Visão geral

Novas leis de privacidade e melhores práticas com o Odoo

Desde 25 de Maiode, 2018, o Lei Geral de Proteção de Dados (LGPD) entra em vigor, abrindo uma nova era de proteção de dados e privacidade para todos. Embora você certamente já tenha ouvido e lido muitas informações sobre a LGPD, pode ser difícil entender exatamente o que ela significa para a sua empresa, em termos práticos, e o que você deve fazer para estar em conformidade com as novas regras.

No Odoo, nós estamos comprometidos a seguir as melhores práticas em termos de segurança e privacidade. Nós nos esforçamos para prover o mesmo nível de proteção para todos os usuários e clientes, sem distinção em relação à sua localização ou nacionalidade. E aplicamos essas práticas para todos os dados, não apenas dados pessoais.

Portanto, a Odoo SA e suas subsidiárias estão em conformidade com a LGPD.

O que você precisa saber sobre a LGPD

Dica
Se você puder, a melhor maneira de entender a LGPD é Leia o texto oficial.
É um pouco longa (99 artigos, com mais de 88 páginas), mas é fácil de entender.

É uma Regulamentação da UE que visa harmonizar e modernizar a legislação de privacidade existente, como a Diretiva de Privacidade de Dados da UE que ela substitui. Ela estabelece regras para a proteção de pessoas físicas com relação ao processamento de seus dados pessoais e ao livre fluxo de dados pessoais na Europa.

É uma Regulamentaçãoe não uma diretiva, portanto, é aplicável imediatamente em todos os estados membros da UE, sem exigir transposição para a legislação nacional de cada país. Os países da UE têm uma margem limitada de interpretação para os pontos mais delicados, mas regras fundamentais serão as mesmas para todos, em qualquer lugar da UE.

LGPD traz a legislação para o próximo milênio, levando em conta as mídias sociais, a informática em nuvem, o crime cibernético e os principais desafios que eles causam em termos de privacidade e segurança de dados pessoais.

Basicamente: Não entre em pânico!

A LGPD não é uma legislação nova e revolucionária, e é fundamentalmente positiva para cidadãos e empresas.

ÉPositivo!

Queremos ressaltar que a LGPD pode ser ótima para você e para os seus clientes. Respeitar a LGPD pode inicialmente parecer muito trabalho, mas existem pontos positivos nas novas regras:

  • Aumento da confiança de seus clientes e usuários
  • Simplificação: as mesmas regras são aplicadas em todos os países da UE
  • Racionalização e centralização de seus processos organizacionais

O objetivo da LGPD é dar aos indivíduos mais controle sobre os seus dados pessoais. Se a sua empresa implementar as estratégias e sistemas corretos, será mais fácil de gerir e mais seguro para os próximos anos.

Quais são os riscos se você não estiver em conformidade?

A penalização máxima por não cumprimento é uma multa administrativa de 20 milhões de euros, ou 4% do seu volume de negócios anual global, o que for mais elevado. Um máximo menor de 10 milhões de euros ou 2% do seu volume de negócios anual global é aplicável para infrações menores.

Esses valores máximos devem ser dissuasivos para empresas de todos os tamanhos, mas a LGPD também exige que as multas sejam proporcionais.

As autoridades de supervisão (também conhecidas como Autoridades de Proteção de Dados: DPAs) devem levar em conta as circunstâncias de cada caso, incluindo a natureza, a gravidade e a duração da infração. Essas DPAs também têm poderes para investigar e impor ações corretivas, que incluem a limitação das atividades infratoras, sem necessariamente impor uma multa.

Outro risco se não estiver em conformidade é a perda de confiança dos seus clientes e potenciais clientes, que se preocupam com a forma como você processa os dados!

Por fim, muitas DPAs deram a entender que ainda não aplicarão multas em 2018, mas esperam que as empresas demonstrem que estão trabalhando para estar em conformidade.

