LGPD

PLATAFORMA
RH RM
/Interno Setembro /2020

TODOS OS DIREITOS RESERVADOS

2
 LEI GERAL DE PROTEÇÃO DE DADOS 3

Disclaimer sobre Tratamento de Dados Pessoais/Sensíveis no âmbito dos Produtos TOTVS S.A.

Ao adquirir o Produto TOTVS, o cliente será o agente controlador dos dados pessoais e/ou sensíveis, conforme expressamente previsto na Lei
Geral de Proteção de Dados, de seus usuários, funcionários, colaboradores, fornecedores, prestadores de serviços, dentre outros e, como tal,
deverá, por sua conta e risco, realizar o enquadramento, processamento, inserção e todo e qualquer tratamento dos dados, informações e fluxos
de dados pessoais, sendo, pois, exclusivamente responsável por tomar as decisões referentes ao tratamento de dados pessoais e cumprir todas
as disposições, legislações e normas brasileiras, e, no que lhe couber, as legislações e normas estrangeiras, que regulam os direitos à
privacidade e proteção de dados pessoais, incluindo, mas não se limitando, a Lei brasileira nº 13.709/2018 (“Lei Brasileira de Proteção de
Dados”) e a Lei brasileira nº 12.965/2014 (“Marco Civil da Internet”), e, quando aplicável, o Regulamento Geral de Proteção de Dados da União
Europeia (GDPR - General Data Protection Regulation nº 679/2016) (doravante denominados simplesmente “Legislação”).
O cliente deverá buscar, por sua conta, risco e ônus, orientação jurídica específica para garantir a observância da Legislação aplicável, sendo
único e integralmente responsável por qualquer falha ou descumprimento da Legislação.
 LEI GERAL DE PROTEÇÃO DE DADOS
Mapeamento e configuração
dos campos com dados
pessoais/sensíveis ou que
podem ser anonimizados
Art. 5º Inc. I, II e III
4
Utilização de meios Registro das ações de Trata-se de um conjunto Permitir acesso facilitado,
técnicos razoáveis e inclusão, alteração e de regras que visa seguro sobre o
disponíveis no momento exclusão de dados codificar a informação de tratamento do dado do
do tratamento, por meio sensíveis forma que só o emissor e titular e atendimento ao
dos quais um dado perde o receptor consiga princípio do livre acesso
a possibilidade de Art. 42 § 2º, Art. 49 decifrá-la.
associação, direta ou Art. 9º / Art. 18 / Art. 19
indireta, a um indivíduo Art. 6º Inc. VII
Art. 18 Inc. IV / VI
 LEI GERAL DE PROTEÇÃO DE DADOS 5

Possibilidade de São os artefatos que São integrações que Comunicação realizada

tratamento dos dados do ficarão na trafegam dados utilizando dados
titular através de Termo responsabilidade pessoais/sensíveis com pessoais/sensíveis através
de Consentimento exclusiva do cliente outros produtos. Via API, de protocolos inseguros.
banco e arquivos.
Art. 7° Inc. I
 6

Art. 5º
I - dado pessoal: informação relacionada a pessoa natural identificada ou
identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica,

convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual,
dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião
de seu tratamento;
 7

FRENTE: ENGENHARIA/FRAME/PRODUTO

OBJETIVO:

Permitir cadastrar todos os campos que foram mapeados como pessoal e sensível na Ferramenta da Engenharia, para que a relação
de campos seja disponibilizada para o cliente através de um processo de importação para a ferramenta do Frame.

FLUXO PROCESSO DE CONFIGURAÇÃO DE CAMPOS

Mapeamento Campo - Cadastro Ferramenta Exportação/Commit -

Produto Engenharia - Produto Engenharia

Gerenciamento dos Importação - Cliente Expedição - Engenharia

Campos - Cliente
 8

Acesso
A configuração de campos para LGPD pode ser acessada em Serviços de Globais / Segurança / Proteção de Dados / Configurar
Proteção de Dados.
 9

Ao acessar este cadastro é mostrado a visão com todos os campos do dicionário de dados do RH RM, de acordo com o filtro
informado.
 10

A visão mostra os principais campos para proteção de dados para LGPD que são Tabela, Coluna, Classificação, Classificação
Detalhada, Pessoal, Sensível, Anonimizável e Aplicação a que pertence o campo.
 11

No cadastro podem ser editado os campos para proteção de dados para LGPD que são Classificação, Classificação Detalhada,
Pessoal, Sensível, Anomizável.
 12

❏ Campo Pessoal
O Campo “Pessoal” quando marcado habilita os demais campos do agrupador Definições de Proteção aos Dados.

