IT Professionals' Understanding of the Implications of the LGPD for Information Security
DOI:
https://doi.org/10.22277/rgo.v18i2.8355Keywords:
LGPD, Information Security, Regulatory ComplianceAbstract
Purpose: Investigate IT professionals' perception of the implications of the Brazilian General Data Protection Law (LGPD) on information security controls and its impact on organizational compliance with the legislation.
Method/approach: A descriptive case study with a quantitative and qualitative approach. Data were collected through a survey with 64 IT professionals and a focus group with managers. Quantitative analysis was conducted using SPSS, while qualitative analysis employed thematic coding and ethnographic summary techniques.
Main findings: Participants reported limited knowledge of the General Law on the Protection of Personal Data (LGPD) but acknowledged the importance of training and awareness initiatives for organizational culture and acceptance of the changes required by the legislation. They assessed that the organization's information security policy guidelines are not adequately aligned with the LGPD and that technological and administrative updates are necessary. Nevertheless, they consider the organization to be technologically up to date, although adjustments in processes, internal roles, and infrastructure are required for full compliance.
Theoretical/practical/social contributions: This study expands knowledge on the relationship between information security, data protection legislation, and regulatory compliance, focusing on IT professionals and managers. It also supports organizations in implementing compliance strategies by emphasizing the importance of training and internal adjustments, while contributing to personal data protection and raising awareness of privacy and information security.
Originality/relevance: This research explores IT professionals' perception of the LGPD and its impact on information security, addressing organizational challenges and requirements for regulatory compliance.
Downloads
References
Acquisti, A.; & Grossklags, J. (2003). Losses, gains and hyperbolic discounting: An experimental approach to information security attitudes and behavior. Annual Workshop on Economics and Information Security, College Park, MD, United States of America, 2.
Albuquerque Junior, A. E., & Santos, E. M. (2015). Adoption of Information Security measures in public research institutes. JISTEM, 12(2), 289–316. https://doi.org/10.4301/S1807-17752015000200006
Albuquerque Junior, A. E., Santos, E. M., Oliveira, R. C. R., Silva, A. S. R., & Almeida, L. M. (2018). A Adopção de Medidas Formais, Informais e Técnicas de Segurança da Informação e sua Relação com as Pressões do Ambiente Institucional. RISTI, 30, 17-33. https://doi.org/10.17013/risti.30.17–33
Allen, B. (1996). Information Tasks: toward a user-centered approach to information systems. Orlando: Academic Press.
Almeida, S. C. D., & Soares, T. A. (2022). Os impactos da Lei Geral de Proteção de Dados – LGPD no cenário digital. Perspectivas em Ciência da Informação, 27(3), 26-45. https://doi.org/10.1590/1981-5344/25905
Baumer, D., Earp, J. B., & Payton, F. C. (2000). Privacy of medical records: IT implications of HIPAA. Computers and Society, 30(4), 40-47. https://doi.org/10.1145/572260.572261
Belasco, K., & Wan, S.-P. (2006). Online retail banking: security concerns, breaches, and controls. In: Bidgoli, H. (Org.). Handbook of Information Security: Threats, Vulnerabilities, Prevention, Detection, and Management (pp. 37-48). New Jersey: John Wiley & Sons, v.1.
Bioni, B. R. (2019). Proteção de dados pessoais: A função e os limites do consentimento. Rio de Janeiro: Forense.
Björck, F. J. (2005). Discovering information security management [Doctoral thesis, Stockholm University]. Stockholm, Sweden.
Brasil. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF. http://www.planalto.gov.br
Cancelier, M. V. L. (2017). Infinito particular: Privacidade no século XXI e a manutenção do direito de estar só. Rio de Janeiro: Lumen Juris.
