DESAFIOS DA CONFORMIDADE COM A LGPD NO SETOR DE SOFTWARE

REGISTRO DOI: 10.69849/revistaft/fa10202405281450

Alexandre Leal Calgaro

RESUMO

A Lei Geral de Proteção de Dados (LGPD), promulgada no Brasil em 2018, introduziu uma série de exigências para a proteção de dados pessoais, apresentando desafios significativos para as organizações, especialmente aquelas no setor de software. Este estudo explora os desafios técnicos, legais e culturais enfrentados pelas empresas na implementação da LGPD. Utilizando uma metodologia qualitativa baseada em revisão de literatura, a pesquisa revelou que a conformidade exige não apenas ajustes técnicos, mas também uma compreensão profunda da legislação e uma mudança cultural significativa dentro das organizações. Os principais desafios identificados incluem a atualização de sistemas legados, a interpretação precisa da legislação e a promoção de uma cultura de privacidade. O estudo conclui que a conformidade com a LGPD vai além do cumprimento legal, representando uma oportunidade para as empresas fortalecerem suas operações e relações de confiança com clientes e parceiros. A implementação eficaz da LGPD é vista como um diferencial competitivo no mercado global, ressaltando a importância de uma abordagem proativa e integrada.

Palavras-chave: LGPD, proteção de dados, conformidade, desafios legais, cultura organizacional, setor de software.

ABSTRACT

The General Data Protection Law (LGPD), enacted in Brazil in 2018, has introduced a series of requirements for personal data protection, posing significant challenges for organizations, especially those in the software sector. This study explores the technical, legal, and cultural challenges faced by companies in implementing the LGPD. Employing a qualitative methodology based on literature revie, the research revealed that compliance requires not only technical adjustments but also a deep understanding of the legislation and a significant cultural shift within organizations. The main challenges identified include upgrading legacy systems, accurate interpretation of the legislation, and promoting a culture of privacy. The study concludes that compliance with the LGPD extends beyond legal adherence, representing an opportunity for companies to strengthen their operations and trust relationships with customers and partners. Effective implementation of the LGPD is seen as a competitive edge in the global market, highlighting the importance of a proactive and integrated approach.

Keywords: LGPD, data protection, compliance, legal challenges, organizational culture, software sector.

1 INTRODUÇÃO

A promulgação da Lei Geral de Proteção de Dados (LGPD) em 2018 marca um avanço significativo na legislação brasileira, visando fortalecer a proteção e a privacidade dos dados pessoais. Conforme estabelecido por Warren e Brandeis (1890) no seminal “the right to privacy”, o desenvolvimento dos direitos de privacidade tem evoluído em resposta aos avanços tecnológicos e às mudanças sociais. Este trabalho segue a trajetória de desenvolvimento das normas de privacidade, destacando marcos importantes, como a Declaração Universal dos Direitos Humanos em 1948 e a formação subsequente de legislações e tratados internacionais, incluindo a General Data Protection Regulation (GDPR) da União Europeia, enfatizados por Lenaerts (2012) e Kuner (2010).

No contexto da LGPD, a aplicação desta lei traz desafios intrínsecos, não apenas na implementação de mudanças práticas dentro das organizações, mas também na necessidade de uma compreensão aprofundada e uma abordagem estratégica para garantir conformidade e proteção adequada de dados pessoais. Este artigo examina esses desafios sob várias perspectivas, analisando as implicações legais, técnicas e sociais envolvidas na conformidade com a LGPD.

Assim sendo, o objetivo deste estudo é explorar os desafios enfrentados pelas empresas, especialmente no setor de software, para se alinharem à LGPD durante o processo de desenvolvimento de software. Além disso, pretende-se analisar as repercussões econômicas, sociais e de governança que emergem como consequência da necessidade de adequação a esta legislação. A pesquisa visa proporcionar uma compreensão detalhada sobre como os Requisitos Funcionais (RF) e Não Funcionais (RNF) podem ser integrados com as normas da LGPD para fomentar não só a conformidade legal, mas também promover uma mudança cultural que valorize a privacidade e a segurança dos dados em todos os níveis da organização.