❏ Campo Sensível
O Campo “Sensível” tem impacto direto na segurança de usuário quanto ao perfil de acesso. Em que o perfil que não tem acesso a
campos protegidos, todos os campos marcados como sensível não ficará visível ao usuário associado a este perfil.

❏ Código Classificação
O Campo “Código de Classificação Detalhado” informa o enquadramento do campo se um Nome, Endereço, Cookies etc.

Neste diálogo não há possibilidade de inclusão, por se tratar de um cadastro do dicionário de dados do ERP RM, sendo a criação
de responsabilidade das equipes de desenvolvimento de cada produto.
 13

Neste cadastro tem-se o anexo Configurar a Proteção de Dados Pessoais que permite relacionar ao campo seus enquadramentos e
suas justificativas quanto a coleta do dado.
 14

Art. 49 Os sistemas utilizados para o tratamento de dados pessoais

devem ser estruturados de forma a atender aos requisitos de segurança,
aos padrões de boas práticas e de governança e aos princípios gerais
previstos nesta Lei e às demais normas regulamentares.
Art. 42 § 2º O juiz, no processo civil, poderá inverter o ônus da prova a
favor do titular dos dados quando, a seu juízo, for verossímil a alegação,
houver hipossuficiência para fins de produção de prova ou quando a
produção de prova pelo titular resultar-lhe excessivamente onerosa.
 15

OBJETIVO

Registrar o acesso de usuários a campos pessoais e sensíveis

Configuração para coleta do Log

O Log de Auditoria para ser coletado os acesso do usuário deve estar habilitado em Serviços de Globais / Administração /
Configuração / Log de Auditoria / Configurações

Devendo ativar o Log de auditoria

 16

OBJETIVO

Registrar o acesso de usuários a campos pessoais e sensíveis

Acesso
O Log de Auditoria pode ser acessado em Serviços de Globais / Administração / Configuração / Log de Auditoria / Log de
Acesso a Rotinas (Dados Protegidos).
 17

O RM registra no Log de Acesso a Rotinas (Dados Protegidos) as seguintes informações: rotina, o usuário, a máquina, o IP e data
de acesso. Sempre que o usuário acessar uma rotina de cadastro, processo, API´s que expõem dados pessoais, as informações
citadas irão para o log de auditoria.
Ao acessar o log de Auditoria é apresentado um filtro para poder restringir a busca
 18

Após o filtro é apresentado a visão

 19

Trata-se de um conjunto de regras que visa codificar a informação de forma

que só o emissor e o receptor consiga decifrá-la.

Art. 6º Inc. VII

A segurança de dados sensíveis pode ser feita através da

utilização de perfis de segurança e caberá ao “controlador” definir
quais profissionais da empresa podem ter acesso a informação.
 20

OBJETIVO

Permitir a configuração da restrição ao acesso a campos, que no cadastros de campos protegidos, foram marcados como Sensível.

Acesso
A segurança de Perfil pode ser acessada em Serviços de Globais / Segurança / Acesso / Perfis.
 21

Para facilitar a restrição quanto a visualização de dados sensíveis. Foi criado o campo Permitir acesso à campos protegidos, que
quando desmarcado não apresenta campos marcados como sensível no cadastro de proteção de dados para o usuário associado a
este perfil.
 22

Exemplo:
Na parametrização de perfil \ acesso o campo “Permitir acesso à campos protegidos” está desmarcado.
 23

Exemplo:
No cadastro de proteção de dados o campo PFUNC.CODSINDICATOFILIACAO está marcado como sensível.
 24

