Mineração de processos para conformidade legal: perspectivas de aplicação à LGPD
sexta-feira, 12 de março de 2021
Atualizado às 11:11
A mineração de processos é uma abordagem, relativamente recente, para fornecer conhecimento sobre processos de negócio com base em dados disponíveis em sistemas de informação (Fernandes et al., 2020). Na era da informação, dados são considerados "o novo petróleo", e por isso muitas técnicas computacionais para extrair conhecimento de dados ficaram conhecidas como mineração de dados. A mineração de processos é considerada a ponte entre a mineração de dados e a gestão de processos de negócio (BPM ou Business Process Management em inglês), uma disciplina dedicada ao estudo dos fluxos de atividades que produzem valor para clientes ou organizações (Dumas et al., 2018).
Mineração de processos: um compromisso entre a análise orientada a processo, explorada na ciência de processo, e a análise dirigida por dados, explorada na ciência de dados.
A matéria-prima da mineração de processos é o log de eventos, um conjunto de "pegadas digitais" da ocorrência de atividades que ficam registradas nos sistemas de informação. Quando mineramos processos, diferentes resultados são possíveis, destacando-se: logs de eventos são transformados em modelos de processos, revelando como as atividades ocorrem em um determinado contexto do mundo real; expectativas sobre a conformidade entre comportamentos esperados e comportamentos de fato presentes na dinâmica de processos organizacionais podem ser mensuradas e analisadas; anomalias ou ineficiências na condução de um conjunto de atividades são reveladas permitindo o estabelecimento de adequações de conduta.
Tipos de mineração de processos, estabelecendo a ponte entre registros de eventos e modelos de processos de negócio.
No âmbito jurídico, a digitalização de várias atividades tem resultado na disponibilidade cada vez maior de grandes massas de dados: verdadeiras "jazidas" de conhecimento jurídico. São muitas as fontes de informação: legislativas, processuais, jurisprudenciais, extrajudiciais. Essa abundância de dados aliada ao advento de novas tecnologias tem levado ao surgimento de soluções computacionais que apoiam diferentes atividades jurídicas. Exemplos incluem o crescente uso de ciência de dados, inteligência artificial, aprendizado de máquina e blockchain nos ambientes de inovação público (laboratórios de inovação dos Poderes Judiciário e Legislativo) e privado (lawtechs e legaltechs).
Especificamente na área de conformidade legal ou legal compliance, um fenômeno conhecido como Compliance 4.0 (em analogia à Indústria 4.0 ou Quarta Revolução Industrial) tem agregado soluções para monitoramento regulatório e avaliação de conformidade, conhecidas como regtechs. Muitas dessas soluções se dedicam a apoiar a conformidade legal no âmbito corporativo, motivadas principalmente pelo aumento da pressão regulatória exercida por novas legislações com alto grau de complexidade, como a Lei Geral de Proteção de Dados (LGPD). A gestão da conformidade legal nas empresas é geralmente implantada por meio de uma estrutura de Governança, Gestão de Riscos e Compliance (GRC ou Governance, Risk Management and Compliance em inglês). Nesse contexto, verificações de conformidade são tradicionalmente realizadas por meio de auditorias pontuais, efetuadas com base em análises manuais de amostras de evidências e documentação, normalmente retroativas. É esse paradigma de realização de auditorias de conformidade que a mineração de processos se propõe a transformar.
Em mineração de processos, a verificação de conformidade permite comparar um modelo de processo normativo com o comportamento real da execução das atividades, registrado nos logs de eventos dos sistemas de informação. Usando ferramentas automatizadas, é possível identificar discrepâncias que podem representar desvios indesejáveis (tais como fraudes ou práticas inadequadas) e investigar a causa-raiz de cada violação de modo a sugerir melhorias no controle dos processos. Além disso, todas as não conformidades ocorridas podem ser detectadas, resultando em uma variação da taxa de conformidade ao longo do tempo. Também é possível observar violações em tempo real e até mesmo predizer possíveis desvios de conformidade no futuro. Empresas globais de auditoria já usam ferramentas de mineração de processos para conduzir auditorias internas, especialmente nas áreas contábil e financeira. Aplicações na área jurídica, entretanto, ainda são muito limitadas, e isso se deve principalmente aos desafios específicos da formalização computacional dos requisitos legais.
Atores e artefatos envolvidos na implementação da checagem de conformidade legal (acima); Painel de instrumentos para checagem de conformidade oferecido pela ferramenta de mineração de processos Celonis (abaixo).
Para permitir a representação do conhecimento jurídico e seu pleno uso no raciocínio computacional e no domínio das regras de negócio, é preciso vencer a lacuna entre o texto das leis e as regras e ontologias. Nesse sentido, o direito computável, um ramo da informática jurídica também conhecido como "law as code'', trata da aplicação de tecnologias e padrões da web semântica para modelar informações legais, permitindo que essas possam ser consumidas e interpretadas por sistemas de informação. Os fundamentos teóricos do direito computável são intrinsecamente relacionados à relação entre a lei e a lógica. O raciocínio jurídico é tradicionalmente não monotônico, ou seja, mesmo partindo da mesma premissa legal, é possível obter resultados diferentes. Diferentes tipos de lógica são usados para capturar a natureza das normas legais, suas múltiplas interpretações e evolução, tais como: lógica deôntica, lógica de argumentação derrotável, lógica input/output e lógica temporal reificada. Linguagens como a Legal Rule Markup Language (LegalRuleML) conseguem expressar operadores lógicos próprios para modelar leis e normas. Ontologias legais, muitas delas formalizadas usando o padrão Ontology Web Language (OWL), são criadas para descrever os conceitos jurídicos e o conhecimento legal de cada domínio específico do direito.