2 REFERENCIAL TEÓRICO

2.1 DESENVOLVIMENTO DO CONCEITO DE PRIVACIDADE DE DADOS

A discussão sobre o direito dos indivíduos à proteção legal de suas vidas privadas tem suas raízes no final do século XIX, impulsionada pelo artigo pioneiro de Warren e Brandeis (1890), “the right to privacy”. Os autores destacaram como as recentes invenções e práticas comerciais daquela época já indicavam a necessidade de avançar na proteção do indivíduo e garantir o direito de “ficar só”. Enfatizam que a fotografia instantânea e os jornais estavam penetrando no “recinto sagrado da vida doméstica privada” e que diversos aparelhos mecânicos ameaçavam concretizar a previsão de que “o que é sussurrado no armário será anunciado dos telhados”.

“Recent inventions and business methods call attention to the next step which must be taken for the protection of the person, and for securing to the individual what Judge Cooley calls the right “to be let alone”. Instantaneous photographs and newspaper enterprise have invaded the sacred precincts of private and domestic life; and numerous mechanical devices threaten to make good the prediction that “what is whispered in the closet shall be proclaimed from the house-tops.” For years there has been a feeling that the law must afford some remedy for the unauthorized circulation of portraits of private persons” (WARREN; BRADAIS, 1890)

O direito à não perturbação e à não invasão, discutido pelos autores, torna-se uma das bases do Artigo 12 da Declaração Universal dos Direitos Humanos: “Ninguém sofrerá intromissões arbitrárias em sua vida privada, em sua família, em sua casa ou em sua correspondência, nem ataques à sua honra e reputação. Contra tais intromissões ou ataques, toda pessoa tem direito à proteção legal” (ONU, 1948). Esse Artigo, por sua vez, serve de fundamento para o tratado de defesa dos direitos humanos em toda a UE, firmado pelos Estados-membros na convenção europeia em Roma em 1950 liderada pelo Conselho da Europa para os direitos humanos (CONCIL OF EUROPE, 1950), catalisando a maturação do tema em paralelo às demandas da sociedade frente às novas oportunidades promovidas pelo avanço tecnológico. A evolução da UE na década de 70 culmina com o significativo progresso no processamento de dados e na telefonia, intensificando o comércio transfronteiriço. Surge o desafio de encontrar um equilíbrio entre preservar as liberdades individuais e a fluidez do comércio livre, sendo a proteção de dados um elemento central dessa questão.

Kuner (2010) analisa a evolução desse desafio discutido pela Organização para a Cooperação e Desenvolvimento Econômico (OCDE) em 1980, primeiro esforço na direção do equilíbrio almejado, resultando nas diretrizes para a proteção da privacidade e os fluxos transfronteiriços de dados pessoais (Guidelines on the Protection of Privacy and Transborder Flows of Personal Data). Essas diretrizes foram adotadas para formalizar em 1981 a European Treaty Series n.108 na convenção do Conselho da Europa sobre a proteção dos indivíduos no que se refere ao processamento automático de dados pessoais, conhecida por Convenção 108 ou Tratado de Estrasburgo (COUNCIL OF EUROPE, 1981). Esse tratado foi a base para que os países membros desenvolvessem suas próprias legislações, com normas e regulamentos específicos.

Com a popularização da internet na década de 90, o comércio internacional começou a enfrentar barreiras impostas pelas divergências entre as leis de cada país, surgindo a necessidade de harmonização. Essa preocupação levou à iniciativa da OCDE em estabelecer diretrizes para regulamentar o comércio eletrônico que influenciou o poder legislativo da UE formado pelo parlamento europeu e conselho a aprovarem a Diretiva de Proteção de Dados 95/46/EC em Luxemburgo (PARLAMENTO EUROPEU, 1995). Esta diretiva destaca em seu subtítulo: “sobre a proteção das pessoas físicas em relação ao tratamento de dados e à livre circulação destes dados” e estabeleceu a base para a proclamação da carta dos direitos fundamentais da UE (PARLAMENTO EUROPEU, 2000), a carta da UE, referindo-se à privacidade e a proteção dos dados pessoais como um direito fundamental.

Lenaerts (2012) destaca que a carta da UE deu visibilidade aos direitos fundamentais através da sistematização em um único documento a partir de fontes de inspiração dispersas em vários instrumentos legais, sendo um marco de um novo estágio no processo de integração da Europa. O autor ressalta que a carta da UE é uma lei no âmbito da UE, portanto, reconhecida pela corte de justiça da UE que sempre teve a intenção de federalizar este dispositivo, substituindo as constituições nacionais por um padrão comum único.

