• A LEI n° 13.709, de 14 de agosto de 2018, estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
• A lei se aplica a qualquer pessoa, física ou jurídica (pública ou privada), ou seja, possuindo informações de pessoas físicas, deve-se adequar à lei.

Para os fins desta Lei, considera-se os seguintes tipos de dados: 

Segue definição dos principais atores envolvidos na Lei:

Consiste na configuração dos campos no produto contendo dados pessoais/sensíveis ou que podem ser anonimizados.

Esta função "Gerenciamento de Campos Pessoais", permite visualizar o mapeamento de campos pessoais e sensíveis existentes no produto Datasul e adequá-los de acordo com o entendimento da empresa.

Saiba mais sobre esta função:

• Importação das rotinas e campos pessoais e/ou sensíveis
• Gerenciamento dos campos pessoais e/ou sensíveis
• Exportação das rotinas e campos pessoais e/ou sensíveis

Consiste no monitoramento de ações (consulta, inclusão, alteração e exclusão) efetuadas com os campos pessoais e sensíveis mapeados.

No produto TOTVS - Linha Datasul, a auditoria é efetuada através das funções:

• Log Execução Programas: permite auditar toda consulta realizada em programas que contenham campos pessoais e/ou sensíveis mapeados na função "Relacionamento das Rotinas com Campos Pessoais e/ou Sensíveis".

• Audit Trail: permite auditar toda inclusão, alteração e exclusão de campos pessoais e/ou sensíveis mapeados na função "Gerenciamento dos Campos Pessoais e/ou Sensíveis".

Veja como efetuar a configuração destas funções:

• Relacionamento das rotinas com campos pessoais e/ou sensíveis
• Facilitador para auxiliar na configuração de auditoria de dados protegidos.

Consiste na configuração de acesso às informações que contém dados pessoais e sensíveis.

No produto TOTVS - Linha Datasul a segurança aos dados pessoais e sensíveis é por programas e grupos de usuários, desta forma é necessário validar o cadastro de usuários, grupos de usuários e as permissões existentes para acesso ao produto/menu e estabelecimentos, restringindo o acesso à rotinas que apresentam dados pessoais e sensíveis, mantendo a segurança destes dados.

Veja como efetuar a configuração das permissões de acesso:

• Manutenção de Usuários
• Manutenção de Grupos de Usuários
• Manutenção Usuários - Complemento RH
• Manutenção Usuário Segurança Estabelecimento - FP0590
• Atualização Segurança de Menu
• Configuração Segurança Menu de Programas

A lei estabelece que o consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma determinada finalidade.

Deve-se identificar a necessidade da solicitação do consentimento e elaborá-lo, através de documentação física, atentando para os princípios previstos na lei em relação ao tratamento dos dados pessoais.

O cliente, como controlador, é responsável pela:

• Elaboração: criação do termo de consentimento, assegurando todos os princípios previstos na lei e necessidade de uso dos dados pessoais pela empresa.
• Solicitação: inserir a solicitação do consentimento ao titular nos processos da empresa, por exemplo, na contratação de funcionários e serviços.
• Gestão: controlar o consentimento dos titulares e a atualização do termo de consentimento em caso de atualizações ou mudanças na finalidade do tratamento dos dados pessoais, que neste caso deve ser solicitado novo consentimento ao titular, que possui o direito de revogá-lo.

Para elaboração do termo de consentimento sugerimos o uso das seguintes funções:

• Contratos e Documentos Admissionais
• Dataviewer

Consiste em assegurar a proteção adicional aos protocolos utilizados pela empresa nas comunicações realizadas, para isto, a TOTVS sugere as seguintes validações:

• Verificar se a empresa faz uso de protocolos inseguros como: HTTP, ODBC, FTP, Telnet, etc.
• Avaliar a substituição destes por protocolos SEGUROS: HTTPS, FTPS, SSH, etc.
• Manter desativado por padrão os protocolos inseguros, caso não possua alternativa de substituição.

