A lei geral de proteção de dados pessoais em empresas brasileiras: uma análise de múltiplos casos

The General Law for Protecting Personal Data in Brazilian Enterprises: An analysis of multiple cases

Fabrício Pelloso Piurcosky , Marcelo Aparecido Costa , Rodrigo Franklin Frogeri , Cristina Lelis Leal Calegario

Suma de Negocios, 10(23), 89-99, julio-diciembre 2019, ISSN 2215-910X

http://dx.doi.org/10.14349/sumneg/2019.V10.N23.A2

Recebido a 14 de março de 2019
Aceito a 3 de junho de 2019
Online a 17 de junho de 2019

Resumo

Este estudo tem como objetivo descrever e compreender a realidade de organizações brasileiras quanto à adequação à Lei Geral de Proteção de Dados Pessoais (LGPD). Tal abordagem se justifica mediante regulamentações estabelecidas pelo Estado brasileiro para a manipulação, tratamento e armazenamento de dados pessoais por organizações. Nesse sentido, discute-se a capacidade das organizações de atender aos marcos regulatórios estabelecidos pela LGPD (Lei no 13.709/2018). Para alcançar o intento proposto, o estudo está fundamentado na NBR ISO/IEC 27001, NBR ISO/IEC 27002 e na Lei no 13.709/2018. Quanto ao objetivo, a pesquisa é descritiva com abordagem qualitativa e realizada por meio de estudo de casos múltiplos. Os dados foram coletados via entrevistas semiestruturadas com sete profissionais responsáveis pela coleta, manipulação ou armazenamento de dados de empresas de diferentes portes. O estudo foi realizado dois meses (out/2018) após sanção da LGPD pela Presidência da República do Brasil, caracterizando-se como do tipo corte transversal. O estudo demonstrou que as empresas não estão preparadas para atender aos marcos regulatórios estabelecidos pela LGPD, urgindo por consideráveis mudanças técnicas e de gestão nas áreas de tecnologia da informação e segurança da informação

Palavras-chave:
Privacidade,
Segurança da Informação,
NBR ISO/IEC 27001,
NBR ISO/IEC 27002,
Gestão de TI

Códigos JEL:
M1, M15, M3 y M38

Abstract

This study aims to describe and understand the reality of Brazilian organizations in terms of compliance with the General Law on the Protection of Personal Data (LGPD). Such an approach is justified by the regulations established by the Brazilian State for the manipulation, processing and storage of personal data by organizations. In this sense, the capacity of organizations to meet the regulatory frameworks established by the LGPD (Law No. 13.709/2018) is discussed. In order to achieve the proposed intent, the study is based on NBR ISO/IEC 27001, NBR ISO/IEC 27002 and Law No. 13.709/2018. As for the objective, the research is descriptive with a qualitative approach and conducted through multiple case studies. The data were collected via semi-structured interviews with seven professionals responsible for the collection, manipulation or storage of data from companies of different sizes. The study was conducted two months (Oct/2018) after the sanction of the LGPD by the presidency of the Brazilian Republic, characterized as a cross-sectional type. The study showed that the companies are not prepared to meet the regulatory frameworks established by the LGPD, requiring considerable technical and management changes in the areas of Information Technology and Information Security.

Keywords:
Privacy,
Information security,
NBR ISO/IEC 27001,
NBR ISO/IEC 27002,
IT Management

Artículo Completo

RSN_10(23)_02_Peloso_Piurcosky

Bibliografía

Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001. (2006). Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos.

Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002. (2013). Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação.

Addington, D., & Manrod, M. (2019). Cyber security threats and solutions for the private sector. In Understanding new security threats. New York, NY: Routledge.

Banakar, V., Shah, A., Shastri, S., Wasserman, M., & Chidambaram, V. (2019). Analyzing the Impact of GDPR on Storage Systems. In USENIX HotStorage. Recuperado de https://arxiv.org/pdf/1903.04880.pdf

Bardin, L. (2011). Análise de conteúdo (1a ed.). São Paulo, SP: Almedina.

Beal, A. (2005). Segurança da informação : princípios e melhores práticas para a proteção dos ativos de informação nas organizações (1a ed.). São Paulo, SP: Atlas.

Borden, R., Mooney, J., Taylor, M., & Sharkey, M. (2019). Threat information sharing under GDPR. Scitech Lawyer, 15(3), 30-35.

Carneiro, A. (2002). Introdução à segurança dos sistemas de informação. Porto, Portugal: FCA.