Dois artigos da carta da UE são particularmente relevantes: o artigo 7, que trata da vida privada e familiar, e o artigo 8, que aborda a proteção de dados pessoais. No entanto, as leis nacionais sobre proteção de dados estavam frequentemente em conflito com a carta da UE, intensificando ainda mais o debate sobre a unificação das leis.

Com a força desta carta reconhecida pela corte de justiça da UE surgiu em janeiro de 2012 a primeira proposta da regulamentação, a General Data Protection Regulation (GDPR) (PARLAMENTO EUROPEU, 2016), assinada em janeiro de 2016 para ser cumprida a partir de 25 de maio de 2018. A GDPR se fundamenta na carta da UE e revoga a Diretiva 95/46 CE, indicando que não deve haver confusão sobre qual lei se aplica.

Além das legislações, a ISACA (Information System Audit Control Association) consolida uma definição de privacidade em seu guia de gestão de programas e princípios de privacidade. Tal conceito é difundido na comunidade acadêmica da área da ciência da computação, segurança da informação e em comunidades práticas relacionadas. Privacidade é o direito de um indivíduo confiar que outros usarão, armazenarão, compartilharão e descartarão de forma adequada e respeitosa suas informações pessoais e confidenciais associadas dentro o contexto e de acordo com os propósitos para os quais foi coletado ou derivado. (ISACA, 2017)

2.2 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, foi instituída para proteger os direitos fundamentais de liberdade, privacidade e formação livre da personalidade de cada cidadão (Brasil 2018). A lei abrange o processamento de dados pessoais, tanto físicos quanto digitais, realizado por pessoas físicas ou jurídicas de direito público ou privado, e inclui uma variedade de operações que podem ser executadas tanto manual quanto digitalmente.

A LGPD estabelece que a proteção de dados pessoais se baseia nos seguintes princípios: I – respeito à privacidade; II – autodeterminação informativa; III – liberdade de expressão e de informação, comunicação e opinião; IV – inviolabilidade da intimidade, honra e imagem; V – desenvolvimento econômico e tecnológico e inovação; VI – livre iniciativa, concorrência livre e defesa do consumidor; e VII – direitos humanos, desenvolvimento livre da personalidade, dignidade e exercício da cidadania por pessoas naturais.

Aplica-se a qualquer operação de processamento realizada por pessoa natural ou jurídica de direito público ou privado, independentemente do meio, país da sede ou localização dos dados, desde que: I – a operação de processamento seja realizada em território nacional; II – a atividade de processamento vise a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; III – os dados pessoais objeto do processamento tenham sido coletados no território nacional.

Os Requisitos de Software são divididos em Requisitos Funcionais (RF) e Requisitos Não Funcionais (RNF). Portanto, o desafio consiste em estudar a LGPD, os Requisitos de Software e suas implicações. Alguns dos contextos ou situações em que este desafio pode ser considerado incluem:

Capacitação: É essencial que o conhecimento sobre a LGPD esteja presente para que os RF e RNF estejam alinhados aos seus princípios. Compreender os princípios da LGPD é crucial para que os requisitos sejam apropriados e possam ser validados. Além disso, é importante capacitar estudantes de graduação sobre os conceitos e aplicações da LGPD, garantindo uma base sólida de conhecimento sobre o tema desde a formação.

Elicitação de RF e RNF: A elicitação de requisitos é uma etapa inicial no desenvolvimento de software, frequentemente envolvendo clientes, usuários e profissionais de sistemas e aplicações. A capacidade de extrair requisitos muitas vezes depende da experiência de quem está conduzindo a elicitação e do conhecimento dos usuários sobre seus próprios processos de negócios, e adicionar elementos da LGPD desde o início do processo é essencial.

Especificação de RF e RNF: Uma vez que os requisitos são elicitados, inicia-se a etapa de especificação. Os modelos, textos e diagramas gerados neste momento devem refletir aspectos da LGPD dentro do sistema e ambiente, e devem ser compreensíveis para os desenvolvedores. Neves Camelo e Alves (2023) propuseram um catálogo de padrões de privacidade que serve para orientar a especificação de requisitos de privacidade em conformidade com os princípios da LGPD, apoiando a especificação.

