Collab | Política de privacidade

POLÍTICA DE PRIVACIDADE

1. Objetivo

A Política de privacidade do Grupo TOTVS tem como objetivo demonstrar o compromisso da companhia com a transparência com que trata os Dados Pessoais dos Titulares, assim, como expressar seu comprometimento com a segurança nos serviços fornecidos relacionados ao tratamento de dados dos Clientes.

Portanto, este documento abrange as informações sobre o tratamento de dados realizado por toda a corporação.

Esta Política é parte do Programa de Privacidade de Dados do Grupo TOTVS, composto também por outros documentos, diretrizes, normas e procedimentos.

2. Abrangência

Esta Política se aplica a todas as áreas e empresas do Grupo TOTVS incluindo terceiros que, de qualquer forma, tratem Dados Pessoais em nome ou a pedido desta, e reflete a governança aplicada aos temas de proteção de Dados Pessoais pelo Grupo TOTVS. A observância desta Política é obrigatória e reflete a legislação e regulamentação aplicáveis relacionadas à Lei Geral de Proteção de Dados.

3. Referências

• Lei 1z.709/2018 - Lei Geral de Proteção de Dados Pessoais.

• Lei 12.965/2014 - Marco Civil da Internet.

4. Definições

Adquiridas: empresas que tiveram seu controle societário adquirido pelo Grupo TOTVS, tornando-se parte do Grupo.

ANPD – Autoridade Nacional de Proteção de Dados: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD).

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de Dados Pessoais. O Controlador é quem determina a finalidade e os meios de execução da atividade.

Dados Pessoais: toda informação relacionada a uma pessoa natural identificada ou identificável.

Dados Pessoais Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

DPA – Data Processing Agreement (Termo de Tratamento de Dados): documento que visa regulamentar toda a relação contratual entre agentes de tratamento, quando o contrato principal envolver o tratamento dos Dados Pessoais. Este documento definirá os limites, meios, finalidades e todas as obrigações que os agentes de tratamento terão que cumprir.

DPIA – Data Protection Impact Assessment (Relatório de Impacto): documentação que contém a descrição dos processos de tratamento de Dados Pessoais:
(i) enquadrados em legítimo interesse; e
(ii) que podem gerar riscos às liberdades civis e aos direitos fundamentais, além de conter as medidas, as salvaguardas e os mecanismos de mitigação de risco.

DPO – Data Protection Officer (ou “Encarregado de Dados”): representante do Grupo TOTVS indicado para atuar como responsável pelo canal de comunicação entre o Grupo TOTVS, os Titulares de Dados Pessoais e a ANPD.

Fornecedor(es): são pessoas jurídicas ou físicas que fornecem mercadorias ou serviços ao Grupo TOTVS num determinado prazo acordado entre as partes.

Franquia: é um arranjo comercial que o Grupo TOTVS possui, com direito de uso da marca, know-how, patente, infraestrutura e distribuição.

GDPR – General Data Protection Regulation: lei da comunidade europeia que determina como deverão ser tratados os Dados Pessoais de indivíduos localizados nos países da União Europeia.

LGPD – Lei Geral de Proteção de Dados: lei brasileira que regula todo o tratamento de Dados Pessoais realizado no território brasileiro ou que tenha por objetivo fornecer bens ou serviços para indivíduos localizados no território nacional ou ainda que os Dados objeto do tratamento tenham sido coletados no território brasileiro independentemente de onde estejam localizados os Dados.

Marco Civil da Internet: lei que visa orientar os direitos e deveres dos usuários, provedores de serviços e conteúdos e demais envolvidos com o uso da Internet no Brasil.

MI: representações do Grupo TOTVS no Mercado Internacional.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do Controlador.

Parceiro: empresas com quem o Grupo TOTVS possui relações contratuais com intuito de desenvolver atividades comerciais.

Prestador(es) de serviço: são pessoas físicas ou jurídicas que prestam algum tipo de serviço contratado pelo Grupo TOTVS.

