Árvore de páginas

Versões comparadas

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.
Painel

Esta página centraliza informações referentes à LGPD - Lei Geral de Proteção de Dados disponibilizadas pelo governo.

Painel
titleColor#FFFFFF
titleBGColor#004C99
borderStylesolid
titleInformações Gerais sobre a LGPD

Lei n° 13.709 - Lei Geral de Proteção de Dados do Brasil, de 14 de agosto de 2018, entrará em vigor em agosto de 2020, estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.


Expandir
titleObjetivos da Lei
  • A LEI n° 13.709, de 14 de agosto de 2018, estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
  • A lei se aplica a qualquer pessoa, física ou jurídica (pública ou privada), ou seja, possuindo informações de pessoas físicas, deve-se adequar à lei.
Expandir
titleConceito / Tipo de Dados

Para os fins desta Lei, considera-se os seguintes tipos de dados: 

Tipo de DadoConceitoExemplos
Dado pessoalInformação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer dado que possa permitir identificar uma pessoa.
  • Nome
  • CPF, RG
  • Endereço residencial
  • Telefone fixo/celular
Dado pessoal sensível

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

  • Origem racial
  • Filiação a sindicato
  • Convicção religiosa
  • Informações de saúde
Dado anonimizado

Dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Um dado anônimo, ainda que seja referente a uma pessoa, não permite a identificação de seu titular.

  • 999.999.999-99
  • XXXXXXXXXXX
  • 01/01/1800
Expandir
titleAtores / Papéis

Segue definição dos principais atores envolvidos na Lei:

Papel/AtorDefinição

TITULAR DOS DADOS

Pessoa física a quem se referem os dados pessoais que são objeto de tratamento. 

CONTROLADOR

Pessoa física, jurídica, pública ou privada, a quem compete as decisões referente ao tratamento dos dados pessoais.

OPERADOR

Pessoa física, jurídica, pública ou privada, que realiza o tratamento de dados pessoais, em nome do controlador. 

ENCARREGADO/DPO

Pessoa física, indicada pelo controlador, que atua como canal de comunicação entre o controlador, os titulares e a autoridade nacional. 

ANPD

Autoridade Nacional de Proteção de Dados, responsável em definir as diretrizes, disseminar conhecimento relacionado à políticas públicas sobre a proteção de dados pessoais e medidas, assim como a fiscalização.

Saiba mais sobre os princípios, direitos do titular e penalidades desta lei em: Entregas Legais - Lei Geral de Proteção de Dados - LGPD.

Painel
titleColor#FFFFFF
titleBGColor#004C99
titleAdequações para atender à LGPD

A TOTVS preparou algumas funções e orientações para ajudar os clientes a gerir a proteção de dados pessoais, considerando os principais requisitos previstos na lei:

Abaixo segue um breve resumo de cada requisito:

Painel
titleBGColor1BA1E2
titleConfigurador Campos Pessoais/Sensíveis - Art. 5º Inc. I, II e III

Consiste na configuração das tabelas e campos que contém dados pessoais/sensíveis ou que podem ser anonimizados.

Através da função "Gerenciamento de Campos Pessoais", é possível visualizar o mapeamento dos campos pessoais e sensíveis existentes no produto Datasul e adequá-los de acordo com o entendimento da empresa.

Aviso
titleImportante!

A TOTVS liberou o mapeamento mínimo e sugestivo de campos pessoais, é de responsabilidade do cliente, como controlador, revisar a configuração, acrescentando ou alterando dados, inclusive as classificações que foram liberadas pela TOTVS, conforme seu entendimento e orientação de sua área jurídica.

Saiba mais sobre esta função:

Painel
titleBGColor1BA1E2
titleAuditoria dos Dados - Art. 42 § 2º e Art. 49º

Consiste no monitoramento de ações (consulta, inclusão, alteração e exclusão) efetuadas com os campos pessoais e sensíveis mapeados.