Implementação de RF e RNF: Além das atividades de elicitar e especificar, a etapa de implementação também apresenta desafios. Além do conhecimento necessário para desenvolver algo aderente à LGPD, há um aumento na carga de trabalho. Alves e Neves (2021) relataram que equipes com pessoal limitado enfrentam novas demandas, e há dificuldades em interpretar e operacionalizar a LGPD no contexto dos sistemas e serviços prestados. Sá Sousa et al. (2023) sugeriram como trabalho futuro a definição de um modelo para orientar a implementação da LGPD.

Alinhamento sobre a coleta e uso dos dados: Envolve maior interação entre as partes interessadas, planejando e esclarecendo questões de segurança, privacidade e uso dos dados desde a fase inicial da Engenharia de Software. Detalhar as coletas de dados e os propósitos para os quais serão utilizados, bem como prever e prevenir possíveis riscos à privacidade e integridade desses dados. O alinhamento dessas discussões às diretrizes da LGPD pode mitigar possíveis falhas de projeto, economizando tempo e custos financeiros por falta de conformidade com a LGPD.

Impacto econômico da não conformidade de RF e RNF com a LGPD: À medida que os sistemas são cada vez mais exigidos para estar alinhados com a LGPD, a não conformidade pode implicar em multas e sanções, necessidades de ajustes tanto em código quanto em infraestrutura. Todos esses aspectos requerem esforço e tempo, o que possui um custo financeiro associado.

Validação de requisitos quanto ao alinhamento com a LGPD: Esse desafio implica em processos de desenvolvimento, de qualidade, de testes. A validação dos requisitos já ocorre na própria especificação, com casos de testes, validação com especialistas em LGPD, e estende-se para as demais fases do processo de desenvolvimento de software.

Conscientização do uso de dados: A coleta de dados deve estar associada a uma necessidade ou finalidade específica, bem definida, deve ser clara e estar em conformidade com as diretrizes vigentes na legislação. Devido à conformidade com a LGPD, incorporada desde a fase de requisitos, eventualmente ocorrerá uma mudança de pensamento e hábitos de desenvolvimento. Entretanto, essa mudança de cultura possui um preço, tanto comportamental, com resistências, quanto do ponto de vista gerencial, com maiores esforços, prazos e custos.

Avaliação do Progresso Alguns dos itens a seguir são possíveis formas de se visualizar, acompanhar e avaliar o desafio proposto:

Gestão dos recursos: Implementar e saber se os RF e RNF estão válidos e em conformidade com a LGPD não é uma tarefa fácil. As formas de adequação aos princípios da LGPD requerem um esforço extra, conhecimento sobre as diversas formas de estar em conformidade e sobre a própria LGPD. Em caso de não conformidade, causas devem ser identificadas, por exemplo, requisitos alinhados com a LGPD não especificados ou especificados incorretamente. A implementação de mais requisitos implica em mais custos financeiros, e possivelmente não incorporados nas estimativas iniciais.

Medição da qualidade dos RF e RNF: A incorporação da LGPD nos requisitos implicaria na sua inclusão dentro dos processos de desenvolvimento de software. Qualidade e testes naturalmente avaliam requisitos, e normalmente usam métricas para esse fim. Os profissionais envolvidos em testes e qualidade, normalmente analistas e projetistas de testes, testadores e Quality Assurance, também devem estar atentos às novas diretrizes a serem consideradas devido à LGPD, além da necessidade de capacitação.

Avaliação da adequação dos RF e RNF à LGPD: A conformidade dos RF e RNF à LGPD pode variar em níveis. Um sistema ou ambiente pode estar totalmente aderente, parcialmente aderente, ou não aderente à LGPD. Isso pode levantar também questões éticas, pois o quanto (qual o grau) um sistema deveria estar aderente à LGPD é algo a ser considerado, além da relação custo-benefício dessa aderência. Menegazzi e Silva (2023) propuseram um guia para alcançar a conformidade de sistemas de software com a LGPD por meio de Requisitos de Negócio e Requisitos de Solução, onde esse guia pode ser aplicado em sistemas que já estão em modo de produção – ou seja, que já estão sendo utilizados por seus usuários.