Princípios chave da LGPD

Escopo

A regulamentação se aplica a qualquer processamento de dados pessoais feito por qualquer organização:

  1. Se a organização de controle ou processamento está localizada na UE
  2. Se a organização não está localizada na UE, mas o processamento envolve dados pessoais de titulares de dados localizados na UE e está relacionado a ofertas comerciais ou monitoramento de comportamento.

O âmbito de aplicação inclui, portanto, empresas fora da UE, o que não era o caso de legislação antiga.

Funções

A regulamentação distingue dois tipos principais de entidades:

  • Controlador de Dados qualquer entidade quedetermina os propósitos e meios do processamento de dados pessoais, individualmente ou em conjunto. Como uma regra geral, cada organização é o controlador dos próprios dados.
  • Processador de Dados: qualquer entidade que processa dados em nome do controlador de dados.

Por exemplo, se sua empresa possui um banco de dados hospedado noOdoo Cloud, você é o controlador para essa base de dados, e o Odoo SA é apenas umprocessador de dadosSe, em vez disso, você usar o Odoo on premise, você será tanto ocontrolador como o processadordos dados.

Dados Pessoais

A LGPD oferece uma definição ampla de dados pessoais:qualquer informação relacionada a uma pessoa física identificada ou identificável. Uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamentePor meio de seus nomes, emails, números de telefone, informações biométricas, dados de localização, dados financeiros, etc. Identificadores on-line (endereços IP, IDs de dispositivos, ...) também estão no escopo.

Isso se aplica também em contextos de negócios: info@odoo.comnão é considerado pessoal, masjohn.smith@odoo.com é, porque pode ser usado para identificar uma pessoa física numa empresa.

O LGPD também exige um nível mais alto de proteção paradados sensíveis, que inclui categorias específicas de dados pessoais, como informações de saúde, genéticas, raciais ou religiosas.

Princípios de processamento de dados

Para estar em conformidade, as atividades de processamento devem observar as seguintes regras:
(conforme listado no Artigo 5 da LGPD)

  1. Legalidade, justiça e transparência: para coletar dados você deve ter uma base legal, um propósito claro, e você deve informar o titular sobre isso.

    • Tenha uma Política de Privacidade simples e clara e faça referência a ela em todos os lugares em que coletar dados
    • Verifique a base legal para cada uma das suas atividades de processamento de dados
  2. Limitação do objetivo: Se o conteúdo for coletado para um objetivo, solicite permissão se quiser usá-lo para um objetivo diferente.

    ex.: - Você não pode decidir vender os dados de seus clientes se eles não foram coletados para essa finalidade.

  3. Minimalismo: você deve apenas coletar os dados necessários para os seus propósitos.

  4. Exatidão: algumas etapas razoáveis devem ser seguidas para se certificar que os dados estão sendo mantidos atualizados, em relação a questão

    ex.: - Se certifique de lidar com e-mails devolvidos e corrija ou delete os endereços.

  5. Limitação de Armazenamento: dados pessoais devem ser mantidos apenas pelo período necessário para atenderem seus propósitos primários.

    Defina limites de tempo para a exclusão ou revisão dos dados pessoais que você processa, dependendo da finalidade deles.

  6. Integridade e Confidencialidade: processadores de dados devem implementar controles de acesso, segurança e medidas de prevenção de perda de dados, de acordo com os tipos e extensões dos dados sendo processados.

    ex.: - Se certifique que seu sistema de backup está funcionando, tenha controles de segurança adequados, encripte dados sensíveis como senhas, ...

  7. Responsabilidade: controladores da dados são responsáveis e devem demonstrar conformidade com todos os princípios de processamento citados acima.

