A Lei de Proteção de Dados Pessoais e o

Gerenciamento de Decisões
Por Antonio Plais, em 24 de setembro de 2018, atualizado em 09 de julho de 2019

1 Introdução
A Lei Geral de Proteção de Dados Pessoais (LGPD), aprovada pelo Senado Federal em 10 de julho de
2018 e sancionada com vetos pelo Presidente Michel Temer em 14 de agosto (Lei 13.709 de 2018),
tem o poder de transformar completamente a forma como as organizações lidam com dados de seus
clientes e, por consequência, a própria forma como elas se relacionam com eles. Ela consolida,
reforça e cria vários deveres e direitos, muitos já presentes em outros marcos legais, como o Marco
Civil da Internet, o Código de Defesa do Consumidor e a Lei do Cadastro Positivo, e, principalmente,
fornece as bases legais para um relacionamento mais equilibrado entre as empresas que processam e
armazenam dados pessoais e os indivíduos que são, em última instância, os legítimos proprietários
de seus próprios dados. Com entrada em vigor pleno a partir de Fevereiro de 2020, a LGPD forçará as
empresas a reverem boa parte de seus processos, sistemas e políticas de coleta, tratamento,
armazenamento e utilização de dados pessoais e sensíveis, impactando, inclusive, em vários modelos
de negócio comumente utilizados no mercado. Em resumo, a LGPD baseia o tratamento legítimo dos
dados pessoais nos seguintes princípios:

 Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e

informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com
essas finalidades;
 Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;
 Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em
relação às finalidades do tratamento de dados;
 Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a
duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
 Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização
dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu
tratamento;
 Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos agentes de tratamento, observados os
segredos comercial e industrial;
 Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão;
 Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais;
 Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios
ilícitos ou abusivos;

www.centus.com.br – Rua do Ouro, 104 sl 305, Belo Horizonte, MG – (31) 3654-5799/99279-0290 – info@centus.com.br
  Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas
eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da eficácia dessas medidas.
A LGPD estabelece uma série de obrigações para as empresas, e aquelas que não cumprirem as
diretivas sofrerão pesadas sanções, como multas simples ou diárias de até 2% do faturamento líquido
do último ano, limitado a R$50 milhões, POR INFRAÇÃO, além de outras penalidades. Deste extenso
leque de obrigações, o mercado tem se concentrado principalmente na necessidade de
consentimento dos indivíduos para a utilização de seus dados pessoais, o chamado opt-in, que exige
uma série de mudanças nos termos de uso e coleta de dados através, principalmente, de sítios de
Internet e de compras eletrônicas. Mas, no entanto, o tema deste artigo é um pouco mais técnico, e
se concentra na análise deste artigo específico da LGPD:
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente
com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas
as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito, ou os
aspectos de sua personalidade.

§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a

respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os
segredos comercial e industrial.

§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na

observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria
para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.

A consequência direta desta obrigatoriedade é que os controladores deverão manter registro

histórico tanto dos dados (pessoais ou não) utilizados para a tomada de decisão (presumindo que o
controlador possui permissão para tal, se necessário) como da lógica utilizada para, a partir destes
dados, se chegar à decisão tomada. É aqui que o Gerenciamento de Decisões entra em cena: como
uma ferramenta imprescindível para registrar, avaliar a conformidade e comunicar, quando
necessário, como e porque uma decisão relacionada ao titular dos dados foi tomada.

2 Como o Gerenciamento de Decisões suporta a LGPD?

O Gerenciamento de Decisões de Negócio é uma disciplina que se propõe a trazer o processo de
tomada de decisões das empresas "para a luz do Sol", ao tornar a tomada de decisões um ativo
corporativo gerenciado explicitamente[1]. Especificamente, o gerenciamento de decisões:
 identifica e prioriza as decisões operacionais e o seu impacto nos negócios;
 torna as políticas operacionais do negócio transparentes e responsabilizáveis para todas as
partes interessadas, ao representar a lógica complexa em formatos fáceis de entender, tais
como tabelas de decisão;
 torna a lógica de decisões acessível para os especialistas e analistas do negócio para rápida
inovação e melhoria;
 verifica sua integridade e expõe todas as suas dependências de dados;
 ajuda a explicar, após o fato, porque uma decisão gerou um resultado específico, e
 confirma que as decisões são tomadas de forma confiável e consistente.

