O que é a LGPD?

  • A Lei nº 13.709/2018, com vigência em 2020, também chamada de Lei Geral de Proteção de Dados Pessoais, tem como objetivo assegurar o direito à privacidade e à proteção de dados pessoais dos titulares, por meio de regras únicas e harmônicas sobre tratamento de dados pessoais, por todos os agentes de tratamento (operadores e controladores) que fazem tratamento e coleta de dados.


Aplicabilidade da LGPD

  • "De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a LGPD afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo.

    Fonte:(https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd)


Papeis no atendimento da LGPD

  • O governo federal, responsável por definir as normas a serem adotadas na LGPD, faz o papel de Agente Nacional de Proteção de Dados (ANPD).

  • A Linx, como fornecedora do ERP (Sisdia/LinxMaq), faz o papel de Operador dos Dados dos clientes do ERP (concessionárias de veículos/máquinas).

  • Os clientes da Linx (concessionárias de veículos/máquinas que contrataram o ERP Sisdia/LinxMaq). fazem o papel de Controlador dos Dados dos seus clientes/fornecedores pessoas físicas a serem tratados pela LGPD.
  • Os clientes/fornecedores (pessoas físicas) das concessionárias de veículos/máquinas, que terão seus dados tratados pela LGPD, fazem o papel de Titular dos Dados.
    IMPORTANTE: A LGPD trata somente dados de pessoas físicas (clientes, fornecedores e colaboradores). Como o Sisdia/LinxMaq não possui o módulo de RH, serão considerados como titular dos dados para o Sisdia/LinxMaq os clientes e fornecedores pessoas físicas.
  • Os responsáveis nomeados nas concessionárias para tratar os dados dos titulares dos dados em atendimento a LGPD, fazem o papel de Encarregado dos Dados (DPO).
  • Os colaboradores da Linx, responsáveis diretamente pelas ações necessárias para o atendimento da LGPD, fazem o papel de Líder da Proteção dos Dados (LPD). Foram nomeados um LPD para cada filial/produto (ERP) comercializados pela Linx, e um LPD principal responsável pela empresa.


Responsabilidades no atendimento da LGPD

  • A responsabilidade da Linx (Operador dos Dados) é a disponibilização de ferramentas que possibilitem o tratamento das informações dos Titulares dos Dados.
  • A responsabilidade das Concessionárias (Controlador dos Dados) é de gerenciar as requisições dos Titulares dos Dados, definindo e instituindo um processo interno que atenda às determinações da LGPD. Neste processo poderá ser definido um responsável na concessionária (DPO) para atender às requisições dos titulares.
  • Informamos que não podemos fornecer conselhos legais e/ou sanar dúvidas referentes às disposições e obrigações existentes na LGPD, uma vez que isso foge do escopo de atuação da Linx e do escopo da nossa relação contratual.
  • Em relação aos softwares/módulos contratados, caso seja identificada a necessidade de um software/módulo extra para o atendimento aos direitos dos titulares, que a Linx ainda não desenvolve, tal questão deverá ser avaliada e eventuais custos adicionais para esse desenvolvimento/adaptação serão cobrados.
  • A função da Linx, no contexto da nossa relação comercial, é apenas a de informar e auxiliar na utilização dos softwares/módulos já contratados para o atendimento da LGPD, bem como prestar o suporte técnico a estes softwares/módulos.


Nota

Dúvidas sobre a LGPD podem ser esclarecidas com a nossa área de privacidade de dados, no e-mail: [email protected].




A seguir, são listadas as principais ferramentas para o exercício dos diretos dos titulares (entende-se por titular dos dados a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento), bem como instruções para atendimento a cada um deles no sistema. 


1. Confirmação de tratamento e Acesso aos dados (Art. 18, I e II da LGPD)

O titular dos dados tem o direito de solicitar ao controlador dos dados a confirmação do tratamentos dos seus dados e/ou a relação dos dados que estão sendo tratados.


Passo-a-passo para realização dessa operação no sistema Sisdia/LinxMaq:

1)    O Controlador dos Dados recebe as requisições de confirmação do tratamento e/ou de acesso aos dados dos Titulares dos Dados:

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem o gerenciamento destas requisições. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ O recebimento e o gerenciamento destas requisições ficarão sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ Neste processo, poderá ser definido um responsável na concessionária (DPO) para atender à estas requisições dos Titular dos Dados.

