Gestão de dados

Área dedicada à gestão e mapeamento de todas as operações realizadas com dados pessoais. Com foco na LGPD, essa área foi desenvolvida para que o gestor possa fazer o mapeamento do ciclo do dado pessoal, além de ter a possibilidade de tomada de decisão através dos dashboards.

• Coletor de Cookies
• Tratamento de dados
• LGPD Dashboards
• Registro de Consentimento
• Enquadramento
• Não Enquadrados
• Alerta Anonimização
• Consentimento
• Área de impressão LGPD

Coletor de Cookies

Descrição: Módulo destinado para coletar e categorizar cookies utilizados em sites, as informações coletadas ajudam a criar o banner informativo para o usuário efetuar o consentimento de coleta de informações.

Cookies são arquivos criados pelos websites que você visita. Eles tornam sua experiência on-line mais fácil, economizando informações de navegação.

Como acessar: Gestão de Tratamento de Dados > Coletor de Cookies

Módulos relacionados: Gestão de Dados

Palavras chaves: Cookies, coletor de cookies, privacy by default

Cadastrar Coleta de Cookies

Para efetuar o cadastro de uma nova coleta de cookies , primeiramente é necessário adicionar a URL do site em questão, no campo “ Informe um endereço de internet”.

Após adicionada a URL, clique em Cadastrar coleta.

Deverá aguardar o processamento do coletor de cookies, para assim poder editar as informações, conforme desejar.

Editando Cookies

Cookies

Para editar os cookies de um site, deverá clicar no ícone “Lápis” editar.

URL: Campo destinado para exibição da URL escolhida.

Última Atualização: Campo destinado para informar a data e hora da última atualização. Caso o usuário deseje ter informações mais atualizadas, deverá clicar no botão “Coletar novamente”.

Caso o site possua cookies será exibido em tópicos, conforme imagem abaixo:

Cada tópico receberá o nome do cookie que está armazenado no site.

Comentário: Campo destinado para descrever um breve comentário sobre o objetivo deste cookie.

Categoria:  Campo destinado para inserção da categoria relacionada ao cookie, sendo elas:

• Essencial
• Preferência
• Performance
• Publicidade

Observação: Somente o “Essencial” será marcado como “restrito”.

Domínio: Campo destinado para exibição da hospedagem do cookie utilizado no site, campo preenchido automaticamente.

Conteúdo: Campo de exibição, onde o host insere informações do cookie hospedado, campo preenchido automaticamente.

Banner

A aba “Banner” é responsável por criar e personalizar o banner informativo sobre a coleta de cookies, em HTML, que poderá ser inserido em sites de domínio do usuário.

Posicionamento do Banner:  Campo destinado por escolher a posição que o banner será exibido.

Configuração das cores do banner: Campo destinado para personalização de cores do banner.

Cor de fundo: Campo destinado para personalizar qual será a cor de fundo que o banner irá receber.

Cor do botão: Campo destinado para personalizar qual será a cor do botão que o banner irá receber.

Cor do texto: Campo destinado para personalizar qual será a cor do texto do banner.

Cor do texto do botão: Campo destinado para personalizar qual será a cor do texto do botão do banner.

Parâmetro: Auxilia na criação do hiperlink o qual irá direcionar para a política de segurança, caso o site possua. O código com o “$” representa a notificação personalizada, conforme o exemplo acima.

Texto do Banner: Campo destinado para inserir a mensagem informativa que será exibido no banner.

Customização de preferências: Ao ativar “flag”, se permite que o usuário que acesse as preferências de cookies, que foram definidas no campo Categorias.

Preview:  Qualquer edição efetuada nos componentes acima, será exibida de forma instantânea.

Script: Código HTML que deverá ser colocado no site.

Tratamento de dados

Um dos principais módulos do MD2 Quality Manager. É através deste módulo, que o usuário poderá documentar todo o fluxo de dados com seus diversos tratamentos, compartilhamentos e hipóteses legais. Nele o usuário deverá ser o mais específico possível para documentar e evidenciar com exatidão o cenário daquele tratamento. Caso seja identificado algum risco o mesmo deverá ser registrado e classificados de acordo com a escala FMEA para Gravidade, Ocorrência e Detecção. Sempre que possível, juntamente ao registro do risco, é indicado informar o plano de mitigação.

Como acessar: Menu principal > Gestão de tratamento de dados > Processos de tratamentos de dados.

Módulos relacionados: Processos, Área de impressão LGPD.

Palavra-Chave: Tratamentos, mapeamento, dados, pessoais.

Criando processo de tratamento de dados

Para criar um processo, o usuário deverá clicar no botão cadastrar.

ABA 1: Geral

Devemos utilizar a visão geral para documentar as informações primárias do processo em questão. Apesar de serem informações básicas, essas informações são fundamentais para o entendimento e objetivo geral do tratamento de dados. Em caso de dúvidas podemos buscar junto ao responsável do tratamento aqui descrito mais informações.