www.centus.com.br – Rua do Ouro, 104 sl 305, Belo Horizonte, MG – (31) 3654-5799/99279-0290 – info@centus.com.br
 A Modelagem de Decisões é uma parte vital do gerenciamento de decisões: ela nos proprociona uma
forma padrão de representação da lógica por trás das decisões de negócio que é muito mais fácil de
entender do que o código embutido nos programas ou planilhas criadas para fins específicos, e que é
uma representação das políticas de negócio mais segura do que deixá-las na cabeça dos especialistas
do negócio. A especificação do DMN-Decision Model and Notation, mantida pelo OGM[2], declara:
O objetivo principal do DMN é fornecer uma notação comum que seja imediatamente
compreensível por todos os usuários do negócio, desde os analistas de negócio que
precisam criar os requisitos iniciais para as decisões e, então, modelos de decisão
detalhados, até os desenvolvedores técnicos responsáveis pela automação das decisões nos
processos e, finalmente, para as pessoas do negócio que irão gerenciar e monitorar aquelas
decisões. O DMN cria uma ponte padronizada para a lacuna entre o desenho das decisões
de negócio e a implementação destas decisões. (tradução do autor)

Uma discussão detalhada sobre o padrão DMN e outras técnicas e linguagens de modelagem de
decisões foge ao escopo deste artigo. Material suplementar pode ser encontrado, entre outros
lugares, aqui. Nosso objetivo é responder à pergunta: como o gerenciamento e modelagem de
decisões pode ajudar com a conformidade regulatória como exigido pela LGPD?

3 A Transparência das Decisões e o Artigo 20 da LGPD

O Artigo 20 da LGPD obriga que os sujeitos do tratamento de dados (um indivíduo sobre quem a
empresa possua informações) seja resguardado contra decisões potencialmente danosas que possam
ser tomadas em seu nome, ou a seu respeito, sem a intervenção humana. Operações de negócio que
são totalmente automatizadas e que tenham resultados que possam ser prejudiciais ao sujeito, ou
que possam ter efeitos legais significativos sobre ele (por exemplo, determinar se alguém é elegível
para um empréstimo ou benefício social) devem ser suportados pelos seguintes direitos:
 ser informado a respeito dos critérios e dos procedimentos utilizados para a decisão
automatizada
 solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado
de dados pessoais que afetem seus interesses

Para atender a estas obrigações em tempo hábil e com a precisão necessária, as empresas deverão
ser capazes de demonstrar que abordagens lógicas, matemáticas ou estatísticas apropriadas foram
usadas, e comprovar que procedimentos adequados para evitar enganos ou falta de acurácia estão
em uso. Além disso, elas deverão ser capazes de recuperar as informações usadas (naquele
momento) para a tomada de decisão automatizada e demonstrar que não houve nenhuma
irregularidade no processo de tomada de decisão.

A modelagem de decisões fornece um meio poderoso para suportar estes direitos, porque ela oferece
os meios mais efetivos para a documentação da lógica de tomada de decisão de uma forma
transparente e baseada em padrões abertos. O padrão DMN permite que mesmo a lógica das decisões
mais complexas seja representada de uma forma transparente, usando representações diretas livres de
jargão e códigos de programação incompreensíveis. Mais ainda, os sistemas de gerenciamento de
decisões fornecem a explicação após o fato das razões e dos dados que levaram a uma certa decisão,
explicando como e porque um resultado foi determinado. Esta combinação poderosa permite que os
processadores de dados expliquem suas tomadas de decisão automatizadas em termos fáceis de
compreender, usando tabelas de decisão e outras representações acessíveis para responder às
consultas dos indivíduos. Isso ajuda as empresas a atender às suas obrigações, ao mesmo tempo que
lhes fornece um framework para melhorar a lógica das tomadas de decisão automatizadas.

