A história do direito à privacidade culmina com a General Data Protection Regulation (GDPR), fonte para outras regulamentações, entre elas a Lei Geral de Proteção de Dados (LGPD). A adequação para a conformidade com estas leis pode afetar as organizações em suas estratégias de negócio, governança, segurança, processos e sistemas. Com a pressão para estarem cada vez mais presentes no ambiente digital, sendo os dados pessoais valiosos ativos, torna-se essencial a compreensão sobre os desafios para a conformidade e seus habilitadores. A literatura mostra trabalhos que fazem uso de normas e da gestão de riscos para a conformidade, mas com lacunas para implementação exigindo-se uma complementação. O objetivo da tese é propor um modelo de Governança da Informação (GI) que permita avaliar desafios e habilitadores da conformidade com a legislação de proteção de dados em organizações Business to Consumer (B2C), intensas em dados pessoais, visando cobrir essas lacunas. A tese alicerça-se em uma revisão sistemática da literatura sobre os desafios e habilitadores para a conformidade com a GDPR e LGPD e confronta alguns desses fatores em campo. Para isso, foi construído um modelo de GI sobre dados pessoais para a compreender aspectos estruturais e relacionais da governança que inclui artefatos da arquitetura empresarial para representar a estrutura de informações e processos de práticas de privacidade. Este modelo foi utilizado na pesquisa empírica estruturada por meio de estudo de casos múltiplos realizado em seis organizações brasileiras B2C de grande porte, resultando na compreensão desejada. A tese contribui com a identificação de cinco categorias de desafios e habilitadores; descreve o modelo de GI utilizado para o confronto entre teoria e prática através de proposições sobre investimentos para a conformidade, direitos dos titulares, registros de atividades, compartilhamento e coleta de dados. Uma agenda de pesquisa é proposta para expandir os resultados para diferentes contextos.

The protection of privacy is a fundamental right that has a rich history culminating in the General Data Protection Regulation (GDPR). This regulation has served as the basis for subsequent ones like the Lei Geral de Proteção de Dados (LGPD). Compliance with these laws is essential for organizations and can significantly impact their business strategies, governance, security, processes, and systems. In today's digital age, where personal data is of utmost importance, it is crucial to comprehend the challenges and enablers of compliance. Although many studies have focused on the use of standards and risk management for compliance, there is still an implementation gap that needs to be addressed. This thesis proposes an Information Governance (IG) model that evaluates the challenges and enablers of compliance with data protection legislation in Business to Consumer (B2C) organizations that deal intensively with personal data. The thesis is based on a systematic literature review of the challenges and enablers for compliance with GDPR and LGPD and confronts some of these factors in the field. To achieve this, an IG model was developed with a component for understanding the structural and relational aspects of governance. It uses enterprise architecture artifacts to represent the information structure and processes of privacy practices. This model was employed in empirical research structured through multiple case studies conducted in six large Brazilian B2C organizations, resulting in the desired in-depth understanding. The thesis contributes by categorizing five groups of challenges and enablers; it describes the IG model and compares theory and practice concerning propositions on investments for compliance, data subjects rights, records of processing activities, data sharing, and data collection. A research agenda is proposed to extend the results to different organizational contexts.