Saiba mais detalhes de como promover a segurança das informações em:

• Boas Práticas - Segurança e Comunicação Segura
• Conexão externa e segura via HTTPS para uso de Portais
• Ajustes Java para acessos via HTTPS
• Configurações HTTPS para integração com Fluig Identity

Garantir a segurança das informações nas comunicações, interna ou externa, por meio eletrônio ou físico.

É de responsabilidade do cliente garantir que a comunicação, entre os componentes de instalação, seja feita de maneira segura. Garantindo que as informações, trafegadas entre as pontas, não sejam interceptada ou sofra ataques.

A TOTVS apresenta algumas sugestões/orientações:

• mapear e avaliar as integrações de informações realizadas nos processos da empresa.
• evitar integrações a nível de banco de dados.
• proteger diretórios e arquivos
• inserir senhas em arquivos enviados por e-mail.
• utilizar integrações através de APIs contendo protocolos seguros (.

Saiba mais sobre algumas integrações:

• Servico Datasul Rest
• Envio de email utilizando TLS
• Configuração JBOSS HTTPS com front end Apache
• Teste envio e-mail em servidores que exigem autenticação (TLS/SSL)

A criptografia garante a segurança da informação através de um conjunto de regras que visa codificar a informação de forma que só o emissor e o receptor consiga decifrá-la.

A TOTVS aconselha que seus clientes utilizem o recurso "Criptografia de Dados Transparente (TDE)"  do SGBD do produto.

Saiba mais: 

• Criptografia do Banco de Dados

Anonimização consiste na utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

O produto RH da TOTVS - Linha Datasul disponibilizou a anonimização da persona Candidato, onde o processo de anonimização ocorre por meio da exclusão do registro do candidato, assim como todos os seus relacionamentos dentro do produto.

A anonimização das demais personas, como Funcionário, Dependente, Beneficiário de Pensão, Instrutor, etc., será liberada em breve, junto as próximas versões do produto.

Saiba mais:  

• LGPD - Anonimização - Exclusão de Candidato

Consiste na permissão de acesso facilitado e seguro sobre o tratamento do dado do titular e atendimento ao princípio do livre acesso.

O relatório contendo dados do titular não possui modelo divulgado pela ANPD - Agência Nacional de Proteção de Dados, portanto, fica sob a responsabilidade do cliente a elaboração do mesmo.

Aconselhamos o uso da ferramenta Dataviewer para a confecção do relatório, uma vez que esta permite consultar e extrair dados de qualquer tabela do produto, permitindo assim o desenvolvimento do relatório de acordo com a necessidade e entendimento de cada cliente.

Saiba mais sobre o Dataviewer:

• https://slideplayer.com.br/slide/13634325/

Disclaimer sobre Tratamento de Dados Pessoais/Sensíveis no âmbito dos Produtos TOTVS S.A.

Ao adquirir o Produto TOTVS, o cliente será o agente controlador dos dados pessoais e/ou sensíveis, conforme expressamente previsto na Lei Geral de Proteção de Dados, de seus usuários, funcionários, colaboradores, fornecedores, prestadores de serviços, dentre outros e, como tal, deverá, por sua conta e risco, realizar o enquadramento, processamento, inserção e todo e qualquer tratamento dos dados, informações e fluxos de dados pessoais, sendo, pois, exclusivamente responsável por tomar as decisões referentes ao tratamento de dados pessoais e cumprir todas as disposições, legislações e normas brasileiras, e, no que lhe couber, as legislações e normas estrangeiras, que regulam os direitos à privacidade e proteção de dados pessoais, incluindo, mas não se limitando, a Lei brasileira nº 13.709/2018 (“Lei Brasileira de Proteção de Dados”) e a Lei brasileira nº 12.965/2014 (“Marco Civil da Internet”), e, quando aplicável, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR - General Data Protection Regulation nº 679/2016) (doravante denominados simplesmente “Legislação”).