Um guia para alcançar a conformidade com a LGPD por meio de requisitos de negócio e requisitos de solução

Abstract

Contexto: Em maio de 2018, entrou em vigor na União Europeia a lei chamada General Data Protection Regulation (GDPR), uma versão atualizada de outra lei de privacidade de dados chamada Data Protection Directive. A intenção é proteger a privacidade dos dados pessoais dos cidadãos europeus e evitar o vazamento de informações. No Brasil, em agosto de 2018, foi sancionada a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020 e tem como base o GDPR. Segundo a legislação, as organizações públicas e privadas devem seguir regras para a coleta e o tratamento de informações pessoais, de modo que o não cumprimento dessas obrigações pode acarretar multas que chegam a R$ 50 milhões por infração. Motivação: O principal motivo de trabalhar este tema é a relevância, para organizações, da necessidade de conformidade com a lei federal, que, por ser legislação recente, ainda não conta com tantas abordagens teóricas. As organizações públicas e privadas vêm enfrentando dificuldades para conseguir alcançar essa conformidade. Esse problema pode estar associado à interpretação da Lei, muitas vezes ambígua, e pela falta de conhecimento jurídico dos analistas de sistemas. A extração de requisitos e a sua correta interpretação também são passíveis de erros. Esse problema é comum em pequenas e médias empresas que não possuem um setor ou apoio jurídico. Fornecer técnicas e ferramentas para profissionais de Tecnologia da Informação e Comunicação (TIC) que trabalham com privacidade de dados é fundamental para alcançar a conformidade com a LGPD. Objetivo: Diante dos desafios apresentados, propomos um guia de 6 etapas para apoiar os profissionais de TIC nas atividades de conformidade legal por meio de requisitos de negócio e de solução com foco no artigo 6º da LGPD. Método: Em relação aos procedimentos metodológicos, esse trabalho se baseou em um levantamento bibliográfico não exaustivo sobre o tema de conformidade com leis de proteção de dados na Engenharia de Requisitos. O estudo identificou uma lacuna de pesquisa e propôs um guia de conformidade legal de requisitos de negócio com a LGPD, além de avaliar referido guia com potenciais usuários por meio de um questionário distribuído nacionalmente. Resultados: Como resultado e com base na avaliação feita por meio do questionário, os 31 participantes da avaliação responderam que o guia é útil para alcançar a conformidade com a LGPD. Para os participantes, as etapas mais úteis do guia foram a Auditoria de Dados e a Análise de Lacunas. Dos componentes do guia, o mais útil foi o Exemplo de Ilustração de uso, enquanto o mais difícil foi o Catálogo de Controles de Privacidade. Com o guia proposto, espera-se auxiliar instituições que desejam alcançar a conformidade com a LGPD para que elas não sofram nenhuma sanção da lei.