A LGPD (Lei Geral de Proteção de Dados), Lei 13.709/2018 – que entrou em vigor em setembro de 2020 depois de ficar em tramitação no Congresso Nacional por cerca de 2 anos, trata de forma geral dos direitos do titular do dado pessoal. Muito sobre esse tema já se encontra disponível em diversos sites na internet e, portanto, vamos tratar aqui do papel do BPM nas iniciativas de diagnóstico e adequação das organizações à LGPD.
A LGPD estabelece como obrigação das organizações conhecerem todos os dados pessoais utilizados, bem como sua finalidade, armazenamento e forma de descarte. Esse conjunto de informações, normalmente expresso em uma planilha, constitui a Matriz de Dados. Esta matriz identifica quais dados são utilizados nos processos da organização, além de descrever sua forma de captura, armazenamento e descarte. A matriz de dados apresenta a situação atual (AS-IS) do tratamento do dado pessoal na empresa.
Ciclo BPM e LGPD
No ciclo de vida BPM temos uma etapa de planejamento do projeto de BPM definimos quais são os elementos que devemos usar nos diagramas de forma a atender aos objetivos do projeto. Por exemplo, definimos se vamos representar riscos, sistemas, indicadores, regras de negócio e informações. Durante a fase de Modelagem retratamos os processos como funcionam atualmente na organização – os modelos AS-IS.
Nos projetos de LGPD, o objetivo central é a identificação de todos os dados pessoais (informações capazes de identificar uma pessoa física – nome e CPF são os mais comuns.) e/ou sensíveis (informações que podem ser usadas para segregar as pessoas – raça, cor, partido político e opção sexual, por exemplo.). Todas as atividades que lidam com os dados pessoais na organização (por exemplo: dados de clientes, prestadores de serviço, funcionários ou até mesmo visitantes) são explicitadas quando modelamos os processos com esse objetivo.
Então, a LGPD tem um requisito que o BPM pode ajudar a atender?
A resposta é sim! Temos desenvolvido projetos de LGPD com um dos nossos parceiros e o BPM (mais especificamente a modelagem AS-IS) tem sido a forma utilizada para identificar quais são os dados pessoais e/ou sensíveis e quais processos e atividades os manipulam. A análise dos modelos nos dará o diagnóstico sobre a forma de manipulação dos dados pessoais e/ou sensíveis e apontará se esta forma está de acordo com o que preconiza a LGPD ou se serão necessários ajustes.
Modelagem de Processos AS-IS
Para obtermos um modelo sabemos que precisamos lançar mão das técnicas de levantamento. Neste caso, a técnica que mais utilizamos são as entrevistas semiestruturadas ou mesmo as entrevistas não estruturadas.
Um viés importante na modelagem de um processo com objetivo de mapear os dados pessoais (isto é, produzir a matriz de dados) é que durante as entrevistas buscamos aprofundar o conhecimento daquelas atividades que manipulam dados pessoais enquanto que as demais podem ficar um pouco mais encapsuladas.
Exemplo Processo Reembolsar Despesas
Vejamos o exemplo de um processo de reembolso de despesas, muito possível de aparecer no seu projeto de LGPD. A figura 1 abaixo mostra o diagrama do processo AS-IS e, portanto, ainda com vulnerabilidades em relação à LGPD.
A atividade que captura a informação de qual foi a despesa e, principalmente, de quem fez a despesa e está pleiteando o reembolso é mais detalhada do que as demais. As regras de limites, tipos de despesas reembolsáveis, alçada, etc. não são relevantes neste caso. Entretanto, dados do colaborador que fez a despesa e do aprovador da despesa são relevantes no mapeamento dos dados pessoais envolvidos neste processo. Para o aprovador só temos nome e matrícula enquanto que para o colaborador necessitamos ainda dos dados bancários.
Alguns pontos são importantes de serem destacados no uso da notação BPMN (Business Process Model and Notation) para estes projetos de modelagem. Os nomes das atividades são de extrema importância no que se refere a traduzirem o melhor entendimento. É bem comum utilizarmos Verbo + objeto + complemento. Por exemplo: “Registrar requisição de reembolso” ou “Avaliar pertinência da requisição de reembolso”.
Outros pontos importantes
Os eventos, como não possuem nenhuma relação direta com a matriz de dados, não precisam ser muito explorados, mas é válido lembrar que as boas práticas de modelagem são sempre bem-vindas.
Utilizamos frequentemente os artefatos, pois é neles que representamos os dados pessoais. É comum utilizarmos anotações nos modelos para complementar informações dos artefatos. Embora essas informações possam ser inseridas nas propriedades do artefato, enriquecer o diagrama facilita o próximo passo de criar a matriz de dados. Por exemplo, na atividade “Registrar requisição de reembolso”, temos o artefato “Comprovante de despesa”, criado no sistema “ADM”, contendo os seguintes dados: Nome, CPF e dados bancários do colaborador, Valor, Descritivo, Data e CNPJ do Emitente.