→ A sugestão é que o DPO da concessionária estabeleça que todas as requisições dos Titular dos Dados sejam formalizadas (por exemplo via e-mail) para que posteriormente possam ser rastreadas.

 

2)    O Controlador dos Dados valida a identidade do Titular dos Dados que está enviando a requisição:

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem um processo de validação da identidade do titular dos dados que está enviando a requisição. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ A validação da identidade do Titular dos Dados ficará sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ A sugestão é que o DPO da concessionária estabeleça a utilização de métodos padronizados de validação (como por exemplo envio de cópia de documentos), e que esta validação fique armazenada para que posteriormente possa ser rastreada.


3)    O Controlador dos Dados processa as requisições recebidas e envia o retorno ao Titular dos Dados:

→ O processamento destas requisições é de responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

No processamento, estas requisições poderão ser atendidas ou negadas, de acordo com os critérios estabelecidos pela LGPD.

→ A sugestão é que o DPO da concessionária oriente aos Encarregados dos Dados que sempre atendam à estas requisições, após a confirmação da identidade do titular.

→ Para o atendimento da requisição de confirmação do tratamento dos dados, o Controlador dos Dados deverá acessar o sistema, executar o processo CADA0380, e verificar se o cliente/fornecedor está cadastrado.

→ Para o atendimento da requisição de acesso aos dados, o Controlador dos Dados deverá acessar o sistema, executar os processos CADA0380/CADA0385, e acessar os dados solicitados.

→ Após o processamento, o resultado das requisições deverá ser retornado ao Titular dos Dados pelo Encarregado dos Dados, sendo que este retorno deverá ser formalizado (por exemplo por e-mail) para que posteriormente possa ser rastreado.



2.  Correção de dados (Art. 18, III da LGPD)

O titular dos dados tem o direito de solicitar a correção de dados, incompletos, inexatos ou desatualizados ao controlador dos dados.


Passo-a-passo para realização dessa operação no sistema Sisdia/LinxMaq:

1)    O Controlador dos Dados recebe a requisição de correção dos dados dos Titulares dos Dados:

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem o gerenciamento destas requisições. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ O recebimento e o gerenciamento destas requisições ficarão sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ Neste processo, poderá ser definido um responsável na concessionária (DPO) para atender à estas requisições dos Titular dos Dados.

→ A sugestão é que o DPO da concessionária estabeleça que todas as requisições dos Titular dos Dados sejam formalizadas (por exemplo via e-mail) para que posteriormente possam ser rastreadas.

 

2)    O Controlador dos Dados valida a identidade do Titular dos Dados que está enviando a requisição:

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem um processo de validação da identidade do titular dos dados que está enviando a requisição. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ A validação da identidade do Titular dos Dados ficará sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ A sugestão é que o DPO da concessionária estabeleça a utilização de métodos padronizados de validação (como por exemplo envio de cópia de documentos), e que esta validação fique armazenada para que posteriormente possa ser rastreada.


3)    O Controlador dos Dados processa a requisição recebida e envia o retorno ao Titular dos Dados:

→ O processamento desta requisição é de responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ No processamento, esta requisição poderá ser atendida ou negada, de acordo com os critérios estabelecidos pela LGPD.

→ A sugestão é que o DPO da concessionária oriente aos Encarregados dos Dados que sempre atendam à esta requisição, após a confirmação da identidade do titular, desde que a alteração solicitada seja possível de ser realizada.

→ Para o atendimento da requisição, o Controlador dos Dados deverá acessar o sistema, executar os processos CADA0380/CADA0385, e alterar os dados solicitados (quando possível a alteração).

→ Após o processamento, o resultado da requisição com a confirmação ou a impossibilidade da alteração, deverá ser retornado ao Titular dos Dados pelo Encarregado dos Dados, sendo que este retorno deverá ser formalizado (por exemplo por e-mail) para que posteriormente possa ser rastreado.



3. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade (Art. 18, IV da LGPD)

O titular dos dados tem o direito de requerer a desvinculação de suas informações de qualquer banco de dados mantido pelo controlador dos dados (direito do esquecimento).