Privacy by Default (Privacidade como Padrão): conceito que decorre do privacy by design. Estabelece-se que um produto ou serviço, ao ser lançado no mercado, deve possuir todas configurações de privacidade restritas determinada em seu desenvolvimento e apenas o usuário pode liberar ou desativar o acesso caso seja necessário.

Privacy by Design (Privacidade como Premissa): premissa para desenvolvimento de serviços ou produtos, e softwares, que exige a aplicação de boas práticas relativas à privacidade desde sua concepção. Dessa forma, qualquer nova atividade de tratamento deve atender aos princípios, regras e padrões fornecidos e determinados pela legislação competente durante todo o seu ciclo de vida.

ROPA – Records of Processing Activities (Registro de Operações de Tratamento): registro de atividades para o mapeamento do processamento de Dados Pessoais.

TCloud: plataforma da TOTVS Cloud que disponibiliza ao cliente do Grupo TOTVS acesso a várias funções de configuração, gerenciamento e execução de ações relacionadas ao fornecimento dos produtos e serviços contratados - (https://tcloud.totvs.com.br).

Terceiros: profissionais contratados para executar determinadas atividades em um período pré-estabelecido.

Titulares: são as pessoas físicas a quem os Dados Pessoais se referem.

TOTVER: denominação do Grupo TOTVS para se referir aos seus empregados e estagiários.

TOTVS Cloud: provedor de serviços em nuvem da TOTVS.

5. Diretrizes

5.1 Lei Geral de Proteção de Dados Pessoais no Grupo TOTVS

Em consonância com a LGPD, é prioridade do Grupo TOTVS proteger, preservar e respeitar a privacidade e os direitos dos Titulares de Dados Pessoais.

Adotamos as melhores práticas empresariais e condutas éticas, visando a manutenção e evolução do grau de conformidade dos processos relativos à proteção de Dados Pessoais para atender às necessidades dos clientes, parceiros, fornecedores e colaboradores do Grupo TOTVS.

Como fornecedor de software, o Grupo TOTVS posiciona-se como parceiro dos clientes em seus processos de adequação à LGPD, implantando metodologias como Privacy by Design e Privacy by Default no desenvolvimento dos seus produtos e serviços.

O Grupo TOTVS disponibiliza em seus produtos e soluções oferecidos a seus clientes, recursos que visam auxiliá-los na manutenção e evolução de sua conformidade aos requisitos legais e de acordo com as melhores práticas de gestão e processos relativos à proteção de Dados Pessoais.

Ressaltamos que a utilização dos recursos para a proteção de dados pessoais, disponibilizados pelo Grupo TOTVS em seus produtos e soluções, será uma decisão por parte do cliente, a seu exclusivo critério e integral responsabilidade. O cliente pode decidir, dentro da legislação aplicável, pela melhor forma de tratar os Dados Pessoais de seus usuários, clientes e fornecedores.

A depender da atividade de tratamento realizada, as empresas do Grupo TOTVS poderão se enquadrar como Controladora ou Operadora de Dados Pessoais:

5.2 Coleta e Utilização dos Dados Pessoais

Enquanto Controlador, o Grupo TOTVS coleta os Dados Pessoais das seguintes maneiras:

• Informados pelo próprio Titular do Dado Pessoal;

• Coletados através de terceiros, parceiros ou franqueados; e

• Coletados de forma automática.

Os Dados Pessoais podem ser tratados pelo Grupo TOTVS para as seguintes finalidades:

• Comercializar e customizar seus produtos para os clientes;

• Prestação de serviços;

• Atendimento às solicitações dos clientes;

• Funcionamento e gerenciamento dos sites;

• Cumprimento de direitos e obrigações relacionados ao seu quadro de empregados;

• Comunicação e atividades do marketing;

• Defesa de direitos dos titulares;

• Análises de dados estatísticos com a finalidade de estudos para melhorar a performance de seus produtos e serviços, com a descaracterização das informações sensíveis e pessoais.