Produtos gerados de pesquisas: A interdisciplinaridade que este tema pode trazer às diversas áreas do conhecimento é uma oportunidade enorme para a geração de diversos produtos científicos. Por produtos científicos pode-se considerar artigos científicos relacionados à LGPD e Requisitos de Software, divulgação de resultados em eventos, produtos técnicos, como aplicações, e metodologias para aplicação em projetos e empresas. Adicionalmente, projetos de pesquisa que envolvam instituições diferentes são muito oportunos.

2.3 DESAFIOS NA IMPLEMENTAÇÃO DA LGPD E SUA AMBIGUIDADE NORMATIVA

É importante entender que a LGPD impacta três áreas fundamentais em uma empresa de software: jurídica, segurança da informação e governança. Além disso, possui um caráter transversal no Direito Brasileiro, interagindo com outras legislações existentes, como o Marco Civil da Internet, Lei da Informática, legislação sobre crimes cibernéticos, Código de Defesa do Consumidor, Código Civil, entre outras. Portanto, as empresas de software não podem se limitar ao entendimento da LGPD para assegurar conformidade legal.

Dada a complexidade e falta de clareza normativa, e a ausência de um manual ou estrutura clara pela ANPD, a maioria das empresas brasileiras, incluindo as de software, ainda não se adaptaram à LGPD (Daryus 2023). Para mitigar riscos, algumas empresas adotaram medidas de segurança da informação de forma ad hoc, mas ainda não alcançaram a implementação completa de um programa de adequação à LGPD. Ademais, muitas empresas de software no Brasil são microempresas ou startups com recursos limitados e equipes reduzidas, o que dificulta a implementação de políticas robustas de privacidade, a proteção adequada dos dados pessoais, a coleta de consentimentos dos titulares dos dados e a gestão de possíveis vazamentos de informação.

A falta de conhecimento especializado sobre a legislação e seus requisitos técnicos também complica o processo de adequação à LGPD. Neste contexto, o principal desafio é a falta de soluções práticas que orientem as empresas de software sobre como implementar a LGPD, detalhando os procedimentos, etapas, profissionais envolvidos, custos, formas de medição do progresso e garantia de conformidade legal. Além da falta de conhecimento das empresas sobre as práticas necessárias, os ataques cibernéticos e vazamentos de dados se tornam cada vez mais comuns, e os softwares dessas empresas utilizam intensivamente dados pessoais. Portanto, este artigo visa destacar a importância e os desafios da implementação da LGPD no contexto das empresas de software no Brasil, abordando a complexidade legislativa, a ausência de diretrizes práticas por parte da ANPD, os recursos limitados das empresas de software, e a necessidade de apoio e orientação para assegurar a conformidade legal e proteção dos dados pessoais dos clientes, parceiros e colaboradores dessas empresas.

2.4 O CONTEXTO DA LGPD E SEUS IMPACTOS HUMANOS, ECONÔMICOS E SOCIAIS NA INDÚSTRIA DE SOFTWARE

Considerando que a LGPD é uma lei federal obrigatória para todas as empresas operando no Brasil, a proteção de dados pessoais é uma preocupação mundial. Assim, a importância da adequação das empresas de software à LGPD transcende a mera conformidade legal. Um dos aspectos humanos essenciais é a segurança efetiva dos dados pessoais, preservando sua integridade e privacidade, pois seu uso indevido pode afetar diretamente a vida dos usuários, como em casos de fraudes financeiras, danos à reputação, prejuízos emocionais, roubo de identidade que resultam em transações fraudulentas e comprometem a integridade financeira das vítimas. Além disso, vazamentos de informações sensíveis podem erodir a confiança nas instituições responsáveis por coletar e armazenar esses dados, gerando vulnerabilidade e desconfiança em relação à segurança digital.

As empresas de software precisam contar com profissionais capacitados para gerir a proteção de dados pessoais nas áreas de segurança da informação, jurídica e governança. A formação adequada desses profissionais garante não apenas a conformidade legal, mas também uma cultura organizacional robusta e consciente da importância de proteger os dados pessoais de forma responsável e ética (Mendes 2023).

A adequação a esta lei pelas empresas de software também envolve aspectos sociais significativos. Os dados pessoais são frequentemente comparados ao petróleo do século XXI, representando um recurso valioso que pode influenciar tanto a economia global quanto a segurança nacional (Bergamasco, 2021). A conscientização e o letramento digital são essenciais, especialmente no uso de softwares, fortalecendo a confiança no ambiente digital e contribuindo para a proteção dos direitos individuais e coletivos, promovendo uma sociedade mais segura e ética no uso da tecnologia.