Passo-a-passo para realização dessa operação no sistema Sisdia/LinxMaq:

1)    O Controlador dos Dados recebe a requisição de eliminação dos dados dos Titulares dos Dados (direito do esquecimento):

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem o gerenciamento destas requisições. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ O recebimento e o gerenciamento destas requisições ficarão sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ Neste processo, poderá ser definido um responsável na concessionária (DPO) para atender à estas requisições dos Titular dos Dados.

→ A sugestão é que o DPO da concessionária estabeleça que todas as requisições dos Titular dos Dados sejam formalizadas (por exemplo via e-mail) para que posteriormente possam ser rastreadas.

 

2)    O Controlador dos Dados valida a identidade do Titular dos Dados que está enviando a requisição:

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem um processo de validação da identidade do titular dos dados que está enviando a requisição. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ A validação da identidade do Titular dos Dados ficará sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ A sugestão é que o DPO da concessionária estabeleça a utilização de métodos padronizados de validação (como por exemplo envio de cópia de documentos), e que esta validação fique armazenada para que posteriormente possa ser rastreada.


3)    O Controlador dos Dados processa a requisição recebida e envia o retorno ao Titular dos Dados:

→ O processamento desta requisição é de responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ No processamento, esta requisição poderá ser atendida ou negada, de acordo com os critérios estabelecidos pela LGPD.

→ No processamento da requisição, deverão ser realizadas consistências para identificar se o cliente/fornecedor possui alguma operação em andamento na empresa (orçamento balcão, ordem de serviço na oficina, pedido de venda de veículos, pedido de compra, adiantamentos a receber e a pagar, títulos a receber e a pagar em aberto, etc...). Caso exista, a exclusão não poderá ser realizada e deverá ser exibida uma mensagem com o motivo.

→ A sugestão é que o DPO da concessionária oriente aos Encarregados dos Dados que sempre atendam à esta requisição, após a confirmação da identidade do titular, desde que seja possível a realização da exclusão (conforme consistências descritas anteriormente).

→ Para o atendimento da requisição, o Controlador dos Dados deverá acessar o sistema, executar os processos CADA0380/CADA0385, e executar a opção de "Exc/Ret LGPD".

→ Após a exclusão lógica do titular dos dados, os processos de Vendas e de Compras (orçamento balcão, ordem de serviço na oficina, pedido de venda de veículos, pedido de compra, etc..) não poderão ser executados, e será exibida uma mensagem informando que não é possível a realização da operação porque o cliente/fornecedor solicitou o esquecimento. Neste caso é como se o cliente/fornecedor não estivesse cadastrado.

Processos no SISDIA que foram adequados para o LGPD.

  • ORCA2000
  • BALC2000
  • OFIC1000
  • OFIT1000
  • VEIC0290
  • VEIC0400

Ao selecionar um Cliente/Fornecedor que tenho solicitado o esquecimento, através do processo CADA0380 operação "Exc/Ret LGPD" e realizar a operação Inclusão, Alteração ou Exclusão, o sistema apresentará a mensagem informativa "Cliente/Fornecedor solicitou o esquecimento - LGPD !!!".



→ No caso dos processos de Consulta que contenham dados cadastrais dos clientes/fornecedores, caso o cliente/fornecedor esteja excluído logicamente, será exibida uma mensagem específica informando que o cliente/fornecedor solicitou o esquecimento, e neste caso os dados cadastrais do cliente/fornecedor não serão exibidos na consulta, sendo substituídos por esta mensagem.

Processos no SISDIA que foram adequados para o LGPD.

  • CADA0380
  • CADA0385
  • CADA0386
  • CADA0391
  • CLIA1000 
  • CLIE3001 
  • FORA1000

Ao selecionar um Cliente/Fornecedor que tenho solicitado o esquecimento, através do processo CADA0380 operação "Exc/Ret LGPD" e realizar a operação Inclusão, Alteração ou Exclusão, o sistema apresentará a mensagem informativa "Cliente/Fornecedor solicitou o esquecimento - LGPD !!!".