Enquanto Operador, o Grupo TOTVS utiliza os Dados Pessoais conforme a determinação do Controlador (cliente).

A área de TOTVS Cloud realiza o tratamento de Dados Pessoais necessários à operacionalização dos serviços previstos em Contrato, observando a sua atuação enquanto Operadora, especialmente nas seguintes situações:

• Registro de acesso: Dados Pessoais de funcionários e ex-funcionários de clientes;

• Controle de acesso: Dados Pessoais de funcionários e ex-funcionários de clientes.

Ressalte-se que a TOTVS Cloud, enquanto Operadora, é agnóstica quanto aos Dados hospedados em seu ambiente, ou seja, a TOTVS Cloud não tem conhecimento sobre o conteúdo das informações de propriedade do Cliente hospedadas em Cloud. Em razão disso, a TOTVS Cloud não considera o tipo e/ou categoria das informações constantes no Banco de Dados hospedado em seu ambiente, mas atua sob a premissa de que, dentre as informações, existem Dados Pessoais (sejam sensíveis ou não) na infraestrutura do Cliente, classificando-os como confidenciais.

5.3 Compartilhamento dos Dados Pessoais

O Grupo TOTVS trata com responsabilidade os Dados Pessoais dos seus clientes e dos TOTVERS.

Os Dados Pessoais dos TOTVERS podem ser compartilhados para:

• Atender as obrigações legais vigentes e defesa de direitos dos titulares;

• Atender obrigações contratuais com os próprios TOTVERS;

• Atender os benefícios fornecidos para os TOTVERS.

Em relação aos clientes, o Grupo TOTVS pode compartilhar os Dados Pessoais:

(i) para atender as solicitações feitas pelo próprio cliente; e 

(ii) para atender as obrigações legais decorrentes da relação comercial.

O Grupo TOTVS também pode, quando autorizado e sob condição da conformidade com a LGPD, compartilhar tais Dados Pessoais com os seguintes terceiros:

• Prestadores de serviços;

• Parceiros;

• Autoridades governamentais.

Quando o compartilhamento é necessário, o Grupo TOTVS adota as medidas adequadas para que as informações compartilhadas sejam tratadas apenas para as finalidades específicas.

5.4 Proteção dos Dados Pessoais

O Grupo TOTVS implementa medidas rígidas para garantir a integridade e segurança dos Dados Pessoais dos Titulares adotando uma política de controle de acesso restrito aos Dados Pessoais. Dessa forma, somente pessoas autorizadas conseguem acessá-los. A autorização de acesso é concedida para que as áreas responsáveis possam atender à necessidade de suas atividades e para possíveis tratativas de suporte. O Grupo TOTVS implementa procedimentos para garantir que as áreas internas e os Operadores do Grupo TOTVS realizem o tratamento dos Dados Pessoais de acordo com as diretrizes de privacidade determinadas pelo Grupo TOTVS.

Além disso, o Grupo TOTVS investe em um programa de conscientização para os TOTVERS, Terceiros, Parceiros e Franquias. O programa tem o objetivo de apresentar boas práticas que devem ser adotadas no tratamento dos Dados Pessoais.

5.5 Retenção dos Dados Pessoais

Os Dados Pessoais que são necessários para o atendimento do Marco Civil da Internet, são armazenados em ambiente seguro e controlado pelo prazo mínimo de 6 (seis) meses, podendo ser períodos diferentes de acordo com a modalidade de contratos com os clientes.

Os Dados Pessoais podem ser armazenados em servidores próprios ou de terceiros contratados para este fim, sejam eles localizados no Brasil ou no exterior, de acordo com a legislação aplicável, podendo ainda ser armazenados por meios de tecnologia de cloud computing e/ou outras tecnologias que surjam futuramente, visando sempre a melhoria e aperfeiçoamento de nossos serviços.

