Framework para Análise de Aderência à LGPD: criação, aplicação, avaliação e suporte ao uso do modelo por uma área de Tecnologia
Um Framework é uma estrutura flexível, com objetivo específico e que deve ser utilizado para entender, organizar e implementar ações alinhadas ao objetivo. Devido ao aumento do consumo de dados e a evolução tecnológica, também cresce a preocupação com os dados pessoais, uma vez que estão em todos os lugares e em diversas formas. Assim, a LGPD (Lei Geral de Proteção de Dados Pessoais) torna-se cada vez mais importante, pois estabelece diretrizes para as organizações públicas ou privadas, com relação à coleta, uso, armazenamento e compartilhamento de dados pessoais. Esta tese desenvolve um Framework para Análise da Aderência à LGPD (Framework LGPD), modelo de avaliação da maturidade, suporte ao uso e modelo para elaboração do plano de implementação por uma área de Tecnologia para solucionar as lacunas identificadas. O Framework é composto por 4 domínios: Governança LGPD & Pessoas, Métodos & Processos, Controle de Dados e Arquitetura de Infraestrutura, que são subdivididos em 16 componentes com objetivos, papéis e responsabilidades, entradas, principais atividades, recursos de apoio e saídas. Inicialmente foi feito o embasamento teórico sobre as principais tecnologias, padrões e definições sobre LGPD e GDPR (General Data Protection Regulation). Em seguida, foi necessário um mapeamento de literatura para constatar os limítrofes dos estudos existentes quanto a LGPD, que identificou uma lacuna sobre a existência de modelos com visões estratégicas e táticas e que representem as melhores práticas para avaliar a aderência da LGPD no ponto de vista de Tecnologia. Desta forma, há uma demanda para ações de proteção e, consequente, aderência à LGPD. O Framework LGPD foi inspirado no COBIT, ITIL, DevSecOps e algumas normas ISO, transformando um conceito em um método prático de compreensão e implementação. Também considerou a experiência adquirida pelas implementações da GDPR e particularidades brasileiras. O principal diferencial do Framework LGPD é facilitar o entendimento da lei pela área de Tecnologia e, através da análise de aderência, ser possível identificar pontos de melhorias e planejar ações que deverão ser descritas e priorizadas no Plano de Implementação, cujo modelo de construção também foi descrito. O Framework LGPD foi aplicado em uma organização brasileira, onde os resultados foram coletados, bem como seus feedbacks. Ele também foi submetido a uma avaliação por especialistas que atuam em organizações na área de Tecnologia em estratégia de TI, Governança, Arquitetura, Desenvolvimento de Soluções, Infraestrutura e Segurança da Informação, através de um questionário que considerou 9 critérios de qualidade, o que contribuiu com a melhoria contínua. Apesar deste Framework ter sido aplicado apenas uma vez, espera-se que no futuro, ele seja um eficaz acelerador, guia e orientador de boas práticas em organizações que ainda não têm um plano LGPD estabelecido ou que não compreenderam o alcance da lei, possibilitando assim, sua replicação quanto ao uso em outras organizações brasileiras.