O que é a LGPD?


Trata-se da Lei Geral de Proteção de Dados (Lei 13.709/20218) que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou pessoa jurídica de direito público ou privado, com o intuito de proteger os direitos fundamentais de liberdade e de privacidade.


O direito à privacidade é um movimento global


Engana-se quem acredita que a LGPD é mais uma lei que "não vai pegar". Esse é um movimento global, talvez iniciado (ou aquecido) pelo escândalo de dados do Facebook-Cambridge Analytics, que envolveu a coleta de informações de dados identificáveis de 87 milhões de usuários.


A LGPD acompanha algumas das melhores práticas da lei europeia, a GDPR, que entrou em vigor em 25 de maio de 2018. Na Europa ela impõe multas pesadas em caso de não cumprimento da legislação [20 milhões de euros ou 4% da receita anual]. Pode-se dizer que a LGPD aprofunda um tópico muito importante da Constituição Federal, que é o direito à intimidade. O inciso X do artigo 5º dispõe que:


X - são invioláveis a intimidade, a vida privada ,a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.


Quando a LGPD entra em vigor?


A LGPD entrou em vigor em setembro de 2020, prevendo multas e penalidades (aplicáveis a partir de agosto de 2021) para aqueles que não cumprirem.


Quem precisa de adequar à lei?


A lei é aplicável a todo e qualquer negócio que tenha posse de informações do público e/ou que lide com esses dados, sejam eles específicos ou simples como um nome, por exemplo.


Vivaintra como OPERADOR, cliente como CONTROLADOR


É importante identificar os papéis que atuam na LGPD. Os principais são: Operador e Controlador. Para entender melhor:


O operador é quem executa o tratamento dos dados em nome do controlador.

O controlador é a pessoa responsável por tomar as decisões referentes ao tratamento de dados.


Na maioria dos casos, a Vivaintra vai atuar como um operador e o cliente como um controlador. Por exemplo, vamos supor que um usuário criou um formulário na Vivaintra para inscrição em um evento. No formulário ele pede os seguintes dados: [1] Nome do usuário; [2] E-mail; [3] Data de Nascimento; e [4] CPF. Neste caso, a Vivaintra atua como operador sob a lei da LGPD.


A Vivaintra também usa sub processadores terceirizados para, além de fornecer serviços de infraestrutura, prestar suporte ao cliente, emitir cobranças e enviar notificações por e-mail. Os mais relevantes são:


  • Amazon Web Services (plataforma de serviços de computação em nuvem)
  • MailJet (plataforma de automação de marketing)
  • Freshdesk (serviço de atendimento ao cliente em nuvem)
  • Iugu (processador de pagamento)


Em alguns casos, a Vivaintra será o controlador. Por exemplo, quando um usuário se cadastrada para testar a Vivaintra pedimos alguns dados como e-mail, senha e informações relacionadas à empresa. Isto para que possamos indicar os melhores planos e módulos para a realidade do mesmo. Tais dados são amparados em uma base legal da LGPD.


Outro exemplo é, no momento da assinatura de um plano pago, o endereço do cliente para execução do contrato, envio da cobrança e geração da NFe. Evitamos solicitar qualquer dado sensível em qualquer tipo de material da Vivaintra.


Segurança dos Dados


Nosso foco é, além de tudo, garantir a segurança dos dados de nossos clientes que são inseridos dentro da nossa plataforma. Caso queira compreender detalhadamente o que é feito, acesse nossa Política de Segurança.


Dados Pessoais do Clientes e seus Usuários, com a Vivaintra


Nosso produto possibilita a coleta e utilização de alguns dados pessoais, de forma a viabilizar informações importantes para as áreas e aprimorar a experiência de uso. Lembramos que a Vivaintra apenas disponibiliza os campos para coleta, porém fica a cargo do cliente definir quais serão coletados.


Atualmente, os únicos dados pessoais obrigatórios para coleta, no momento do cadastro de um usuário, são Nome e E-mail. Veja abaixo todos os dados que estão disponíveis para coleta.


Dado
Obrigatório
Tipo
Visibilidade **
Nome Completo
Sim
Pessoal
Pública
E-mail
Sim
Pessoal
Privada
Unidade
Sim
Empresarial
Pública
Departamento
Sim
Empresarial
Pública
Cargo
Sim
Empresarial
Pública
Matrícula
Não
Empresarial
Pública
Superior Imediato
Não
Empresarial
Pública
Ramal
Não
Empresarial
Pública
Data de Admissão
Não
Empresarial
Pública
Telefone Empresarial
Não
Empresarial
Pública
Gênero
Não
Pessoal
Privada
Data de Nascimento
Não
Pessoal
Privada
Naturalidade
Não
Pessoal
Privada
Estado Civil
Não
Pessoal
Privada
Possui Filhos
Não
Pessoal
Privada
Quantidade de Filhos
Não
Pessoal
Privada
É fumante
Não
Pessoal
Privada
Tamanho da Camiseta
Não
Pessoal
Privada
Tamanho do Calçado
Não
Pessoal
Privada
Foto
Não
Pessoal
Pública
E-mail Secundário
Não
Pessoal 
Privada
Telefone Residencial
Não
Pessoal
Privada
Celular
Não
Pessoal 
Privada
CEP
Não
Pessoal
Privada
Endereço
Não
Pessoal
Privada
Bairro
Não
Pessoal
Privada
Complemento
Não
Pessoal 
Privada
Cidade
Não
Pessoal
Privada
Estado
Não
Pessoal
Privada
Contatos de Emergência
Não
Pessoal
Privada
Telefone/Celular dos Contatos de Emergência
Não
Pessoal
Privada
Peso
Não
Sensível
Privada
Altura
Não
Sensível
Privada
Grupo Sanguíneo
Não
Sensível
Privada
CPF
Não
Pessoal
Privada


** Visibilidade Pública: todos os usuários cadastrados na intranet conseguirão visualizar a informação em alguma tela da ferramenta.