Canedo, E. D., Ribeiro, V. C., Alarcão, A. P. A., Chaves, L. A. C., Reed, J. N., Mendonça, F. L. L., & Sousa Jr., R. T. (2021). Challenges regarding the compliance with the General Data Protection Law by Brazilian organizations: A survey. International Conference on Computational Science and Its Applications, Cagliari, Italy, 21. https://doi.org/10.1007/978-3-030-86970-0_31
Canedo, E. D., Calazans, A. T. S., Bandeira, I. N., Costa, P. H. T., & Masson, E. T. S. (2022). Guidelines adopted by agile teams in privacy requirements elicitation after the Brazilian general data protection law (LGPD) implementation. Requirements Engineering, 27, 545–567. https://doi.org/10.1007/s00766-022-00391-7
Casotti, I. J., Ferreira, V. M., Miguel, L. D., Oliveira, A. G., Oliveira, A. K., & Barbosa, F. D. (2024). Garantindo a segurança da informação na era digital: riscos e soluções. Revista Delos, 17(60), 01-18. https://doi.org/10.55905/rdelosv17.n60-058
Cavenaghi, M. G. C., Paris, L. R. P., Menegassi, W. J. C., Antunes Neto, J. M. F., & Biazotto, L. H. (2024). Lei Geral de Proteção de Dados e a segurança da informação: Atuação do gestor de tecnologia da informação. Prospectus, 6(1), 97-115. https://doi.org/10.5281/zenodo.12718309
Cetin, M. B. (2024). Evaluating the effects of digital privacy regulations on user trust [Master Thesis, Vrije Universiteit Amsterdam]. Amsterdam, The Netherlands.
Chiles, W. A. S., Behr, A., Farias, E. S., Corso, K. B. (2013). Problemas nos processos de adoção de sistemas e tecnologias de informação: estudo de caso em uma autarquia da Prefeitura Municipal de Sant’Ana do Livramento. Congresso Virtual Brasileiro, 10.
Le Coadic, Y. F. (2004). Princípios científicos que direcionam a ciência e a Tecnologia da Informação digital. Transinformação, 16(3), 205-213.
Corcoran, P. M. (2016). A privacy framework for the Internet of Things. IEEE World Forum on Internet of Things, Reston, VA, United States of America, 3, 13-18. https://doi.org/10.1109/WF-IoT.2016.7845505
Creswell, J. W., & Plano Clark, V. L. (2013). Pesquisa de métodos mistos. Porto Alegre: Artmed.
Custers, B., & Ursic, H. (2016). Big data and data reuse: a taxonomy of data reuse for balancing big data benefits and personal data protection. International Data Privacy Law, 6(1), 4-15.
Davenport, T. H., & Prusak, L. (1998). Ecologia da informação: porque só a tecnologia não basta para o sucesso na era da informação. São Paulo: Futura.
Dhillon, G., & Backhouse, J. (2001). Current directions in IS security research: towards socio-organizational perspectives. Information Systems Journal, 11(2), 127-153.
Dhillon, G., & Moores, S. (2001). Computer crimes: theorizing about the enemy within. Computers & Security, 20(8), 715-723.
Doherty, N. F.; & Fulford, H. (2006). Aligning the information security policy with the strategic information systems plan. Computers & Security, 25(1), 55-63.
Doneda, D. (2021). Da privacidade à proteção de dados pessoais. São Paulo: Editora Revista dos Tribunais.
Drucker, P. (1988). The coming of the new organization. Harvard Business Review, 68(6), 45-53.
Fernandes, M. A. S. (2022). Repositório seguro e o impacto gerado pela Lei Geral de Proteção de Dados Pessoais (LGPD) [Dissertação de Mestrado, Universidade de Brasília]. Brasília, Brasil.
Ferreira, A. J. (2018). Profiling e algoritmos autónomos: um verdadeiro direito de não sujeição. Anuário da Proteção de Dados 2018, 35-43.
Georgiadis, G., & Poels, G. (2022). Towards a privacy impact assessment methodology to support the requirements of the general data protection regulation in a big data analytics context: a systematic literature review. Computer Law & Security Review, 44, 105640. https://doi.org/10.1016/j.clsr.2021.105640
Gorayeb, D. M. C. (2012). Gestão de Continuidade de Negócios aplicada ao ensino presencial mediado por recursos tecnológicos [Dissertação de Mestrado, Universidade de São Paulo]. São Paulo, Brasil.
Haddara, M., Salazar, A., & Langseth, M. (2023). Exploring the impact of GDPR on big data analytics operations in the e-commerce industry. Procedia Computer Science, 219, 767-777. https://doi.org/10.1016/j.procs.2023.01.350
Hallinan, D., Friedewald, M., & McCarthy, P. (2012). Citizens' perceptions of data protection and privacy in Europe. Computer Law & Security Review, 28(3), 263-272. https://doi.org/10.1016/j.clsr.2012.03.005
Herath, T., Herath, H., & Bremser, W. G. (2010). Balanced Scorecard implementation of security strategies: a framework for IT security performance management. Information Systems Management, 27(1), 72-81.
van den Hoven, J. (2008). Information technology, privacy, and the protection of personal data. In: van den Hoven, J., & Weckert, J. Information technology and moral philosophy (pp.301-321). Cambridge: Cambridge University Press.
