/ Published in Sem categoria

Descomplicando a LGPD – Tudo o que você precisa saber sobre a LGPD no Protheus [2020]

Ainda tem dúvidas sobre a LGPD? Então confira esse artigo, que conta tudo sobre a nova lei e os impactos dela no Protheus.

Falaremos sobre isso neste artigo a partir dos seguintes pontos:

  • O que é a LGPD Brasileira?
  • Quando a LGPD entrará em vigor?
  • Qual é o objetivo da LGPD?
  • Como será regulamentada a nova lei?
  • O que muda com a lei LGPD?
  • Como era antes da lei?
  • Quais são as Penalidades?
  • Quais são os princípios da LGPD Brasileira?
  • Quais são as responsabilidades do Cliente no Protheus?
  • Esclarecimentos sobre a LGPD – janeiro 2020
  • LGPD e dados sensíveis
  • Informações do Protheus
  • Configuração de campos sensíveis

 

O que é a LGPD Brasileira?

LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, sancionada em agosto de 2018.

A Lei Geral de Proteção de Dados (LGPD) é modelada com similaridades ao Regulamento Geral de Proteção de Dados Europeu (GDPR) e contém sessenta e cinco artigos.

 

Qual é o objetivo da LGPD?

Regulamentar o tratamento e proteger os dados pessoais das pessoas físicas, garantindo direitos fundamentais relacionados à proteção da liberdade, privacidade e intimidade das pessoas. Permitindo mais transparência e controle sobre a coleta e utilização dos dados pessoais dos indivíduos.

 

Quais são os princípios da LGPD Brasileira?

Para facilitar o reconhecimento de boas condutas e das práticas que são inadequadas no dia a dia dos negócios, foram desenvolvidos 10 princípios que norteiam a LGPD e devem ser respeitados:

  1. Finalidade
  • Não será mais possível tratar dados pessoais com finalidades genéricas ou indeterminadas. O tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados. As empresas devem explicar para que usará cada um dos dados pessoais. Não sendo autorizado utilizar esses mesmos dados para outra finalidade.
  1. Adequação
  • Os dados pessoais tratados devem ser compatíveis com a finalidade informada pela empresa. Ou seja, sua justificativa deve fazer sentido com o caráter da informação que você pede.
  1. Necessidade
  • As empresas devem utilizar apenas os dados estritamente necessários para alcançar as suas finalidades. Quanto mais dados você tratar, maior será sua responsabilidade, inclusive em casos de vazamento e incidentes de segurança.
  1. Livre acesso
  • A pessoa física titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito.
  1. Qualidade dos dados
  • Deve ser garantido aos titulares que as informações que a empresa tenha sobre eles sejam verdadeiras e atualizadas. É necessário ter atenção, clareza e relevância dos dados, de acordo com a necessidade e com a finalidade de seu tratamento.
  1. Transparência
  • As informações passadas pela empresa, em todos os seus meios de comunicação, devem ser claras, precisas e verdadeiras. Se forem repassados dados pessoais a terceiros, inclusive para operadores que sejam essenciais para a execução do serviço, o titular precisa saber.
  1. Segurança
  • É responsabilidade das empresas buscarem procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados, como nos casos de invasões por hackers.
  1. Prevenção
  • Que as empresas adotem medidas prévias para evitar a ocorrência de danos, em virtude do tratamento de dados pessoais.
  1. Não discriminação
  • Os dados pessoais não poderão ser usados para discriminar ou promover abusos contra os seus titulares. A LGPDP criou regras específicas para o tratamento de dados que frequentemente são utilizados para discriminação, os chamados pessoais sensíveis.
  1. Responsabilização e prestação de contas
  • As empresas devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e a sua diligência.

 

O que muda com a lei LGPD?

A Lei 13.709/18 estabelece que dado pessoal é toda informação relacionada à pessoa natural “identificada” ou “identificável” e determina que o tratamento desses dados deve considerar os 10 princípios de privacidade descritos na lei.

 

Ao segui-los as organizações demonstrarão que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade, atendem uma finalidade de negócio válida dentre outras características.

 

As empresas deverão garantir a segurança dos dados pessoais tratados e comunicar incidentes de segurança da informação ao órgão regulador, sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado.

Outra mudança significativa é quanto ao tratamento de dados pessoais de crianças e adolescentes que exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.

 

Uma categoria especial foi criada para tratar de dados pessoais “sensíveis” que abrangem registros sobre raça, opiniões políticas, crenças, dados de saúde, características genéticas e biométricas. A lei estabelece condições específicas para tratamento dessa categoria de dados, como por exemplo, a obtenção de consentimento do titular antes do tratamento.

