Postado em 13 de mar. de 2019 por Antonio Plais

Baseado na postagem original por Joost Niehof* no blog da BiZZdesign. Adaptação, tradução e reprodução autorizados.

As empresas precisam criar e manter registros do porquê, onde e como eles estão processando dados pessoais dos seus clientes, parceiros, funcionários ou, no fundo, de qualquer pessoa, de acordo com a Lei Geral de Proteção de Dados Pessoais-LGPD. Criar e manter estes registradores no BiZZdesign Enterprise Studio ajuda a garantir que você está criando registros coerentes e consistentes que se conformam com o desenho da arquitetura da sua empresa. Nesta postagem, gostaríamos de mostrar como usar o BiZZdesign Enterprise Studio para suportar este caso de uso específico da proteção de dados pessoais: a criação e manutenção de registros de todos os dados pessoais mantidos e processados pela empresa.

A LGPD

A LGPD é a regulação brasileira para a proteção de dados pessoais, em vigor desde agosto de 2018 e efetiva desde agosto de 2020. Em uma postagem anterior, nós destacamos os seguintes pontos sobre a LGPD:

  1. A LGPD se aplica a todas as empresas que processam dados de indivíduos no Brasil;
  2. tem a ver com demonstrar a conformidade;
  3. espera que você registre o propósito da coleta de dados pessoais;
  4. exige uma abordagem integrada de segurança por desenho;
  5. requer um Relatório de Impacto da Proteção de Dados em certas situações;
  6. determina que você denuncie incidentes de segurança; e
  7. a LGPD pode levar a penalidades significativas

Alguns destes pontos terão impacto principalmente nos (desenhos dos) processos (itens 4, 5 e 6), enquanto outros mais impacto sobre o que e como você registra dados pessoais, e onde, como e porque você processa estes dados (itens 1,2 e 3).

Como muitas empresas estão lutando para implementar e se conformar com a LGPD, a Centus e a Bizzdesign desenvolveram uma solução prática para endereçar alguns dos problemas mencionados acima.

Registros

Uma forma prática para implementar alguns dos requisitos da LGPD é criar um registro de todos os processamentos de dados pessoais dentro da sua empresa. Tal registro poderia facilmente ser uma planilha, contendo todos os dados necessários. Tal registro poderia conter os seguintes itens, por exemplo:

  • Nome da atividades de processamento
  • Porque você está processando estes dados
  • As bases legais para este processamento
  • Alguma explicação adicional
  • Quem está envolvido (internamente)
  • Quem é responsável internamente
  • Qual dado é processado
  • Categorias especiais de dados
  • De onde este dado foi obtido
  • Categorias de terceiros recebedores dos dados
  • Outros terceiros recebedores dos dados
  • Período de retenção
  • Contrato de processamento
  • Tipo de processamento
  • Aplicativos envolvidos
  • Avaliação de impacto de privacidade necessária

Você poderia escolher manter este registro completo disponível apenas internamente e criar um registro com menos itens para divulgação pública, se necessário.

Como criar um registro como esse com o Bizzdesign Enterprise Studio

Para criar e manter um registro como esse, nós aconselhamos fortemente não criar um registro separado, mas integrar as informações necessárias nos seus modelos de arquitetura corporativa no Enterprise Studio. Em geral, você precisa dar os seguintes passos:

blog LGPD 005

Figura 1. Passos para criar um registro no Enterprise Studio

Criar uma extensão do modelo

Use o metamodelador do Enterprise Studio para estender seu metamodelo atual com os atributos mencionados acima. Nós escolhemos adicionar um perfil (profile) especial com os atributos necessários ao conceito Componente de Aplicativo do ArchiMate. Depois, nós precisamos criar estereótipos para os Objetos de Dados e Atores de negócio para distinguir as categorias de dados, dados especiais e terceiros. Após aplicar o novo metamodelo ao repositório o perfil se parecerá com isso:

blog LGPD 006

Figura 2. Perfil LGPD para o elemento Processo de Aplicativo


Modelar e adicionar os dados

A coleta de todos os dados sobre o processamento de dados pessoais na sua empresa é a parte mais difícil. Talvez você possa alavancar avaliações que você já tenha feito. Na próxima figura você pode ver um exemplo de um cenário de processamento de dados modelado.

blog LGPD 007

Figura 3. Modelagem de um processamento de dados, incluindo os aplicativos, dados e atores envolvidos

Criar a exportação

Use a poderosa funcionalidade de exportação do Enterprise Studio para criar uma exportação dos dados para uma planilha Excel. Os princípios para criar uma importação (veja aqui) também podem ser usados para criar uma exportação. Você pode escolher desenvolver dois tipos de exportação, uma com o registro completo e outra apenas com as informações públicas.

blog LGPD 008

Figura 4. Configuração da exportação do registro

Publicar o registro

Agora, você pode publicar o seu registro. Uma parte da planilha resultante pode ser vista abaixo. Se você implementou um processo de gestão de mudança adequado, você só tem que atualizar o modelo e publicar um registro atualizado de vez em quando (ou quando solicitado pelas autoridades).

blog LGPD 009

Figura 5. Registro exportado para uma planilha Excel (clique para ampliar)

Veja isso em ação

Nós esperamos haver inspirado você a alavancar os seus modelos de arquitetura existentes (ou iniciar aquele tão adiado projeto de modelagem!) e adicionar ao seu repositório as informações necessárias para atender aos requisitos da LGPD sobre o processamento de dados pessoais. Se você ainda não viu o Enterprise Studio em ação, entre em contato ou solicite uma demonstração.

 

*Joost Niehof é consultor de sucesso do cliente com foco em melhoria de processos, gestão de riscos e segurança da informação na Bizzdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.