O Grupo TOTVS pode realizar o tratamento dos Dados Pessoais, pelo período em que considerar necessário, quando deve efetuar o cumprimento das finalidades pré-determinadas no momento da coleta, ou enquanto o cadastro do Titular permanecer ativo em nossos ambientes. 

Após o término do relacionamento do cliente com o Grupo TOTVS, em alguns casos, pode ser necessário manter o armazenamento de Dados Pessoais por um determinado período, para atender alguma obrigação legal ou ações judiciais.

Com relação ao tratamento de dados realizado com base em consentimento do Titular, o Grupo TOTVS finaliza o tratamento dos Dados Pessoais, caso o titular se oponha ou revogue o consentimento, quando aplicável.

Em caso de dúvidas sobre o período exato durante ao qual o Grupo TOTVS tratará os Dados Pessoais após o término contratual, é possível entrar em contato com o nosso canal de atendimento ao direito do Titular: https://www.totvs.com/politica-de-privacidade/ e obter a informação correta.

5.6 Direitos do Titular

O Titular dos Dados Pessoais possui direitos e garantias em relação aos seus Dados Pessoais. No Grupo TOTVS, disponibilizamos mecanismos detalhados abaixo, para que o Titular tenha clareza e transparência no exercício de seus direitos. Sempre que necessário, o Titular pode entrar em contato solicitando informações a respeito dos seus direitos.

Para atender esta demanda, o Grupo TOTVS disponibiliza um canal centralizado (https://www.totvs.com/politica-de-privacidade/), através do qual o Titular pode entrar em contato para exercer os seguintes direitos:

• Confirmação da existência de tratamento: o Grupo TOTVS trata os Dados Pessoais dos seus clientes, TOTVERS, visitantes, fornecedores, parceiros, entre outros, mantendo esses Dados armazenados em ambientes de forma segura e controlada. O Titular pode solicitar a confirmação de tratamento em seus Dados Pessoais.

• Acesso aos Dados: a qualquer momento, o Titular pode solicitar ao Grupo TOTVS que informe quais Dados Pessoais estão sendo tratados.

• Correção de Dados Pessoais incompletos, inexatos ou desatualizados: caso o Titular dos dados verifique que possui informações incompletas, inexatas ou desatualizadas, poderá entrar em contato, solicitando a correção ou o complemento dos Dados Pessoais faltantes ou inexatos.

• Anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD: o Titular do dado pode solicitar anonimização, bloqueio ou eliminação dos Dados Pessoais que o Grupo TOTVS esteja tratando quando desprovido de base legal justificadora do tratamento. No entanto, caso o Grupo TOTVS possua justificativa legal ou regulatória para manutenção dos dados, eles serão retidos pelo prazo necessário para o exercício da obrigação legal ou para o direito de defesa em processo judicial, administrativo ou arbitral, ou ainda, em determinadas situações, no legítimo interesse do Grupo TOTVS (como, por exemplo, para evitar infrações e fraudes).

• Portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa pelo Titular: o Titular do dado poderá solicitar ao Grupo TOTVS a portabilidade dos seus Dados Pessoais a outro prestador de serviços ou produto. A solicitação do Titular será atendida no menor prazo possível.

• Obtenção de informações sobre as entidades públicas ou privadas com as quais o Grupo TOTVS compartilha os Dados Pessoais do Titular: o Titular pode entrar em contato com o Grupo TOTVS por meio do canal de atendimento aos direitos do Titular (https://www.totvs.com/politica-de-privacidade/ - Assistente LGPD) para informar-se sobre com quem houve o compartilhamento de seus Dados Pessoais.

• Informação sobre a possibilidade do Titular não fornecer o consentimento para o tratamento de Dados Pessoais, bem como de ser informado sobre as consequências em caso de negativa: caso o Titular não queira fornecer seu consentimento para o tratamento específico que o Grupo TOTVS necessite realizar, será esclarecido ao mesmo se é possível prestar os serviços ou fornecer o software de seu interesse sem o tratamento de seus Dados Pessoais, informando ainda as consequências de seu não consentimento.