    • Estabeleça e mantenha uma referência de mapeamento de dados para sua organização, descrevendo a conformidade de suas atividades de processamento.
    • Informe seus clientes através de uma Política de Privacidades clara
Base Legal

Para ser legal de acordo com a LGPD (primeiro princípio), o processamento de dados pessoais deve ser baseado em uma das seis bases legais possíveis, conforme listado no Artigo 6 (1):

  1. Consentimento: Válido quando o titular dos dados deu consentimento explicíto evoluntário após ser devidamenteinformado, incluindo um propósito claro e específico. O ônus da prova disso recai sobre o controlador.
  2. Necessário para performar um contratoou para fazer pedidos do titular dos dados na preparação de um contrato
  3. Conformidade com obrigações legais impostas ao controlador.
  4. Proteção de um interesse vital. Quando o processamento for necessário para salvar uma vida.
  5. Interesse Público ou Autoridade Oficial.
  6. Interesse Legítimo. Aplicável quando o controlador tem um interesse legítimo que não é cancelado pelos interesses e direitos fundamentais do titular dos dados.

Uma das principais mudanças trazidas pela LGPD em relação à regulamentação anterior de privacidade de dados são os requisitos mais rigorosos para obter um consentimento válido.

Direitos do Titular dos Dados

Os direitos de privacidade de dados existentes para os indivíduos são ampliados pela LGPD. As organizações devem estar preparadas para lidar com as demandas dos titulares dos dados em tempo hábil (dentro de 1 mês) gratuitamente:

  1. Direito de Acesso - Indivíduos tem direito de saberquais dados e tambémcomo seus dados pessoais são processados, com total transparência;
  2. Direito à Retificação - Indivíduos tem o direito de ter seus dados pessoais corrigidos oucompletos ;
  3. Direito à Exclusão - Indivíduos tem direito de pedir a exclusão de seus dados pessoais para informações pessoais por razões legítimas (consentimento cancelado, deixou de ser necessário para o efeito, etc.);
  4. Direito de Restrição - Indivíduos podem pedir que o controlador pare de processaros dados pessoais dele, se não quiser ou puder pedir a exclusão total de seus dados;
  5. Direito a Objeção - Indivíduos tem o direito àobjeçãoquanto ao processamento de seus dados a qualquer momento, por exemplo para o propósito de marketing direto;
  6. Portabilidade de Dados - Indivíduos tem o direito de pedir que seus dados pessoais mantidos por um controlador sejam fornecidas a ele ou para outro controlador.

Como você deve se preparar para LGPD

Aviso Legal
Não podemos oferecer conselhos legais, essa seção é oferecida apenas para fins informacionais. Entre em contato com seu advogado para determinar exatamente como a LGPD afeta sua empresa.

Aqui estão as principais etapas que sugerimos para um roteiro de conformidade com a LGPD:

  1. Estabeleça um mapeamento de dados das atividades de processamento de dados de sua organização para ter uma visão clara da situação. As autoridades de proteção de dados geralmente fornecem modelos de planilhas para ajudar nessa tarefa. Para cada processo, documente o tipo de dados pessoais e como eles foram coletados; a finalidade, a base legal e a política de exclusão do tratamento; as medidas de segurança técnicas e organizacionais implementadas e os subcontratados (processadores) envolvidos.

    Você vai precisar manter esses dados mapeados regularmente, conforme seus processos evoluem.
  2. Com base na etapa 1, escolha uma Estratégia de Correção para qualquer processamento em que você não tenha uma base legal (por exemplo, falta de consentimento) ou em que você não tenha medidas de segurança adequadas. Adapte seus processos, seus procedimentos internos, suas regras de controle de acesso, backups, monitoramento, etc.
  3. Atualize e publique uma Política de Privacidade clara em seu site. Explique quais dados pessoais você processa, como o faz e quais são os direitos dos indivíduos com relação a seus dados.
  4. Revise seus contratos com um advogado e adapte-os à LGPD.
  5. Decida como você vai responder aos vários tipos de perguntas Solicitações do titular dos dados.
  6. Prepare seu Procedimento de Resposta a Incidentes em caso de violação de dados.

Dependendo de sua situação, outros elementos podem ser adicionados à lista, como a nomeação de um responsável pela proteção de dados. Consulte seus especialistas em processamento interno e seus consultores jurídicos para determinar qualquer outra medida relevante.

