O que é a LGPD?
- A Lei nº 13.709/2018, com vigência em 2020, também chamada de Lei Geral de Proteção de Dados Pessoais, tem como objetivo assegurar o direito à privacidade e à proteção de dados pessoais dos titulares, por meio de regras únicas e harmônicas sobre tratamento de dados pessoais, por todos os agentes de tratamento (operadores e controladores) que fazem tratamento e coleta de dados.
Aplicabilidade da LGPD
- "De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a LGPD afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo.
Fonte:(https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd)
A seguir, são listadas as principais ferramentas para o exercício dos diretos dos titulares (entende-se por titular dos dados a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento), bem como instruções para atendimento a cada um deles no sistema. Ainda, é possível encontrar instruções para temas específicos nos anexos ao final desse tutorial.
1. Confirmação e acesso aos dados (Art. 18, I e II da LGPD)
O titular dos dados (consumidor) tem o direito de solicitar ao controlador (varejista) a relação dos dados que estão em seu poder.
Instrução para realização dessa operação
Passo-a-passo para realização dessa operação no sistema Linx Auto:
O Controlador dos Dados recebe as requisições de confirmação do tratamento e/ou de acesso aos dados dos Titulares dos Dados:
Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERP's disponibilizem o gerenciamento destas requisições.
O recebimento e o gerenciamento destas requisições ficarão sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.
Neste processo, poderá ser definido um responsável na loja (DPO) para atender à estas requisições dos Titular dos Dados.
A sugestão é que o DPO da loja estabeleça que todas as requisições dos Titular dos Dados sejam formalizadas (por exemplo via e-mail) para que posteriormente possam ser rastreadas.
O Controlador dos Dados valida a identidade do Titular dos Dados que está fazendo a requisição:
Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERP's disponibilizem um processo de validação da identidade do titular dos dados que está enviando a requisição.
A validação da identidade do Titular dos Dados ficará sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.
A sugestão é que o DPO da loja estabeleça a utilização de métodos padronizados de validação (como por exemplo apresentação de documentos), e que esta validação fique armazenada para que posteriormente possa ser rastreada.
O Controlador dos Dados processa as requisições recebidas e envia o retorno ao Titular dos Dados:
O processamento destas requisições é de responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.
No processamento, estas requisições poderão ser atendidas ou negadas, de acordo com os critérios estabelecidos pela LGPD.
A sugestão é que o DPO da loja oriente aos Encarregados dos Dados que sempre atendam à estas requisições, após a confirmação da identidade do titular.
Para o atendimento da requisição de confirmação do tratamento dos dados e também de acesso aos dados, o Controlador dos Dados deverá acessar o sistema, e na tela Ficha de Atendimento ou no Registro de Compra ou no Pedido de Venda ou na Avaliação de Veículos Usados, verificar se o cliente/fornecedor está cadastrado - digitando o CPF/CNPJ e/ou consultando na lupa disponível nesse respectivo campo.
Após o processamento, o resultado das requisições deverá ser retornado ao Titular dos Dados pelo Encarregado dos Dados, sendo que este retorno deverá ser formalizado (por exemplo por e-mail) para que posteriormente possa ser rastreado.
2. Correção de dados (Art. 18, III da LGPD)
O titular dos dados (consumidor) tem o direito de solicitar a correção de dados, incompletos, inexatos ou desatualizados ao controlador (varejista). Como por exemplo, a alteração do nome civil, endereço e outros.
Instrução para realização dessa operação
Passo-a-passo para realização dessa operação no sistema Linx Auto:
O Controlador dos Dados recebe as requisições de correção dos dados dos Titulares dos Dados:
Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERP's disponibilizem o gerenciamento destas requisições.
O recebimento e o gerenciamento destas requisições ficarão sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.
Neste processo, poderá ser definido um responsável na loja (DPO) para atender à estas requisições dos Titular dos Dados.
A sugestão é que o DPO da loja estabeleça que todas as requisições dos Titular dos Dados sejam formalizadas (por exemplo via e-mail) para que posteriormente possam ser rastreadas.
O Controlador dos Dados valida a identidade do Titular dos Dados que está fazendo a requisição:
Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERP's disponibilizem um processo de validação da identidade do titular dos dados que está enviando a requisição.
A validação da identidade do Titular dos Dados ficará sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.
A sugestão é que o DPO da loja estabeleça a utilização de métodos padronizados de validação (como por exemplo apresentação de documentos), e que esta validação fique armazenada para que posteriormente possa ser rastreada.
O Controlador dos Dados processa as requisições recebidas e envia o retorno ao Titular dos Dados:
O processamento destas requisições é de responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.
No processamento, estas requisições poderão ser atendidas ou negadas, de acordo com os critérios estabelecidos pela LGPD.
A sugestão é que o DPO da loja oriente aos Encarregados dos Dados que sempre atendam à estas requisições, após a confirmação da identidade do titular.
Para o atendimento da requisição de correção dos dados, o Controlador dos Dados deverá acessar o sistema, e na tela Ficha de Atendimento incluir um registro alterando os dados do cliente conforme solicitado. Depois de salvar a ficha, realizar a agenda gerada automaticamente informando no campo observação que ela foi criada apenas para atendimento da LGPD.
Após o processamento, o resultado das requisições deverá ser retornado ao Titular dos Dados pelo Encarregado dos Dados, sendo que este retorno deverá ser formalizado (por exemplo por e-mail) para que posteriormente possa ser rastreado.
3. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade (Art. 18, IV da LGPD)
O titular dos dados (consumidor) tem o direito de requerer a desvinculação de suas informações de qualquer banco de dados mantido pelo controlador (varejista) ou à sua ordem (banco de dados mantidos pela Linx)
Instrução para realização dessa operação
Passo-a-passo para realização dessa operação no sistema Linx Auto:
O Controlador dos Dados recebe as requisições de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade dos Titulares dos Dados:
Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERP's disponibilizem o gerenciamento destas requisições.
O recebimento e o gerenciamento destas requisições ficarão sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.
Neste processo, poderá ser definido um responsável na loja (DPO) para atender à estas requisições dos Titular dos Dados.
A sugestão é que o DPO da loja estabeleça que todas as requisições dos Titular dos Dados sejam formalizadas (por exemplo via e-mail) para que posteriormente possam ser rastreadas.
O Controlador dos Dados valida a identidade do Titular dos Dados que está fazendo a requisição:
Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERP's disponibilizem um processo de validação da identidade do titular dos dados que está enviando a requisição.
A validação da identidade do Titular dos Dados ficará sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.
A sugestão é que o DPO da loja estabeleça a utilização de métodos padronizados de validação (como por exemplo apresentação de documentos), e que esta validação fique armazenada para que posteriormente possa ser rastreada.
O Controlador dos Dados processa as requisições recebidas e envia o retorno ao Titular dos Dados:
O processamento destas requisições é de responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.
No processamento, estas requisições poderão ser atendidas ou negadas, de acordo com os critérios estabelecidos pela LGPD.
A sugestão é que o DPO da loja oriente aos Encarregados dos Dados que sempre atendam à estas requisições, após a confirmação da identidade do titular.
Para o atendimento da requisição de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade, o Controlador dos Dados deverá acessar o sistema, e na tela Ficha de Atendimento incluir um registro removendo ("limpando") os dados do cliente conforme solicitado. Depois de salvar a ficha, realizar a agenda gerada automaticamente informando no campo observação que ela foi criada apenas para atendimento da LGPD.
Após o processamento, o resultado das requisições deverá ser retornado ao Titular dos Dados pelo Encarregado dos Dados, sendo que este retorno deverá ser formalizado (por exemplo por e-mail) para que posteriormente possa ser rastreado.
4. Portabilidade dos dados a outro fornecedor de serviço ou produto (Art. 18, V da LGPD)
O titular dos dados (consumidor) tem o direito de solicitar a transferência de seus dados para outro controlador (outro estabelecimento comercial). O sistema deverá ser capaz de exportar os dados em formato estruturado para importação em outro sistema.
Instrução para realização dessa operação
Esta operação ainda não está disponível no Linx Auto.
Sendo assim, para atender a solicitação do titular é preciso seguir as instruções do tópico "1. Confirmação e acesso aos dados (Art. 18, I e II da LGPD)" e com as informações coletadas, gerar uma planilha.
Para gerar a planilha basta seguir os passos abaixo:
1) - Entrar no sistema utilizando o usuário Administrador ou Gerente;
2) - Ir na tela Ficha de Atendimento;
3) - Pesquisa a ficha referente ao Cliente;
4) - Clicar na opção conforme print abaixo;
Parar exportar os dados de todos os clientes cadastrados no GRUPO ECONOMICO, independente da filial seleciona, basta seguir os passos abaixo:
1) - Entrar no sistema utilizando um usuário Administrador;
2) - Ir na tela Configurações;
3) - Clica na opção conforme print abaixo:
Após o processamento, o resultado deverá ser retornado ao Titular dos Dados pelo Encarregado dos Dados, sendo que este retorno deverá ser formalizado (por exemplo por e-mail) para que posteriormente possa ser rastreado.
5. Eliminação dos dados pessoais tratados com o consentimento do titular (Art. 18, VI da LGPD)
O titular dos dados (consumidor) tem o direito de solicitar a exclusão de suas informações da base de dados mantida pelo controlador (varejista), desde que não haja a necessidade de manutenção destes dados em virtude de obrigação legal ou regulatória (emissão de documentos fiscal, por exemplo). Neste caso, o sistema emitirá um protocolo informando: os dados que não foram eliminados e o motivo (Art. 7º, II da LGPD)
Instrução para realização dessa operação
Passo-a-passo para realização dessa operação no sistema Linx Auto:
- Ver as instruções do item "3. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade (Art. 18, IV da LGPD)".
Anexo A: Inclusão de informação sobre consentimento* junto ao cadastro de pessoa física
Entende-se por consentimento a autorização do titular (consumidor) para uso de seus dados pessoais nos casos onde não há obrigação legal (ou outro embasamento legal).
Instrução para realização dessa operação
Não será desenvolvida nenhuma tratativa no Sisdia/LinxMaq para solicitar a autorização do titular dos dados para utilização dos seus dados cadastrais. Este processo de gestão do consentimento está sendo desenvolvido de forma centralizada pela Linx através da solução RESHOP, e posteriormente poderá ser utilizado pelo Linx Auto.
Neste módulo de gestão do consentimento deverá ser tratado o consentimento para utilização dos dados dos titulares em grupos de empresas diferentes e que estejam no mesmo servidor.
Até que seja desenvolvida esta integração, o consentimento deverá ser tratado manualmente pelo controlador dos dados (loja) através de formulário próprio.