Nome do processo: Campo dedicado ao nome dado ao processo mapeado. Seu preenchimento é obrigatório e é disponibilizado até 255 caracteres para preenchimento.

Sigla: Campo para preenchimento opcional da sigla do nome do processo. Espaço para até 10 caracteres.

Departamento: Campo para seleção do departamento ao qual o processo de tratamentos de dados será vinculado. Esse campo é obrigatório.

Setor: Campo para seleção do setor ao qual estará vinculado ao departamento selecionado anteriormente. Esse campo é obrigatório.

Responsável: Campo de preenchimento automático. Capta o nome do responsável pelo setor selecionado anteriormente.

Agrupamento do processo: Grupo do Processo LGPD, quando um mesmo processo é utilizado por várias áreas e ou produtos.

Descrição: Campo de 4000 caracteres para preenchimento destinado à explicação geral sobre o processo.

Processo de negócio: Botão de atalho que encaminhará o usuário ao processo de negócio referente ao processo de tratamento de dados que está visualizando. O botão será exibido somente após preenchimento dos campos: nome do processo, departamento e setor.

Estado do processo: Flag para acionar o status do processo que está sendo mapeado. “Em alteração” significa que o processo ainda está em fase de edição. “Concluído” significa que o processo foi concluído e que está disponível para a visualização. A sinalização de concluído deve ser utilizada após preenchimento e validação de todos os estágios do formulário. 

Ativo? Essa sinalização deverá ser mantida acionada quando o processo descrito estiver válido e sendo praticado dentro da organização. Quando o processo for desativado ou não tiver nenhuma utilização, a sinalização deverá ser desativada.

ABA 2: Fluxo de dados

Uma vez entendido de forma macro o objetivo do tratamento de dados, temos aqui a oportunidade de detalhar graficamente todo o fluxo do tratamento de dados em questão. Através dos ícones específicos juntamente com os sentidos dos links podemos visualizar e entender profundamente o caminho que o dado passa desde quando o mesmo foi informado até o fim de seu tratamento. É possível ainda de forma rápida e intuitiva apontar onde estão os compartilhamentos com sistemas externos o que chama ainda mais atenção para possíveis riscos consentimento.

Durante uma auditoria, essa com certeza será uma das telas mais úteis para apresentar ao auditor que a empresa está em diligência com a lei.

Objetos: Objetos são as entidades que serão representadas no desenho.

Banco de dados – interno: Entidade que representa o banco de dados localizado internamente na organização.

Banco de dados – externo: Objeto que representa o banco de dados localizado fora da organização.

Diretório – interno: Objeto que representa uma estrutura qualquer de organização de arquivos internos.

Diretório – externo: Objeto que representa uma estrutura qualquer de organização de arquivos externos à organização.

Sistema – Interno: Objeto que representa softwares/sistemas que estão alocados dentro da organização.

Sistema – externo: Objeto que representa softwares que estão alocados externos à organização.

Entidade – interna: Representa qualquer instituição, pessoa jurídica, sociedade estabelecida e controlada pela organização.

Entidade – externa: Representa qualquer instituição, pessoa jurídica, sociedade estabelecida fora e não controlada pela organização.

Link: Representa o movimento do fluxo de informação do dado.

Propriedades: Cada objeto apresentará o campo de propriedades para ser preenchido. Para acessá-lo, basta clicar com o botão direito em cima do objeto e depois em “Propriedades...”. Como regra geral, cada dado inserido deverá ser separado por “;” ou por “,” pois assim, o sistema identificará o início e o fim de cada string (ligação/junção).

Propriedades banco de dados – interno

- Descrição: Campo destinado para a enumeração das características do objeto referido.

- Localização: Lugar em que se encontra o objeto referido.

- Política de expurgo: Processo utilizado para esvaziar ou remover periodicamente um banco de dados, pastas etc.

- Sigla: Campo de 10 caracteres destinado para a abreviação do nome do banco de dados, caso exista.

Propriedades banco de dados – externo

- Descrição: Campo destinado para a enumeração das características do objeto referido.

- Localização: Lugar em que se encontra o objeto referido.

- Parceiro: São empresas que gerenciam e distribuem informações de produtos em seu nome.

- Política de expurgo: Processo utilizado para esvaziar ou remover periodicamente um banco de dados, pastas etc.

- Sigla: Campo de 10 caracteres destinado para a abreviação do nome do banco de dados, caso exista.

Propriedades diretório – interno

- Caminho: Endereço de um arquivo no sistema operacional.

- Descrição: Campo destinado para a enumeração das características do objeto referido.

- Localização: Lugar em que se encontra o objeto referido.

- Política de expurgo: Processo utilizado para esvaziar ou remover periodicamente um banco de dados, pastas etc.

Propriedades diretório – externo

- Caminho: Endereço de um arquivo no sistema operacional.

- Descrição: Campo destinado para a enumeração das características do objeto referido.

- Localização: Lugar em que se encontra o objeto referido.

- Parceiro: São empresas que gerenciam e distribuem informações de produtos em seu nome.

