LGPD e seu desafio para as organizações : um estudo demonstrativo entre as estruturas de dados (frameworks) de adequação à lei

Abstract

Resumo: A privacidade dos dados pessoais vem se tornando uma preocupação para os gestores, principalmente seu uso indevido e a exploração não autorizada, como acontece nos casos de vazamentos de dados. Assim, leis e regulamentos estão sendo criados na tentativa de garantir proteção aos direitos do cidadão. A Lei europeia de proteção de dados, GDPR (General Data Protection Regulation), encontra-se em vigor e incide multas elevadas na União Europeia e na Inglaterra. Seguindo a tendência mundial, a criação da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, baseada na GDPR, entrou em vigor em setembro de 2020 e a autorização da aplicação das multas teve início em agosto de 2021, porém até o momento desta pesquisa, a Autoridade Nacional de Proteção de Dados, não iniciou esse processo. Este estudo tem como proposta descrever as diferenças e similaridades das estruturas de dados de adequação à LGPD encontrados na literatura acadêmica fundamentando-se nos conceitos inerentes à Lei e nos artigos que mais incidiram multas da GDPR, no período de agosto de 2018 e maio de 2022, essas estruturas de dados são um suporte que servem de apoio para entendimento do assunto. Como metodologia, esta pesquisa se caracteriza como bibliográfica e documental, de caráter exploratório e descritivo. Para a elaboração referencial teórico, que inclui a descrição da evolução legislativa, a LGPD e seus conceitos inerentes, foi utilizada a seguinte string: LGPD* OR "General Personal Data Protection Law" OR "Law 13.709", nas bases de dados Scopus, Web of Science e Dimensions. Para buscar as estruturas de dados de adequação à Lei na literatura foi utilizada a seguinte string: "LGPD" AND "Frameworks". Para determinar os artigos da LGPD que têm mais chances de resultar em multas foram utilizados os dados do sítio eletrônico Enforcement Tracker, que mapeia todas as multas de inadequações à GDPR. Em seguida, os artigos da GDPR foram lidos e relacionados aos artigos correspondentes da LGPD. Para demonstrar as diferenças e similaridades das estruturas de dados foi realizada a análise de conteúdo, utilizando como categorias os conceitos inerentes à Lei encontrados no referencial teórico, artigos da LGPD correspondentes aos artigos que mais geraram multas da GDPR e as variáveis: metodologia, validação e aplicação das estruturas de dados, resultando em sete redes. Como resultados, destacam-se os seguintes conceitos inerentes à LGPD: anonimização, termo de consentimento, privacidade, privacy by design, segurança da informação e governança e gestão de dados. No total, foram selecionadas quatro estruturas de dados para a descrição. Constatou-se que poderão ter mais incidência de multas os seguintes artigos da LGPD: 6º, 7º, 9º, 15, 16, 17, 18, 19, 20, 21, 22 e 46. As estruturas de dados se diferenciaram principalmente nos seguintes aspectos: conceitos da Lei abordados, os passos iniciais para o processo de adequação, o aprofundamento nos detalhes das atividades para a adequação, e uma estrutura que auxilia realizar o mapeamento dos dados pessoais.

Abstract: The privacy of personal data has become a concern for managers, especially its misuse and unauthorized exploitation, as is the cases of leaks. Thus, laws and regulations are being created to ensure protection of citizens' rights. The European Data Protection Act, GDPR (General Data Protection Regulation), is already in force and imposes high fines in the European Union and England. Following the global trend, the creation of the General Data Protection Law (GDPL), Law nº 13.709/2018, based on GDPR, came into force in September 2020 and the authorization of fines application began in August 2021, however, until the moment of this research, the National Data Protection Authority has not started this process. This study is proposed to describe the differences and similarities of the GDPL compliance Frameworks found in the academic literature based on the concepts inherent to the Law and the application of GDPR fines, in the period between August 2018 and May 2022, these frameworks are a support that supports the subject. This research is defined as bibliographic and documental, of exploratory and descriptive nature. For the theoretical referential elaboration, which includes the description of the legislative evolution, the GDPL and its inherent concepts, the following string was used: LGPD* OR "General Personal Data Protection Law" OR "Law 13.709", in the Scopus, Web of Science and Dimensions databases. To search for the Frameworks of compliance with Law in the literature the following string was used: "LGPD" AND "Frameworks". To determine the GDPL articles that are most likely to result in fines, data from the Enforcement Tracker website, which maps all GDPR inadequacy fines, was used by extracting and transforming them. Next, the GDPR articles were read and related to the corresponding GDPL articles. To demonstrate the differences and similarities of the Frameworks, the content analysis was performed using the concepts inherent to the Law found in the theoretical reference, the articles of the GDPL corresponding to the articles that most generated GDPR fines, and variables: methodology, validation and application of frameworks, resulting in seven networks. As a result, the following concepts inherent to the GDPL stand out: anonymization, privacy term, privacy by design, information security and data governance and management. In total, four data structures were selected for the description. It was found that the following LGPD articles may have a higher incidence of fines: 6th, 7th, 9th, 15, 16, 17, 18, 19, 20, 21, 22 and 46. The data structures differ mainly in the following aspects: concepts of the Law, the initial steps for the orientation process, the deepening in the details of the activities for the adequation, and a structure that helps to carry out the mapping of the personal data.