Neste cenário, o custo de implantação de medidas de conformidade pode ser significativo, especialmente para pequenas e médias empresas do setor, impactando economicamente a indústria de software. A não conformidade com a LGPD pode acarretar consequências financeiras graves, como compensações financeiras a indivíduos afetados por vazamentos de dados. Bancos e outras instituições financeiras, por exemplo, podem enfrentar altos custos relacionados à reversão de pagamentos, transferências e créditos devido a fraudes com dados pessoais.

Instituições já estão enfrentando multas, processos judiciais e danos à reputação por não atenderem adequadamente às exigências da LGPD. Portanto, a conformidade com a legislação não só protege a privacidade dos usuários, mas também resguarda as empresas de impactos econômicos adversos decorrentes de violações à proteção de dados.

A LGPD impõe sanções severas ao setor de tecnologia em caso de descumprimento das normas de proteção de dados pessoais, aumentando a pressão sobre as empresas para garantir a conformidade. Além das penalidades financeiras, há outras formas de punição como advertência, publicização da infração, bloqueio dos dados pessoais, eliminação dos dados pessoais, suspensão parcial do funcionamento do banco de dados e a suspensão do exercício da atividade de tratamento dos dados pessoais (ANPD 2021). Estas sanções não financeiras visam assegurar a adesão às normas de proteção de dados e incentivar as empresas a adotarem práticas adequadas no tratamento das informações pessoais dos usuários, podendo impactar significativamente a indústria de software.

Quando se considera o desenvolvimento, distribuição e uso de softwares através da internet, o desafio das empresas de software em se adequarem à LGPD está intrinsecamente ligado à necessidade de também cumprir leis internacionais. A natureza globalizada do software, junto com a distribuição geográfica de datacenters e a existência de outras legislações, como a GDPR (General Data Protection Regulation), torna essencial o cumprimento das normas de proteção de dados não apenas em nível nacional, mas também em âmbito internacional. Adicionalmente, parcerias comerciais e relações intercontinentais exigem a observância de diferentes regulamentações, destacando a complexidade e a importância de uma abordagem integrada e compatível com os padrões internacionais de privacidade e segurança de dados. Essa conformidade não apenas fortalece a reputação das empresas no cenário global, mas também garante a proteção dos direitos dos usuários em diferentes jurisdições.

Por fim, a falta de conformidade com a LGPD coloca as empresas em um cenário de alto risco ao utilizarem Inteligência Artificial (IA) de forma ampla e intensiva. Isso ocorre devido à natureza sensível dos dados pessoais envolvidos no treinamento e na operação de sistemas de IA. A LGPD estabelece diretrizes e normas específicas para o tratamento desses dados, garantindo a privacidade e a segurança dos indivíduos. Portanto, a conformidade com a LGPD é um pré-requisito fundamental para que as empresas possam adotar a IA de forma eficiente e responsável, minimizando riscos legais, éticos e de reputação, conforme prevê o art. 20 da lei.

3 METODOLOGIA

A metodologia adotada neste estudo é baseada em uma abordagem qualitativa e exploratória, que permite uma análise profunda dos desafios enfrentados pelas empresas no alinhamento dos Requisitos Funcionais (RF) e Não Funcionais (RNF) com a Lei Geral de Proteção de Dados (LGPD). Essa abordagem é amplamente reconhecida na literatura por sua eficácia em explorar novos fenômenos dentro de contextos específicos, conforme discutido por Creswell (2014), que destaca a importância da pesquisa qualitativa para compreender complexidades que não podem ser quantificadas.

Os dados foram coletados principalmente através de revisão de literatura abrangente, envolvendo análises de textos legais, publicações acadêmicas, e documentos oficiais relacionados à LGPD e à proteção de dados em geral. Esta revisão incluiu fontes primárias, como textos legais e regulamentações, e fontes secundárias, como artigos acadêmicos e comentários de especialistas na área.

