Proteção e privacidade de dados: um modelo para o gerenciamento de evidências

Abstract

Resumo As legislações e as normativas relacionadas à proteção e à privacidade de dados apresentam os requisitos a que organizações, processos, produtos e ambientes precisam atender para serem considerados seguros. Dentre os requisitos preconizados, destacam-se os de “Responsabilização” e “Conformidade com a privacidade”, os quais definem que as organizações devem ser responsáveis e capazes de demonstrar conformidade com as leis e as normas vigentes. Além do desafio de implementar tais requisitos, é necessário adotar processos sistematizados que comprovem como e em quais evidências esses requisitos são validados. Este artigo apresenta um modelo denominado COM.PRIVACY para gerenciar evidências de proteção e privacidade de dados e para demonstrar diligência e conformidade com normativas de boas práticas. Foi utilizado o Design Science Research como método de pesquisa para a proposição do modelo. Para a sua validação, o COM.PRIVACY foi aplicado em uma organização que possibilitou a observação e a identificação de melhorias durante a sua utilização, sendo a sua avaliação feita por um grupo de especialistas. Concluiu-se que o modelo apoia a validação e a comprovação de conformidade com requisitos de proteção e privacidade de dados em todas as operações de tratamento de dados, podendo ser adotado tanto na atividade de adequação e implementação das normativas, no processo de aferição e verificação de conformidade com essas normas, assim como na promoção da transparência do tratamento de dados aos seus titulares.