No produto TOTVS - Linha Datasul, a auditoria é efetuada através das funções:

  • Log Execução Programas: permite auditar toda consulta realizada em programas que contenham campos pessoais e/ou sensíveis mapeados na função "Relacionamento das Rotinas com Campos Pessoais e/ou Sensíveis".
  • Audit Trail: permite auditar toda inclusão, alteração e exclusão de campos pessoais e/ou sensíveis mapeados na função "Gerenciamento dos Campos Pessoais e/ou Sensíveis".

Veja como efetuar a configuração destas funções:

Painel
titleBGColor1BA1E2
titleSegurança das Informações - Art. 6º Inc. VII

Consiste na configuração da segurança de acesso às informações pessoais e sensíveis.

É responsabilidade do cliente, como controlador, proteger a camada de banco e sua infraestrutura, de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

No produto TOTVS - Linha Datasul a segurança aos dados pessoais e sensíveis é por programa e usuários, sendo necessário validar o cadastro de usuários, grupos de usuários e as permissões existentes para acesso ao produto, assim como ao menu e estabelecimentos, restringindo o acesso à rotinas que apresentam dados pessoais e sensíveis, mantendo a segurança dos dados.

A segurança de dados sensíveis pode ser feita através da utilização de perfis de segurança e caberá ao “controlador” definir quais profissionais da empresa podem ter acesso a informação.

Saiba como configurar as permissões de acesso:

Painel
titleBGColor1BA1E2
titleConsentimento - Art. 7º Inc. I

A lei estabelece que o consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma determinada finalidade.

Deve-se identificar a necessidade da solicitação do consentimento e elaborá-lo, através de documentação física, atentando para os princípios previstos na lei em relação ao tratamento dos dados pessoais.

O cliente, como controlador, é responsável pela:

  • Elaboração: criação do termo de consentimento, assegurando todos os princípios previstos na lei e necessidade de uso dos dados pessoais pela empresa.
  • Solicitação: inserir a solicitação do consentimento ao titular nos processos da empresa, por exemplo, na contratação de funcionários e serviços.
  • Gestão: controlar o consentimento dos titulares e a atualização do termo de consentimento em caso de atualizações ou mudanças na finalidade do tratamento dos dados pessoais, que neste caso deve ser solicitado novo consentimento ao titular, que possui o direito de revogá-lo.
Aviso
titleAtenção!

A LGPD apresenta uma sessão específica sobre os dados de crianças e adolescentes, portanto, para titulares menores de idade deve existir um consentimento específico e claro dos pais ou responsável legal.

Para elaboração do termo de consentimento sugerimos o uso das seguintes funções:

Painel
titleBGColor1BA1E2
titleProtocolos - Art. 6º Inc. VII

Assegurar a proteção das informações nas integrações, de ponta a ponta, em relação aos protocolos utilizados pela empresa nas comunicações realizadas. O cliente, como controlador, é o responsável em assegurar esta proteção/segurança.

No sentido de orientar e auxiliar os clientes, a TOTVS sugere algumas validações:

  • Verificar se a empresa faz uso de protocolos inseguros como: HTTP, ODBC, FTP, Telnet, etc.
  • Avaliar a substituição destes por protocolos SEGUROS: HTTPS, FTPS, SSH, etc.
  • Manter desativado por padrão os protocolos inseguros, caso não possua alternativa de substituição.

Saiba mais detalhes de como promover a segurança das informações em:

Painel
titleBGColor1BA1E2
titleIntegrações - Art. 6º Inc. VII

Garantir a segurança das informações nas comunicações, interna ou externa, por meio eletrônio ou físico.

É de responsabilidade do cliente garantir que a comunicação, entre os componentes de instalação, seja feita de maneira segura. Garantindo que as informações, trafegadas entre as pontas, não sejam interceptada ou sofra ataques.