4 RESULTADOS E DISCUSSÃO

Tecnicamente, as organizações precisam adaptar seus sistemas de TI para garantir que todas as operações de processamento de dados estejam em conformidade com a LGPD. Isso inclui a implementação de sistemas de criptografia, controles de acesso aprimorados e soluções para garantir a transparência e o registro das atividades de processamento de dados. Legalmente, as empresas devem interpretar a LGPD corretamente para entender suas obrigações e os direitos dos titulares dos dados. Culturalmente, há a necessidade de promover uma mudança de mindset em relação à privacidade e proteção de dados entre os colaboradores de todos os níveis da organização.

A adequação dos sistemas de TI foi identificada como um dos desafios mais significativo, pois muitas empresas têm sistemas legados que não foram originalmente projetados para cumprir as exigências de privacidade e proteção de dados impostas pela LGPD. A atualização ou substituição desses sistemas envolve investimentos substanciais em novas tecnologias e, frequentemente, a reengenharia dos processos de negócios. Este aspecto é particularmente desafiador para pequenas e médias empresas que possuem recursos limitados.

No aspecto legal, a interpretação e a aplicação da LGPD requerem um entendimento profundo da legislação, que muitas vezes é ambíguo e aberto a interpretações. As empresas precisam não só entender as disposições legais, mas também acompanhar as atualizações regulatórias e as interpretações dos tribunais e da Autoridade Nacional de Proteção de Dados (ANPD). Isso exige que as empresas invistam em capacitação jurídica contínua e, muitas vezes, em consultoria especializada.

Culturalmente, os resultados destacam a resistência à mudança como um obstáculo, a proteção de dados e a privacidade ainda não são vistos como prioridades em muitas organizações brasileiras. A construção de uma cultura de privacidade requer campanhas de sensibilização contínuas, treinamento regular dos colaboradores e a criação de políticas claras e acessíveis. Este esforço é essencial para garantir que todos na organização compreendam sua responsabilidade na proteção de dados pessoais e ajam de acordo com as normas da LGPD.

Os resultados sugerem que as empresas devem adotar uma abordagem multifacetada para garantir a conformidade com a LGPD, incluindo a realização de auditorias regulares de privacidade, a implementação de sistemas de gestão de consentimento robustos e a designação de um Encarregado de Proteção de Dados (DPO) competente. Além disso, é essencial que as empresas estabeleçam parcerias com entidades educacionais e profissionais para manter-se atualizadas sobre as melhores práticas e desenvolvimentos legais.

A implementação eficaz da LGPD é um processo contínuo que exige compromisso, investimento e adaptação por parte das empresas. Os desafios identificados neste estudo destacam a complexidade da conformidade com a LGPD e a necessidade de uma abordagem integrada que combine tecnologia, direito e cultura. As empresas que abordarem esses desafios de forma proativa não só evitarão penalidades legais, mas também fortalecerão sua reputação e relação de confiança com clientes e parceiros.

CONCLUSÃO

Este estudo abordou os desafios multifacetados enfrentados pelas empresas, especialmente no setor de software, na implementação da Lei Geral de Proteção de Dados (LGPD) no Brasil. Através de uma análise qualitativa, explorou-se as complexidades técnicas, legais e culturais envolvidas na conformidade com esta legislação.

Os desafios técnicos são marcados pela necessidade de atualizar ou substituir sistemas legados para garantir que todas as operações de processamento de dados cumpram os requisitos da LGPD, exigindo um investimento significativo em tecnologia e recursos, que pode ser particularmente oneroso para pequenas e médias empresas.

Do ponto de vista legal, a interpretação ambígua da LGPD e as constantes atualizações regulatórias exigem que as organizações mantenham uma vigilância constante e invistam em capacitação jurídica e consultoria especializada para garantir a interpretação e aplicação adequadas da lei.

Além disso, a pesquisa revelou a importância de uma abordagem integrada e proativa para a conformidade com a LGPD, que não só evita penalidades legais, mas também fortalece a confiança dos clientes e parceiros. As empresas que conseguirem implementar efetivamente as práticas recomendadas não apenas cumprirão com suas obrigações legais, mas também estarão melhor posicionadas para competir em um mercado cada vez mais regulado e consciente da privacidade.