- Política de expurgo: Processo utilizado para esvaziar ou remover periodicamente um banco de dados, pastas etc.

Propriedades sistema - interno

- Descrição: Campo destinado para a enumeração das características do objeto referido.

- Fornecedor: Empresa que desenvolveu o sistema.

- Localização: Lugar em que se encontra a entidade referida.

- Sigla: Campo de 10 caracteres destinado para a abreviação do nome do sistema, caso exista.

- Tipo de desenvolvimento: Linguagem utilizada no desenvolvimento do sistema.

Propriedades sistema - externo

 

- Descrição: Campo destinado para a enumeração das características do objeto referido.

- Fornecedor: Empresa que desenvolveu o sistema.

- Localização: Lugar em que se encontra o objeto referido.

- Parceiro: São empresas que gerenciam e distribuem informações de produtos em seu nome.

- Sigla: Campo de 10 caracteres destinado para a abreviação do nome do sistema, caso exista.

- Tipo de desenvolvimento: Linguagem utilizada no desenvolvimento do sistema.

Propriedades entidade - interna

- Descrição: Campo destinado para a enumeração das características do objeto referido.

- Localização: Lugar em que se encontra o objeto referido.

Propriedades entidade - externa

- Descrição: Campo destinado para a enumeração das características do objeto referido.

- Localização: Lugar em que se encontra o objeto referido.

Propriedades link (FLUXO)

É importante lembrar que todos os dados descritos nos campos “Dados pessoais processados” e “Perfil da pessoa” deverão estar com os domínios criados previamente em “Dados pessoais” e “Titular da informação”. Para outros detalhes, rever a seção sobre Domínios.

- Dados pessoais processados: Dados pessoais coletados durante o tratamento descrito.

- Formato: Configuração ou meio em que o dado foi tratado.

- Perfil da pessoa: Perfil do titular dos dados.

ABA 3: Tratamentos

Nessa área o usuário poderá detalhar as informações sobre o fluxo de dados desenhado na aba 2 “Fluxo de dados”. Para isso, existem dois modos de inserir as informações coletadas na etapa anterior, de forma manual ou de forma automática.

Importação manual: Para importar os dados da aba 2 (fluxo de dados) de maneira manual, o usuário deverá clicar em “Novo tratamento” e preencher as informações necessárias.

Importação automática: Para importar os dados da aba 2 (fluxo de dados) de maneira automática, o usuário deverá acionar a flag “Importar informações do Fluxo de Dados?” e confirmar a importação na caixa de mensagem que aparecerá em sequência. Assim, todos os dados inseridos na etapa anterior serão preenchidos automaticamente. As informações apenas serão importadas com êxitos caso os domínios e nomenclaturas estejam devidamente configurados.

Lembre-se que os dados importados automaticamente não poderão sofrer nenhuma edição na etapa de tratamento. Para editar essas informações, deve-se voltar na etapa dois e editá-las conforme a necessidade.

CAMPOS DE PREENCHIMENTO

A seguir, serão apresentados os campos para preenchimento dos tratamentos dos fluxos de dados criados na etapa dois.

Objetivo: Descrição curta e objetiva sobre o propósito do tratamento. Caso opte pela importação automática, esse campo será preenchido com o nome dado aos fluxos (link) dispostos na aba de “Fluxos de dados”.

Descrição: Detalhamento dos processos de tratamento dos dados, informando como é feito o tratamento, quais dados são tratados etc.

Formato de transferência dos dados: Meio utilizado na transferência dos dados. Pode ser o tipo de arquivo, e-mail, meios físicos etc. Caso opte pela importação automática, esse campo será preenchido com o(s) item(s) descrito(s) no campo “Formato” nas propriedades do link.

Tipo Tratamento de dados: Classificação do tratamento realizado com os dados pessoais de acordo com a LGPD.

É decisão automatizada?: Essa flag deverá ser acionada quando no tratamento houver alguma decisão tomada a partir do uso automatizado dos dados pessoais.

É transferência internacional de dados?: Essa flag deverá ser acionada quando no tratamento houver algum compartilhamento com algum objeto que se localiza fora do território brasileiro.

Origem: Detalhamento sobre a entidade na qual se origina os dados tratados. No caso da importação automática, esses campos serão preenchidos automaticamente e não poderão ser editados.

Destino: Detalhamento sobre o objeto no qual destina-se os dados tratados. No caso da importação automática, esses campos serão preenchidos automaticamente e não poderão ser editados.

Período de retenção: Quanto tempo o(s) dado(s) tratado(s) é(são) retido(s)/armazenado(s) no objeto de destino. O usuário deverá colocar o número e depois clicar em dia, mês ou ano. Caso o usuário não tenha essa informação poderá marcar como não informado.

Quais técnicas de segurança aplicadas?: Campo destinado a enumeração das técnicas de segurança e salvaguardas aplicadas no tratamento em questão. Para inserir esses dados, deve-se primeiro criar os domínios na seção “Téc. de Segurança”.