** Visibilidade Privada: apenas o próprio usuário e os administradores terão acesso através do perfil e do cadastro de usuários, respectivamente.


Esquecimento dos Dados


A Vivaintra permite excluir os dados de usuários permanentemente. Você pode excluir o perfil do usuário e todos os dados associados à ele, como tarefas, chats, notícias e outras atividades que o mesmo tenha criado dentro da ferramenta. A exclusão é feita apenas pelo administrador, ou seja, é preciso de um nível superior para confirmar e realizar a exclusão permanente do dado.


Perfil do Usuário


Atualmente a Vivaintra suporte a exclusão de informações do perfil do usuário final como uma opção de exclusão suave, ou seja, ao excluir um usuário todos os seus dados pessoais são removidos da intranet, porém as atividades que ele criou são mantidas. Para exclusão deverá ser feito uma a uma entrando em cada um dos módulos. Ou, as atividades poderão ser transferidas para outro usuário no momento da exclusão do perfil.


Atividades em Módulos


Os usuários da Vivaintra podem excluir as atividades que criaram dentro da ferramenta. Porém, por uma questão de segurança e para evitar erros irreversíveis, este deve ser feito módulo por módulo e item a item. Uma vez excluído não será mais passível de recuperação.


Via site: apenas o usuário criador conseguirá realizar a exclusão

Via painel administrador: apenas o usuário administrador com acesso ao gerenciamento do módulo poderá realizar a exclusão.


Anexos e Imagens


Os módulos que possuem anexos de arquivos e imagens permitem que os mesmos sejam excluídos e/ou alterados. Esta ação é liberada apenas para o criador do registro.


Portabilidade dos Dados


A Vivaintra possui suporte à portabilidade dos dados, seja no momento da contratação (migrar dados de uma intranet antiga para a Vivaintra) ou no momento do cancelamento do contrato (migrar dados da Vivaintra para outra intranet).


No momento da contratação: Permitido hoje a migração de dados de usuários e conteúdos (módulos) através de planilhas, API, View de Banco de Dados ou Webservice, ou seja, de acordo com a necessidade do cliente. No caso de conteúdos é feita uma análise prévia para compreender quais dados são compatíveis com a Vivaintra bem como a viabilidade da migração.


No momento do cancelamento: Será realizado um backup dos dados que foram gerados durante o período que o cliente esteve conosco, e encaminhado para o responsável do contrato.


Retificação dos Dados


A LGPD inclui o direito dos indivíduos terem seus dados pessoais imprecisos corrigidos ou concluídos, se forem incompletos. A edição poderá ser feito pelo:


Usuário: Através de seu perfil dentro da ferramenta. Exceto o nome, e-mail (principal), unidade, departamento, cargo, data de admissão e outros que são campos de empresa ou login.

Administrador: Através do painel administrativo poderão ser alterados ou inseridos qualquer um dos dados de cadastro do usuário.


Como operador, o que a Vivaintra está fazendo para estar adequada ao regulamento?


Segue a lista de atividades:


  • Trilhas de auditoria do usuário comum;
  • Trilhas de auditoria do administrador;
  • Módulo administrativo dedicado à LGPD;
  • Desenvolvimento de Política de Privacidade de Dados para disponibilização aos nossos clientes;
  • Criptografia de dados sensíveis;


A ideia aqui é deixar claro todas as ações dos usuários realizadas na plataforma para possíveis auditorias que a empresa venha a sofrer conforme previsto no Art. 37 da LGPD. Vale lembrar que esta lista de atividades não é final.


Melhores práticas para que usa a Vivaintra


  • Política de Uso: Cadastre sua política de uso com todas as informações pertinentes ao usuário final sobre a LGPD, normas e condutas com o uso da intranet para que todos os usuários, em seu primeiro acesso, tenham que marcar ciência.
  • Remoção de Dados: Se solicitado, delete os dados do usuário (lembre-se que o usuário tem o "direito ao esquecimento").
  • Evite capturar dados sensíveis: Entendemos que para o uso de alguns módulos é necessário coletar dados sensíveis como, por exemplo, para uso do Holerite Online é necessário o CPF, porém evite coletar esses dados se não for utilizá-los.
  • Colete apenas os dados estritamente necessários para a execução do serviço: O tratamento de dados pessoais deve ser realizado com base na boa fé e nos princípios da LGPD (i.e., finalidade, prevenção, não discriminação, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, responsabilização e prestação de contas).


Materiais relacionados


A equipe Vivaintra responsável pela adequação à LGPD, semanalmente lê artigos, escuta podcasts e participa de eventos sobre o tema de proteção de dados. Não poderíamos então deixar de compartilhar alguns materiais, para fins de estudo.


Ferramenta de Diagnóstico LGPD (realizado pela ABES em parceria com a Ernst & Young)

Lei nº 13.709

As 10 bases legais para tratamento de dados permitidas pela LGPD

LGPD Brasil: como se adequar à Lei Geral de Proteção de Dados Pessoais