Em conclusão, a conformidade com a LGPD é um imperativo ético e comercial que transcende o mero cumprimento legal. Ela representa uma oportunidade para as empresas reavaliarem suas práticas de dados, melhorarem suas operações e fortalecerem suas relações de confiança com todas as partes interessadas. Os desafios são significativos, mas as empresas que adotarem uma estratégia orientada para o futuro na gestão de dados pessoais estarão preparadas para liderar em um ambiente de negócios cada vez mais baseado na confiança e na responsabilidade.

REFERÊNCIAS

Autoridade Nacional de Proteção de Dados (ANPD). (2021). Resolução ANPD nº 1/2021, Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados (alterado pela RESOLUÇÃO CD/ANPD Nº 4, DE 24 DE FEVEREIRO DE 2023). Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021. Acesso em: 10 jan. 2024.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 10 mar. 2024.

Cardoso, D., & Cardoso, T. (2023). Adequação da LGPD via “Projetos Ágeis Scrum”. Boletim Do Gerenciamento, 35(35), 28-41. Disponível em: https://nppg.org.br/revistas/boletimdogerenciamento/article/view/731. Acesso em: 15 dez. 2023.

Carniato, S. H. (2022). Revisão e atualização de contrato sob o prisma da privacidade e proteção de dados. Cadernos Jurídicos Da Faculdade De Direito De Sorocaba, 3(1), 95–106. Disponível em: https://fadi.emnuvens.com.br/cadernosjuridicos/article/view/90. Acesso em: 18 abr. 2024.

Daryus. (2023, 04 de janeiro). LGPD está fora da realidade de 80% das empresas no Brasil, diz estudo. FEBRABRAN TECH. Disponível em: https://febrabantech.febraban.org.br/blog/lgpd-esta-fora-da-realidade-de-80-das-empresas-no-brasil-diz-estudo. Acesso em: 25 mar. 2024.

Kuner, Christopher. (2010). Regulation of transborder data flows under data protection and privacy law: past, present, and future. TILT Law & Technology Working Paper, n. 016, 2010.

Lenaerts, Koen. (2012). Exploring the limits of the EU charter of fundamental rights. European Constitutional Law Review, v. 8, n. 3, p. 375-403.

Mendes, Laura Schertel et al. (2023). Anuário do Observatório da LGPD da Universidade de Brasília: análise comparada entre elementos da LGPD e do GDPR. Brasília: Universidade de Brasília, Faculdade de Direito. DOI: https://doi.org/10.26512/9786500923988. Acesso em: 5 jan. 2024.

Neves Camelo, M. & Alves, C. (2023). G-priv: A guide to support LGPD compliant specification of privacy requirements. iSys – Brazilian Journal of Information Systems, 16(1):2:1 – 2.

Parlamento Europeu. (1995). Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Jornal oficial da União Europeia nº L 281 de 23/11/1995 p. 0031 – 0050. Acesso em: 10 jan. 2024.

Parlamento Europeu. (2016). Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679). Jornal oficial da União Europeia, v. 59, L 119, 04 de maio 2016. Disponível em: https://eur-lex.europa.eu/legalcontent/PT/TXT/?uri=CELEX%3A02016R0679-20160504&qid=1532348683434. Acesso em: 10 jan. 2024.

Sá Sousa, H. P., Almentero, E. K., de Classe, T. M., dos Santos, R. J., & Leite, J. C. (2023). Uma abordagem baseada no catálogo de requisitos não funcionais para conformidade à LGPD. In WER23 – Workshop em Engenharia de Requisitos.

SEBRAE. (2020, 11 de maio). Painel de Empresas Dashboard. SEBRAE. Disponível em: https://datasebrae.com.br/totaldeempresas-11-05-2020/. Acesso em: 20 dez. 2023.

Warren, Samuel D.; Brandeis, Louis, D. (1890). The right to privacy. Harvard Law Review, v. IV, n. 5, dezembro, 1890. Disponível em: http://faculty.uml.edu/sgallagher/Brandeisprivacy.htm. Acesso em: 15 jan. 2024.

Council of Europe. (1981). Convention for the protection of individuals with regard to automatic processing of personal data (Convention 108). European Treaty Series, n. 108.

Kuner, Christopher. (2010). Regulation of transborder data flows under data protection and privacy law: past, present, and future. TILT Law & Technology Working Paper, n. 016, 2010.

Lenaerts, Koen. (2012). Exploring the limits of the EU charter of fundamental rights. European Constitutional Law Review, v. 8, n. 3, p. 375-403.