Leia também:
Além disso, os dados do colaborador são enviados por e-mail para o Aprovador e para o Pagador. Portanto, além do registro no sistema ADM, as informações circulam por e-mail. Posteriormente, após a atividade “Efetuar reembolso”, o Comprovante de pagamento, que novamente contém o conjunto de dados pessoais do colaborador, é arquivado fisicamente. Este arquivamento é feito em um armário sem chaves. Todos esses pontos são considerados para identificar as vulnerabilidades em relação aos dados pessoais.
Diagnóstico da Situação Atual
Tratamos aqui da modelagem que é o principal insumo para a identificação de adequações para atender a LGPD. Esse passo é parte do diagnóstico. Entretanto, diversos outros passos são necessários para complementar o diagnóstico, como, por exemplo, a verificação das questões de segurança a informação conforme preconizada na ISO27001.
O diagrama acima mostrou a situação AS-IS do processo “Reembolsar despesas”. O diagnóstico mostrou que a atividade “Enviar comprovante” tem um risco devido à forma que o comprovante é compartilhado dentro da organização: e-mail. Outro ponto é a atividade “Arquivar comprovante de pagamento” que mantém um arquivamento sem controle de acesso.
Adequações do Processo à LGPD
Após o diagnóstico são necessárias várias ações de adequação da empresa à LGPD. Algumas delas serão adequações de processos no sentido e atender às exigências da lei. Esta etapa coincide com outra fase do ciclo de BPM: Melhoria de Processos.
Para garantir a adequação, dentre outras alterações, é recomendado que a atividade “Enviar comprovante” seja substituída pela digitalização do documento no próprio sistema ADM. Complementando, a atividade “Arquivar comprovante de pagamento” deve ser eliminada criando uma maneira de consulta ao comprovante de pagamento sem a necessidade de impressão e arquivamento físico. Esta recomendação pode ser implementada criando, no sistema ADM, uma consulta da documentação sem a necessidade de impressão do documento. Veja o exemplo abaixo:
Com as adequações exemplificadas acima, eliminamos as vulnerabilidades. O diagrama mostrado na figura acima representa o processo TO-BE da empresa para “Reembolsar despesas”.
Neste pequeno exemplo, demonstramos a aplicabilidade do BPM para que uma organização se mantenha em conformidade com a LGPD nos processos já existentes. Este é um caso de adequação processual, mas existem outros tipos de adequação: contratos com terceiros, sistemas de informação e políticas de segurança da informação.
Indo além…
Agostinelli et al. (2019) propõem a criação de rotinas (representadas em BPMN) que surgiram com o advento das GDPR – General Data Protection Regulation (LGPD da União Européia) e apresentam algumas rotinas novas que precisam ser implementadas e que estão discutidas no âmbito do GPDR, mas que também têm ampla aplicabilidade na nossa LGPD.
A modelagem, seja para o diagnóstico ou para a adequação, de processos novos ou existentes, é muito importante. No entanto, existem outros aspectos trazidos pela LGPD, ou que vêm no seu embalo, que estão desafiando as organizações onde o BPM tem participação fundamental. Mas esse é assunto para outra oportunidade.
Referências Bibliográficas
AGOSTINELLI, S.; MAGGI, F; MARELLA, A; SAPIO, F. 2019. “Achieving GDPR compliance of BPMN process models”. In International Conference on Advanced Information Systems Engineering. Springer, 10–22.
LGPD. 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 03/03/2021.
GPDR. 2016. General Data Protection Regulation. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679. Acesso em: 03/03/2021.
Publicado por: Humberto Rubens Maciel Pereira humberto.rubens@dheka.com.br
Mestre em Sistemas computacionais – Data, Text Mining e Processos de negócio pela COPPE/UFRJ em 2009. Certified Project Management Professional (PMP) desde 2014.
Coautor do livro “Gerenciamento de processos de negócio (BPM – Business Process Management)” – Editora Érica e do livro “Análise e Modelagem de processo de negócio – foco em BPMN” –Editora Atlas.
Consultor especializado na realização de projetos de gestão em empresas de pequeno, médio e grande porte, com atuação nos segmentos privado e público. Atuação em projetos de BPM & LGPD em diferentes organizações.
Atuou durante mais de 10 anos na Petrobras exercendo atividades de gerenciamento de projetos (PMP), gestão de portfólio de projetos, modelagem de processos e automação de workflows, buscando sempre a geração de soluções para questões de negócios.
Experiência em projetos de Software Selection contemplando seleção de provedores e integradores de solução.
Junte-se a mais de 5.000 BPM Friends e receba atualizações, artigos e dicas incríveis sobre BPM.
![Imagem de postagem [EBOOK GRATUITO] Be-a-bá do BPM](https://dheka.com.br/wp-content/uploads/2022/06/ebook-be-a-ba-150x150.webp)
![Imagem de postagem [EBOOK GRATUITO] Gráfico de Burndown para Sprint de Processos](https://dheka.com.br/wp-content/uploads/2020/11/Grafico-de-Burndown-para-Sprint-de-Processos-150x150.webp)
![Imagem de postagem [TEMPLATE GRATUITO] Alinhamento Estratégico entre Processos e Objetivos](https://dheka.com.br/wp-content/uploads/2022/03/ebook-Alinhamento-Estrategico-entre-Processos-e-Objetivos-150x150.webp)