www.centus.com.br – Rua do Ouro, 104 sl 305, Belo Horizonte, MG – (31) 3654-5799/99279-0290 – info@centus.com.br
 4 Sendo explícito sobre as Fontes de Dados
A LGPD prevê que as empresas podem ser instadas a fornecer relatórios de impacto à proteção de
dados pessoais, contendo a descrição dos processos de tratamento de dados pessoais e/ou sensíveis
que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas,
salvaguardas e mecanismos de mitigação de risco. Isto requer um entendimento completo da fonte
exata de todos os dados coletados, e porque e como eles são usados para suportar a tomada de
decisão automatizada. As empresas precisão compreender como as suas decisões dependem dos
dados coletados - até o nível dos campos individuais. Elas também precisam saber as implicações que
o seu uso tem sobre a conformidade das suas operações com a LGPD e sobre os requisitos de
acurácia e latência das informações. Este conhecimento é fundamental porque o grau de
sensitividade de algumas informações determina se e como o dado pode ser usado para uma dada
aplicação. Por exemplo, dados pessoais sensíveis só podem ser usados em situações muito bem
definidas e restritas, e cabe à empresa controladora demonstrar que o uso que faz dos dados
eventualmente coletados não fere estas restrições.

A modelagem de decisões captura as dependências que a tomada de decisão possui em relação aos
dados e ao conhecimento de negócio. Muitas empresas no exterior usam a modelagem de decisões
precisamente porque ela permite uma auditoria rápida e simples sobre quais dados são necessários e
porque. Mais ainda, muitas ferramentas de modelagem de decisão possuem funcionalidades de fluxo
de trabalho que possibilitam criar fluxos de aprovação da lógica das decisões que garantam a
aderência aos requisitos da LGPD, bem como consultar rapidamente em quais decisões um dado
específico é utilizado para avaliar se o seu uso está de acordo com as restrições impostas.

5 Conclusão
A responsabilização estrita garantida por um sistema de gerenciamento de decisões robusto é vital
para auditorias de conformidade abrangentes e transparentes, e para a manutenção constante da
aderência aos requisitos da LGPD, reduzindo o risco de pesadas punições. A modelagem de decisões
é um meio ideal para a documentação da lógica de decisões complexas, porque ela escala
efetivamente e é expressamente desenhada para suportar a rápida evolução da lógica regulatória e
proporcionar a transparência que estas regulações exigem. A facilidade de manutenção da lógica em
modelos de decisão, associada a eventual automatização do processo de geração de código
executável, garante que atualizações na lógica de decisão podem ser implementadas rapidamente e
com segurança, mantendo a devida governança do negócio sobre o processo. Nós chamamos isso de
agilidade segura.

Muitas regulações de segurança podem se beneficiar do uso do gerenciamento de decisões, mas a

LGPD, seguramente, representa uma das mais onerosas regulações impostas nos últimos tempos no
Brasil: é a primeira que requer explicitamente a capacidade de explicar seu processo de tomada de
decisões após o fato, considerando todos os dados utilizados e toda a cadeia de inferências utilizadas
para chegar a um determinado resultado. Se a sua empresa está decidida a atender aos requisitos da
LGPD sem a sobrecarga e o custo de possíveis erros, omissões ou inconsistências com os requisitos,
empregar o gerenciamento automatizado de decisões de negócio, suportado por uma modelagem
efetiva da lógica de negócio que está por trás destas decisões, é vital para o seu sucesso.

Para mais informações sobre o gerenciamento e modelagem de decisões, e sobre como ele pode ser
usado em benefício da sua empresa, acesse aqui.

www.centus.com.br – Rua do Ouro, 104 sl 305, Belo Horizonte, MG – (31) 3654-5799/99279-0290 – info@centus.com.br
 Referências
[1] Decision Modeling: The Bottom Line, por Jan Purchase, publicado em 29 de agosto de 2017,
acessado em 24 de setembro de 2018

[2] The Decision Model and Notation Specification Version 1.1, padrão do OMG, publicado em Junho
de 2016

[3] The Decision Model: A Business Logic Framework Linking Business and Technology, von Halle &
Goldberg, 2009, Auerbach Publications, 1a edição

www.centus.com.br – Rua do Ouro, 104 sl 305, Belo Horizonte, MG – (31) 3654-5799/99279-0290 – info@centus.com.br