Consiste na configuração das tabelas e campos que contém dados pessoais/sensíveis ou que podem ser anonimizados.

A configuração de campos para LGPD pode ser acessada em Serviços de Globais / Segurança / Proteção de Dados / Configurar Proteção de Dados. Através desta função é possível visualizar o mapeamento dos campos pessoais e sensíveis existentes no produto RM e adequá-los de acordo com o entendimento da empresa.

Saiba mais sobre esta função:

• Gerenciamento dos campos pessoais e/ou sensíveis
• Configuração de Proteção de Dados

Consiste no monitoramento de ações (consulta, inclusão, alteração e exclusão) efetuadas com os campos pessoais e sensíveis mapeados.

No produto TOTVS - Linha RM, em atenção às responsabilidades atribuídas pela LGPD,  o Log de Auditoria já existente no produto passou por melhorias, facilitando a rastreabilidade de alterações referentes a campos pessoais e/ou sensíveis.

Veja como efetuar a configuração destas funções:

• Log de Auditoria x LGPD

Consiste na configuração da segurança de acesso às informações pessoais e sensíveis.

É responsabilidade do cliente, como controlador, proteger a camada de banco e sua infraestrutura, de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

No produto TOTVS - Linha RM a segurança aos dados pessoais e sensíveis é tratada através do cadastro de Perfil de Segurança e Usuários, sendo necessário validar os perfis de usuários e as permissões existentes para acesso ao produto, restringindo o acesso à rotinas que apresentam dados pessoais e sensíveis, mantendo a segurança dos dados.

A segurança de dados sensíveis pode ser feita através da utilização de perfis de segurança e caberá ao “controlador” definir quais profissionais da empresa podem ter acesso a informação.

Saiba como configurar as permissões de acesso:

• Manutenção de Perfis de Segurança
• Segurança de Dados - Especificações Técnicas Linha RM

A lei estabelece que o consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma determinada finalidade.

Deve-se identificar a necessidade da solicitação do consentimento e elaborá-lo, através de documentação física, atentando para os princípios previstos na lei em relação ao tratamento dos dados pessoais. 

O cliente, como controlador, é responsável pela:

• Elaboração: criação do termo de consentimento, assegurando todos os princípios previstos na lei e necessidade de uso dos dados pessoais pela empresa.
• Solicitação: inserir a solicitação do consentimento ao titular nos processos da empresa, por exemplo, na contratação de funcionários e serviços.
• Gestão: controlar o consentimento dos titulares e a atualização do termo de consentimento em caso de atualizações ou mudanças na finalidade do tratamento dos dados pessoais, que neste caso deve ser solicitado novo consentimento ao titular, que possui o direito de revogá-lo.

É importante lembrar que o cliente, como controlador, deverá destacar no termo de consentimento quais produtos compartilha dados dentro e fora da organização.

 O TOTVS linha RM possui tratamento de consentimento somente para candidatos, para as demais personas da Empresa sugerimos avaliar as questões contratuais abordando o consentimento com a utilização de seus dados pessoais.

Saia como configurar o consentimento de candidatos para o RM:

• Consentimento de Candidatos

Assegurar a proteção das informações nas integrações, de ponta a ponta, em relação aos protocolos utilizados pela empresa nas comunicações realizadas. O cliente, como controlador, é o responsável em assegurar esta proteção/segurança.

No sentido de orientar e auxiliar os clientes, a TOTVS sugere algumas validações:

• Verificar se a empresa faz uso de protocolos inseguros como: HTTP, ODBC, FTP, Telnet, etc.
• Avaliar a substituição destes por protocolos SEGUROS: HTTPS, FTPS, SSH, etc.
• Manter desativado por padrão os protocolos inseguros, caso não possua alternativa de substituição.

Garantir a segurança das informações nas comunicações, interna ou externa, por meio eletrônico ou físico.

É de responsabilidade do cliente garantir que a comunicação, entre os componentes de instalação, seja feita de maneira segura. Garantindo que as informações, trafegadas entre as pontas, não sejam interceptada ou sofra ataques.

A TOTVS apresenta algumas sugestões/orientações para segurança dos dados:

• mapear e avaliar as integrações de informações realizadas nos processos da empresa.
• evitar integrações a nível de banco de dados, quando não for possível, sugerimos o uso de criptografia em ambos os bancos.
• restringir acesso a diretórios e arquivos.
• para rotinas que geram arquivos em formatos txt, xml, html, csv e outros, sugerimos o descarte após o uso ou transferência para local seguro.
• inserir senhas em arquivos enviados por e-mail.
• utilizar integrações através de APIs contendo protocolos seguros.

A criptografia garante a segurança da informação através de um conjunto de regras que visa codificar a informação de forma que só o emissor e o receptor consiga decifrá-la.

A TOTVS aconselha que seus clientes utilizem o recurso "Criptografia de Dados Transparente (TDE)"  do SGBD do produto.

Saiba mais: 

• Criptografia de Dados - Linha RM

A anonimização consiste na utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Já consta disponível o processo de anonimização do candidato junto ao produto de RH através da exclusão, as demais "personas" como: Funcionário, Dependente, Instrutor, entre outros existentes no produto, a TOTVS oferecerá um novo produto para estes fins, o TPD (Totvs Privacidade de Dados)  integrado com os ERPs.

Consiste na permissão de acesso facilitado e seguro sobre o tratamento do dado do titular e atendimento ao princípio do livre acesso.

O relatório ainda não possui definições nem modelo divulgado pela ANPD - Agência Nacional de Proteção de Dados, portanto, fica sob a responsabilidade do cliente elaborar seu relatório, de acordo com as necessidades e entendimento da empresa. Lembrando que no mesmo devem constar os dados pessoais/sensíveis e o motivo de uso dos mesmos.

Em nosso "Espaço Legislação" possuímos muitas informações sobre a LGPD. Acesse o link https://espacolegislacao.totvs.com/lgpd/ e localize o tópico "Responsabilidades" para obter maiores detalhes sobre as responsabilidades do cliente em torno da LGPD.