALKER, A.; O’CONNOR, R.; MESSNARZ, R. (ed.) Systems, softwares and services process improvement. EuroSPI 2019. Communications in Computer and Infofrmation Science, v. 1060. Charm: Springer, 2019. p. 136-148. DOI: https://doi.org/10.1007/978-3-030-28005-5_11.
COTS, M.; OLIVEIRA, R. Lei geral de proteção de dados pessoais: comentada. 2. ed. São Paulo: Revista dos Tribunais, 2019.
CRESPO, M. Proteção de dados pessoais e o poder público: noções essenciais. In: CRAVO, D. C.; CUNDA, D. Z. G.; RAMOS, R. (org.). Lei Geral de Proteção de Dados e o Poder Público. Porto Alegre: Escola Superior de Gestão e Controle Francisco Juruena; Centro de Estudos de Direito Municipal, 2021. p. 16-28. Disponível em: https://lproweb.procempa.com.br/pmpa/prefpoa/pgm/usu_doc/ebook_lgpd_e_poder_publico_23052021.pdf. Acesso em: 14 nov. 2024.
CUNHA, B. Q. O vazamento de dados do e-commerce Netshoes: implicações da Lei Geral de Proteção de Dados (LGPD). 2022. Trabalho de Conclusão de Curso (Bacharelado em Direito) – Universidade Federal Rural do Semiário, Mossoró, 2022. Disponível em: https://repositorio.ufersa.edu.br/handle/prefix/8898. Acesso em: 29 nov. 2024.
DANIEL, M. A. A evolução e aplicação da segurança da informação por meio da Lei Geral de Proteção de Dados pessoais (LGPD): um estudo de caso em uma instituição financeira.2022 Trabalho de Conclusão de Curso (Bacharelado em Tecnologias da Informação e Comunicação) – Universidade Federal de Santa Catarina, Araranguá, 2022. Disponível em: https://repositorio.ufsc.br/handle/123456789/233375. Acesso em: 14 nov. 2024.
FAYAYOLA, O. A.; OLORUNFEMI, O. L.; SHOETAN, P. O. Data privacy and security in it: a review of techniques and challenges. Computer Science & IT Research Journal, v. 5, n. 3, p. 606-615, 2024. DOI: https://doi.org/10.51594/csitrj.v5i3.909.
FERREIRA, L.; OKANO, M. T. Um panorama da implementação da LGPD no Brasil: uma pesquisa exploratória com 216 profissionais. In: XVI Simpósio dos Programas de Mestrado Profissional (SIMPROFI), 16., 2021, São Paulo. Anais [...], São Paulo: CPS, 2021. Disponível em: http://www.pos.cps.sp.gov.br/files/artigo/file/1156/bccaf2858e19a55702075c3afbfee4be.pdf. Acesso em: 14 nov. 2024.
FINKELSTEIN, M. E.; FINKELSTEIN, C. Privacidade e lei geral de proteção de dados pessoais. Revista de Direito Brasileira (RDB), v. 23, n. 9, p. 284-381, 2020. DOI: https://doi.org/10.26668/IndexLawJournals/2358-1352/2019.v23i9.5343.
KALINOWSKI, T. B. Business process maturity assessment: concept, methods and tools. Acta Universitatis Lodziensis, v. 257, p. 229-240, 2011. Disponível em: https://dspace.uni.lodz.pl:8443/xmlui/handle/11089/744. Acesso em: 14 nov. 2024.
KNOKE, F.; NWANKWO, I. Practitioner’s corner managing data protection compliance through maturity models: a primer. European Data Protection Law Review, v. 8, n. 4, p. 536-543, 2022. DOI: https://doi.org/10.21552/edpl/2022/4/14.
LABADIE, C.; LEGNER, C. Understanding data protection regulations from a data management perspective: a capability-based approach to EU-GDPR. In: INTERNATIONAL CONFERENCE ON WIRTSCHAFTSINFORMATIK, 14., 2019, Siegen. Proceedings […], Siegen, 2019. Disponível em: https://aisel.aisnet.org/cgi/viewcontent.cgi?article=1261&context=wi2019. Acesso em: 14 nov. 2024.
LEE, J.; LEE, D.; KANG, S. An overview of the Business Process Maturity Model (BPMM). In: CHANG, K. C.-C.; WANG, W. CHEN, L.; ELLIS, C. A.; HSU, C.-H.; TSOI, A. C.; WANG, H. (eds). Advances in web and network technologies (APWeb WAIM 2007). Lecture Notes in Computer Science, v. 4537. Berlin: Springer, 2007. p. 384-395. DOI: https://doi.org/10.1007/978-3-540-72909-9_42.
MORGADO, G. P.; MORGADO, G. P.; GESSER, I.; SILVEIRA, D. S.; MANSO, F. S.; LIMA, P.; SCHMITZ, E. A. . Práticas do CMMI® como regras de negócio. Produção, v. 17, n. 2, p. 383-394, 2007. DOI: https://doi.org/10.1590/S0103-65132007000200013.
MPDFT – Ministério Público do Distrito Federal e Territórios. MPDFT e Netshoes firmam acordo para pagamento de danos morais após vazamento de dados. 2024. Disponível em: https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2019/10570-mpdft-e-netshoes-firmam-acordo-para-pagamento-dedanos-morais-coletivos-apos-vazamento-de-dados. Acesso em: 2 set. 2024.
PAULK, M. C.; CURTIS, B.; CHRISSIS, M. B.; WEBER, C. V. Capability maturity model, version 1.1. IEEE Software, v. 10, n. 4, p. 18-27, 1993. DOI: https://doi.org/10.1109/52.219617.