Lembre-se!
Estabelecer um mapeamento claro dos seus processos vai fazer com que tudo fique mais fácil no caminho para a conformidade!

Como o Odoo está em conformidade com a LGPD?

Na Odoo, a implementação de práticas recomendadas de privacidade e segurança não é uma ideia nova. Como uma empresa de hospedagem na nuvem, estamos constantemente revisando e aprimorando nossos sistemas, ferramentas e processos, a fim de manter uma plataforma excelente e segura.

Nossas funções de LGPD

As nossas responsabilidades em termos de proteção de dados pessoais dependem das nossas várias atividades de processamento de dados:

Nossas Funções Processamento de Dados Tipo de dado
Dados Controlador& Processador No Odoo.com Dados pessoais que nos são fornecidos pelos nossos clientes diretos e potenciais, pelos nossos parceiros e por todos os utilizadores diretos do Odoo.com (nomes, e-mails, endereços, senhas...)
Processador de Dados No Odoo Cloud
(Odoo Online, Odoo.sh e outros serviços Odoo Enterprise )
Alguns dados pessoais mantidos nas bases de dados dos nossos clientes, armazenados no Odoo Cloud ou que nos foram transferidos para o propósito de uso de um dos nossos serviços. O proprietário da base de dados é o controlador de dados .
Sem cargo On-Premise Quaisquer dados localizados em bancos de dados Odoo hospedados no local ou em qualquer hospedagem não operada por nós.

Nossos documentos LGPD

Como Controlador de Dados, nossas atividades são cobertas no nosso Política de Privacidade, que foram atualizadas para a LGPD. Essa política explica o mais claramente possível quais dados processamos, por que os processamos e como o fazemos. Diretamente relacionado a isso, nossas Política de Segurança explica as práticas recomendadas de segurança que implementamos na Odoo, em todos os níveis (técnicos e organizacionais) para garantir que seus dados sejam processados de forma segura e protegida.

Além dessas políticas, nossas atividades como Processador de Dados estão sujeitas à aceitação de nossos Contrato de assinatura do Odoo Enterprise. Este acordo foi atualizado para adicionar as cláusulas de proteção necessárias para dados (frequentemente chamado de "acordo de processamento de dados"), como exigido pela LGPD.
Como cliente Odoo S.A., você não precisa fazer nada para aceitar as alterações. Você já têm os benefícios das novas garantias e vamos considerar que você está de acordo, salvo informe o contrário.

Além desses documentos, também atualizamos nosso site para inserir avisos de privacidade em todos os locais relevantes, a fim de manter nossos usuários sempre informados.

Como o Odoo ajuda você a implementar as práticas recomendadas da LGPD?

Usar o Odoo para gerenciar sua empresapode não ser suficiente para a conformidade com a LGPD, porque o regulamento se aplica a toda a sua organização.No entanto, como o Odoo centraliza seus dados, reduz a redundância de dados e implementa direitos de acesso e controles de segurança detalhados, ele pode ser uma grande ajuda para estar em conformidade com a LGPD.

Aqui estão algumas maneiras com as quais achamos que o Odoo pode ajudá-lo no contexto da LGPD, tanto para bancos de dados Odoo no local quanto hospedados na nuvem.

Aviso Legal: como sempre, consulte seu advogado para determinar como deve cumprir com a LGPD e as solicitações de dados. Lembre-se sempre que você também pode estar processando dados pessoais fora do Odoo.

