Framework LGPD - Um modelo para análise, avaliação e elaboração de um Plano de Implementação pelas áreas de Tecnologia
Considerando o aumento do consumo de dados e a evolução tecnológica, há uma preocupação especial com o uso e tratamento dos dados pessoais, uma vez que estão em todos os lugares e em diversas formas. Assim, a LGPD (Lei Geral de Proteção de Dados) torna-se cada vez mais importante, pois estabelece diretrizes para as Organizações públicas ou privadas, com relação à coleta, uso, armazenamento e compartilhamento de dados pessoais, sejam eles digitais ou físicos e, no caso de descumprimento, poderá ser imputada multa e sanção conforme gravidade.
Para se constatar os limítrofes dos estudos existentes quanto a LGPD, foi elaborada uma revisão sistemática da literatura que identificou uma lacuna sobre a existência de modelos que representem as melhores práticas para avaliar a aderência da LGPD sob o ponto de vista de Tecnologia. Atualmente, as áreas ou responsáveis definem suas ações, porém sem a existência de um padrão a ser seguido. Desta forma, há uma demanda para a área de Tecnologia com relação às ações de proteção e consequente aderência à LGPD. Embora existam muitos padrões internacionais relacionados a TI, eles não abrangem na totalidade todas as necessidades requeridas pela lei.
Este estudo desenvolveu um framework LGPD considerando a legislação, que está em uma linguagem jurídica, e propõe um modelo composto por quatro domínios que deverão ser analisados pelos profissionais de Tecnologia para analisar, definir e executar ações para aderência dos sistemas de informação à LGPD. Adicionalmente foram verificadas especificidades da LGPD para os ambientes em Nuvem. Os domínios definidos são Governança LGPD e Pessoas, Métodos e Processos, Controles de Dados e Arquitetura de Infraestrutura. Ele também pode ser utilizado como um guia para análise de maturidade LGPD e, baseado nos pontos de lacuna, propõe um modelo para a elaboração de um plano de implementação.
O framework LGPD foi inspirado nos princípios essenciais do COBIT 2019 e DevSecOps transformando um conceito em um método prático de compreensão e implementação. Também considerou a experiência adquirida pelas implementações da GDPR (General Data Protection Regulation), padrões internacionais de Sistemas de Informação (SI) e particularidades brasileiras. O framework LGPD desenvolvido visa facilitar o entendimento da LGPD pela área de Tecnologia e, através dele, é possível identificar pontos de melhorias e planejar ações que deverão ser descritas e priorizadas no Plano de Implementação, cujo modelo de construção também foi proposto.
Por fim, o framework LGPD será avaliado em contexto real, em uma organização que é um conglomerado empresarial de mais de 50 anos no Brasil. Os resultados serão coletados bem como os respectivos feedbacks a fim de possibilitar a replicação do uso em outras organizações brasileiras. Como resultado, espera-se que o framework proposto possa ser demonstrado um eficaz acelerador, guia e orientador de boas práticas em organizações que ainda não têm um plano LGPD estabelecido ou que não compreenderam o alcance da lei.