Quais são os titulares da informação?: O titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Para inserir esses dados, deve-se criar os domínios anteriormente na seção “Titular da Informação”. Caso tenha sido optado pela importação automática, esses dados serão coletados da aba 2 “Fluxo de dados”, e não estarão disponíveis para a edição.

Quais podem ser menores ou incapazes?: Deve-se migrar para a coluna da direita (utilizando as setas) os perfis de titulares que tenham menos de 18 anos, ou quando uma pessoa se mostra incapaz de medir as consequências de suas ações e administrar seus bens seja por doença ou vício.

Quais os dados pessoais coletados? Campo destinado a enumeração das informações relacionadas a uma pessoa física identificável. Para inserir esses dados, deve-se criar os domínios anteriormente na seção “Dados Pessoais”. Caso tenha sido optado pela importação automática, esses dados serão coletados da aba 2 “Fluxo de dados”, e não estarão disponíveis para a edição.

Destes quais são dados sensíveis? Deve-se migrar para a coluna da direita (utilizando as setas) os dados pessoais tratados que são considerados sensíveis.

ABA 4: Compartilhamentos

Área dedicada a definição de papéis nos tratamentos de dados. Ela só será habilitada quando houver algum objeto externo envolvido no desenho da etapa 2 “Fluxo de dados”.

Os nomes dos componentes dos objetos internos sempre virão bloqueados e com o nome fantasia dado à unidade do MD2 Quality Manager (o mesmo nome que se encontra na parte superior direita da tela). Já o nome dos componentes externos também estará bloqueado por importação, porém, poderá vir o nome do objeto (nos casos do uso de objeto externo), ou com o nome do parceiro (nos casos do uso de sistema externo).

Papéis no tratamento: De acordo com a LGPD, todos os tratamentos deverão ter os agentes de tratamentos definidos. Para isso, o MD2 Quality Manager dispõe os papéis de acordo com cada tratamento que envolve entidades internas e externas.

• Não informado: Caso não esteja previamente definido, o usuário poderá optar por definir o papel como “Não informado”.
• Controlador conjunto: Segundo a LGPD, controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
• Controlador: Segundo a LGPD, controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
• Operador: Segundo a LGPD, operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
• Suboperador: Papel válido apenas para a GDPR. São aqueles que exercem serviços ou atividades terceirizadas aos operadores.
• Regulador: Papel relacionado as agências reguladoras, cuja propósito é fiscalizar, regular as atividades de determinado seguimento dentro do país, como por exemplo: Anatel, ANS, Anvisa, Bacen etc.
• Titular: Segundo a LGPD, titular é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.”

ABA 5: Validação de Hipóteses

O objetivo dessa sessão é de informarmos qual a finalidade legal do tratamento específico de acordo com a lei nº 13.709 (LGPD). Para essa classificação, é importante levarmos em consideração quais os dados pessoais envolvidos para não corrermos o risco e termos algum dado sem enquadramento legal. Durante essa análise pode ser válido o apoio da equipe jurídica.

Finalidade do tratamento: É a intenção ou motivação para a realização do tratamento dos dados. Para inseri-la, o usuário deverá cadastrar a finalidade anteriormente no domínio “Finalidade Tratamento”.

Hipótese legal: São requisitos exigidos pela lei nº 13.709 (LGPD) para o tratamento de dados pessoais. Para cada tratamento, o usuário deverá selecionar qual hipótese se enquadra dentre as hipóteses descritas na lista do MD2 Quality Manager.

Detalhamento da hipótese: Nesse espaço o usuário poderá descrever a justificativa ou embasamento sobre a escolha da hipótese legal do tratamento em referência.

Há também a possibilidade de anexar um arquivo para complementar a justificativa.

ABA 6: Riscos e Mitigação

Os riscos no MD2 Quality Manager são criados de modo manual para que o usuário possa direcioná-los somente nos tratamentos que realmente existem riscos. Sua classificação deve ser baseada de acordo com a metodologia FMEA para Gravidade, Ocorrência e Detecção.

Para criar um risco, o usuário deverá clicar no tratamento desejado, depois em “Cadastrar risco”.

Risco: Primeiramente deve-se escrever brevemente sobre o risco identificado ou simplesmente nomeá-lo. Veja que após realizada essa etapa, o risco assume esse nome no cabeçalho.

Descrição detalhada: Esse campo é dedicado a exposição ou a enumeração circunstanciada do risco identificado.

Categoria do risco: A fim de classificar os riscos, no MD2 Quality Manager é possível criar categoria para os riscos. Para isso, deve-se criar um domínio em “Categoria risco” antes de utilizá-lo.

É importante lembrar que somente serão geradas ocorrências para os riscos categorizados e após aprovação do processo de negócio.

FMEA: Como forma de priorizar a tratativa dos riscos, o MD2 Quality Manager dispõe da metodologia FMEA (Failure Mode and Effect Analysis). Deve-se pontuar de 1 a 10 para os quesitos gravidade, ocorrência e detecção, arrastando cada quesito para a pontuação desejada.