A TOTVS apresenta algumas sugestões/orientações para segurança dos dados:

  • mapear e avaliar as integrações de informações realizadas nos processos da empresa.
  • evitar integrações a nível de banco de dados, quando não for possível, sugerimos o uso de criptografia em ambos os bancos.
  • restringir acesso a diretórios e arquivos.
  • para rotinas que geram arquivos em formatos txt, xml, html, csv e outros, sugerimos o descarte após o uso ou transferência para local seguro.
  • inserir senhas em arquivos enviados por e-mail.
  • utilizar integrações através de APIs contendo protocolos seguros.

Saiba mais sobre algumas integrações:

Painel
titleBGColor1BA1E2
titleCriptografia - Art. 6º Inc. VII

A criptografia garante a segurança da informação através de um conjunto de regras que visa codificar a informação de forma que só o emissor e o receptor consiga decifrá-la.

A TOTVS aconselha que seus clientes utilizem o recurso "Criptografia de Dados Transparente (TDE)"  do SGBD do produto.

Saiba mais: 

Painel
titleBGColor1BA1E2
titleAnonimização - Art. 18 Inc. IV / VI

A anonimização consiste na utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Já consta disponível o processo de anonimização do candidato junto ao produto de RH.

A TOTVS está desenvolvendo o processo de anonimização das demais "personas" (Funcionário, Cliente, Fornecedor, Dependente, Instrutor, etc.) existentes no produto, em breve publicaremos mais informações a respeito.

Sabia mais sobre a anonimização já disponível:

Expandir
titleDatasul - Recursos Humanos
Expandir
titleDatasul - Backoffice
  • Aguarde, em breve atualizaremos os processos de anonimização demais personas.
Painel
titleBGColor1BA1E2
titleRelatório Dados do Titular - Art. 9º / Art. 18 / Art. 19

Consiste na permissão de acesso facilitado e seguro sobre o tratamento do dado do titular e atendimento ao princípio do livre acesso.

O relatório contendo dados do titular não possui modelo divulgado pela ANPD - Agência Nacional de Proteção de Dados, portanto, fica sob a responsabilidade do cliente a elaboração do mesmo.

A TOTVS sugere o uso da ferramenta Dataviewer para a confecção do relatório, sendo possível consultar e extrair dados de qualquer tabela/campo do produto, permitindo assim o desenvolvimento do relatório de acordo com a necessidade e entendimento de cada cliente.

Saiba mais sobre o Dataviewer:

Painel
titleBGColor1BA1E2
titleResponsabilidades do Cliente

Disclaimer sobre Tratamento de Dados Pessoais/Sensíveis no âmbito dos Produtos TOTVS S.A.

Ao adquirir o Produto TOTVS, o cliente será o agente controlador dos dados pessoais e/ou sensíveis, conforme expressamente previsto na Lei Geral de Proteção de Dados, de seus usuários, funcionários, colaboradores, fornecedores, prestadores de serviços, dentre outros e, como tal, deverá, por sua conta e risco, realizar o enquadramento, processamento, inserção e todo e qualquer tratamento dos dados, informações e fluxos de dados pessoais, sendo, pois, exclusivamente responsável por tomar as decisões referentes ao tratamento de dados pessoais e cumprir todas as disposições, legislações e normas brasileiras, e, no que lhe couber, as legislações e normas estrangeiras, que regulam os direitos à privacidade e proteção de dados pessoais, incluindo, mas não se limitando, a Lei brasileira nº 13.709/2018 (“Lei Brasileira de Proteção de Dados”) e a Lei brasileira nº 12.965/2014 (“Marco Civil da Internet”), e, quando aplicável, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR - General Data Protection Regulation nº 679/2016) (doravante denominados simplesmente “Legislação”).


Aviso
titleImportante!
  • O cliente deverá buscar, por sua conta, risco e ônus, orientação jurídica específica para garantir a observância da Legislação aplicável, sendo único e integralmente responsável por qualquer falha ou descumprimento da Legislação.
  • Caberá exclusivamente ao cliente em adequar os processos internos e/ou externos dentro do que a LGPD exige, sendo pois, o responsável, como controlador, pelo tratamento de dados pessoais (ou sensíveis).