Exemplo:
Ao acessar o cadastro de funcionário nos dados do sindicato, com um usuário associado ao perfil sem acesso a campos protegidos, o
Lookup de Sindicato na Filiação Sindical não é mostrado.
 25

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o

tratamento de seus dados, que deverão ser disponibilizadas de forma
clara, adequada e ostensiva acerca de, entre outras características
previstas em regulamentação para o atendimento do princípio do livre
acesso:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador,
em relação aos dados do titular por ele tratados, a qualquer momento e
mediante requisição:
II - acesso aos dados;

Art. 19. A confirmação de existência ou o acesso a dados pessoais

serão providenciados, mediante requisição do titular:
 26

FRENTE: Frame

OBJETIVO: Permitir acesso facilitado, seguro sobre o tratamento do dado do titular e atendimento ao princípio do livre acesso

Não previsto para a Fase 1:

● Não havia sido definida Agência Reguladora

● Definições como deve ser provido a informação, como garantir a titularidade e obrigações mínimas
● O cliente poderá desenvolver seu próprio relatório
27
 28

FRENTE: Produto

OBJETIVO: Informar o cliente quanto aos itens que são de responsabilidade do mesmo.

● Mapeamento Mínimo:
○ campos Pessoais que identificam diretamente uma pessoa (CPF, RG (conjunto de campos, número, data exp, UF), Telefone)
○ campos Pessoais Sensíveis: que se enquadram nos itens da lei referente a campos sensíveis (ex: Código CID - Dado de Saúde)

Se o cliente entender que precisa mapear estas informações ele poderá fazer através da ferramenta do Frame.

● Consentimento (Portais):
○ Orientação quanto a responsabilidade do cliente em solicitar o consentimento do titular dos dados.

● Criptografia:
○ Criptografia na aplicação - sem previsão
○ Orientação para que o cliente use TDE (Transparent Data Encryption), criptografia diretamente no banco de dados (feature do
próprio banco)

● Integrações, Protocolos Inseguros (envio de e-mail):

○ Orientação que deverá implementar HTTPS/SSL/TSL

Link da Página Espaço Fiscal

29
 30

Acesse o Parametrizador do TOTVS Gestão de Pessoas (RM). No item 07.00 - Configurações → 07.00.00.00 - Preferências →
07.00.00.00.01 - LGPD será encontrado a opção para habilitar a utilização do consentimento no sistema.

Observação: Após marcar o parâmetro é necessário dar permissão nos novos menus para o usuário.
 31

Cadastro do consentimento

Na aba de Planejamento e Captação se encontra o novo menu Consentimento LGPD onde é feito o cadastro do consentimento.

Ao clicar para incluir um novo consentimento uma tela é apresentada perguntado se o usuário quer ou não criar um consentimento com
base em outro já cadastrado. Se for o primeiro consentimento basta clicar em OK.
 32

Segunda Aba Consentimento:

Aqui deve ser redigido o texto do consentimento que será apresentado no Banco de Talentos para ser aceito pelos usuários.
É possível utilizar a funcionalidade Abrir para buscar e importar arquivos do tipo RTF e Word.

Terceira Aba Orientação para menores de Idade:

Importante: Ao finalizar o cadastro não será possível modificar a Data
Inicio e o Texto do Consentimento. Além disso, se a data atual estiver
entre as datas início e fim da vigência do consentimento, este já será
Aqui deve ser redigido o texto que será apresentado para o menor de idade,
considerado ativo e será apresentado no Banco de Talentos para ser para que ele possa comprovar o aceite do consentimento pelos seus
aceito. Então não faça o cadastro de consentimento sem que tenha
certeza que este está correto, pois não será possível modificá-lo após ser responsáveis.
salvo e não será possível excluí-lo caso alguém o aceite.
 33

Enviar E-mail para Candidatos

Este processo tem o intuito de enviar um e-mail para todos os candidatos que não estão consentidos com o consentimento selecionado.

A mensagem deve ser redigida pelo usuário utilizando a funcionalidade de Mensagem Customizada encontrada na Aba de Configuração.
Esta mensagem deve conter o que o candidato deve fazer para aceitar ou rejeitar o novo consentimento e não deve conter um Relatório.

Observação: Este processo só pode ser executado para consentimentos vigentes.

