Sistema de organização do conhecimento para aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD): desenvolvimento de taxonomias para instituições hospitalares

Abstract

Na sociedade informacional, conjuntura contemporânea de utilização massiva de tecnologias de informação e comunicação, coexistem diversos dilemas de repercussão social. Dentre eles, há a problemática da proteção de dados pessoais, que são aqueles registros de informação relativos a pessoas naturais (físicas) identificadas ou identificáveis, tanto em formato físico (impresso) quanto digital. No Brasil, foi promulgada a Lei Geral de Proteção de Dados Pessoais ? LGPD em 2018, com o objetivo de regular o tratamento de dados pessoais, conferindo direitos a titulares de dados e deveres a agentes de tratamento, além de inovar no ordenamento jurídico ao trazer diversos novos princípios e regras. Salvo algumas exceções legais, todo tratamento de dados pessoais no Brasil (ou no estrangeiro, em algumas hipóteses previstas pela aludida lei) precisa adequar-se às exigências dessa norma, que inclui a adoção de medidas técnicas (computacionais) e administrativas (gerenciais) de segurança e privacidade de dados pessoais. A esse processo de implantação da lei, dá-se o nome de compliance em LGPD. Diante disso, a presente pesquisa procura, na dimensão instrumental da organização do conhecimento, uma maneira de apoiar o processo de adequação de instituições públicas hospitalares à LGPD, tomando-se o Hospital Universitário Clemente de Faria (HUCF) como marco empírico para essa investigação. Em síntese, o objetivo geral deste estudo é propor o desenvolvimento de um método de construção de sistema de organização do conhecimento (SOC) que sirva de suporte para as atividades de adequação do Hospital Universitário Clemente de Faria às exigências da Lei Geral de Proteção de Dados Pessoais. Como tipo de SOC mais apropriado, elege-se a taxonomia (de tipo corporativo), construída em sistema de informação hospitalar e voltada ao mapeamento de dados pessoais, que é uma das importantes ações no processo de compliance em LGPD. Para análise dessa escolha, sob uma perspectiva empírica, constrói-se um modelo desse SOC a partir de uma metodologia geral e autoral para construção de taxonomias, criada a partir da análise e da comparação de outras propostas metodológicas sugeridas pela literatura. As fases percorridas na elaboração do modelo taxonômico são: i) análise da instituição e planejamento; ii) coleta de termos; iii) análise e controle dos termos coletados; iv) definição de categorias gerais e específicas; v) ordenação e padronização gramatical das categorias; vi) definição de relacionamentos semânticos entre os termos; vii) validação; viii) definição da forma de apresentação da taxonomia e tecnologia de suporte; ix) publicação; x) determinação de ações de gerenciamento; xi) manutenção. Para a construção do modelo, utilizou-se de documentos e respostas a solicitações institucionais, fornecidos pelo HUCF, de onde se extraiu as informações para organizar o conhecimento corporativo sobre os diversos tipos de dados pessoais em fluxo na instituição. Empregando esforços em ações de organização do conhecimento e não em aspectos computacionais da taxonomia, foram apresentadas, às últimas cinco fases do SOC, apenas orientações/sugestões, uma vez que o empreendimento acadêmico aqui realizado está na construção de um método de elaboração de taxonomias para redes hospitalares, e não em uma aplicação isolada. Em conclusão, infere-se que uma taxonomia corporativa e digital, que estruture mapa de dados pessoais de instituição hospitalar, auxilia consistentemente para que a equipe de compliance em LGPD possa avaliar os tipos de dados em fluxo na organização e pensar em ações específicas às características de cada item de informação.

Abstract: In the informational society, a contemporary conjuncture of massive use of information and communication technologies, several dilemmas of social repercussion coexist. Among them, there is the issue of protection of personal data, which are those records of information relating to identified or identifiable natural person, in physical (printed) or digital format. In Brazil, the General Law for Personal Data Protection ? LGPD (in Portuguese)was enacted in 2018, with the objective of regulating the processing of personal data, granting rights to data subjects and duties to processing agents, in addition to innovating in the legal system by bringing several new principles and rules. Except for some legal exceptions, all processing of personal data in Brazil (or abroad, in some cases provided for by the Brazilian law) must comply with the requirements of this standard, which includes the adoption of technical (computational) and administrative (managerial) measures to security and privacy of personal data. This process of implementing the law is called LGPD compliance. In view of this, the present work seeks in the instrumental dimension of knowledge organization, a way to support LGPD compliance in public hospital institutions, taking the Universitary Hospital Clemente de Faria as the empirical landmark for this analysis. In summary, the general objective of this study is to propose the development of a method of building a knowledge organization system (KOS) that serves as a support for the activities of adapting Universitary Hospital Clemente de Faria to the requirements of General Law for Personal Data Protection. As the most appropriate type of KOS, the taxonomy (corporate type) was chosen, built on a hospital information system and focused on personal data mapping, which is one of the important actions in the LGPD compliance process. To analyze this choice, from an empirical perspective, a model of this KOS is built from a general and authorial methodology for the construction of taxonomies, created from the analysis and comparison of other methodological proposals suggested by the literature. The phases covered in the elaboration of the taxonomic model are: i) analysis of institution and planning; ii) collection of terms; iii) analysis and control of terms collected; iv) definition of general and specific categories; v) ordering and grammatical standardization of categories; vi) definition of semantic relationships between terms; vii) validation; viii) definition of the taxonomy presentation and supporting technology; ix) publication; x) determination of management actions; xi) maintenance. For the construction of the model, documents and responses to institutional requests were used, provided by that Universitary Hospital, whose information was extracted to organize corporate knowledge about the different types of personal data in informational flow in that institution. Employing efforts in knowledge organization actions and not in computational aspects of that taxonomy, only guidelines/suggestions were presented about the last five phases of that KOS, because it was not our objective to apply it to reality, but only to use the Universitary Hospital Clemente de Faria as a model for the present proposal. In conclusion, it was understood that a corporate and digital taxonomy, which structures a map of personal data from a hospital institution, serves as support for the LGPD compliance team to evaluate the types of data in informational flow in that organization and to think of specific actions to characteristics of each information item.