PEREIRA, R.; SILVA, M. M. ITIL maturity model. In: IBERIAN CONFERENCE ON INFORMATION SYSTEMS AND TECHNOLOGIES, 5., 2010. Santiago de Compostela. Proceedings [...]. IEEE: Santiago de Compostela, 2010. p. 1-6. Disponível em: https://ieeexplore.ieee.org/document/5556698. Acesso em: 14 nov. 2024.
PINHEIRO, P. P. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). 2. ed. São Paulo: Saraiva, 2020.
RNP – Rede Nacional de Ensino e Pesquisa.LGPD: tudo o que você precisa para se adequar. Brasília: RNP, 2022. Disponível em: https://www.rnp.br/sistema-rnp/adeque-se-a-lgpd. Acesso em: 14 nov. 2024.
ROCHA, A. R.; ZABEU, A. C.; MACHADO, C. F. MR-MPS-SW:2016 and CMMI-DEV v2.0: an initial experience of harmonization. In: BRAZILIAN SYMPOSIUM ON SOFTWARE QUALITY (SBQS ’18), 12., 2018, Curitiba. Proceedings […]. New York: ACM, 2018. p. 287-295. DOI: https://doi.org/10.1145/3275245.3275285.
SANTOS, R. G. T. A Lei Geral de Proteção de Dados Brasileira: uma política pública regulatória. 2020. Monografia (Especialização) – Instituto Serzedello Corrêa Brasília, 2020. Disponível em: https://portal.tcu.gov.br/biblioteca-digital/a-lei-geral-de-protecao-de-dados-brasileira-uma-politica-publica-regulatoria.htm. Acesso em: 14 nov. 2024.
SARASWAT, A. K.; MEEL, V. Protecting data in the 21st century: challenges, strategies and future prospects. Information Technology in Industry, v. 10, n. 2, p. 26-35, 2022. Disponível em: http://www.it-in-industry.org/index.php/itii/article/view/854. Acesso em: 14 nov. 2024.
VASCONCELOS, C. R.; SALIB, M. L. L. Lei geral de proteção de dados pessoais: desafios e impactos para o Poder Público. Trabalho de Conclusão de Curso (Bacharelado em Direito) – Faculdade Católica de Rondônia, Porto Velho, 2021. Disponível em: https://lgpd.tcero.tc.br/wp-content/uploads/2021/07/TCC-Charles-Roge%CC%81rio-Vasconcelos_TCE-RO.pdf. Acesso em: 19 out. 2024.
WARREN, S.; BRANDEIS, L. The right to privacy. Harvard Law Review, v. IV, n. 5, p. 193-220, 1890. Disponível em: https://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html. Acesso em: 14 nov. 2024.
ZITOUN, C; BELGHITH, O. FERJAOUI, S.; GABOUJE, S. S. D. DMMM: Data management maturity model. In: INTERNATIONAL CONFERENCE ON ADVANED ENTERPRISE INFORMATION SYSTEM (AEIS), 2021, St. Petersburg. Proceedings […]. St. Petersburg: IEEE, 2021. p. 33-39. DOI: https://doi.org/10.1109/AEIS53850.2021.00013.
Downloads
Publicado
Como Citar
Edição
Seção
Licença
Copyright (c) 2024 Jonas Pereira de Andrade Filho, Gustavo Henrique Matos Bezerra Motta
Este trabalho está licenciado sob uma licença Creative Commons Attribution 4.0 International License.
• O(s) autor(es) autoriza(m) a publicação do artigo na revista;
• O(s) autor(es) garante(m) que a contribuição é original e inédita e que não está em processo de avaliação em outra(s) revista(s), nem esteja publicado em anais de congressos e/ou portais institucionais;
• A revista não se responsabiliza pelas opiniões, ideias e conceitos emitidos nos textos, por serem de inteira responsabilidade de seu(s) autor(es). Opiniões e perspectivas expressas no texto, assim como a precisão e a procedência das citações, são de responsabilidade exclusiva do(s) autor(es), e contribuem para a promoção dos:
- Princípios FAIR (Findable, Accessible, Interoperable, and Reusable – localizável, acessível, interoperável e reutilizável);
- Princípios DEIA (diversidade, equidade, inclusão e acessibilidade).
• É reservado aos editores o direito de proceder ajustes textuais e de adequação do artigos às normas da publicação.
Responsabilidades dos autores e transferência de direitos autorais
Os autores devem declarar a originalidade do estudo, bem como o fato de que este não foi publicado anteriormente ou está sendo considerado para publicação em outro meio, como periódicos, anais de eventos ou livros. Ao autorizarem a publicação do artigo na Revista Principia, os autores devem também responsabilizar-se pelo conteúdo do manuscrito, cujos direitos autorais, em caso de aprovação, passarão a ser propriedade exclusiva da revista. A Declaração de Responsabilidades dos Autores e Transferência de Direitos Autorais deverá ser assinada por todos os autores e anexada ao sistema como documento suplementar durante o processo de submissão. Clique no link abaixo para fazer o download do modelo.
Esta revista, seguindo as recomendações do movimento de Acesso Aberto, proporciona seu conteúdo em Full Open Access. Assim os autores conservam todos seus direitos permitindo que a Revista Principia possa publicar seus artigos e disponibilizar pra toda a comunidade.
A Revista Principia adota a licença Creative Commons 4.0 do tipo atribuição (CC-BY). Esta licença permite que outros distribuam, remixem, adaptem e criem a partir do seu trabalho, inclusive para fins comerciais, desde que lhe atribuam o devido crédito pela criação original.
Os autores estão autorizados a enviar a versão do artigo publicado nesta revista em repositório institucionais, com reconhecimento de autoria e publicação inicial na Revista Principia.
(precisa estar logado)