De Hert, P., Papakonstantinou, V., Malgieri, G., Beslay, L., & Sanchez, I. (2018). The right to data portability in the GDPR: Towards user-centric interoperability of digital services. Computer Law and Security Review, 34(2), 193–203. https://doi.org/10.1016/j.clsr.2017.10.003

Ferreira, F. N. F., & Araújo, M. T. de. (2008). Política de segurança da informação guia prático para elaboração e implementação. (1st ed.). Rio de Janeiro, RJ: Ciência Moderna.

Freitas, M. da C., & Silva, M. M. da. (2018). GDPR in SMEs. Em 13th Iberian Conference on Information Systems and Technologies (CISTI) (pp. 1–6). Caceres, Spain: IEEE. https://doi.org/10.23919/CISTI.2018.8399272

Ghafir, I., Saleem, J., Hammoudeh, M., Faour, H., Prenosil, V., Jaf, S., … Baker, T. (2018). Security threats to critical infrastructure: the human factor. Journal of Supercomputing, 74(10), 4986–5002. https://doi.org/10.1007/s11227-018-2337-2

Gil, A. C. (2002). Como elaborar projetos de pesquisa (4a ed.). São Paulo, SP: Atlas.

Lambrinoudakis, C. (2018). The general data protection regulation (GDPR) Era: Ten Steps for Compliance of Data Processors and Data Controllers. Em Trust, Privacy and Security in Digital Business (Vol. 11033). Springer International Publishing. https://doi.org/10.1007/978-3-319-98385-1_1

Lei n. 13.709, de 14 de agosto de 2018 (2008). Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). 2008. Brasília, DF. Recuperado de http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art65

Lovell, M., & Foy, M. A. (2018). General Data Protection Regulation (GDPR). Bone & Joint 360, 7(4), 41–42. https://doi.org/10.1302/2048-0105.74.360622

Lyra, M. R. (2015). Governança da segurança da informação. Brasília, DF: n.d.

Medida Provisória n° 869, de 2018. (2019). Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências. (2019). Brasília, DF. Recuperado de https://www.congressonacional.leg.br/materias/medidas-provisorias/-/mpv/135062

Nascimento, T. F. do, Frogeri, R. F., & Prado, L. Á. (2018). Gestão de segurança da informação (GSI) no Segundo Centro Integrado de Defesa Aérea e Controle de Tráfego Aéreo (CINDACTA II). Em IV Simpósio Mineiro de gestão, educação, comunicação e tecnologia da informação (pp. 1–30). Varginha, MG: Even3. Recuperado de https://even3.blob.core.windows.net/anais/111315.pdf

Roratto, R., & Dias, E. D. (2014). Security information in production and operations: a study on audit trails in database systems. Journal of Information Systems and Technology Management, 11(3), 717–734. https://doi.org/10.4301/S1807-17752014000300010

Serviço Brasileiro de Apoio às Micro e Pequenas Empresas. (2014). Participação das micro e pequenas empresas na economia brasileira. Bibioteca do SEBRAE. Brasília, DF: Serviço Brasileiro de Apoio às Micro e Pequenas Empresas – Sebrae. Recuperado de http://www.sebrae.com.br/Sebrae/Portal%20Sebrae/Estudos%20e%20Pesquisas/Participacao%20das%20micro%20e%20pequenas%20empresas.pdf

Sêmola, M. (2014). Gestão da segurança da informação: uma visão executiva (2a ed.). Rio de Janeiro, Brasil: Campus.

União Europeia. (2016). Regulamento Geral de Proteção de Dados. Jornal Oficial da União Europeia. Recuperado de https://protecao-dados.pt/wp-content/uploads/2017/07/Regulamento-Geral-Proteção-Dados.pdf

Yin, R. K. (2015). Estudo de Caso – Planejamento e Métodos. (5a ed.). São Paulo, SP: Bookman.

Ziegler S., Evequoz E., & Huamani A.M.P. (2019) The impact of the European General Data Protection Regulation (GDPR) on future data business models: Toward a new paradigm and business opportunities. Em Aagaard A. (Eds). Digital business models. Palgrave Macmillan, Cham, Gewerbestrasse, Switzerland. https://doi.org/10.1007/978-3-030-13005-3_9

Ziraba, A., & Okolo, C. (2018). The impact of information technology (IT) policies and strategies to organization’s competitive advantage (1a Ed.). Munich, Germany: GRIN Verlag. Recuperado de https://dl.acm.org/citation.cfm?id=3239838

PDF

Descargar PDF

Métricas

Dimensions

PlumX

Instituciones

(Visited 3 times, 1 visits today)