A adequação à Lei Geral de Proteção de Dados Pessoais em instituições de ensino superior: um estudo multicasos
Data
2024Autor
Arabi, William Machado Botelho
xmlui.mirage2.itemSummaryView.MetaData
Mostrar registro completoResumo
A presente pesquisa busca verificar como foi o processo de adequação das Instituições de
Ensino Superior (IES) privadas, sem fins lucrativos, à Lei Geral de Proteção de Dados (LGPD),
Lei nº 13.709/2018. O trabalho de investigação visa entender como se deu esta adequação, quais
instrumentos foram utilizados, se houve o emprego da Governança de Tecnologia da
Informação (GTI) e da Governança de Dados (GD), bem como seus modelos e frameworks, e
em que medida, como foi a participação dos colaboradores e parceiros e qual foi o resultado
atingido pelas IES. O processo de adequação foi compulsório, logo após a sansão da Lei pela
Presidência da República no ano de 2020. A LGPG foi utilizada como marco referencial
primário e a TIC como secundário. Foram identificadas as normas antecedentes à promulgação
da LGPD que abordam o acesso a dados pessoais, como a Lei de Acesso à Informação (LAI) e
o Marco Civil da Internet (MCI). Identificou-se os requisitos necessários para adequação da
LGPD, bem como os conceitos de Governança de TI e de Dados, além de normativos
consolidados no mercado corporativo, como as normas ISO 38.500 e 27.701 e frameworks
como COBIT e ITIL, os quais foram abordados no decorrer da pesquisa. O estudo multicasos
foi realizado em duas grandes universidades, Fumec e PUC Minas, sediadas em Belo Horizonte,
Minas Gerais. Foi realizada uma pesquisa exploratória e descritiva, com abordagem qualitativa,
conduzida por meio de entrevistas semiestruturadas com osresponsáveis pela proteção de dados
(Data Protection Officer – DPO) e o Gerente da GTI destas IES. Dessa forma, os dados
coletados foram categorizados e analisados. A GTI, bem como normas/modelos e frameworks
forneceram processos, além de uma base de conhecimento sólida para a adequação e operação
do novo sistema legal nas IES pesquisadas. Identificou-se que a governança de dados (GD) é
um processo inexistente em uma IES e, em outra, um processo incipiente, logo a sua
implementação é recomendada para melhor gestão do volume informacional contidos nas
instituições pesquisadas. Observou-se, em ambas as IES, que a adequação à LGPD ocorreu
conforme cronograma estabelecido pelos DPOs e a adequação ocorreu de forma cadenciada
devido à complexidade da legislação. Houve o envolvimento da alta direção das IES e demais
parte interessadas de forma direta. O processo de comunicação é um ponto forte em uma
Instituição, e realizado com frequência semanal, e na outra Instituição é realizado sob demanda
ou periodicidade definida. Em ambas IES o tratamento de dados pessoais ocorre de forma
requerida pela LGPD atendendo aos seus requisitos e determinações. É consenso entre os DPOs
que a adequação da LGPD é um processo contínuo e requer atualizações e melhorias devido ao
seu amadurecimento nas Instituições e/ou pela evolução da legislação sancionada. A pesquisa
trouxe relevantes conclusões seja na esfera da LGPD seja na esfera dos demais recursos de
apoio utilizado para a adequação das IES à lei. Foram encontradas dificuldades como a falta de
recursos humanos e financeiros, bem como desafios que é a própria manutenção e evolução da
LGPD. A governança de TI foi utilizada considerando-se o framework ITIL, porém não na sua
totalidade. Outras normas e modelos não foram referenciadas pelos entrevistados como o
COBIT e a NBR ISO 38.500. A governança de dados não é uma realidade nas IES. Em apenas
uma delas, o DBA tem conhecimentos aprofundadados em LGPD, porém não foi constatado o
uso de recursos básicos e nem avançados sobre este tipo de governança, o que leva a reflexões
sobre a sua real necessidade ou sobre possível desconhecimento das IES quanto ao tema. This research seeks to verify how the process of adapting private, non-profit Higher Education
Institutions (HEIs) to the General Data Protection Law (LGPD), Law No. 13,709/2018. The
research work aims to understand how this adaptation occurred, which instruments were used,
how Information and Communication Technology (ICT) was involved, how the participation
of employees and partners was and what was the result achieved by the HEIs. The ultimate
reason for the research is to verify how the privacy of personal data, including sensitive ones,
are treated and protected by HEIs. The adaptation process was compulsory, shortly after the
Law was sanctioned by the Presidency of the Republic in 2020. LGPG was used as the primary
reference framework and ICT as secondary. We sought to verify whether Information
Technology Governance (ITG) and Data Governance (DG) were used in this adaptation
process, as well as their models and frameworks, and to what extent. The regulations preceding
the promulgation of the GDPL that address access to personal data were identified, such as the
Access to Information Law (AIL) and the Marco Civil da Internet (IMC). The necessary
requirements for adapting the GDPL were identified, as well as the concepts of IT and Data
Governance, in addition to consolidated regulations in the corporate market, such as ISO
standards 38,500 and 27,701 and frameworks such as COBIT and ITIL, which were addressed
in the during the research. The multi-case study was carried out at two large universities: Fumec
and PUC Minas, based in Belo Horizonte, Minas Gerais. An exploratory and descriptive
research was carried out, with a qualitative approach, conducted through semi-structured
interviews with those responsible for data protection (Data Protection Officer – DPO) and the
ITG Manager of these HEIs. In this way, the collected data was ordered, processed and
subsequently categorized into groups and analyzed. The ITG, as well as standards/models and
frameworks provided processes, in addition to a solid knowledge base for the adaptation and
operation of the new legal system in the HEIs researched. It was identified that data governance
(DG) is a non-existent process in one HEI and, in another, an incipient process, so its
implementation is recommended to better manage the information volume contained in the
researched institutions. It was observed, in both HEIs, that the adaptation of the LGPD occurred
according to the schedule established by the DPOs; adaptation occurred in a rhythmic manner
due to the complexity of the legislation. Stakeholders were involved directly and indirectly. The
communication process is a strong point in one Institution, and is carried out on a weekly basis,
and in the other Institution it is carried out on demand or defined frequency. In both HEIs,
personal data is processed in a manner required by the LGPD, meeting its requirements and
determinations. There is a consensus among DPOs that adapting the LGPD is a continuous
process and requires updates and improvements due to its maturity in the Institutions and/or the
evolution of sanctioned legislation. The research brought relevant conclusions, whether in the
sphere of the LGPD or in the sphere of other support resources used to adapt HEIs to the law.
Difficulties were encountered such as the lack of human and financial resources, as well as
challenges in the maintenance and evolution of the LGPD. IT governance was used considering
the ITIL framework, but not in its entirety. Other standards and models were not referenced by
interviewees, such as COBIT and NBR ISO 38,500. Data governance is not a reality in HEIs.
In only one of them, the DBA has in-depth knowledge of LGPD, but the use of basic or
advanced resources on this type of governance was not found, which leads to reflections on its
real need or on possible lack of knowledge on the part of HEIs on the topic.