Um ponto em comum com a GDPR (Regulamento Geral sobre a Proteção de dados), é que a lei será aplicada às empresas com sedes estrangeiras, desde que, os dados sejam tratados em território nacional. Adicionalmente, dados tratados em outros países também estão sujeitos à lei caso tenham sido coletados no Brasil.

 

Como era antes da lei?

Antes da lei LGPD, as empresas faziam livre uso das informações obtidas a partir de dados de bases de terceiros sem os consentimentos das pessoas. Esses dados eram armazenados em um banco de dados das empresas e utilizados como estratégia para melhorar o posicionamento no mercado.

Uma vez, que por meio das informações extraídas dos dados, as empresas conseguiam criar campanhas, promoções e conteúdo de acordo com as necessidades do seu público alvo.

Dessa forma as pessoas recebiam interações, mas sem ter noção de como seus dados estavam sendo tratados ou com quem estavam sendo compartilhados e, muitas vezes, sem que tivessem consentido o uso das informações.

 

Quando a LGPD entrará em vigor?

A Lei Geral de Proteção de Dados (LGPD) ou Lei nº 13.709 foi sancionada no Brasil em 14 de agosto de 2018, pelo então presidente Michel Temer. A vigência da LGPD estava prevista para agosto de 2020, mas algumas tramitações legais acabaram alterando os prazos iniciais. No último mês de agosto, a lei foi aprovada pelo Senado Federal

 

O presidente Jair Bolsonaro sancionou na quinta-feira, 17/09, o Projeto de Lei de Conversão (PLV) 34/2020, que teve origem na Medida Provisória (MP) nº 959/2020. Com isso, a LGPD (Lei Geral de Proteção de Dados) começa a vigorar a partir desta sexta-feira (18/09), com exceção das sanções administrativas, que irão vigorar a partir de agosto de 2021.

Após a publicação no Diário Oficial da União, torna-se obrigatória a adoção das medidas previstas na LGPD, com objetivo de proteger os dados pessoais, em meios físicos ou digitais. Esta lei se aplica às pessoas físicas ou jurídicas, de direito público ou privado, que tratam dados pessoais de brasileiros e/ou de indivíduos localizados no Brasil.

A aplicação da lei é extraterritorial, ou seja, se aplica às empresas brasileiras e estrangeiras que ofereçam produtos e serviços no Brasil e realizem alguma atividade de tratamento de dados pessoais de brasileiros, bem como de indivíduos localizados no país.

 

Como será regulamentada a nova lei?

A ANPD (Autoridade Nacional de Proteção de Dados) é um órgão federal criado em 2019 com o objetivo de regulamentar e fiscalizar a nova lei, aplicando multas, quando for o caso. A entidade também será responsável por orientar as empresas sobre a aplicação da LGPD.

A ideia é que a autoridade funcione como um elo entre o governo e a sociedade, permitindo também que as pessoas enviem dúvidas, sugestões, denúncias ligadas à Lei Geral de Proteção de Dados para apuração. Nada impede, porém, que órgãos como Ministério Público, Procon e Secom também atuem em questões jurídicas ou aplicação de multas.

 

Quais são as Penalidades?

Com a lei em vigor, será necessário esclarecer o motivo da coleta e a finalidade do uso de dados pessoais, além de obter autorização para a captação das informações.

 

Na hipótese de uma violação aos direitos e obrigações previstos pela Lei podem gerar as penalidades:

  • Multa simples ou diária no valor de 2% do faturamento da pessoa jurídica, Tendo como base seu último exercício fiscal, excluídos os tributos, limitada em R$ 50 milhões por infração;
  • Bloqueio e/ou eliminação dos dados pessoais envolvidos;
  • Suspensão parcial do funcionamento do banco de dados envolvido;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais envolvidos.

 

Quais são as responsabilidades do Cliente no Protheus?

Ao adquirir o Produto TOTVS, o cliente será o agente controlador dos dados pessoais e/ou sensíveis, conforme expressamente previsto na Lei Geral de Proteção de Dados, de seus usuários, funcionários, colaboradores, fornecedores, prestadores de serviços, dentre outros e, como tal, deverá, por sua conta e risco, realizar o enquadramento, processamento, inserção e todo e qualquer tratamento dos dados, informações e fluxos de dados pessoais, sendo, pois, exclusivamente responsável por tomar as decisões referentes ao tratamento de dados pessoais e cumprir todas as disposições, legislações e normas brasileiras, e, no que lhe couber, as legislações e normas estrangeiras, que regulam os direitos à privacidade e proteção de dados pessoais, incluindo, mas não se limitando, a Lei brasileira nº 13.709/2018 (“Lei Brasileira de Proteção de Dados”) e a Lei brasileira nº 12.965/2014 (“Marco Civil da Internet”), e, quando aplicável, o Regulamento Geral de Proteção de Dados da União Européia (GDPR – General Data Protection Regulation nº 679/2016) (doravante denominados simplesmente “Legislação”).

