blog

Brasil LGPD

BPM nos projetos de diagnóstico e adequação à LGPD (Lei Geral de Proteção de Dados)

Versão para impressão
Compartilhe:

A LGPD (Lei Geral de Proteção de Dados), Lei 13.709/2018 – que entrou em vigor em setembro de 2020 depois de ficar em tramitação no Congresso Nacional por cerca de 2 anos, trata de forma geral dos direitos do titular do dado pessoal. Muito sobre esse tema já se encontra disponível em diversos sites sérios na internet e, portanto, não vamos tratar aqui dos aspectos legais e sim do papel do BPM nas iniciativas de diagnóstico e adequação das organizações à LGPD.

A LGPD define como obrigação das organizações que sejam conhecidos todos os dados pessoais utilizados bem como sua finalidade, armazenamento e forma de descarte. Esse conjunto de informações, que normalmente é expresso em uma planilha, é chamado de Matriz de Dados. Esta matriz contém quais dados são utilizados em quais processos da organização, bem como sua forma de captura, armazenamento e descarte. A matriz de dados retrata a situação atual (AS-IS) do tratamento do dado pessoal na empresa.

No ciclo de vida BPM temos uma etapa de planejamento do projeto de BPM definimos quais são os elementos que devemos usar nos diagramas de forma a atender aos objetivos do projeto. Por exemplo, definimos se vamos representar riscos, sistemas, indicadores, regras de negócio e informações. Durante a fase de Modelagem retratamos os processos como funcionam atualmente na organização – os modelos AS-IS.

Nos projetos de LGPD, o objetivo central é a identificação de todos os dados pessoais (informações capazes de identificar uma pessoa física – nome e CPF são os mais comuns.) e/ou sensíveis (informações que podem ser usadas para segregar as pessoas – raça, cor, partido político e opção sexual, por exemplo.). Todas as atividades que lidam com os dados pessoais na organização (por exemplo: dados de clientes, prestadores de serviço, funcionários ou até mesmo visitantes) são explicitadas quando modelamos os processos com esse objetivo.

Então, a LGPD tem um requisito que o BPM pode ajudar a atender?

A resposta é sim! Temos desenvolvido projetos de LGPD com um dos nossos parceiros e o BPM (mais especificamente a modelagem AS-IS) tem sido a forma utilizada para identificar quais são os dados pessoais e/ou sensíveis e quais processos e atividades os manipulam. A análise dos modelos nos dará o diagnóstico sobre a forma de manipulação dos dados pessoais e/ou sensíveis e apontará se esta forma está de acordo com o que preconiza a LGPD ou se serão necessários ajustes.

Modelagem de Processos AS-IS

Para obtermos um modelo sabemos que precisamos lançar mão das técnicas de levantamento. Neste caso, a técnica que mais utilizamos são as entrevistas semiestruturadas ou mesmo as entrevistas não estruturadas.

Um viés importante na modelagem de um processo com objetivo de mapear os dados pessoais (isto é, produzir a matriz de dados) é que durante as entrevistas buscamos aprofundar o conhecimento daquelas atividades que manipulam dados pessoais enquanto que as demais podem ficar um pouco mais encapsuladas.

Exemplo Processo Reembolsar Despesas

Vejamos o exemplo de um processo de reembolso de despesas, muito possível de aparecer no seu projeto de LGPD. A figura 1 abaixo mostra o diagrama do processo AS-IS e, portanto, ainda com vulnerabilidades em relação à LGPD.

Por onde começar a adequar os processos da sua empresa ao LGPD?
Processo Reembolsar despesas AS-IS

A atividade que captura a informação de qual foi a despesa e, principalmente, de quem fez a despesa e está pleiteando o reembolso é mais detalhada do que as demais. As regras de limites, tipos de despesas reembolsáveis, alçada, etc. não são relevantes neste caso. Entretanto, dados do colaborador que fez a despesa e do aprovador da despesa são relevantes no mapeamento dos dados pessoais envolvidos neste processo. Para o aprovador só temos nome e matrícula enquanto que para o colaborador necessitamos ainda dos dados bancários.

Alguns pontos são importantes de serem destacados no uso da notação BPMN (Business Process Model and Notation) para estes projetos de modelagem. Os nomes das atividades são de extrema importância no que se refere a traduzirem o melhor entendimento. É bem comum utilizarmos Verbo + objeto + complemento. Por exemplo: “Registrar requisição de reembolso” ou “Avaliar pertinência da requisição de reembolso”.