→ No caso dos Relatórios Gerenciais, caso o cliente/fornecedor esteja excluído logicamente, os dados cadastrais do cliente/fornecedor não serão exibidos no relatório. Neste caso o processo deverá ser executado normalmente, mas nos dados cadastrais do cliente/fornecedor deverá ser exibido somente o código do cliente/fornecedor e a mensagem de que o cliente/fornecedor solicitou o esquecimento.

→ No caso dos processos de Envio de Mala Direta, caso o cliente/fornecedor esteja excluído logicamente, este cliente/fornecedor não será considerado no envio.

MALA DIRETA

  • CLIE1500
  • CLIE1510
  • CLIE1520
  • CLIE1530
  • CLIE1540
  • CLIV1600
  • CLIV1610
  • FORA1500

SMS

  • Alterada rotina que trata o envio de SMS (parametrizado nos programa ISMS000 e ISMS1000)

→ No caso dos processos de Envio de Informações a Terceiros (montadoras, parceiros, etc..), que contenham dados cadastrais dos clientes/fornecedores (Notas Fiscais, Títulos a Pagar/Receber, Ordens de Serviço, Veículos, Peças, etc..) caso o cliente/fornecedor esteja excluído logicamente, será exibida em substituição aos dados cadastrais do cliente/fornecedor uma mensagem específica informando que o cliente/fornecedor solicitou o esquecimento. Neste caso o processo deverá ser executado normalmente, mas nos dados cadastrais do cliente/fornecedor deverá ser exibido somente o código do cliente/fornecedor e a mensagem de que o cliente/fornecedor solicitou o esquecimento.

→ No caso dos processos relacionados ao atendimento das obrigações fiscais (SPED, Livros Fiscais, etc..), os dados cadastrais dos titulares deverão continuar sendo enviados normalmente, mesmo após sua exclusão lógica.

→ O Titular dos Dados poderá fazer a solicitação para que seus dados sejam esquecidos (excluídos logicamente) ou reativados (cancelando a exclusão lógica) quantas vezes desejar, desde que validada a identidade do titular. A cada processamento da exclusão/reativação, as informações referentes a esta exclusão/reativação (tipo de solicitação, solicitante, data/hora solicitação, executante, etc..) serão gravadas historicamente para que possam ser rastreadas.

→ Após o processamento, o resultado da requisição com a confirmação ou a impossibilidade da exclusão/reativação dos dados, deverá ser retornado ao Titular dos Dados pelo Encarregado dos Dados, sendo que este retorno deverá ser formalizado (por exemplo por e-mail) para que posteriormente possa ser rastreado.


4. Portabilidade dos dados a outro fornecedor de serviço ou produto (Art. 18, V da LGPD)

O titular dos dados tem o direito de solicitar ao controlador dos dados a transferência de seus dados para outro controlador (outro estabelecimento comercial). O sistema deverá ser capaz de exportar os dados em formato estruturado para importação em outro sistema. 


Passo-a-passo para realização dessa operação no sistema Sisdia/LinxMaq:

1)    O Controlador dos Dados recebe a requisição de portabilidade dos dados dos Titulares dos Dados:

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem o gerenciamento destas requisições. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ O recebimento e o gerenciamento destas requisições ficarão sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ Neste processo, poderá ser definido um responsável na concessionária (DPO) para atender à estas requisições dos Titular dos Dados.

→ A sugestão é que o DPO da concessionária estabeleça que todas as requisições dos Titular dos Dados sejam formalizadas (por exemplo via e-mail) para que posteriormente possam ser rastreadas.

 

2)    O Controlador dos Dados valida a identidade do Titular dos Dados que está enviando a requisição:

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem um processo de validação da identidade do titular dos dados que está enviando a requisição. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ A validação da identidade do Titular dos Dados ficará sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ A sugestão é que o DPO da concessionária estabeleça a utilização de métodos padronizados de validação (como por exemplo envio de cópia de documentos), e que esta validação fique armazenada para que posteriormente possa ser rastreada.


3)    O Controlador dos Dados processa a requisição recebida e envia o retorno ao Titular dos Dados:

→ O processamento desta requisição é de responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

No processamento, estas requisições poderão ser atendidas ou negadas, de acordo com os critérios estabelecidos pela LGPD.