Iervolino, S. A., & Pelicione, M. C. (2001). A utilização do grupo focal como metodologia qualitativa na promoção da saúde. Revista da Escola de Enfermagem da USP, 35(2), 115-121. https://doi.org/10.1590/s0080-62342001000200004
Ismail, S., Malone, M. S., & Geest, Y. V. (2019). Organizações Exponenciais. Por que elas são 10 vezes melhores, mais rápidas e mais baratas que a sua (e o que fazer a respeito). Rio de Janeiro: Alta Books.
Jasserand, C. (2018). Law enforcement access to personal data originally collected by private parties: Missing data subjects' safeguards in directive 2016/680? Computer Law & Security Review, 34(1), p.154-165. https://doi.org/10.1016/j.clsr.2017.08.002
Kanagusku, A. R. A, & Lahr, M. V. (2024). A LGPD e Seus Desafios aos Profissionais da Área de Tecnologia da Informação. Journal of Technology and Information, 4(3). https://doi.org/10.5281/zenodo.14215584
Kitiyadisai, K. (2005). Privacy rights and protection: foreign values in modern Thai context. Ethics and Information Technology, 7, 17–26. https://doi.org/10.1007/s10676-005-0455-z
Krueger, R. A., & Casey, M. A. (2015). Focus groups: A practical guide for applied research. Los Angelis: Sage.
Lopes, I. M. (2012). Adopção de políticas de segurança de sistemas de informação na administração pública local em Portugal [Tese de Doutoramento, Universidade do Minho]. Braga, Portugal.
Maddali, R. (2024). AI-powered data security frameworks for regulatory compliance (GDPR, CCPA, HIPAA). IJETRM, 8(4), 393-403.
Melo, K. Y. V. S., & Mendes, G. A. (2023). Information security in small companies: Preparation of the security booklet. Research, Society and Development, 12(5), e7612541304. https://doi.org/10.33448/rsd-v12i5.41304
Menegazzi, D. (2021). Um guia para alcançar a conformidade com a LGPD por meio de requisitos de negócio e requisitos de solução [Dissertação de Mestrado, Universidade Federal de Pernambuco]. Recife, Brasil.
Miracle, N. O. (2024). The importance of network security in protecting sensitive data and information. IJRIAS, 9(6), 259-270. https://doi.org/10.51584/IJRIAS.2024.906024
Miranda, I. C. Z., Souza, C. H. M., Ramos, M., Lélis, E. C., Arima, C. H., & Galegale, N. V. (2024). Avaliação da conformidade de empresas à LGPD: Uma pesquisa com profissionais de tecnologia da informação. Revista Humanidades e Tecnologia, 9, 68-90.
Mitnick, K. D., & Simon, W. L. (2003). Mitnick – A arte de enganar – ataques de hackers: controlando o fator humano na Segurança da Informação. São Paulo: Makron Books.
Morgan, D. L. (2010). Reconsidering the role of interaction in analyzing and reporting focus groups. Qualitative Health Research, 20(5), 718-722. https://doi.org/10.1177/1049732310364627
Mulholland, C. S. (2018). Dados pessoais sensíveis e a tutela de direitos fundamentais: uma análise à luz da Lei Geral de Proteção de Dados (Lei 13.709/18). Revista de Direitos e Garantias Fundamentais, 19(3), 159-180. https://doi.org/10.18759/rdgf.v19i3.1603
Neitzke, C., Mendes, J., Rivero, L., Teixeira, M., & Viana, D. (2023). Enhancing LGPD compliance: Evaluating a checklist for LGPD quality attributes within a government office. Brazilian Symposium on Software Quality, Brasilia, DF, Brazil, 22. https://doi.org/10.1145/3629479.3629497
Peixoto, M., Ferreira, D., Cavalcanti, M., Silva, C., Vilela, J., Araújo, J., & Gorschek, T. (2023). The perspective of Brazilian software developers on data privacy. Journal of Systems and Software, 195 (2023), 111523. https://doi.org/10.1016/j.jss.2022.111523
Pinheiro, P. P. (2020). Proteção de dados pessoais: comentários à Lei 13.709/2018 (LGP). São Paulo: Saraiva.
