COM.PRIVACY: modelo para gerenciamento de evidências de proteção e privacidade de dados

Abstract

O universo digital proporcionou às organizações, privadas e públicas, o uso massivo de dados pessoais e informações corporativas. Com isso, novos desafios surgiram no que se refere à proteção e privacidade de dados, e legislações para tratar o tema foram adotadas em âmbito mundial. As legislações, assim como as normativas sobre essa temática, apresentam os requisitos que as organizações, os processos, os produtos ou os ambientes precisam atender para serem considerados seguros. E para adequar-se a elas é necessária à implementação de práticas diversas tanto no contexto tecnológico quanto de processos. Dentre os requisitos preconizados nas normativas, destacam-se para esta pesquisa, os requisitos de ?Responsabilização? e de ?Conformidade com a Privacidade?, os quais definem que as organizações devem ser responsáveis e capazes de demonstrar conformidade com as mesmas. Com isso, além do desafio de implementar os requisitos de proteção e privacidade de dados, é necessário adotar processos sistematizados que comprovem como e em quais evidências estes requisitos são validados. Para demonstrar conformidade com as normativas, evidências são adotadas para comprovar a adequação aos requisitos, e precisam ser suficientes e adequadas para serem apresentadas em auditorias de qualquer natureza, tanto para fins de certificações quanto para atendimento a órgãos reguladores. Diante do exposto, considerando a obrigatoriedade da proteção e privacidade de dados por força de lei e a importância de comprovar conformidade com normativas, esta pesquisa apresenta um modelo para gerenciar evidências de proteção e privacidade dos dados para demonstrar diligência e conformidade com normativas. Para alcançar os objetivos definidos para este trabalho, foi realizada uma pesquisa aplicada, exploratória e descritiva, com abordagem quantitativa e qualitativa. Quanto aos procedimentos técnicos, esta pesquisa é classificada como bibliográfica, experimental e com painel de especialistas. Como método de pesquisa este trabalho utilizou o Design Science Research (DSR). Para a validação do modelo proposto, o mesmo foi aplicado em uma organização que possibilitou a observação e identificação de melhorias durante sua utilização, além da submissão de um questionário a especialistas para avaliarem o modelo. Diante do realizado, conclui-se que o modelo apoia a validação e comprovação de conformidade com requisitos de proteção e privacidade de dados em todas as operações de tratamento dos dados, e pode ser adotado tanto na atividade de adequação e implementação das normativas, no processo de aferição e verificação de conformidade com as mesmas, assim como para promover a transparência do tratamento dos dados a seus titulares.

Abstract: The digital universe has provided private and public organizations with the massive usage of personal data and corporate information. As a result, new challenges have arisen with regard to data protection and privacy, and legislation to address this issue has been adopted worldwide. The legislation as well as the regulations on this subject present the requirements that organizations, processes, products or environments need to meet to be considered safe. To adapt to them, it is necessary to implement different technological and procedural practices. ?Accountability? and ?Privacy Compliance? stand out in the requirements recommended, which define that organizations must be responsible and able to demonstrate compliance with them. Thus, in addition of data protection and privacy requirements, it is necessary to adopt systematized processes to prove how and on which evidence these requirements are validated. Evidence is adopted in different contexts and in all of them, it needs to be sufficient and adequate to be presented in any audit, both for certification and compliance with regulatory agencies. Considering the law mandate and need of regulatory compliance, this research presents a model for managing evidence of data protection and privacy. To reach the objectives, an applied, exploratory and descriptive research was carried out, with a quantitative and qualitative approach. As for the technical procedures, this research is classified as bibliographic, experimental and with a panel of experts. As a research method, this work used Design Science Research (DSR). To validate the model, it was applied in an organization that allowed the observation and identification of improvements, in addition to the submission of a questionnaire to specialists to assess the adequacy of the model. It is concluded that the model supports the validation and compliance proof with data protection and privacy requirements in all data processing operations, and can be adopted both to adequacy and implementation of regulations, in the process of gauging and verifying compliance, as well as to promote transparency in the processing of data to their holders.