• Revogação do consentimento: quando o tratamento dos Dados Pessoais se basear no consentimento do Titular, o Titular pode revogar o seu consentimento e a eliminação dos seus Dados Pessoais a qualquer momento. A revogação do consentimento poderá implicar na impossibilidade de o Titular utilizar os serviços prestados pelo Grupo TOTVS. A interrupção do tratamento dos Dados Pessoais não será efetivada quando, os Dados forem:
  (i) anonimizados; ou
  (ii) necessários ao Grupo TOTVS e/ou a terceiros envolvidos na prestação dos serviços para fins de defesa judicial, arbitral ou administrativa, bem como para cumprimento de  obrigações legais e regulatórias.

O Grupo TOTVS, atuando como Operador, não é responsável pelas definições do tratamento do dado. Esta atividade é de responsabilidade do cliente (Controlador), por estabelecimento em contrato, assegurando que todas as instruções direcionadas ao Grupo TOTVS respeitem a Legislação de Proteção de Dados e privacidade dos titulares de dados pessoais.

O Grupo TOTVS compromete-se a atender todas as requisições dos Titulares no menor tempo possível, estando de acordo também com os prazos estipulados pela ANPD.

5.7 Transferência Internacional

Quanto aos Dados Pessoais que são compartilhados internacionalmente, o Grupo TOTVS atende a todos os requisitos legais vigentes nos países envolvidos e adota medidas de segurança cibernéticas e de proteção de dados assegurando a integridade, transparência e confidencialidade dos Dados Pessoais.

Para a prestação de serviço, que implique compartilhamento internacional dos Dados Pessoais, o Grupo TOTVS estabelece cláusulas contratuais específicas detalhando qual a finalidade de realizar esta transferência.

Da mesma forma, a eventual transferência internacional dos Dados Pessoais dos TOTVERS está prevista no contrato de trabalho de cada colaborador.

5.8 Franquias

As Franquias do Grupo TOTVS devem obrigatoriamente seguir as diretrizes definidas pelo Grupo TOTVS, tanto relacionadas à adequação dos seus processos internos quanto às adequações realizadas nos produtos e serviços fornecidos para os clientes, cabendo a cada franqueado a responsabilidade e obrigação de cumprir integralmente a LGPD.

A Franquia deve realizar uma avaliação periódica de seus processos, com intuito de identificar as medidas que devam ser implementadas para estar em conformidade com a LGPD.

5.9 Parceiros

O Grupo TOTVS desenvolve parcerias com empresas a fim de utilizar tecnologias e processos para ampliar sua gama de serviços. Estes parceiros também devem se submeter rigorosamente a todas as diretrizes de segurança contratuais e estabelecidas nesta Política, assegurando que todos os Dados Pessoais de clientes ou de colaboradores sejam tratados como confidenciais.

5.10 Dúvidas

Questionamentos relacionados à Política de Privacidade do Grupo TOTVS ou quaisquer outras dúvidas relacionadas ao tema de segurança e proteção dos Dados Pessoais, devem ser enviadas por meio dos canais de atendimento (https://www.totvs.com/politica-de-privacidade/) ou através do e-mail de contato com o DPO ([email protected]).

6. Responsabilidades

Conselho de Administração

• Aprovar a Política de Privacidade do Grupo TOTVS.

Comitê de Governança e Indicação

• Avaliar a presente Política e suas revisões, e apresentar as recomendações ao Conselho de Administração do Grupo TOTVS quanto à sua aprovação.

Comitê de auditoria

• Avaliar e propor as alterações pertinentes à Política de Privacidade, apresentando ao Conselho de Administração suas recomendações.

• Acompanhar os indicadores de incidentes, riscos e ocorrências de violações de regras desta Política, reportando ao Conselho de Administração.