Direito de acesso (art. 15) e direito à portabilidade de dados (art. 20)

  • O Odoo fornece algumas ferramentas para que os titulares dos dados acessem e atualizem suas informações pessoais no modo de autoatendimento:
    • Portal de Clientes permite que os usuários pesquisem documentos contratuais: endereço e contatos, faturas, cotações, pedidos, tarefas, tickets de central de ajuda, compras, assinaturas, pedidos de entrega, pagamentos, bem como comunicações relacionadas a esses documentos.
    • A página de listas de discussão permite que os usuários revisem e gerenciem suas assinaturas (Exemplo para odoo.com: https://www.odoo.com/groups);
    • O perfil do fórum permite que os usuários do fórum analisem todas as suas atividades em um instante
  • Se você precisar exportar todos os dados ou comunicar dados privados que não podem ser acessados pelo portal, serão necessárias algumas etapas manuais.
    Normalmente, é possível acessar todos os documentos relevantes diretamente da barra superior do formulário de contato dos usuários, onde eles estão vinculados. Em seguida, é possível exportar todas as informações com o recurso "Print as PDF" do navegador ou com o menu Ação>Exportar, na lista de contatos ou na lista de seus documentos.
    Ambas as opções fornecem formatos eletrônicos em conformidade com a LGPD.
  • Além disso, você pode ter informações não atreladas ao formulário de contato e os dados em questão podem ter entrado em um contexto separado. Você também deve revisar esses, buscando por nome ou endereço de e-mail, por exemplo
    • Inscrição para Eventos
    • Leads & Oportunidades no CRM

Lembrete: Além de poder exportar como PDF pelo navegador, o Odoo tem uma ferramenta para exportar qualquer registro, ou lista de registros, em um arquivo CSV ou Excel, bem como os documentos relacionados vinculados a esse registro. Para usá-la, vá para a visualização de lista de qualquer tela, selecione o(s) registro(s) e clique em Action > Export e, em seguida, escolha "Export All Data". A ferramenta permite que você escolha os campos que deseja exportar.

Direito de ser esquecido (art. 17)

A LGPD concede aos titulares dos dados o direito a solicitar a exclusão de seus dados pessoais, sob condições específicas, como:

  • Os dados não são mais necessários de acordo com opropósito;
  • Eles retiram o consentimento para um processamento que foi baseado emconsentimento somente;
  • O processamento é, de outra forma, ilegal.

Se você determinar que a solicitação é legítima e tiver confirmado a identidade do sujeito,  você pode tentar excluir o contato correspondente no Odoo. Isso é seguro: o sistema vai bloquear a operação se um documento comercial ainda se referir ao contato (fatura, contato, ordem de entrega, postagem no fórum etc.). Nesse caso, você deve decidir se tem outras obrigações para manter esses documentos e deve recusar a solicitação de exclusão.

Se você não tiver nenhum motivo legal para manter as informações pessoais, mas não puder ou não quiser excluir um documento ou contato, considere torná-las anônimas. Você pode renomear o contato e alterar seus dados reconhecíveis (email, endereço etc.) ou pode reatribuir documentos a um contatoAnônimo genérico. Uma vez devidamente anonimizados, esses dados não serão mais considerados dados pessoais.

Restrição do processamento (art. 18) e retirada do consentimento (art. 7)

Usuários vão pedir frequentemente para serem descadastrados de e-mails comerciais. Se seus e-mails foram enviados via Odoo, os usuários podem fazer isso eles mesmos através do link de descadastramento no rodapé. Mas você também pode ativar o campo "descadastrar-se" em um contato ou lead/oportunidade. Registros marcados como "descadastrar-se" são excluídos automaticamente de campanhas de e-mail em massa, mas ainda podem receber mensagens diretas de usuários. (ex.: cotações, faturas).

Direito de retificação (art. 16) e Precisão dos Dados (art. 5 (1) d)

Endereços de email inválidos/alterados são uma fonte comum de erro de dados. Quando a integração de e-mail está configurada corretamente (por padrão no Odoo Cloud), o Odoo lida com as devoluções de email em seus envios em massa e incrementa um campo dedevolução com o número de mensagens devolvidas. Você pode revisar periodicamente seus contatos ou clientes potenciais com uma pesquisa personalizada sobre rejeição maior que 0" e limpá-los/excluí-los.

Os seguidores dos canais do Odoo Discuss são automaticamente cancelados após 10 rejeições.

Em termos de retificação, os usuários e clientes também podem corrigir seus próprios dados pessoais (nome, email, endereço) por meio do portal Odoo.