→ No processamento da requisição, será gerado um arquivo com os dados dos clientes/fornecedores pessoas físicas que estão sendo tratados pela concessionária (Controlador dos Dados), para que estes dados possam ser compartilhados com outro estabelecimento comercial (Controlador dos Dados) indicado pelo Titular dos Dados, ou então importado o arquivo com os dados dos clientes/fornecedores pessoas físicas que foi disponibilizado por um outro estabelecimento comercial (Controlador dos Dados) a pedido do Titular dos dados.

→ A sugestão é que o DPO da concessionária oriente aos Encarregados dos Dados que sempre atendam à esta requisição, após a confirmação da identidade do titular.

→ Para o atendimento da requisição, o Controlador dos Dados deverá acessar o sistema, executar os processos CADA0380/CADA0385. e executar a opção "Exportação Dados" para gerar o arquivo com os dados dos titulares (juntamente com seu layout), ou executar a opção "Importação Dados" para processar a importação dos dados disponibilizados no arquivo por outro estabelecimento comercial indicado pelo Titular dos Dados,

→ O Titular dos Dados poderá fazer a solicitação para que seus dados sejam compartilhados ou importados quantas vezes desejar, desde que validada a identidade do titular. A cada processamento do compartilhamento/importação, as informações referentes a este compartilhamento/importação (tipo de solicitação, solicitante, data/hora solicitação, executante, etc..) serão gravadas historicamente para que possam ser rastreadas.

→ Após o processamento, o resultado da requisição deverá ser retornado ao Titular dos Dados pelo Encarregado dos Dados, sendo que este retorno deverá ser formalizado (por exemplo por e-mail) para que posteriormente possa ser rastreado.


5. Informações sobre compartilhamento de dados com entidades públicas e privadas 

O titular dos dados (consumidor) tem o direito de solicitar a informação de quais de seus dados foram compartilhados com as entidades parceiras (públicas e privadas) do controlador dos dados (governo, bancos, montadoras, empresas parceiras, etc...).


Passo-a-passo para realização dessa operação no sistema Sisdia/LinxMaq:

1)    O Controlador dos Dados recebe a requisição de informação sobre compartilhamento de dados dos Titulares dos Dados:

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem o gerenciamento destas requisições. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ O recebimento e o gerenciamento destas requisições ficarão sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ Neste processo, poderá ser definido um responsável na concessionária (DPO) para atender à estas requisições dos Titular dos Dados.

→ A sugestão é que o DPO da concessionária estabeleça que todas as requisições dos Titular dos Dados sejam formalizadas (por exemplo via e-mail) para que posteriormente possam ser rastreadas.

 

2)    O Controlador dos Dados valida a identidade do Titular dos Dados que está enviando a requisição:

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem um processo de validação da identidade do titular dos dados que está enviando a requisição. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ A validação da identidade do Titular dos Dados ficará sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ A sugestão é que o DPO da concessionária estabeleça a utilização de métodos padronizados de validação (como por exemplo envio de cópia de documentos), e que esta validação fique armazenada para que posteriormente possa ser rastreada.


3)    O Controlador dos Dados processa a requisição recebida e envia o retorno ao Titular dos Dados:

→ O processamento desta requisição é de responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

No processamento, estas requisições poderão ser atendidas ou negadas, de acordo com os critérios estabelecidos pela LGPD.

→ A sugestão é que o DPO da concessionária oriente aos Encarregados dos Dados que sempre atendam à esta requisição, após a confirmação da identidade do titular.

→ Para o atendimento da requisição, o Controlador dos Dados deverá acessar o sistema, executar os processos CADA0380/CADA0385, e acessar a opção "Dados Compartilhados" para seleção de quais dados e para quais entidades estes dados foram compartilhados.

→ Após o processamento, o resultado da requisição com as informações solicitadas deverá ser retornado ao Titular dos Dados, pelo Encarregado dos Dados, sendo que este retorno deverá ser formalizado (por exemplo por e-mail) para que posteriormente possa ser rastreado.


6. Informações sobre as decisões automatizadas 

O titular dos dados (consumidor) tem o direito de solicitar a informações as regras e critérios adotados pelo sistema para a tomadas das decisões automatizadas (cálculo do limite de crédito, calculo da data das revisões programadas, envio de alertas de agendamento, etc..)


