GAIA LGPD: Um framework para a Proteção de Dados Pessoais
Data
2022-02-22
Autores
Título da Revista
ISSN da Revista
Título de Volume
Editor
Universidade Estadual de Londrina
Resumo
Resumo: A recente chegada da LGPD (Lei Geral de Proteção de Dados - Lei 13709) sancionada em setembro de 2020 obriga empresas de diversos setores a adotar práticas voltadas ao tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, ou seja, dos titulares de dados pessoais. A adoção dessas práticas voltadas à proteção dos dados pessoais, ao mesmo tempo em que atende as exigências legais também é capaz de gerar valor aos negócios, uma vez que o aumento do nível de maturidade em segurança de dados pessoais pode se tornar um grande trunfo para atrair novos clientes. Assim sendo, o objetivo deste trabalho é desenvolver um framework que possa ser aplicado para ajudar a organização a identificar seu nível de maturidade em relação às práticas de proteção de dados pessoais e consequentemente ao nível de adesão aos requisitos da LGPD e a partir desse levantamento estabelecer as ações mitigatórias a serem implementadas. Com o uso do framework, esse trabalho é feito através da descoberta das vulnerabilidades relacionadas ao tratamento de dados pessoais, da análise dos riscos atrelados a essas vulnerabilidades e da elaboração de um plano de ação para mitigar os riscos mapeados. Para tanto, o presente trabalho é formado por cinco processos principais, um questionário de autoavaliação, composto por 7 eixos que classificam o nível de maturidade de acordo com as seções dos artigos da LGPD, uma matriz de análise de riscos e templates que poderão ser adotados de forma integral ou parcial, de acordo com a necessidade de cada organização. Dessa forma, espera-se que o plano de ação elaborado a partir da execução do framework, se converta em um robusto Programa de Proteção de Dados e Privacidade, que além de atender às regulamentações, também fortaleça a confiança dos clientes atuais, abrindo assim a possibilidade de atrair novos clientes com apreço pela seriedade com que seus dados pessoais são tratados e protegidos pela organização. Para validar o Framework proposto, foi realizado um estudo de caso em uma multinacional brasileira do setor de Químicos. O trabalho durou 5 meses e contou com a participação de Especialistas da áreas de Segurança da Informação, Tecnologia da Informação (TI) e da área Jurídica. Todas as etapas propostas pelo Framework foram aplicadas. O trabalho resultou em: relatório contendo a lista dos itens de não conformidades com a LGPD; levantamento das vulnerabilidades relacionadas à segurança de dados pessoais; análise e classificação dos riscos; e por fim, a elaboração de um plano de ação alinhado com os requisitos da LGPD. Em adicional, o estudo de caso permitiu identificar oportunidades de melhoria no modelo inicial do Framework e contribuiu para a definição de ações futuras.
Abstract: The recent arrival of the LGPD (General Data Protection Law - Law 13.709), sanctioned in September 2020, forces companies from various sectors to adopt practices aimed at the processing of personal data, including in digital media, by natural person or legal Entity public or private, with the objective of protecting the fundamental rights of freedom and privacy and the free development of the personality of the natural person, that is, of the holders of personal data. The adoption of these practices, aimed at protecting personal data, while meeting legal requirements, is also capable of generating business value, since the increase in the level of maturity in personal data security can become a great asset to attract new customers. Therefore, the objective of this work is to develop a framework that can be applied to help the organization identify its level of maturity in relation to personal data protection practices and, consequently, the level of adherence to the requirements of the LGPD and from there provide a survey to establish the mitigating actions to be implemented. Using the framework, this work is done through the discovery of vulnerabilities related to the treatment of personal data, the analysis of the risks linked to these vulnerabilities and the elaboration of an action plan to mitigate the mapped risks. For this purpose, the present work consists of five main processes, a selfassessment ques- tionnaire, composed of 7 axes that classify the level of maturity according to the sections of the LGPD articles, a risk analysis matrix and templates that can be adopted. in Whole or in part, according to the needs of each organization. Thus, it is expected that the action plan elaborated from the execution of the framework, becomes a robust Data Protection and Privacy Program, which in addition to meeting the regulations, also strengthens the trust of current customers, thus opening the possibility of attracting new customers with appreciation for the seriousness with which their personal data is treated and protected by the organization.To validate the proposed Framework, a case study was carried out in a Brazilian multina-tional in the Chemicals sector. The work lasted 5 months and included the participation of Specialists from the Information Security, Information Technology (IT) and Legal ar-eas. All the steps proposed by the Framework were applied. The work resulted in: report containing the list of items of non-compliance with the LGPD; survey of vulnerabilities related to the security of personal data; risk analysis and classification; and finally, the elaboration of an action plan in line with the requirements of the LGPD. In addition, the case study made it possible to identify opportunities for improvement in the Framework’s initial model and contributed to the definition of future actions.
Descrição
Palavras-chave
Lei geral de proteção de dados, LGPD, GDPR, Programa de privacidade, Proteção de dados pessoais, Governança de segurança em TI