GAIA LGPD: Um framework para a Proteção de Dados Pessoais
Data
2022-02-22
Autores
Farias, Francyelcyo Pussi
Título da Revista
ISSN da Revista
Título de Volume
Editor
Universidade Estadual de Londrina
Resumo
Resumo: A recente chegada da LGPD (Lei Geral de Proteção de Dados - Lei 13709) sancionada em setembro de 2020 obriga empresas de diversos setores a adotar práticas voltadas ao tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, ou seja, dos titulares de dados pessoais. A adoção dessas práticas voltadas à proteção dos dados pessoais, ao mesmo tempo em que atende as exigências legais também é capaz de gerar valor aos negócios, uma vez que o aumento do nível de maturidade em segurança de dados pessoais pode se tornar um grande trunfo para atrair novos clientes. Assim sendo, o objetivo deste trabalho é desenvolver um framework que possa ser aplicado para ajudar a organização a identificar seu nível de maturidade em relação às práticas de proteção de dados pessoais e consequentemente ao nível de adesão aos requisitos da LGPD e a partir desse levantamento estabelecer as ações mitigatórias a serem implementadas. Com o uso do framework, esse trabalho é feito através da descoberta das vulnerabilidades relacionadas ao tratamento de dados pessoais, da análise dos riscos atrelados a essas vulnerabilidades e da elaboração de um plano de ação para mitigar os riscos mapeados. Para tanto, o presente trabalho é formado por cinco processos principais, um questionário de autoavaliação, composto por 7 eixos que classificam o nível de maturidade de acordo com as seções dos artigos da LGPD, uma matriz de análise de riscos e templates que poderão ser adotados de forma integral ou parcial, de acordo com a necessidade de cada organização. Dessa forma, espera-se que o plano de ação elaborado a partir da execução do framework, se converta em um robusto Programa de Proteção de Dados e Privacidade, que além de atender às regulamentações, também fortaleça a confiança dos clientes atuais, abrindo assim a possibilidade de atrair novos clientes com apreço pela seriedade com que seus dados pessoais são tratados e protegidos pela organização. Para validar o Framework proposto, foi realizado um estudo de caso em uma multinacional brasileira do setor de Químicos. O trabalho durou 5 meses e contou com a participação de Especialistas da áreas de Segurança da Informação, Tecnologia da Informação (TI) e da área Jurídica. Todas as etapas propostas pelo Framework foram aplicadas. O trabalho resultou em: relatório contendo a lista dos itens de não conformidades com a LGPD; levantamento das vulnerabilidades relacionadas à segurança de dados pessoais; análise e classificação dos riscos; e por fim, a elaboração de um plano de ação alinhado com os requisitos da LGPD. Em adicional, o estudo de caso permitiu identificar oportunidades de melhoria no modelo inicial do Framework e contribuiu para a definição de ações futuras.
Descrição
Palavras-chave
Lei geral de proteção de dados, LGPD, GDPR, Programa de privacidade, Proteção de dados pessoais, Governança de segurança em TI