Um importante exemplo de aplicação do direito computável diz respeito justamente ao direito à proteção de dados. Atualmente, a maior base de conhecimento legal usando lógica input/output disponível online é a Data Protection Regulation Compliance (DAPRECO) (Robaldo et al., 2020). O DAPRECO é um repositório de regras escritas em LegalRuleML que, usando a ontologia de privacidade Privacy Ontology (PrOnto), representam as provisões da General Data Protection Regulation (GDPR), a legislação de proteção de dados europeia. Essa base de conhecimento foi criada especialmente para apoiar o raciocínio computacional para conformidade legal.
Representação lógica e computável do § 2º do art. 33 da GDPR: texto (acima, à esquerda) e formalização lógica (acima, à direita) de Robaldo et al. (2019); representação computacional (abaixo) do repositório DAPRECO disponível aqui.
Esse cenário caracteriza oportunidade para a pesquisa interdisciplinar entre a computação e o direito. No Process Mining Research Group @ USP, um grupo de pesquisa na EACH-USP dedicado ao tema da mineração de processos, um estudo está pesquisando a verificação de conformidade apoiada por mineração de processos aliada às técnicas do direito computável para formalização computacional dos requisitos legais, para apoio a avaliação da conformidade legal. Com esse estudo, os pesquisadores têm a expectativa de revelar o potencial da mineração de processos no monitoramento contínuo da conformidade dos processos de negócio em relação à legislação vigente, de modo a auxiliar empresas e o setor público na gestão da conformidade legal, especialmente no que se refere à LGPD.
Referências
Dumas, Marlon; La Rosa, Marcello; Mendling, Jan; Reijers, Hajo A. Fundamentals of Business Process Management. 2 ed. Springer-Verlag Berlin Heidelberg, 2018.
Fernandes, Alexandre Gastaldi Lopes; Santos Neto, José Francisco dos; Fantinato, Marcelo; Peres, Sarajane Marques. Mineração de processos: Uma evolução no apoio à gestão de processos de negócio. SBC Horizontes, junho 2020. ISSN 2175-9235. Disponível aqui. Acesso em: 03 março. 2021.
Robaldo, Livio; Bartolini, Cesare; Palmirani, Monica; Rossi, Arianna; Martoni, Michele; Lenzini, Gabriele. Formalizing GDPR Provisions in Reified I/O Logic: The DAPRECO Knowledge Base. Journal of Logic, Language and Information, v. 29, n. 4, p. 401-449, 2020.
*Adriana Jacoto Unger é membro do Process Mining Research Group @USP. Doutoranda em Sistemas de Informação na Universidade de São Paulo (USP). Mestre em Engenharia de Produção, 2018, e Engenheira Mecatrônica, 1999, pela Escola Politécnica da USP. Possui certificação da ABPMP (Association of Business Process Management Professionals) - CBPP (Certified Business Process Professional) Blue Seal e da Celonis - Certified Analyst and Data Engineer.
**Marcelo Fantinato é coordenador do Process Mining Research Group @ USP. Professor Associado da Universidade de São Paulo (USP). É bolsista PQ do CNPq. Foi pesquisador convidado na Vrije Universiteit Amsterdam, 2018, e na Universidade de Utrecht, 2019, Países Baixos. Livre docente em Gestão de Processos de Negócio, 2014, pela USP; Doutor em Ciência da Computação, 2007 pela Unicamp. Certificado Green Belt no Programa de Melhoria de Qualidade Six Sigma da Motorola, 2007. Possui experiência profissional no setor de desenvolvimento de software na Fundação CPqD, Campinas, 2001-2006, e na Motorola, Jaguariúna, 2006-2008. É membro do Comitê Técnico do IEEE em Computação de Serviços. Representa a USP no Centro Europeu de Pesquisa em Sistemas de Informação (ERCIS). É editor associado do International Journal of Cooperative Information Systems.
***Sarajane Marques Peres é coordenadora do Process Mining Research Group @ USP. Professora Associada na Universidade de São Paulo (USP), Brasil. Livre docente em Aprendizado de Máquina e Inteligência Computacional pela USP. Doutora em Engenharia Elétrica (2006) pela Unicamp. Trabalhou como professora assistente na Unioeste-PR (1998-2005) e na UEM-PR (2005-2007), Brasil. É coautora de um livro-texto na área de mineração de dados. Trabalhou como tutora no Programa de Educação Tutorial do Ministério da Educação (2010-2017), e como pesquisadora visitante na Vrije Universiteit Amsterdam (2018) e na Utrecht University (2019), Países Baixos. É membro do quadro de pesquisadores do C4AI - Center for Artificial Intelligence (USP/IBM/Fapesp) e do AI2 - Advanced Institute for Artificial Intelligence (Brasil).