Os eventos, como não têm nenhuma relação direta com a matriz de dados, não necessitam ser muito explorados, mas vale lembrar que as boas práticas de modelagem são sempre bem-vindas.

Utilizamos com muita frequência os artefatos, pois neles é que representamos os dados pessoais. É muito comum utilizarmos anotações nos modelos para complementar informações dos artefatos. Embora isso possa ser colocado nas propriedades do artefato, enriquecer o diagrama facilita o passo seguinte de criar a matriz de dados. Veja no exemplo a atividade “Registrar requisição de reembolso” que tem o artefato “Comprovante de despesa” que é criado no sistema “ADM” e contém os seguintes dados: Nome, CPF e dados bancários do colaborador, Valor, Descritivo, Data e CNPJ do Emitente.

Os dados do colaborador são enviados por e-mail para o Aprovador e para o Pagador. Então, temos além do registro no sistema ADM a informação circulando por e-mail. Mais adiante, depois da atividade “Efetuar reembolso”, é arquivado fisicamente o Comprovante de pagamento que novamente tem o conjunto de dados pessoais do colaborador. Este arquivamento é feito em um armário sem chaves. Todos esses pontos são considerados para identificar as vulnerabilidades em relação aos dados pessoais.

Diagnóstico da Situação Atual

Tratamos aqui da modelagem que é o principal insumo para a identificação de adequações para atender a LGPD. Esse passo é parte do diagnóstico. Entretanto, diversos outros passos são necessários para complementar o diagnóstico, como, por exemplo, a verificação das questões de segurança a informação conforme preconizada na ISO27001.

O diagrama acima mostrou a situação AS-IS do processo “Reembolsar despesas”. O diagnóstico mostrou que a atividade “Enviar comprovante” tem um risco devido à forma que o comprovante é compartilhado dentro da organização: e-mail. Outro ponto é a atividade “Arquivar comprovante de pagamento” que mantém um arquivamento sem controle de acesso.

Adequações do Processo à LGPD

Após o diagnóstico são necessárias várias ações de adequação da empresa à LGPD. Algumas delas serão adequações de processos no sentido e atender às exigências da lei. Esta etapa coincide com outra fase do ciclo de BPM: Melhoria de Processos.

Para garantir a adequação, dentre outras alterações, é recomendado que a atividade “Enviar comprovante” seja substituída pela digitalização do documento no próprio sistema ADM. Complementando, a atividade “Arquivar comprovante de pagamento” deve ser eliminada criando uma maneira de consulta ao comprovante de pagamento sem a necessidade de impressão e arquivamento físico. Esta recomendação pode ser implementada criando, no sistema ADM, uma consulta da documentação sem a necessidade de impressão do documento. Veja o exemplo abaixo:

Processo Reembolsar despesas TO-BE

Com as adequações exemplificadas acima, as vulnerabilidades são eliminadas. O diagrama mostrado na figura acima configura o processo TO-BE da empresa para “Reembolsar despesas”.

Neste pequeno exemplo mostramos a aplicabilidade de BPM para que uma organização fique em conformidade com a LGPD nos processos já existentes. Este é um caso de adequação processual, mas existem outros tipos de adequação: contratos com terceiros, sistemas de informação e políticas de segurança da informação.

Indo além…

Agostinelli et al. (2019) propõem a criação de rotinas (representadas em BPMN) que surgiram com o advento das GDPR – General Data Protection Regulation(LGPD da União Européia) e apresentam algumas rotinas novas que precisam ser implementadas que estão discutidas no âmbito GPDR, mas que também têm ampla aplicabilidade na nossa LGPD.

A modelagem, seja para o diagnóstico ou seja para a adequação, de processo novos ou existentes, é muito importante, mas existem outros aspectos trazidos pela LGPD, ou que vêm no seu embalo, que estão desafiando as organizações onde o BPM tem participação fundamental. Mas esse é assunto para outra oportunidade.

[EBOOK GRATUITO] Gráfico de Burndown para Sprint de Processos

Referências Bibliográficas

AGOSTINELLI, S.; MAGGI, F; MARELLA, A; SAPIO, F. 2019. “Achieving GDPR compliance of BPMN process models”. In International Conference on Advanced Information Systems Engineering. Springer, 10–22.

LGPD. 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 03/03/2021.

GPDR. 2016. General Data Protection Regulation. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679. Acesso em: 03/03/2021.

Compartilhe:
Humberto Rubens Maciel Pereira
gostei deste conteúdo
quero mais informações
X

nossas soluções

Assine nossa newsletter