Plano de mitigação: Área dedicada para a descrição do plano a fim de atenuar, enfraquecer ou diminuir o impacto ou a probabilidade de causas negativas em um projeto. Há também a possibilidade de anexar um arquivo que complemente ou que sirva como o próprio plano de mitigação.

ABA 7: Relatório de Impacto

Por definição, o relatório de impacto do MD2 Quality Manager é composto pelas partes: a imagem das conexões dos tratamentos, a definição dos papéis nos tratamentos, definição dos riscos e mitigação e hipóteses legais de cada tratamento realizado. Todas as informações que vão sendo inseridas nas etapas anteriores, serão disponibilizadas automaticamente no relatório de impacto.

Para adicionar outros detalhamentos no relatório, ver seção sobre domínio do relatório de impacto.

Editando risco de processo de tratamento de dados

Na etapa de tratamento de dados, a edição é realizada diretamente no risco, não sendo necessário clicar em nenhum ícone para edição. Todas as alterações feitas serão salvas automaticamente.

É importante salientar que só poderão ser editados os riscos que não tiverem tratamento em andamento, ou seja, somente os riscos que tiverem ocorrências vinculadas a ele com status “nova” poderão ser editadas.

Riscos que já tiverem alguma ocorrência criada, e que a ocorrência ainda esteja com o status “nova”, ao serem editados na origem (no processo/tratamento), terão as alterações repercutidas na ocorrência.

Somente serão geradas ocorrências para os riscos categorizados e após aprovação do processo de negócio. Riscos sem ocorrências geradas, poderão ser editados normalmente.

Excluindo risco de processo de tratamento de dados

Poderão ser excluídos os riscos que não tiverem  ocorrências vinculadas. Caso exista uma ocorrência em tratamento, deverá excluir primeiro a ocorrência e em seguida o risco.

Editando processo de tratamento de dados

Para editar ou acessar um processo feito anteriormente, basta clicar no ícone “Lápis” no processo requerido.

Excluindo processo de tratamento de dados

Para excluir um processo já salvo, o usuário deverá clicar no ícone “Lápis” do processo e na aba 1“Geral”, deverá clicar no ícone “Lixeira” para excluí-lo.

Pesquisando processo de tratamento de dados

Para buscar um processo cadastrado, o usuário poderá digitar o nome do processo na barra de pesquisa da página e depois clicar “Enter” no teclado do computador.

Status dos Processos

Os processos de tratamentos de dados possui dois status "Em alteração" e "Concluído", sendo exibidos no canto superior direito de cada tratamento.

Para que o status concluído seja exibido, o processo de tratamento de dados deverá está marcado como concluído e o processo de negócios referente também deverá estar com o status do processo como disponível, conforme exemplo do processo CM004:

 

 

LGPD Dashboards

Descrição: Painel com infográficos derivados da área de processos de tratamento de dados.

Como acessar: Menu principal > Gestão de tratamento de dados > LGPD Dashboards.

Módulos relacionados: Processos de tratamento de dados.

Pesquisando processos LGPD

Há a possibilidade de aplicar filtros, facilitando a visão detalhada dos dados, de acordo com a necessidade do encarregado. Existem 4 opções:

• Hipótese legal;
• Processo;
• Parceiro;
• Status do processo.

Assim que os filtros forem configurados, basta clicar no botão “Pesquisar” para efetuar a busca. Para retornar ao relatório geral, deve-se clicar no botão “Limpar filtros”.

Processos ativos X inativos

Gráfico que indica, em porcentagem no eixo Y, e em quantidade na legenda, o número de processos de tratamento de dados ativos e o número de processos de tratamento de dados inativos.

Status cadastramento processos

Gráfico que indica, em porcentagem no eixo Y, e em quantidade na legenda, o número de processos de tratamento de dados com o status concluído e em alteração.

Distribuição por compartilhamento

Gráfico que indica, em porcentagem no gráfico de setores, e em quantidade na legenda, o número de processos de tratamento de dados que compartilham dados com pelo menos um componente externo e os que não possuem nenhum compartilhamento com componentes externos.

Processos Com X Sem riscos

Gráfico que indica, em porcentagem no eixo Y, e em quantidade na legenda, os processos de tratamento de dados que contém ou não riscos mapeados.

Processos Com X Sem mitigação

Gráfico que indica, em porcentagem no eixo Y, e em quantidade na legenda, de processos de tratamento de dados que possuem ou não plano de mitigação para os riscos identificados.

Distribuição de riscos

Gráfico de dispersão com a indicação dos riscos considerando os fatores “Ocorrência” (eixo Y) e “Gravidade” (Eixo X), que foram inseridos nos riscos dentro do processo de tratamento de dados. Ao posicionar o cursor sobre cada item, podemos visualizar informações sobre os riscos do processo.

Tratamento por hipótese legal

Gráfico de barras que permite visualizar, em porcentagem, a distribuição das hipóteses legais registradas na área de gestão de tratamento de dados.