Área de Privacidade de Dados

• Elaborar e propor alterações na Política de Proteção de Dados Pessoais e eventuais Normas e Procedimentos dela decorrentes.

• Definir as táticas e estratégias necessárias a fim de manter as operações do Grupo TOTVS em conformidade com as legislações de proteção de Dados aplicáveis.

Encarregado (DPO)

• Encarrega-se pela gestão das atividades de Proteção de Dados no Grupo TOTVS.

• Receber reclamações e comunicações dos Titulares, solicitações de esclarecimento e adotar medidas corretivas/preventivas.

• Receber e tomar as devidas providências com relação às comunicações para a ANPD.

• Orientar os empregados e contratados do Grupo TOTVS a respeito das práticas a serem adotadas em relação à proteção de Dados Pessoais.

• Responder às consultas das áreas internas do Grupo TOTVS, quanto às dúvidas referentes ao Tratamento e Proteção de Dados Pessoais.

• Executar as atribuições determinadas pelo Grupo TOTVS ou estabelecidas em normas complementares de Proteção de Dados.

Jurídico

• Orientar as áreas internas do Grupo TOTVS, toda vez que for acionado, quanto às dúvidas jurídicas referentes ao Tratamento e Proteção de Dados Pessoais, nos termos da legislação aplicável.

• Auxiliar, quando demandado, no entendimento dos processos internos para o atendimento da legislação aplicável quanto ao Tratamento e proteção de Dados Pessoais.

• Análise e elaboração de documentos encaminhados ao Jurídico, a fim de garantir que os requisitos e normas da legislação de proteção de Dados Pessoais aplicável esteja endereçada de forma apropriada.

Segurança da Informação

• Manter atualizado o plano de respostas a incidentes de Segurança da informação, devendo, no caso de envolver Dados Pessoais, submeter à aprovação da área de Privacidade de Dados.

• Definir controles de Segurança da informação visando garantir a privacidade dos Dados Pessoais.

• Propor medidas para proteção de Dados Pessoais.

• Realizar a avaliação de impactos em processos, ações, produtos e serviços com Dados Pessoais.

• Garantir o Registro de Atividades de Tratamento que estejam sob responsabilidade do Grupo TOTVS.

• Apoiar o controlador na elaboração do Relatório de Impacto à Proteção de Dados Pessoais, quando necessário.

• Comunicar eventual incidente de segurança ao Encarregado de Proteção de Dados (DPO) do Grupo TOTVS, quando necessário.

TOTVERS

• Cumprir as diretrizes e regras desta Política.

• Acionar as áreas competentes no caso de quaisquer dúvidas relacionadas a esta Política.

• Realizar os treinamentos obrigatórios sobre Proteção de Dados Pessoais disponibilizados pelo Grupo TOTVS.

Ouvidoria

• Acionar a área de Privacidade em casos de solicitações relacionadas as tratativas de dados pessoais.

7. Gestão de Consequências

Em caso de descumprimento desta Política serão adotadas medidas de gestão de consequências trabalhistas, cíveis, criminais e administrativas eventualmente aplicáveis aos responsáveis pelas ilicitudes, incluindo a possibilidade de demissão por justa causa e rescisão contratual por justo motivo nos casos de Terceiros.

8. Aprovações

Elaboração:

• Ronie Teixeira Leite - Encarregado de Dados (DPO).

Revisão:

• Daniel Aviz - Gerente de Segurança da Informação;

• Diogenes Augusto Junior - Gerente de Segurança da Informação Cloud;

• Mara Maehara - Diretora de Tecnologia da Informação;

• Claudia Karpat - Diretora Jurídica;

• Ricardo Guerino - Diretor de Planejamento, Controladoria, Controles Internos, Riscos e Compliance;

• Gustavo Bastos - Vice-Presidente de Plataformas e Tecnologia da Informação.

Recomendação

• Comitê de Auditoria;

• Comitê de Governança e Indicação.

Aprovação

• Conselho de Administração.