A adequação à Lei Geral de Proteção de Dados Pessoais em instituições de ensino superior: um estudo multicasos

Abstract

A presente pesquisa busca verificar como foi o processo de adequação das Instituições de Ensino Superior (IES) privadas, sem fins lucrativos, à Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018. O trabalho de investigação visa entender como se deu esta adequação, quais instrumentos foram utilizados, se houve o emprego da Governança de Tecnologia da Informação (GTI) e da Governança de Dados (GD), bem como seus modelos e frameworks, e em que medida, como foi a participação dos colaboradores e parceiros e qual foi o resultado atingido pelas IES. O processo de adequação foi compulsório, logo após a sansão da Lei pela Presidência da República no ano de 2020. A LGPG foi utilizada como marco referencial primário e a TIC como secundário. Foram identificadas as normas antecedentes à promulgação da LGPD que abordam o acesso a dados pessoais, como a Lei de Acesso à Informação (LAI) e o Marco Civil da Internet (MCI). Identificou-se os requisitos necessários para adequação da LGPD, bem como os conceitos de Governança de TI e de Dados, além de normativos consolidados no mercado corporativo, como as normas ISO 38.500 e 27.701 e frameworks como COBIT e ITIL, os quais foram abordados no decorrer da pesquisa. O estudo multicasos foi realizado em duas grandes universidades, Fumec e PUC Minas, sediadas em Belo Horizonte, Minas Gerais. Foi realizada uma pesquisa exploratória e descritiva, com abordagem qualitativa, conduzida por meio de entrevistas semiestruturadas com osresponsáveis pela proteção de dados (Data Protection Officer – DPO) e o Gerente da GTI destas IES. Dessa forma, os dados coletados foram categorizados e analisados. A GTI, bem como normas/modelos e frameworks forneceram processos, além de uma base de conhecimento sólida para a adequação e operação do novo sistema legal nas IES pesquisadas. Identificou-se que a governança de dados (GD) é um processo inexistente em uma IES e, em outra, um processo incipiente, logo a sua implementação é recomendada para melhor gestão do volume informacional contidos nas instituições pesquisadas. Observou-se, em ambas as IES, que a adequação à LGPD ocorreu conforme cronograma estabelecido pelos DPOs e a adequação ocorreu de forma cadenciada devido à complexidade da legislação. Houve o envolvimento da alta direção das IES e demais parte interessadas de forma direta. O processo de comunicação é um ponto forte em uma Instituição, e realizado com frequência semanal, e na outra Instituição é realizado sob demanda ou periodicidade definida. Em ambas IES o tratamento de dados pessoais ocorre de forma requerida pela LGPD atendendo aos seus requisitos e determinações. É consenso entre os DPOs que a adequação da LGPD é um processo contínuo e requer atualizações e melhorias devido ao seu amadurecimento nas Instituições e/ou pela evolução da legislação sancionada. A pesquisa trouxe relevantes conclusões seja na esfera da LGPD seja na esfera dos demais recursos de apoio utilizado para a adequação das IES à lei. Foram encontradas dificuldades como a falta de recursos humanos e financeiros, bem como desafios que é a própria manutenção e evolução da LGPD. A governança de TI foi utilizada considerando-se o framework ITIL, porém não na sua totalidade. Outras normas e modelos não foram referenciadas pelos entrevistados como o COBIT e a NBR ISO 38.500. A governança de dados não é uma realidade nas IES. Em apenas uma delas, o DBA tem conhecimentos aprofundadados em LGPD, porém não foi constatado o uso de recursos básicos e nem avançados sobre este tipo de governança, o que leva a reflexões sobre a sua real necessidade ou sobre possível desconhecimento das IES quanto ao tema.

This research seeks to verify how the process of adapting private, non-profit Higher Education Institutions (HEIs) to the General Data Protection Law (LGPD), Law No. 13,709/2018. The research work aims to understand how this adaptation occurred, which instruments were used, how Information and Communication Technology (ICT) was involved, how the participation of employees and partners was and what was the result achieved by the HEIs. The ultimate reason for the research is to verify how the privacy of personal data, including sensitive ones, are treated and protected by HEIs. The adaptation process was compulsory, shortly after the Law was sanctioned by the Presidency of the Republic in 2020. LGPG was used as the primary reference framework and ICT as secondary. We sought to verify whether Information Technology Governance (ITG) and Data Governance (DG) were used in this adaptation process, as well as their models and frameworks, and to what extent. The regulations preceding the promulgation of the GDPL that address access to personal data were identified, such as the Access to Information Law (AIL) and the Marco Civil da Internet (IMC). The necessary requirements for adapting the GDPL were identified, as well as the concepts of IT and Data Governance, in addition to consolidated regulations in the corporate market, such as ISO standards 38,500 and 27,701 and frameworks such as COBIT and ITIL, which were addressed in the during the research. The multi-case study was carried out at two large universities: Fumec and PUC Minas, based in Belo Horizonte, Minas Gerais. An exploratory and descriptive research was carried out, with a qualitative approach, conducted through semi-structured interviews with those responsible for data protection (Data Protection Officer – DPO) and the ITG Manager of these HEIs. In this way, the collected data was ordered, processed and subsequently categorized into groups and analyzed. The ITG, as well as standards/models and frameworks provided processes, in addition to a solid knowledge base for the adaptation and operation of the new legal system in the HEIs researched. It was identified that data governance (DG) is a non-existent process in one HEI and, in another, an incipient process, so its implementation is recommended to better manage the information volume contained in the researched institutions. It was observed, in both HEIs, that the adaptation of the LGPD occurred according to the schedule established by the DPOs; adaptation occurred in a rhythmic manner due to the complexity of the legislation. Stakeholders were involved directly and indirectly. The communication process is a strong point in one Institution, and is carried out on a weekly basis, and in the other Institution it is carried out on demand or defined frequency. In both HEIs, personal data is processed in a manner required by the LGPD, meeting its requirements and determinations. There is a consensus among DPOs that adapting the LGPD is a continuous process and requires updates and improvements due to its maturity in the Institutions and/or the evolution of sanctioned legislation. The research brought relevant conclusions, whether in the sphere of the LGPD or in the sphere of other support resources used to adapt HEIs to the law. Difficulties were encountered such as the lack of human and financial resources, as well as challenges in the maintenance and evolution of the LGPD. IT governance was used considering the ITIL framework, but not in its entirety. Other standards and models were not referenced by interviewees, such as COBIT and NBR ISO 38,500. Data governance is not a reality in HEIs. In only one of them, the DBA has in-depth knowledge of LGPD, but the use of basic or advanced resources on this type of governance was not found, which leads to reflections on its real need or on possible lack of knowledge on the part of HEIs on the topic.