Registro de Consentimento

Descrição: Responsável pela visualização e gerenciamento dos registros de consentimentos cadastrados para os titulares. Neste submódulo o usuário poderá filtrar todos os titulares que forneceram consentimento para a realização de tratamento com seus dados pessoais. Existem diversas opções para a realização da filtragem, tanto por titular, quanto por ocorrências.

Como acessar: Gestão de Tratamento de Dados > Reg. Consentimento

Módulos relacionados: Gestão de Dados.

Palavras chaves: Consentimento; Registro.

O usuário poderá pesquisar o titular através de pesquisa rápida, pelo nome ou CPF. Os campos de nome, CPF e data de nascimento serão preenchidos de forma automática, ao selecionar o titular pesquisado.

Protocolo: Número de protocolo gerado na abertura da ocorrência.

Ocorrência: Informa o tipo de ocorrência aberta.

Situação: Informa se a ocorrência já foi tratada ou não.

Autor: Informa se o autor da ocorrência aberta é um usuário da ferramenta, que será um colaborador interno da empresa; ou uma pessoa externa, que abrirá uma solicitação de forma autenticada ou não autenticada.

O usuário poderá ainda filtrar pela ocorrência registrada, informando o protocolo ou o tipo de ocorrência aberta. Ao efetuar a pesquisa do titular anteriormente, esses campos também serão preenchidos automaticamente, de acordo com a ocorrência aberta por ele.

A tabela abaixo indica as finalidades para a realização do tratamento de dados, informando se o consentimento foi fornecido ou rejeitado por parte do titular dos dados pessoais.

 

Enquadramento

Descrição: Painel com infográficos, derivados da área de tratamento de dados, para acompanhamento de informações referentes aos enquadramentos dos processos de tratamento de dados.

Como acessar: Gestão de tratamento de dados > Gestão de Enquadramento.

Módulos relacionados: Gestão de tratamento de dados.

Palavras chaves: Tratamento de dados, Enquadramento. 

Filtros

Há a possibilidade de aplicar filtros, facilitando a visão detalhada dos dados, de acordo com a necessidade do encarregado. Existem 6 opções: 

• Departamento;
• Setor;
• Sistema;
• Processos;
• Hipótese Legal;
• Status.

Assim que os filtros forem configurados, basta clicar no botão “Pesquisar” para efetuar a busca. Para retornar ao relatório geral, deve-se clicar no botão “Limpar filtros”. 

Registro Conforme X Não Conforme

Gráfico que indica em porcentagem a quantidade de enquadramentos que estão Conforme e Não conforme.

Por Hipótese Legal

Gráfico que indica quais enquadramentos legais estão presentes nos tratamentos de dados e quantos tratamentos estão enquadrados.

Por Sistema Origem

Gráfico indica a porcentagem de enquadramentos conforme e não conforme por sistema de origem. o percentual é medido élo total de registros por sistema.

Por Processo

Gráfico indica quais processos possui enquadramento e a quantidade de enquadramento por processos.

Não Enquadrados

Descrição: Painel com infográficos, derivados da área de tratamento de dados, para acompanhamento de informações referentes a registros sem enquadramento.

Como acessar: Gestão de tratamento de dados > Não enquadrados

Módulos relacionados: Gestão de tratamento de dados.

Palavra Chave: Enquadrados, Não enquadrados.

Volume de registros sem enquadramento por origem

O dashboard de enquadrados trata como não conforme os casos indicados como "SEM ENQUADRAMENTO", que inclusive tem ocorrência para cada sistema, que são passíveis de verificação no módulo de consulta de pessoas do QM. Com o objetivo trazer as cinco primeiras origens com maior número de registros sem enquadramento legal, e as demais origens de forma agrupada. A última coluna exibirá o total de registros na base sem enquadramento.

As informações do dashboard de não enquadrados são baseadas na tabela BQA_ALERTA_ENQUADRAMENTO, mostrando assim uma visão mais detalhada do motivo e os quantitativos relacionados aos alertas.

Motivos de registros sem enquadramento

O dashboard traz por volume os motivos que foram encontrados na base de dados os registros sem enquadramento legal.

Principais Motivos:

Processo incompleto: processos em definição de hipótese legal de retenção ou finalidade de tratamento.

Base de dados sem vínculo: Base de dados sem vínculo com processos no MD2 Quality Manager.

Obrigação legal sem retenção: Obrigação legal sem tempo de retenção definido.

Evento sem vínculo: Tipo de evento não possui de-para de processo do MD2 Quality Manager.

Documento não encontrado: Documento da AUX_PESSOA_EVENTO não identificado na BUP. Não encontrou a pessoa vinculada ao evento.

Documento inválido: Documento inválido na tabela AUX_PESSOA_EVENTO.

Pessoas sem registro de vigência: Pessoa não tem contrato, proposta ou ação judicial que informe as vigências.

Volume ao longo do tempo

O dashboard tem por objetivo exibir o acumulado de registros sem enquadramento em uma visão mensal acumulada.

