Resumo

A quantidade de informações disponíveis tem crescido devido à digitalização das transações, levando à regulamentação da coleta e tratamento de dados pessoais. No Brasil, a necessidade de proteger os dados pessoais traduziu-se na LGPD, que estabeleceu diversos requisitos para o tratamento desses dados em organizações públicas e privadas, trazendo diferentes implicações para a segurança da informação. Mostra-se relevante entender como profissionais de TI compreendem suas implicações para a segurança da informação, visto que são os responsáveis por atuar em controles de segurança da informação.

A pesquisa teve o objetivo de estudar como profissionais de TI percebem as implicações da LGPD nos controles de segurança da informação organizacionais. Este estudo contribui para a aplicação prática da lei na garantia da privacidade e transparência no tratamento dos dados, evitando não conformidades e impactos desnecessários ou desproporcionais, além de avançar no conhecimento sobre o tema ao estudar a compreensão tanto de gestores quanto profissionais técnicos de TI sobre as implicações da lei na segurança da informação organizacional.

A proteção dos dados pessoais passa pela privacidade, o que traz implicações em processos, procedimentos, papéis, responsabilidades, regulamentos, estruturas organizacionais e política de segurança da informação. Tem implicações também sobre ações de conscientização, divulgação e capacitação para aumentar a aceitação dos requisitos da lei e das mudanças. E tem implicações em controles técnicos aplicados para garantir a segurança da informação. Por atuarem diretamente com os controles de segurança da informação e dados, é necessário saber sua percepção sobre as implicações da lei.

O estudo envolveu um levantamento quantitativo junto a profissionais técnicos de TI em uma organização que estava realizando a adequação nos seus controles de segurança da informação tendo em vista a conformidade com a LGPD. Posteriormente, foi realizado um grupo focal com gestores de TI da organização, o que permitiu comparar a compreensão desses profissionais a respeito das implicações da LGPD sobre os controles de segurança da informação da organização.

Os resultados mostram que profissionais de TI percebem não ter conhecimentos suficientes sobre a LGPD, embora entendam que a organização precisa realizar adequações em processos, procedimentos, estruturas organizacionais e política de segurança da informação para estar em conformidade com a lei. Gestores de TI percebem a necessidade de capacitar os profissionais de TI e concordam com a necessidade de promover adequações em processos, procedimentos, estruturas organizacionais e política de segurança da informação. Infraestrutura tecnológica é percebida como adequada para os dois grupos.

Há uma compreensão geral a respeito da necessidade de capacitar profissionais de TI sobre a LGPD, embora ações de divulgação e conscientização tenham sido realizadas. Gestores alegaram terem sido capacitados para a LGPD, mas os demais profissionais não foram, o que pode prejudicar os esforços de adequação dos controles de segurança da informação pelos profissionais de TI. A necessidade de realizar adequações em planos, procedimentos e processos de segurança da informação para atender à LGPD foi a mais recorrente identificada nas falas dos participantes do grupo focal.

Bioni, B. R. (2019). Proteção de Dados Pessoais: a Função e os Limites do Consentimento Cancelier, M. V. L. (2017). Infinito Particular: privacidade no século XXI e a manutenção do direito de estar só. Chiles, W. A. S., Behr, A., Farias, E. S., Corso, K. B. (2013). Problemas nos processos de adoção de sistemas e tecnologias de informação Dhillon, G., & Moores, S. (2001). Computer crimes: theorizing about the enemy within. Doneda, D. (2021). Da privacidade à proteção de dados pessoais. Pinheiro, P. P. (2020). Proteção de Dados Pessoais: comentários à Lei 13.709/2018 (LGPD).