Piurcosky, F. P., Costa, M. A., Frogeri, R. F., & Calegario, C. L. L. (2019). A lei geral de proteção de dados pessoais em empresas brasileiras: uma análise de múltiplos casos. Suma de Negocios, 10(23), 89-99. https://doi.org/10.14349/sumneg/2019.v10.n23.a2
Poullet, Y. (2018). Is the general data protection regulation the solution? Computer Law & Security Review, 34(4), 773-778. https://doi.org/10.1016/j.clsr.2018.05.021
Quinn, P., & Malgieri, G. (2021). The difficulty of defining sensitive data—The concept of sensitive data in the EU Data Protection Framework. German Law Journal, 22, 1583-1612. https://doi.org/10.1017/glj.2021.79
Quintanilha, F. S., & Silva, V. B. (2023). O processo de adequação à Lei Geral de Proteção de Dados: Um estudo de caso em uma empresa do segmento da saúde. Revista de Ciências Empresariais da UNIPAR, 24(1), 162-186. https://doi.org/10.25110/receu.v24i1-009
Ribeiro, J.P., & Garcés, L. (2023). Especificação de requisitos de design de software para sistemas de IoT conforme a LGPD: Resultados de aplicação em um sistema de assistência para pacientes com Diabetes Mellitus. Simpósio Brasileiro de Computação Aplicada à Saúde (pp. 37-42). SBC.
Rocha, R. L., Fontes, S. V., Machado, T. F. (2023). A segurança da informação nas organizações: um estudo sobre o impacto da Lei Geral de Proteção de Dados Pessoais na gestão. RECH, 7(2), 463-483.
Rodotá, S. (2008). A vida na sociedade de vigilância: a privacidade hoje. Rio de Janeiro: Renovar.
Sêmola, M. (2014). Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus.
Sheehan, K. B., & Hoy, M. G. (2000). Dimensions of privacy concern among online consumers. Journal of Public Policy & Marketing, 19(1), 62-73.
Sher, M.-L., Talley, P. C., Yang, C.-W., & Kuo, K.-M. (2017). Compliance with electronic medical records privacy policy: an empirical investigation of hospital information technology staff. Inquiry, 54, 1-12. https://doi.org/10.1177/0046958017711759
Silva, B. E., & Antunes Neto, J. M. F. (2023). Segurança da informação de encontro às conformidades da LGPD em cartórios e serventias extrajudiciais. Prospectus, 5(2), 567-631. https://doi.org/10.5281/zenodo.10065058
Solove, D. J. (2008). Understanding privacy. Cambridge: Harvard University Press.
Stair, R. M., & Reynolds, G. W. (2002). Princípios de sistemas de informação: uma abordagem gerencial. Rio de Janeiro: LTC.
Tikkinen-Piri, C., Rohunen, A., & Markkula, J. (2018). EU General Data Protection Regulation: changes and implications for personal data collecting companies. Computer Law & Security Review, 34, 134-153. https://doi.org/10.1016/j.clsr.2017.05.015
Zainedin, L. (2025). O impacto da Lei Geral de Proteção de Dados (LGPD) na segurança pública. Brazilian Journal of Development, 11(3), 01-22. https://doi.org/10.34117/bjdv11n3-001
Downloads
Published
Issue
Section
License
Estou ciente de que, em sendo aprovado, a publicação do artigo será no formato on-line na RGO.
Também tenho ciência de que há autorização para assumir contratos adicionais separadamente, para distribuição não-exclusiva da versão do trabalho publicada nesta revista (ex.: publicar em repositório institucional ou como capítulo de livro), com reconhecimento de autoria e publicação inicial nesta revista.
Do ponto de vista do Creative Commons, a Revista Gestão Organizacional é de acesso aberto e irrestrito, porém não permitindo adaptações nos artigos, nem o uso comercial.
Sobre a licença Creative Commons: As licenças e instrumentos de direito de autor e de direitos conexos da Creative Commons forjam um equilíbrio no seio do ambiente tradicional “todos os direitos reservados” criado pelas legislações de direito de autor e de direitos conexos. Os nossos instrumentos fornecem a todos, desde criadores individuais até grandes empresas, uma forma padronizada de atribuir autorizações de direito de autor e de direitos conexos aos seus trabalhos criativos. Em conjunto, estes instrumentos e os seus utilizadores formam um corpo vasto e em crescimento de bens comuns digitais, um repositório de conteúdos que podem ser copiados, distribuídos, editados, remixados e utilizados para criar outros trabalhos, sempre dentro dos limites da legislação de direito de autor e de direitos conexos.
A Revista Gestão Organizacional adota o sistema: Atribuição-SemDerivações-SemDerivados CC BY-NC-ND: Permite o download dos seus trabalhos e o compartilhemento desde que atribuam crédito, mas sem que possam alterá-los de nenhuma forma ou utilizá-los para fins comerciais.