 34

Consentimento no Banco de Talentos:

A partir do momento que um consentimento fica Ativo, ou seja, a data início é anterior ou igual a data atual, este consentimento é apresentado no Banco de Talentos para
que seja aceito pelos usuários. Desta forma qualquer candidato que se cadastre no período do consentimento (Imagem a Esquerda), será apresentado o consentimento
na tela para que ele analise e clique em aceitar ou recursar antes que ele possa finalizar o cadastro. Com o aceite do candidato, o cadastro será finalizado. Caso ele
recuse, a tela do consentimento é fechada e o cadastro não é concluído.
Quando o usuário é menor de idade, a mesma tela do consentimento é apresentada com a adição das orientações de como prosseguir (Imagem a Direita), e o botão que
diz "Li e concordo com os termos" é substituído por um "OK".
Sempre que o candidato logar no Banco de Talentos, será apresentado novamente uma mensagem de consentimento, até que faça o procedimento apresentado na
mensagem ou fale que não concorda com os termos.
 35

Consentimento no Banco de Talentos:

A partir do momento que um consentimento fica Ativo, ou seja, a data início é anterior ou igual a data atual, este consentimento é apresentado no Banco de Talentos para que seja aceito
pelos usuários. Desta forma qualquer candidato que se cadastre no período do consentimento (Imagem a Esquerda), será apresentado o consentimento na tela para que ele analise e
clique em aceitar ou recursar antes que ele possa finalizar o cadastro. Com o aceite do candidato, o cadastro será finalizado. Caso ele recuse, a tela do consentimento é fechada e o
cadastro não é concluído.
Quando o usuário é menor de idade, a mesma tela do consentimento é apresentada com a adição das orientações de como prosseguir (Imagem a Direita), e o botão que diz "Li e concordo
com os termos" é substituído por um "OK".
Sempre que o candidato logar no Banco de Talentos, será apresentado novamente uma mensagem de consentimento, até que faça o procedimento apresentado na mensagem ou fale que
não concorda com os termos.

Caso não seja aceito o consentimento:

 36

Consentimento no Processo Seletivo:

No processo seletivo o consentimento é considerado em dois pontos, sendo estes a Execução da Triagem e a Aprovação de um candidato
para a próxima etapa, em ambas é dada a opção de não selecionar candidatos não consentidos.

Triagem

No processo de triagem antes de executá-lo uma mensagem é apresentada perguntado se quer ou não excluir os candidatos não
consentidos.
Aprovar Candidato

Ao selecionar os candidatos para aprovação para a próxima etapa caso algum deles não esteja
consentido, uma mensagem é apresentada com os devidos códigos perguntando se aceita ou não
prosseguir com o processo. Em caso negativo o processo é abortado em caso positivo outra
mensagem é apresentada perguntado se deseja excluir estes candidatos do processo, que ao clicar
em Sim eles serão desconsiderados e ao clicar no Não eles serão aprovados.
 37

Consentimento Tela de Candidatos:

No cadastro de candidato foi incluída uma coluna na visão principal que mostra se um candidato está consentido ou não. Além disso, foi
criado um processo para conceder o consentimento para candidatos selecionados na visão.

Insere Consentimento Candidato

Caso algum menor de idade seja
selecionado, uma mensagem é
apresentada ao clicar em executar para
que o usuário confirme que a
justificativa inserida é adequada para
estes registros.

Observação: Este processo só pode ser executado para consentimentos vigentes.

 38

Art. 18. O titular dos dados pessoais tem direito a obter do

controlador, em relação aos dados do titular por ele tratados, a
qualquer momento e mediante requisição:

IV - anonimização, bloqueio ou eliminação de dados

desnecessários, excessivos ou tratados em desconformidade
com o disposto nesta Lei;
 39

PERSONAS mapeadas no produto

40
41
42
43
OBRIGADO
Plataforma RH

● Tecnologia + Conhecimento são nosso

DNA.
● O sucesso do cliente é o nosso sucesso.
● Valorizamos gente boa que é boa gente.

totvs.com totvs.store

@totvs @totvs

/totvs company/totvs #SOMOSTOTVERS