Consentimento (Art. 7)

Quando você coleta dados pessoais através dos mecanismos padrão (ex.: formulário de contato, inscrição na lista de e-mail, inscrição em eventos), você tem que estabelecer propósitoe base legalpara o processamento. Isso depende completamente de como você vai utilizar esses dados.

Se a finalidade for específica e óbvia (por exemplo, armazenar participantes de eventos registrados para mantê-los informados sobre a duração do evento; inscrever alguém na lista de e-mails que eles escolheram), não será necessário solicitar seu consentimento explícito (os dados pessoais são necessários para um contrato - Art. 6 (1) b). No entanto, você ainda precisa deixar a finalidade clara para o usuário e consultar sua página de Política de Privacidade, onde você fornece mais informações. Você pode usar o construtor de sites do Odoo para editar os formulários e adicionar as menções necessárias.

No entanto, se você planeja usar os dados coletados para outros fins, precisa obter o consentimento explícito do usuário para cada finalidade. A maneira recomendada é adicionar caixas de seleção ao seu formulário para obter o consentimento para cada finalidade específica (por exemplo, "Me envie descontos e promoções de produtos similares por email"). Para fazer isso com o Odoo, você pode:

  1. Utilize o Odoo Studio para adicionar um campo de caixa de verificação (booleano) no documento que recolhe dados pessoais (por exemplo, Leads/Oportunidades), para representar o consentimento para este fim
  2. Adicione a caixa de seleção no formulário de seu site por meio do construtor de sites do Odoo
  3. Use esse campo para processar dados para esse propósito, por exemplo nos filtros de segmentação das campanhas de marketing

Privacidade pelo Design (Art. 25)

O conceito de segurança por design está no centro de nosso trabalho de P&D na Odoo, e aplicamos as práticas recomendadas de segurança para tornar nosso software Seguro, robusto e resistente para todo mundo.

Controle de Acesso - O mecanismo padrão de controle de acesso por grupo do Odoo permite que você restrinja o acesso a dados pessoais de acordo com o cargo e necessidade de cada usuário. (ex.: um gerente de projetos talvez não precise acessar o aplicativo de Recrutamento). Se você revisar as atribuições dos grupos de usuários e atualizá-las corretamente quando funções da organização mudarem, a sua base de privacidade será sólida. Você pode facilmente adicionar ou modificar grupos de usuários para adequá-los à sua organização.

Regras de registro - Para ajustar o acesso a dados pessoais, é possível usar o conceito de Regras de Registro, que permite restringir o acesso a documentos de acordo com qualquer critério baseado em valores de campo. As Regras de Registro podem bloquear operações de leitura e/ou gravação e funcionam por documento. Para obter mais informações, consulte a documentação.

Senhas - Odoo armazena senhas de usuário com hashing seguindo os padrões de segurança da indústria. Também é possível utilizar sistemas de autenticação externa, tais como OAuth 2.0 ou LDAP, a fim de evitar o armazenamento de senhas do usuário.

Dados do funcionário – Uma área em que as bases de dados do Odoo provavelmente incluem dados pessoais confidenciais é a aba Informações pessoais do formulário do funcionário e seus contratos. Essa parte do diretório de funcionários só é visível para a equipe de RH (grupo "Administrador de RH"), que precisa disso para seu trabalho. Essa proteção se estende ao endereço pessoal dos funcionários: no Odoo 12 até o Odoo 17, ele é armazenado como contato do tipo "Privado", visível apenas para a equipe de RH. A partir da versão 17.0, ele é armazenado diretamente no registro do funcionário.

Segurança do processamento (Art. 25 & 32)

Se você usa os serviços Odoo Online ou Odoo.sh, implementamos as melhores práticas de segurança e privacidade em todos os níveis. Você pode saber mais sobre isso em nosso Políticas de Segurança.
Se você usa Odoo On-Premise, você é responsável por seguir as melhores práticas de segurança. Você pode começar com recomendações de segurança da nossa documentação de implementação.