Passo-a-passo para realização dessa operação no sistema Sisdia/LinxMaq:

1)    O Controlador dos Dados recebe a requisição de informações sobre as decisões automatizadas dos Titulares dos Dados:

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem o gerenciamento destas requisições. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ O recebimento e o gerenciamento destas requisições ficarão sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ Neste processo, poderá ser definido um responsável na concessionária (DPO) para atender à estas requisições dos Titular dos Dados.

→ A sugestão é que o DPO da concessionária estabeleça que todas as requisições dos Titular dos Dados sejam formalizadas (por exemplo via e-mail) para que posteriormente possam ser rastreadas.

 

2)    O Controlador dos Dados valida a identidade do Titular dos Dados que está enviando a requisição:

→ Para este processo não será feita nenhuma adequação no sistema, pois a base legal da LGPD não determina que os ERPs disponibilizem um processo de validação da identidade do titular dos dados que está enviando a requisição. Esta funcionalidade poderá ser desenvolvida posteriormente como uma customização (caso seja solicitado via chamado).

→ A validação da identidade do Titular dos Dados ficará sob a responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ A sugestão é que o DPO da concessionária estabeleça a utilização de métodos padronizados de validação (como por exemplo envio de cópia de documentos), e que esta validação fique armazenada para que posteriormente possa ser rastreada.


3)    O Controlador dos Dados processa a requisição recebida e envia o retorno ao Titular dos Dados:

→ O processamento desta requisição é de responsabilidade do Controlador dos Dados, cabendo a ele definir e instituir um processo interno que atenda às determinações da LGPD.

→ No processamento, estas requisições poderão ser atendidas ou negadas, de acordo com os critérios estabelecidos pela LGPD.

→ A sugestão é que o DPO da concessionária oriente aos Encarregados dos Dados que sempre atendam à esta requisição, após a confirmação da identidade do titular.

→ Para o atendimento da requisição, o Controlador dos Dados deverá acessar a documentação do sistema e consultar as regras e critérios adotados para a tomadas das decisões automatizadas (cálculo do limite de crédito, calculo da data das revisões programadas, envio de alertas de agendamento, etc..).

→ Após o processamento, o resultado da requisição com as informações solicitadas deverá ser retornado ao Titular dos Dados, pelo Encarregado dos Dados, sendo que este retorno deverá ser formalizado (por exemplo por e-mail) para que posteriormente possa ser rastreado.

OBS: Caso seja necessário um maior detalhamento na documentação, deverá ser gerada uma solicitação de melhoria na documentação (via chamado no workflow) e enviada a Linx.


Anexo A: Direito do consentimento

Entende-se por consentimento a autorização do titular dos dados para uso de seus dados pessoais nos casos onde não há obrigação legal.


→ Não será desenvolvida nenhuma tratativa no Sisdia/LinxMaq para solicitar a autorização do titular dos dados para utilização dos seus dados cadastrais. Este processo de gestão do consentimento está sendo desenvolvido de forma centralizada pela Linx através da solução RESHOP, e posteriormente poderá ser utilizado pelo Sisdia/LinxMaq.

→ Neste módulo de gestão do consentimento deverá ser tratado o consentimento para utilização dos dados dos titulares em grupos de empresas diferentes e que estejam no mesmo servidor.

→ Até que seja desenvolvida esta integração, o consentimento deverá ser tratado manualmente pelo controlador dos dados (concessionários) através de formulário próprio.


Anexo B: Informação sobre uso de dados para consulta dos usuários do sistema

Para simples consulta pelos usuários do sistema, é possível o cadastramento de instruções de apoio que aparecem nos momentos que os dados pessoais são exibidos no sistema. 


→ Será disponibilizada uma opção, de fácil acesso aos usuário durante a utilização do sistema, que ao ser acionada exiba a seguinte mensagem com a política de tratamento dos dados adotada pela empresa (Controlador dos Dados):

"A empresa coleta dados de clientes e fornecedores para a geração de documentos e obrigações fiscais, integrações com empresas parceiras, disparos de e-mails promocionais, análise de comportamento de compra, e controle de limite de crédito. Ao completar o cadastro o cliente está ciente desta política de dados e tem o direito de a qualquer momento solicitar a anonimização."