 

É de responsabilidade do cliente garantir que a comunicação, entre os componentes de instalação, é feita de maneira segura. Garantindo que as informações, trafegadas entre as pontas, não sejam interceptadas ou sofram ataques.

 

Importante

O cliente deverá buscar, por sua conta, risco e ônus, orientação jurídica específica para garantir a observância da Legislação aplicável, sendo único e integralmente responsável por qualquer falha ou descumprimento da Legislação. Caberá exclusivamente ao cliente em adequar os processos internos e/ou externos dentro do que a LGPD exige, sendo pois, o responsável, como controlador, pelo tratamento de dados pessoais (ou sensíveis).

 

Esclarecimentos sobre a LGPD – janeiro 2020

É prioridade da TOTVS proteger, preservar e respeitar os dados, a privacidade e direitos dos titulares de dados pessoais e sensíveis. A partir de agosto de 2020, entrará em vigor no Brasil, a Lei 13.709 de 2018, a chamada Lei Geral de Proteção de Dados (“LGPD”), que estabelece regras, direitos e obrigações relativas aos dados pessoais. A nova legislação mudará a forma como privacidade e dados pessoais serão tratados no Brasil.

 

Considerando este cenário e as necessidades dos nossos clientes em se adequarem à nova realidade, a TOTVS tem desenvolvido uma série de iniciativas relativas ao tema LGPD dos produtos sejam ferramentas de apoio e que a adequação à Lei requeira, especialmente, o compromisso de cada empresa cliente com a nova legislação.

 

A utilização dos recursos que serão disponibilizados será uma decisão do cliente, a seu exclusivo critério e integral responsabilidade. O cliente precisará optar, dentro da legislação aplicável ao tema, a melhor forma de utilizar, tratar e processar os dados de seus usuários.

 

Os recursos disponibilizados pela TOTVS e a forma de sua utilização tem caráter meramente sugestivo; servem como uma orientação, sem qualquer intenção de servir como orientação legal.  Além disso, esses recursos poderão não ser suficientes para garantir a adequação dos clientes. Cada cliente precisará realizar os seus inventários de processos, análise jurídica própria, identificação de gaps de seus processos e seus planos de adequação para alcançar sua adequação à lei. Esses recursos/funcionalidades, e suas respectivas documentações, serão liberados de acordo com o calendário de releases de cada produto, e começarão a ser disponibilizadas a partir do primeiro trimestre de 2020.

 

A TOTVS reitera a sua preocupação em proteger, preservar e respeitar os dados, a privacidade e os direitos de nossos clientes, priorizando sempre nas melhores práticas e adequação de produtos de forma a atender às necessidades do cliente, da melhor forma possível.

 

LGPD e dados sensíveis

As regras para o tratamento desses dados são ainda mais rigorosas. Por isso, as empresas devem estar atentas. Os dados sensíveis são:

  • Raça e/ou etnia;
  • Religião;
  • Posicionamento político;
  • Filiação a sindicato ou a organização de caráter religioso;
  • Ponto de vista filosófico ou político;
  • Dados referente à saúde ou à vida sexual;
  • Dados genéticos ou biométricos.

Para essas categorias de dados, além da expressa permissão para o tratamento, ainda é necessário que o usuário saiba exatamente qual será a finalidade do uso. Conforme o artigo 8º, só podem ser tratados com o consentimento explícito do usuário.

 

Os dados pessoais não sensíveis são aqueles que, juntos ou separados, podem identificar um indivíduo, por exemplo:

  • Nome;
  • Idade;
  • CPF;
  • RG;
  • CEP;
  • Endereço IP;
  • Cookies;
  • Data de nascimento;

 

Diferente dos dados sensíveis, onde é possível identificar características que abrem margem para discriminação.  Entretanto, é de extrema importância que o titular esteja de acordo com esse tratamento.

 

Consentimento para o tratamento de dados. 

Entre outras coisas, estabelece novas bases sobre:

  • Concessão;
  • Permissão para armazenamento;
  • Permissão para tratamento de dados pessoais de cidadãos brasileiros sejam eles seus clientes ou colaboradores. Em resumo, as pessoas terão maior autonomia sobre as decisões de ceder seus dados e permitir tratamento ou não.

 

É provável que as empresas sintam a necessidade de implementar um setor (ou mesmo um cargo) para fazer a gestão do consentimento para o tratamento de dados. Além disso, uma série de atualizações nas políticas de privacidade deve ser feita.