Volume de registros próximos do fim da vigência:

O dashboard traz o volume de registros que estão com a vigência do enquadramento legal perto do vencimento. Os dados são exibidos de forma agrupada contando a partir de 45 dias antecedentes ao fim da vigência.

Registros de titulares sem enquadramento

 Esta tabela traz informações dos titulares registrados sem enquadramento legal, exibindo informações como o motivo do registro estar sem enquadramento e a data da última vigência, com possibilidade de efetuar a pesquisa pelo nome do usuário.

Registros de titulares próximos ao encerramento de enquadramento

Esta tabela, traz os dados dos registros que está com vencimento próximo.

O usuário poderá pesquisar o titular pelo “Nome“. Essa pesquisa serve tanto para o tópico “Registros de titulares sem enquadramento” como para o tópico “Registros de titulares próximos ao encerramento de enquadramento”.

 

Alerta Anonimização

Descrição: Responsável pela visualização de dashboards referentes a atualizações de anonimização no MDM. O usuário poderá filtrar os dados de acordo com o motivo da anonimização e a origem desses dados.

Como acessar: Gestão de Tratamento de Dados > Alerta Anonimização

Módulos relacionados: Gestão de Dados.

Palavras chaves: Anonimização.

Filtros

Após filtrados, informações sobre os dados serão exibidos neste painel. Mais abaixo pode-se ver uma tabela informativa, trazendo detalhes da anonimização desses dados, como o sistema de origem, o banco de dados onde os dados foram armazenados, a tabela e o motivo de sua anonimização.

Motivo: Possibilita o usuário filtrar os dados anonimizados de acordo com o motivo adotado para a ação.

Origem: Possibilita o usuário filtrar os dados anonimizados de acordo com o seu sistema de origem.

Data de cadastro inicial: Data de cadastro dos dados no sistema.

Data da inclusão fim: Data da anonimização dos dados.

Cards

Os Cards, trazem um resumo visual e quantitativo de dados anonimizados na ferramenta. Sendo eles:

Total -  geral de dados anonimizados nos sistemas carregados no MDM

Anonimização indevida - Dados que foram anonimizados de forma indevida

Registro anonimizado alterado - Dados que foram registrado alguma alteração na anonimizaão.

Outros -  São dados que não se caracterizam com os outros cards.

Quando não possuir dados para os tipos pré-denifinos de cards, será exibido a mensagem "EM DADOS PARA O FILTRO SELECIONADO"

Por motivo

O gráfico de colunas que permite visualizar, em porcentagem, os motivos que houveram a anonimização dos dados dos titulares, sendo eles por anonimização indevida ou por alteração.

 

Por Origem

Gráfico de barras que permite visualizar, em porcentagem, as anonimização por sistemas de origem do MDM.

Volume ao longo do tempo

Gráfico em linhas, que indica o quantitativo de volume de anonimização de dados por determinado período.

Tabela Anonimizados

A tabela exibe o nome do titular anonimizado com o rastreio do sistema, do banco de dados e da tabela do banco de dados em que o titular estava e o motivo pelo qual foi anonimizado. O usuário terá a possibilidade de pesquisar por nome do titular

Consentimento

Descrição: Responsável pela visualização dos consentimentos cedidos pelos titulares, podendo-se filtrar o consentimento de acordo com cada finalidade aplicada para o tratamento, assim como, se o consentimento está ativo ou inativo.

Como acessar: Gestão de Tratamento de Dados > Gestão do Consentimento

Módulos relacionados: Gestão de Dados.

Palavras chaves: Consentimento; Gestão.

Filtros

Finalidade: Indica a finalidade pela qual o consentimento foi aplicado, para que o titular dos dados possa aceitá-lo.

Status: Indica se o consentimento fornecido está ativo ou inativo.

Quantidade por Status

Gráfico de roscas que indica, em quantitativo o número de status ativos e inativos. 

Por Origem

Gráfico de barras, que indica o quantitativo de consentimentos dados por sistema de origem cadastrados no MDM.

Por Finalidade

Gráfico de barras, que indica o quantitativo de consentimentos dados por finalidade cadastrados no sistema.

Histórico de Consentimento

Gráfico em linhas, que indica o quantitativo de consentimentos dados por histórico de consentimento dados em determinado período.

 

Área de impressão LGPD

Descrição: Módulo responsável pela impressão do Relatório de Impacto à Proteção dos Dados Pessoais (RIPD) . Com função de auxiliar o DPO e sua equipe de governança no processo de melhoria contínua, e em caso de auditoria pela ANPD, o usuário terá insumos consolidados dos processos. Além do RIPD, conseguimos exportar dos dados cadastrados via planilha e exportar apenas o mapeamento de dados.

Como acessar: Gestão de Tratamento de Dados> Área de Impressão LGPD.

Módulos relacionados: Tratamento de Dados.

Palavras chaves: RIPD.

Processo na área de impressão

Campo destinado para escolher quais processos serão escolhidos para serem impressos.

O usuário poderá escolher quantos processos desejar para impressão.

Ao clicar no símbolo da direita, passa todos os processos para a Área de Impressão e ao clicar no da esquerda passa os processos de área de impressão para a Lista de LGPD Processos.

Outra forma de escolher o(s) processo(s) para a área de impressão, é clicando no próprio processo e arrastando para o outro campo.

Pesquisando na Área de Impressão LGPD

Para efetuar uma pesquisa no RIPD, o usuário deverá clicar no botão da lupa.

Mapeamento de dados

Ao clicar no símbolo de mapeamento de dados, será efetuado o download de um arquivo em formato PDF na máquina do usuário, com os dados do processo selecionado.

Imprimir RIPD

Ao clicar no botão de imprimir RIPD, será efetuado o download de um arquivo em formato PDF na máquina do usuário, com todas as informações pertinentes ao processo escolhido.

Diferente do relatório de Mapeamentos de Dados, o RIPD vem com um campo para assinatura de todos os responsáveis pelo processo, para que possa ser apresentado para a ANPD.

Componentes do RIPD

O relatório de impacto à proteção de dados pessoais (RIPD) é um documento que demonstra quais os dados pessoais são tratados, compartilhados  e armazenados e quais medidas são adotadas para a mitigação dos riscos que possam afetar as liberdades civis e direitos fundamentais dos titulares desses dados.

Capa

A capa do relatório de impacto contém alguns itens padronizados e outros que podem ser configurados.

Logo: A logomarca localizada no canto superior esquerdo é referente a logomarca do sistema MD2 Quality Manager vem por padrão do relatório, não tendo como opção sua edição.

Título: O título do relatório é padrão e não poderá ser alterado. Permanecendo como “Relatório de Impacto à Proteção de Dados”.

Nome Fantasia: O nome da empresa exibido abaixo do título está conforme cadastrado em Configuração da Unidade, no campo Nome Fantasia.

Caso necessite que o nome fantasia seja alterado, o usuário deverá substituir em Configuração > Unidade. Para mais detalhes rever o módulo 2.4.1 Unidade.

Rodapé: No rodapé da capa, é exibido o dia, a data e a hora em que o relatório foi gerado.

RIPD

O campo RIPD descreve as principais informações do Processo e do controlador.

Detalhes do controlador: Neste campo do relatório são exibidos alguns itens importantes do controlador, como CNPJ, telefone, e-mail, endereço etc.

Detalhes do encarregado de dados: Neste campo do relatório são exibidas as informações do encarregado de dados da empresa.

Para configurar esses dados você precisa acessar: Configurações > Estrutura Organizacional > Unidade. Para mais detalhes rever o módulo Unidade.

Processo: O campo de Processo, representa as informações inseridas na etapa 7 do tratamento de dados. Para mais detalhes rever o módulo  - Criando relatório de impacto.

O nome do processo será exibido sempre à frente do Processo, conforme imagem a seguir:

Anexo

Campo responsável por exibir informações complementares do processo de tratamento de dados.

Abaixo de cada Anexo é exibido o Departamento e o Setor que o processo se refere.

Processo: Campo destinado para informar o nome do Processo que será exibido

Descrição do processo: Campo destinado para exibição da descrição efetuada no tratamento de dados.

Fluxo de dados: Campo destinado para exibir o fluxo de dados do processo, bem como seus tratamentos de forma visual.

Legenda: Campo destinado para exibir a legenda referente ao fluxo do tratamento de dados.

Descrição dos tratamento de dados: Neste campo são exibidas todas informações referente ao tratamento de dados cadastrado, como: Tipo dos dados pessoais, dados sensíveis, perfil dos titulares etc.

Identificação dos compartilhamentos de dados: Campo destinado para exibir o compartilhamento de dados que ocorre na etapa 4 “Compartilhamento” no tratamento de dados.

Técnicas de segurança aplicadas: Campo destinado para exibir quais foram as técnicas de segurança aplicadas no tratamento de dados.

Hipóteses legais e finalidades: Campo destinado para exibir todas as finalidades e hipóteses legais cadastradas no tratamento de dados.

Riscos e orientações para mitigação: Campo destinado para exibir todos os riscos e orientações para mitigação, referente à etapa 6 do tratamento de dados.

Plano de ação: Campo destinado para exibir os planos de ação cadastrados no tratamento de ocorrências vinculados ao processo de negócios.

Caso o processo possua ocorrências vinculadas a ele, sendo com o status: Nova, Em Andamento ou Tratada, será exibido com as seguintes informações:

• Nome
• Descrição
• Tipo
• Risco
• Gravidade GUT
• Urgência GUT
• Tendência GUT
• Data da criação

 

Exportar para Excel

Ao clicar no botão de “Exportar para Excel”, será efetuado a exportação de um arquivo em Excel na máquina do usuário, com todos os campos preenchidos no módulo de tratamento de dados.

Cada aba da tabela representa um campo específico do tratamento de dados.