 

A lei afirma que o consentimento para tratamento de dados deve ser feito pelo titular em uma manifestação espontânea, informada e inequívoca – na qual o titular concorda com o tratamento dos seus dados pessoais para uma finalidade específica. Nessa declaração, ele informa também quais são os dados que ele autoriza o tratamento. O uso que as empresas farão desses dados deverá ser explicado de forma clara

 

A lei prevê que, caso o usuário mude de ideia, pode solicitar que apaguem seus dados a qualquer momento, sendo provavelmente, a principal mudança.

 

Tratamento de dados anônimos é livre de consentimento

A lei prevê a possibilidade do uso indiscriminado de dados anonimizados – tornados anônimos, que não podem levar à identidade do titular – desde que esse processo não possa ser revertido.

 

Segurança de dados na internet

Acontece que muitas empresas não priorizam a segurança de dados na internet justamente por não entenderem sua importância.

Qualquer invasão ou quebra de sigilo pode comprometer o andamento e até mesmo o futuro de uma empresa. Os dados, antes confidenciais, podem se tornar públicos, colocando em risco toda e qualquer estratégia futura.

 

Informações do Protheus

  • A apresentação dos dados das rotinas foi modificada, para realizar o tratamento dos dados sensíveis ou pessoais, com a utilização dos processos de Controle de Acesso e Log de Auditoria. Agora a classificação de dados sensíveis e pessoais é determinada em campos específicos do sistema. Caso o usuário não tenha permissão para acessar os dados, o acesso à rotina será bloqueado.
  • No Protheus foram desenvolvidas rotinas e recursos para fazer o controle de dados protegidos do sistema, que é um dos itens previstos em legislações de controle de dados pessoais, como por exemplo, no Brasil, a LGPD (dados pessoais e sensíveis).
  • Implementado o tratamento de gravação de LOG de Auditoria nas rotinas que possuem dados pessoais/sensíveis referente à LGPD no TOTVS Protheus. Caso o usuário do sistema tenha acesso à rotina que possui dados pessoais/sensíveis, ao acessar a rotina será gravado o LOG de Auditoria.
  • Os módulos de Controle de Lojas (SIGALOJA), Frente de Lojas (SIGAFRT – Totvs PDV) e Fidelização e Análise de Crédito (SIGACRD) também foram adequados para atender a Lei n° 13.709 – Lei Geral de Proteção de Dados do Brasil.
  • Os dados (campos e tabelas) que constam inicialmente como protegidos são somente uma sugestão e devem obrigatoriamente ser revistos pelos responsáveis pela LGPDde sua empresa.
  • Em virtude da evolução de tecnologia, a partir do release 1.14 da Linha Protheus será obrigatória a atualização dos arquivos binários do sistema
  • Para a Linha Protheus, a partir do Release 12.1.27 (fevereiro / 2020) inicia-se a liberação de pacotes para contemplar adequação de soluções à LGPD, atendendo os seguintes requisitos:

 

Atualização do Ambiente

 

  • Clientes no release 12.1.25 e 12.123
  • Em razão de alguns recursos tecnológicos utilizados no controle de dados protegidos e segurança de comunicação entre os componentes do sistema, é obrigatório as atualizações descritas abaixo:
  • AppServerdeve ser igual ou superior a build 3.0.1
  • SmartClientDesktop deve ser igual ou superior a build 3.0.0
  • SmartClientWebApp (acesso por browse), também é preciso sua atualização, deve ser igual ou superior a build 5.1
  • DBAccessdeve ser igual ou superior a versão 19.2.1.0
  • A LIBdeve ser igual ou superior a 20200214
  • Aplicação de patchde tratamento dos campos:
    • É necessário o patchcom as atualizações de produto referentes ao Controle de Dados Protegidos.
  • É necessária a atualização de dicionários com os pacotes específicos para Controle de Dados Protegidos.

 

  • Clientes no release 12.1.17 com Garantia Estendida
    • Apenas clientes que contrataram a Garantia Estendida do Release 12.1.17 podem fazer a atualização para uso do controle de dados protegidos.
    • A atualização do ambiente sem devida contratação da Garantia Estendida fará com que o sistema fique inoperante, sendo necessária a reversão das atualizações.
    • Os artefatos para tratamento de dados protegidos ainda não foram liberados.  A previsão é para maio/2020.

 

 

Configuração de campos sensíveis.

 

É muito importante estar preparado para a nova mudança da Lei LGPD e para isso conte com a Proativa! Para saber mais entre em contato e peça seu orçamento!

 

Microsiga®, Protheus® e TOTVS® são produtos e marcas registradas e de propriedade da TOTVS S/A.

A Proativa é uma consultoria independente da TOTVS e não possui qualquer relação comercial ou de parceria com a TOTVS.

Tagged under: , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

What you can read next

Migrar o ERP para Nuvem? Conheça as Vantagens!
Prepare a sua empresa para a entrega do eSocial.
O Que um Sistema ERP Pode Prever?

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *