Guia de Agosto de 2022 - CyberSecurity

 Cyber Security

Por Thiago Alvarenga

Valinhos SP / Agosto de 2022

Necessidade: Identificar se um site está com o TLS vulnerável

O primeiro passo é identificar portas que possuem serviços embrulhados SSL/TLS. Normalmente, as portas tcp com SSL para serviços web e de e-mail são, mas não se limitam a:  443 (https), 465 (ssmtp), 585 (imap4-ssl), 993 (imaps), 995 (ssl-pop).

Neste exemplo, buscamos serviços SSL usando nmap com opção "-sV", usado para identificar serviços e também é capaz de identificar serviços SSL. Outras opções são para este exemplo em particular e devem ser personalizadas. Muitas vezes, em um escopo de teste de penetração de aplicativos da Web é limitado à porta 80 e 443.

1. Verificando informações sobre certificados, cifras fracas e SSLv2 via Nmap

Comando: 

# nmap --script ssl-cert,ssl-enum-ciphers -p 443,465,993,995 siteapesquisar.com.br

2. Verificando a renegociação iniciada pelo cliente e renegociação segura via OpenSSL (manualmente)

O OpenSSL pode ser usado para testar manualmente SSL/TLS. Neste exemplo, o testador tenta iniciar uma renegociação pelo cliente conectando-se ao servidor com o OpenSSL. O teste então escreve a linha de punho de um pedido HTTP e digita em uma nova linha. Em seguida, ele aguarda a renegociação e a conclusão da solicitação HTTP e verifica se a renegociação segura é suportada olhando para a saída do servidor. Usando solicitações manuais também é possível ver se a Compactação está habilitada para TLS e verificar se há inconsistência, para cifras e para outras vulnerabilidades.

Comando: 

#openssl s_client -connect avaetec.com:443

Fonte:

 WSTG - v4.1 | Fundação OWASP

Scan TLS heath and configuration - Geekflare Tools

Resumo - CloudFormation

 Por Thiago Alvarenga

O CloudFormation é utilizado para simplificar o gerenciamento da infraestrutura cloud por meio de automação. 

Recursos:

• É uma linguagem de infraestrutura usado apenas em AWS;
• Recursos definidos por JSON ou Yaml;
• É possível criar recursos direto em Cloud;
• Ajuda na manutenção e automação da infraestrutura em redes;
• Gerencia estados;
• Pode ser manipulado por Templats (Dinâmico ou Estático);
• Por meio de Stacks é possível definir parâmetros específicos (stecks é a configuração definida na aws);
• Stackset (É usado para aplicar de forma ampla todas configurações no definidas no templat em várias contas da AWS quando a conta tem uma Aws Organization configurada);

Resumo finalizado

Introdução ao Kubernetes

 kumernetes

Por Thiago Alvarenga

21 DE JUNHO DE  2022

1 Introdução

Este nome tem a sua terminologia conhecida por k8s, uma solução open Source utilizada para automatizar e simplificar todo o processo de gerenciamento de containers linux. Tendo o Google como uma das empresas pioneiras a desenvolver e utilizar a tecnologia de containers, o Kubernets simplifica o gerenciamento de aplicações que utilizam containers e precisam de segurança, performance, escalabilidade, monitoramento e suporte em diferentes provedores cloud.

A premissa aqui é entender o que é o Kubernetes, seus principais recursos, tais como Pods, Service, ConfigMap, Nodeport, Replicaset/deployments, Storage classes e Liveness, por fim, mas não menos importante, Readiness Probes. Talvez o artigo não consiga alcançar todos os pontos princicpais, contudo, servirá para ter uma base sobre o assunto. 

2 Entendendo Kubernetes

Antes de adentrar sobre o assunto de kubernetes,  é necessário fazer uma pausa e falar sobre Docker. O Docker é uma ferramenta padrão para deployar/implementar uma aplicação usando containers, ou seja, é possível criar uma máquina com todos serviços do xampp e instalar todas as dependências necessárias e disponibilizá-la como containers.

Em poucas palavras, a grande vantagem de um container é o de compilar todas as suas dependências necessárias para rodá-la, isto inclui bibliotécas, o runtime e o código da aplicação, todo este compilado é chamado de imagem que pode ser versionado ao distribuí-lo. 

Há alguns percalsos que o Docker sozinho não irá resolver, não precisamente um percalso, mas cenários complexos com demandas de alta disponibilidade, escalabilidade e microserviços. Explanando um pouco mais sobre este último exemplo, imagine uma aplicação que estava em um único container e passou a ser dividida em vários outros que precisam interagir entre si de maneira confiável passando por vários hosts garantindo a alta disponibilidade e escalabilidade necessário para rodar a aplicação. Este é um dos percalsos que a Docker sozinho não irá atender.  

Pensando nesta necessidade de gerenciamento, de uma maneira de garantir que todo este ecosistema continue rodando, é que volta-se ao título deste artigo, o Kubernetes.

É o kubernetes que gerencia os containers em execução e por isso ele também é denominado de "Orquestrador de Containers", através dele é possível realizar o rollbacks, garantir a altadisponibilidade, atualizações em lote e entre outros. Os maiores Playres de provedores de nuvem dão suporte ao kubernetes. Um adendo para este parágrafo, é sobre a alternativa de montar todo este ecosistema localmente usando o Minikube que simula um cluster kubernetes, ideal para testes e estudos, o atrativo disto é que após realizar este ensaio local, o usuário pode subir toda aplicação para nuvem. Vale ressaltar que o kubernetes não é o único Orquestrador de Containers, a própria Docker disponibiliza o Docker Swarm. 

Personalizando o seu histórico de comandos do Linux

 Por Thiago Alvarenga

Este artigo partiu da necessidade de criar uma linha do tempo sobre todos comandos utilizados no linux. Sempre há várias formas de chegar ao mesmo objetivo, este aqui é a forma mais simples que eu encontrei.

 Abra o terminal, e execute os passos seguintes. 

Passo 1 - Aumentando o histórico dos comandos para 10 mil linhas

root># HISTFILESIZE=10000

Passo 2 - Copie o arquivo para a pasta home do seu usuário com o comando abaixo:

root># cp /etc/bash.bashrc ~/.bashrc

Passo 3 - Copie e cole cada comando abaixo no terminal:

root># echo 'HISTTIMEFORMAT="%d/%m/%y %T "  ' >> ~/.bashrc

root># echo 'HISTFILESIZE=100000' >> ~/.bashrc

root># echo 'HISTSIZE=100000' >> ~/.bashrc

Passo 4 - Agora, proceda com a atualização das configurações com este último comando:

root># source .bashrc

Passo 5 - Teste para ver como ficou com o comando abaixo: 

root># history

Fonte: 

https://www.linuxnaweb.com/history-historico-de-comandos-linux/

https://diolinux.com.br/sistemas-operacionais/como-customizar-o-history-do-shell-no-linux.html

https://www.vivaolinux.com.br/topico/UbuntuBR/Como-aumentar-a-quantidade-de-linhas-do-comando-history

A conexão caiu no linux - Saiba retornar de onde você parou.

 É possível gerenciar múltiplas sessões usando o Screen do Linux. Com esta aplicação no Linux é possível retornar a sua sessão de onde você parou, ou seja, você fez um acesso remoto por ssh em um servidor linux e por algum motivo a sua conexão caiu, imagine que você estava configurando várias funções e em uma falha na conexão implicaria começar tudo novamente, esta aplicação tem a característica de trabalhar com múltiplas sessões em segundo plano salvando o seu estado atual. 

Partindo para a prática, veja a tela abaixo para iniciar a instalação: 

Após a instalação, para salvar sua sessão basta rodar o comando escrevendo:  screen 

será exibida uma tela, pressiona a tecla ENTER. É possível também criar a sessão inserindo um nome para melhorar sua identificação, comando:   screen -S minha_tela 

Agora, para listar todas as sessões salvas basta utilizar o comando:  screen -ls 

Desta forma, para retornar, é possível evidenciar que há três sessões gravadas, basta executar o comando abaixo para restaurá-la. Observe na figura abaixo: 

Com este artigo foi possível entender a aplicação de múltiplas telas do Linux em modo shell de comandos. 

Fonte: 

https://sempreupdate.com.br/multiplas-telas-com-o-screen-no-linux/

https://www.hostinger.com.br/tutoriais/instalar-e-usar-screen-linux

Blockchain para autenticar suas Provas - Whatsapp

Por Thiago Alvarenga

 Tecnologias Descentralizadas

Tendo como principal objetivo, o de entender quais indicadores nos levaram a desenvolver a nossa forma de estruturar a sociedade e os tratos negociais de forma centralizada, evidencia-se agora, uma evolução da sociedade migrando para um horizonte sem fronteiras na forma de se relacionar, ou seja, descentralizada provocando uma disrupção nas relações jurídicas, negociais e financeiras, vivenciadas até o momento.  

É possível citar o Blockchain, Smart Contracts, Smart Cities como tecnologias descentralizadas, um destaque maior para o Blockchain que será o tema deste artigo. 

Até o final do Feudalismo, as transações comerciais eram regionalizadas e focadas em determinados reinos ou cidades, de forma controlada sobre o que cada indivíduo comercializava ou oferecia os seus serviços, muitas vezes em troca de algum metal precioso ou de mercadorias. 

Quando a corrente do comércio se deslocou do Mediterrâneo para o Atlântico, as outrora grandes cidades italianas entraram em declínio e Antuérpia tomou seu lugar. Não era o tamanho que a tornava grande – tinha apenas uma população de cerca de 100 mil habitantes. Era, sobretudo, o fato de estar livre das restrições de toda natureza. Enquanto as demais cidades na Idade Média dificultavam aos mercadores estrangeiros a prática de negócios dentro de seus muros, a Antuérpia os recebia de braços abertos. Era realmente um centro livre de comércio internacional – todos ali podiam comerciar, e todos comerciavam [...] Os banqueiros inventavam formas e meios de efetuar pagamentos para que o intercâmbio de mercadorias se fizesse fácil e rápido. Quando o mercador de um país, a Inglaterra, por exemplo, compra mercadorias de um mercador de um país distante, digamos a Itália, como pagá-las? Enviará o inglês ouro ou prata ao italiano? É perigoso e caro. Algum sistema de crédito devia ser concedido para tornar desnecessários tais embarques de ouro. Assim, concordava-se em que o inglês, em pagamento de sua dívida ao italiano, lhe entregasse um pedaço de papel estipulando a quantia devida pelas mercadorias compradas. [...] Com uma câmara de compensação central os dois débitos seriam cancelados – sem que qualquer quantia tivesse sido enviada a longas distâncias [...].(HUBERMAN, 2019, p. 73-74)

A narrativa é que as chamadas câmaras de compensação central tiveram sua origem muito antes do Feudalismo, sua história é antiga, mas a sua relevância começou no século XIII e subsiste até as duas primeiras duas décadas do século XXI e com tendências para outras décadas.  

Pelas câmaras de compensação, é delegado a uma pessoa de confiança o poder de realizar a compensação entre créditos e débitos. O poder de garantir que as transações comerciais efetivamente fossem cumpridas, esta dependência perdura até os dias atuais, o de eleger um terceiro de confiança, sem o qual, tornou-se impensável realizar qualquer transação. 

Vale a seguinte reflexão:  

Como pessoas desconhecidas entre si, distantes fisicamente e com tecnologias de comunicação em estágio inicial e precário, poderiam confiar entre si para realizar negócios jurídicos? Poderiam ter certezas quanto a veracidade das informações? Poderiam ter garantias em relação a terceiros? Poderiam praticar atos que se tornassem públicos para, por exemplo, a garantia da proteção da propriedade? São alguns dos motivos e inquietações que fizeram as civilizações elegerem um terceiro desinteressado e estranho à relação jurídica ser aquele responsável por certificar determinadas transações, sendo esta a razão de ser de uma forma centralizada das informações, dos dados, dos negócios jurídicos, das transações financeiras, entre outros. Rebouças, Rodrigo Fernandes, p 8. 2020 Editora e Distribuidora Educacional S.A.

Esta é a sinergia dos cartórios e tabeliães, que com a devida fé-pública, certificam a realização de determinados atos da vida cível, criminal e comercial, sempre e de praxe, com a dependência de nomeação de um terceiro desinteressado e de confiança do Estado. 

Isto também se aplica na estrutura do sistema financeiro global, onde há um banco central em cada nação, ao qual vinculam-se as instituições financeiras para as quais os cidadãos movimentam os seus recursos financeiros.

Tendo como contraponto para esta metodologia antiga, apresenta-se a abordagem da tecnologia de blockchain, contudo, é necessário entender o que é um hash, vejamos:

Uma função Hash, ou um código Hash, representa a aplicação de um algoritmo (equação matemática), sobre determinado arquivo eletrônico que é imutável, fixo e único para cada arquivo, de forma que cada arquivo eletrônico terá uma única e exclusiva representação matemática por uma função Hash (sequência imutável de letras e números). Qualquer alteração no arquivo, mesmo que seja um simples espaço ou configuração de estilo, resultará em alteração da função Hash. 

Em outras palavras, assim como uma pessoa só pode ter um único CPF, no mundo digital um dado digital só pode ter um código hash, que garante a comprovação deste dado, atesta que ele é íntegro e único.

Dito isto, esta tecnologia descentralizada (blockchain), atende aos quatro desafios: (i) a estrutura de confiança ponto a ponto sem qualquer intervenção de uma autoridade pública ou privada; (ii) com transações certificadas, transparente e inalterada; (iii) seu registro alcança uma cadeia de blocos virtuais que atestam a sua autenticidade na preservação das provas virtuais; (iv) afasta a necessidade da eleição de um terceiro de confiança, já que as partes poderão transacionar mesmo sem se conhecerem, garantem a sua rastreabilidade. 

Ilicitude. É possível afirmar que o Blockchain é uma tecnologia licita no ordenamento jurídico brasileiro, trata-se da chamada atipicidade dos meios de prova, a permitir que as partes se valham no processo tanto de meios de provas típicos, admitidos e regulados em lei, como os atípicos, que não contam com qualquer previsão legislativa, é o que versa o art. 369 do CPC/15, 

“todos os meios legais, bem como os moralmente legítimos, ainda que não especificados neste Código, para provar a verdade dos fatos em que se funda o pedido ou a defesa e influir eficazmente na convicção do juiz”.

Por meio desta tecnologia, é possível afirmar com clareza, escusa-se da necessidade de um tabelião como alternativa de fé-pública, denominada de ata notarial. Com o devido parêntese sobre o assunto, este é um método burocrático e caro de produzir provas, no Estado de São Paulo tem o seu custo aproximado em 441,09 pela primeira folha e R$ 222,73 pela folha adicional. Não será tema para este artigo, mas consulte aqui. 

Previsão legal dos documentos digitais. Um adendo para as alterações na Lei 12.682/2012, que dispõe sobre a elaboração e o arquivamento de documentos em meios eletromagnéticos, trazidas pela Lei nº 13.874/2019, denominada de Lei da Liberdade Econômica. 

Que por fim, presume-se que os documentos digitais é equiparado a outras provas físicas e tem a validade jurídica necessária, desde que acompanhados do certificado de autenticidade e integridade, observe: 

Art. 2º-A. Fica autorizado o armazenamento, em meio eletrônico, óptico ou equivalente, de documentos públicos ou privados, compostos por dados ou por imagens, observado o disposto nesta Lei, nas legislações específicas e no regulamento. (Incluído pela Lei nº 13.874, de 2019)

§ 2º O documento digital e a sua reprodução, em qualquer meio, realizada de acordo com o disposto nesta Lei e na legislação específica, terão o mesmo valor probatório do documento original, para todos os fins de direito, inclusive para atender ao poder fiscalizatório do Estado. (Incluído pela Lei nº 13.874, de 2019)

§ 7º É lícita a reprodução de documento digital, em papel ou em qualquer outro meio físico, que contiver mecanismo de verificação de integridade e autenticidade, na maneira e com a técnica definidas pelo mercado, e cabe ao particular o ônus de demonstrar integralmente a presença de tais requisitos. (Incluído pela Lei nº 13.874, de 2019)

Há também a medida provisória n° 2,200-2/2001 que instituiu a infraestrutura de Chaves Públicas, vislumbre logo abaixo no seu art. 10 § 2°:

Art. 10, §2º O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.

Como princípio da autonomia da vontade, outros meios também encontra amparo na norma, desde que admitido pelos interessados. 

Nesta maestria, a Pianaro advocacia expôs um comparativo de ferramentas e preços, logo abaixo: 

Fonte: pianaro.adv.br

Por fim, a preservação de provas por meio de ferramentas que utilizam esta tecnologia de blockchain tem acolhido amparo nos tribunais como valor probatório. As eleições de 2020 certifica esta confiança, relativo a processos eleitorais que usaram estes tipos de ferramentas.    

Fonte: 

https://www.verifact.com.br/registro-de-provas-digitais-pode-fazer-a-diferenca-nas-eleicoes/

https://www.migalhas.com.br/quentes/351857/dados-da-verifact-comprova-propaganda-eleitoral-irregular-na-internet

https://jus.com.br/artigos/83641/como-a-blockchain-pode-ser-utilizada-para-autenticar-suas-provas

https://pianaro.adv.br/2021/03/17/prova-em-blockchain-o-que-e-e-comparativo-entre-as-ferramentas-disponiveis/

https://www.youtube.com/watch?v=Nr7U57TNmRM

https://canaltech.com.br/software/converter-audios-whatsapp-mp3-podcasts/

http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/L13874.htm

http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12682.htm 

https://hash.cool/#pricings

Política de Governança de TI sob Ações Preventivas e Corretivas

 

POLÍTICA DE GOVERNANÇA DE ATIVOS

AÇÕES PREVENTIVA E CORRETIVA

 

Esta POLÍTICA DE GOVERNANÇA DE ATIVOS versa sobre ações Preventiva e Corretiva com foco em manter a resiliência dos ativos sob uma intervenção técnica. Avaliado sobre a ótica da resiliência, ou seja, sobre os riscos associados a continuidade ao negócio tendo como resultado, o efeito incerto sob um conjunto particular de circunstâncias que, se ocorrerem, podem afetar adversamente a organização, como a exposição a perdas financeiras. Esta política não aborda ações preditivas.

 

AÇÕES CORRETIVAS

Consideradas como práticas necessárias para que algum problema ocorrido não seja recorrente. Como adendo a este conceito, as ações corretivas são aplicadas para eliminar as causas raiz de uma não-conformidade, seja por incidente ou acidentes.

 

AÇÕES PREVENTIVAS

As ações corretivas são práticas necessárias para evitar que um problema traga novos riscos, atuando sempre de forma proativa, é usado para garantir que a resiliência seja mantida sem a necessidade de experimentar algum tipo de inatividade tendo como norte, a continuidade do negócio.

Como metodologia para implementar uma ação corretiva ou preventiva, podem ser usadas listas de verificações, também conhecidas como checklists, na forma de passos a serem executadas para chegar a um fim. Listas de verificações também podem ser definidas com algumas características: lista de fatores, propriedades, aspectos, componentes, critérios, tarefas ou dimensões, a presença, referência ou quantidade que devem ser consideradas para realizar determinada tarefa. Referências que fazem parte das ferramentas definidas na GESTÃO DE RISCOS - Técnicas para o processo de avaliação de riscos (ABNT NBR ISO/IEC 31010).

 

CONSTRUINDO INDICADORES DE CONFIABILIDADE

Neste aspecto, para manter a disponibilidade é necessário atentar-se para o seguinte ciclo: Defeito, Falha, e Falta. As orientações que norteiam estes ciclos são consolidadas com o uso de relatórios para aferir a disponibilidade que se subdivide em: Confiabilidade, Sustentabilidade e Funcionalidade. A primeira está relacionada ao tempo de inatividade denominada de Mean Time Between Failures – MTBF. A segunda aborda o tempo de resposta, o desempenho na restauração dos serviços descrito como Mean To Repair – MTTR. Por fim e não menos importante, o terceiro, que estabelece um elo sob um ponto de compromisso em solucionar o problema do usuário final dentro de um prazo aceitável de inatividade da operação dos serviços previamente aceito pela Direção da Empresa.

Com o objetivo de construir indicadores de confiabilidade, pode ser adotada algumas métricas, comtempladas logo abaixo.

Para fins de um parâmetro aceitável, é possível seguir a seguinte formula para ações corretivas e preventivas:

Sobre o Defeito, ação em que ocorreu um incidente resultando em inatividade, calcula-se qual está sendo a disponibilidade atual:

 

1.      TEMPO REAL DE DISPONIBILIDADE (TD)

É o tempo ideal que o ambiente iria funcionar sem que fosse necessário realizar uma parada de manutenção. Exposta pela formula: Disponibilidade (%) = (Uptime - Downtime) / Uptime.

2.      TEMPO TOTAL DE MANUTENÇÃO (TM)

Mede o tempo que o ambiente ficou parado devido aos reparos e/ou falhas;

3.      NÚMERO DE INCIDENTES/PARADAS (P)

Quantidade de paralizações do ambiente o ambiente sofreu. Para fixar o entendimento, é utilizada a seguinte formula:

Formula 1:

MTBF é = (TD-TM)/P Ou seja:

Exemplo:

Digamos que um ambiente tenha um tempo ideal de disponibilidade de 24 horas, devendo funcionar sem realizar nenhuma parada em 3 turnos de operação. E durante as 24 horas, ela teve 2 paradas que duraram 30 minutos (ou 0,5 horas) cada uma, ou 1 hora no total.

O tempo de disponibilidade também pode ser medido em: (TD) Tempo de disponibilidade do ambiente, conforme a fórmula abaixo: 

Disponibilidade em (%) é = (Uptime – Downtime) / Uptime

O MTBF seria: (24 horas – (0,5 horas +0,5 horas) / 2 paradas no total, que é igual a 11,5 horas. Neste exemplo é possível concluir que o ambiente sofre uma parada (downtime) a cada 11,5 horas e meia.

Este tipo de análise auxilia o time de TI a realizar os planejamentos que melhorem esses indicadores para aumentar a produtividade e confiabilidade em consonância com continuidade do negócio.

Após entender o tempo médio de disponibilidade e suas metodologias, é necessário entender as métricas do MTTR (Tempo médio para reparar, solucionar o problema).

A metodologia aplicada para esta finalidade está construída conforme pode ser vista logo abaixo:

Fórmula 2:

MTTR é = Tempo total de Manutenção / Paradas

Tempo total de manutenção dividido pela quantidade de incidentes (paradas). Com esta avaliação, é possível afirmar quanto eficiente é o seu time.  Por fim, é correto afirmar que o MTBF está relacionado a disponibilidade do ambiente ou do projeto que um sistema/equipamento precise ser aferido; já o MTTR é o indicativo de eficiência do time de TI para que a ação corretiva ou preventiva tenha o menor tempo de resposta mantendo a produtividade da operação sempre disponíveis.   Estas métricas estão em conformidade com a norma: NBR5462

 

PLANEJAMENO PARA INTERVENSÃO TÉCNICA

Para a construção de um bom planejamento, ele é seguido de uma introdução, do problema, justificativa, objetivos, metodologia, cronograma, recursos necessários, tipos de problemas que poderão ocorrer, tempo total de manutenção e no final é aferido o tempo de indisponibilidade. Recomenda-se também o uso das referências utilizadas para elaboração do Plano.

INTRODUÇÃO – Deve conter a vinculação do trabalho com o seu respectivo nível de hierarquia dentro da empresa. Aspectos conceituais introdutórios ao tema: Um breve relato sobre as atividades que serão desenvolvidas.

PROBLEMA – É uma descrição sobre o problema/incidente  sobre a ação preventiva ou corretiva. Ela deve conter a data hora do incidente ou suposto motivo que gerou a necessidade de uma intervenção técnica, um relato do impacto e/ou benefício que está sendo (irá) gerado(rar) sobre a operação do negócio.

JUSTIFICATIVA -  Fatores que determinaram ou que podem ser consideradas a raiz do problema. Aqui cabe fazer um comento sobre a importância deste PLANO DE INTERVENÇÃO TÉCNICA, identificando o conjunto de positivo que ela irá proporcionar. É de suma importância responder a seguinte indagação: Porque intervir?

OBJETIVOS – Em consonância com as políticas de conformidade da empresa, é o que se pretende alcançar com a intervenção técnica, constitui sob as ações apontadas no objeto do problema indicados inicialmente. Cabe indagar: Para quê intervir?

METODOLOGIA – É o conjunto de abordagens, técnicas e processos utilizados para resolver o problema indicado no tópico anterior: Objetivos. Nesta sinergia, é necessário construir: Quais caminhos serão abordados para alcançar os objetivos?; Quais critérios e instrumentos serão utilizados?; É possível atingir a resiliência de que forma?. O tópico tem que alcançar a seguinte temática: a metodologia responde quais meios foram adotadas para alcançar o objetivo e manter a capacidade de resistir a uma falha. Estudo das métricas do MTTR e MTBF para os indicadores de confiabilidade.

CRONOGRAMA – Versa sobre o tempo estimado para que a intervenção sugerida seja concluída em uma linha de tempo factível (possível), elenca cada tipo de ação e seus responsáveis com data de início e termino com a devida aprovação do seu superior direto. Deve indagar: Quando intervir?

RECURSOS NECESSÁRIOS – Conjunto de todos os elementos necessários para realização de intervenção. Pode e poderá conter: Os recursos financeiros, Humanos e Materiais, Descrição de empresas parceiras que poderão ser linkadas; aviso para uma segunda equipe de nível 2 ou nível 3 de suporte.

ANEXOS – Deve conter uma copia de algum tipo de autorização que valide a intervenção técnica, pode ser a resposta de algum e-mail com o devido aval ou algum outro documento que indique sua aprovação sob pena de advertência ou justa causa por violação desta política que é considerada uma falta grave. artigo 482 da Consolidação das Leis do Trabalho, a CLT.

Orientações para Privacidade de Dados no RH

1 ORIENTAÇÕES

Cumpre esclarecer que as recomendações aqui dispostas são aplicáveis para o profissional que foi admitido ou não.

Este é um Guia de cunho instrutivo, não é uma política. Recomenda-se que este documento seja avaliado pelo RH, Gestão e departamento Jurídico da Empresa. Com a devida avaliação, este guia poderá ser utilizado como uma política padrão para a empresa.  Todas as informações dissertadas neste documento estão fortificadas com um embasamento legal e referências da FUNDAÇÃO GETÚLIO VARGAS (FGV).

Os tratamentos de dados pessoais desde a coleta, armazenamento, compartilhamento ou qualquer outro, decorrentes do processo de seleção têm de estar em conformidade com a LGPD. Isto significa atestar que:

(i)               necessita de uma base legal;

(ii)             uma finalidade bem definida quanto o tratamento aplicado;

(iii)     adequação entre o tratamento e a finalidade almejada, dado este que se a finalidade não condisser com o tratamento, este deve ser revisto para não incorrer como uso indevido de dados pessoais.

Para fins desse Guia, o tratamento dos dados pessoais em processo de seleção terá como base legal, o consentimento do titular de dados, isso porque presume-se que o candidato, ciente das exigências para concorrer à vaga, bem como ciente dos dados que serão coletados, optou de forma livre, por permitir que a área de RH da Empresa trate os seus dados. Como adendo, far-se-á a sua exclusão ao término desta finalidade com as devidas ponderações coniventes ao consentimento.

No que compete o consentimento do titular dos dados, ele consiste na manifestação livre, informada e inequívoca, pela qual o titular concorda com o tratamento dos dados pessoais para uma determinada finalidade. Inequívoca no tocante do consentimento, adjetivo que abrange o modo de manifestação, ou seja, é necessário que as informações estejam de forma transparente, sobre quais dados pessoais deverão ser fornecidos por ele, sobre quais serão coletados independente do fornecimento do titular e principalmente o tempo do tratamento destes dados.

A finalidade é muito mais do que um mero acessório do consentimento, é um dos princípios norteadores da LGPD (Lei Geral de Proteção de Dados Pessoais). O consentimento e finalidade andam juntos.

Com o intuito de detalhar brevemente as características do consentimento aqui indicadas, versa que o consentimento pode ser considerado livre nas situações em que ele/ela expressa a sua escolha de forma espontânea e sem qualquer tipo de persuasão ou rotinas automatizadas e/ou implícitas. Ainda sobre este tema, é importante ressaltar que o titular de dados deverá ser informado sobre a possibilidade do não fornecimento do consentimento e sobre as consequências de sua negativa para o tratamento deste referido tratamento (como a sua eliminação do processo seletivo, por exemplo).

 

“A legislação da LGPD versa que o consentimento deve sempre se referir a finalidade com a sua base legal. As autorizações genéricas para o tratamento dos dados são consideradas nulas”

  

Neste compasso, é válido comentar de forma exemplificada alguns métodos destinados para o tratamento dos processos seletivos.

(i)               Coleta

 

§  Quais dados posso coletar em processos seletivos?

Conforme exposto nos parágrafos anteriores, para a realização de coleta é necessário que antes tenha-se determinado a finalidade específica, que neste contexto de seleção de colaboradores referem-se a todos os dados pessoais coletados pertinentes ao processo seletivo.

É concluso observar que existe uma clara finalidade em obter os dados que revelem os meios de identificar o candidato, bem como o seu enquadramento à vaga pretendida. Razoável, portanto, coletar dados como: RG, CPF, e-mail, telefone de contato, indicação sobre a sua formação acadêmica, experiência prévia ao cargo que compete, entre outros.

Noutra ponta, quando o assunto tratar de dados do tipo certidões, há algumas ressalvas que poderão ser consideradas no decorrer deste tema. A consideração especial decorre especialmente do Direito do Trabalho, cabe esclarecer que as orientações aqui fornecidas se referem ao sistema de proteção de dados arguidos pela LGPD, apenas. No entanto, a justificativa do ponto de vista da proteção de dados depende da especificidade do cargo a que compete o candidato desde que encontre legislação específica aplicável ao processo seletivo. Desta forma, em todos os casos, as orientações adicionais cabíveis (área cível, trabalhista, criminal, entre outros) deverão ser buscadas junto ao Jurídico da empresa.

Vejamos alguns exemplos:

§  Certidão de distribuição de ações judiciais em que o candidato for parte;

 

Indagação: É possível exigir do candidato uma certidão para verificar se existem ações em curso em que ele seja parte? As ações aqui abrangem qualquer matéria, cível, criminal, trabalhista.

 

“Como adendo, qualquer tipo de pesquisa têm de estar vinculadas ao objeto da seleção.”

 

§  Certidão de antecedentes criminais

 

Indagação: Poderia ser exigida do candidato a certidão negativa de antecedentes criminais?

 

§  Certidões emitidas por sistemas de proteção ao crédito (SPC, SERASA, entre outros)

 

Indagação: Poderia ser exigida do candidato qualquer espécie de certidão obtida junto a órgãos de proteção ao crédito, como certidões de inexistência de dívidas ou de pontuação em sistemas de score de crédito?

 

Com base em processos de julgados em decisões majoritária nos tribunais, a resposta é negativa para as três hipóteses elencadas.

Contudo, há algumas ressalvas do ponto de vista da proteção de dados, nos casos em que a legislação aplicável ao processo seletivo (e.g trabalhista) permita a exigência. As correntes de entendimento em processos no judiciário (corrente majoritária) têm permitido tal exigência em situações que estas indagações sejam inerentes para julgar sua aptidão ao cargo.

Por exemplo, candidatos que irá trabalhará em funções que envolvam movimentações financeiras e que neste caso, seria mais confiável um que não esteja sendo processado por dívidas; ou de candidatos que irá trabalhar na área de segurança pública ou privada, caso que é relevante saber a sua condição em ações criminais que figure como réu, tal que seria avaliado a sua confiabilidade para a função.

Explanadas tais controvérsias em torno do tema e suas ramificações em outras áreas do Direito, além dos cuidados que a situação exige, em cenários que seja necessário a exigência destes tipos de certidão, recomenda-se:

                       I.          Em primeiro lugar, dever ser consultado o Jurídico da empresa, para que informe se a exigência é permitida do ponto de vista da legislação trabalhista ou cível aplicável ao processo seletivo;

                     II.          Em segundo lugar, deve ser consultado o Encarregado de Dados da empresa, para que sejam consideradas questões de proteção de dados envolvidas.

Em linhas gerais, é ponderado se a especificidade do cargo exige esta certidão negativa e se realmente são imprescindíveis para realização do processo seletivo.  Isto porque a apresentação desses dados pode gerar situações de discriminação do candidato, e não se ater ao propósito de aferir a aptidão para a vaga pretendida.

Ademais do exposto, deve-se reiterar que a LGPD traz como seus princípios norteadores o da necessidade, estabelecendo uma limitação do tratamento de dados pessoais ao mínimo exigido para a realização das suas finalidades. Estes dados devem ser pertinentes, proporcionais e não excessivos com reação às finalidades do tratamento.

§  Posso coletar dados sensíveis no processo seletivo?

Em determinados processos seletivos podem surgir a necessidade de coletar dados sensíveis. É o que ocorreria, por exemplo, em processos nos quais existisse uma cota específica de vagas destinadas à Pessoas com Deficiência (PCD). Nesse caso, estariam sendo solicitados dados que podem sujeitar os titulares às situações de maior vulnerabilidade social.  Isto posto, o tratamento de dados pessoais sensíveis imputa maior responsabilidade aos que realizam o tratamento desses dados e exige maior atenção e cuidado, que por conseguinte objetiva-se alcançar um grau elevado de proteção.

“Dentro do conjunto de dados pessoais, há ainda aqueles que exigem um pouco mais de atenção: são os dados sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa”.

 

Completa dizer que é totalmente possível coletar dados sensíveis, desde que em seu processo de tratamento evidencie certas providências: (i) um número restrito de pessoais com acesso; (ii) esses dados fiquem em um servidor que assegure proteção às informações; (iii) esses dados sejam, preferencialmente, criptografados; e (iv) esteja totalmente em conformidade com o consentimento, a finalidade e a base legal. Assim como os dados sensíveis registrados em papel, eles devem ser armazenados com cuidados especiais próprios desse formato.   

A base legal para a coleta do dado sensível em um processo seletivo também pode ser o consentimento, contanto que seja manifestado de forma específica e destacada, para finalidades específicas (Art. 11, I, LGPD), assim como para o cumprimento de obrigação legal ou regulamentar (Art. 11, II “a” da LGPD), caso haja regulamento ou lei específica que determine sua coleta.

 

§  Preciso de consentimento específico para coletar tais dados?

Se a exigência é destinada ao candidato PCD, não existe a necessidade do consentimento específico, visto que a fundamentação que justifica esse tratamento é a obrigação legal. Por exemplo, destaca-se que existe uma legislação específica que versa sobre a necessidade de as empresas possuírem em seu quadro de funcionários certo quantitativo destinados à PCD. Em paralelo, permanecem as obrigações de transparência quanto à coleta, armazenamento, eliminação e finalidade desses dados.

Nos demais casos, assim como descrito acima, a base utilizada para coleta de dados em processos seletivos é a do consentimento.   Também como demonstrado, nas hipóteses de coleta de dados sensíveis, é necessário maior cuidado, por serem dados que podem expor o titular à maior vulnerabilidade. Neste contexto é recomendado que exija um consentimento específico na coleta dos dados sensíveis para fins de processo seletivo.

Existem dois modos de conseguir este consentimento específico:

Um, situações em que os dados são coletados através de envio de documentos físicos ou digitalizados, deverá também ser preenchido um termo específico de consentimento sobre o tratamento dos dados pessoais sensíveis, onde fique evidente a finalidade e o tratamento que será destinado para estes dados.

Dois, situações em que os dados forem coletados através de um meio eletrônico, este deverá existir um campo em que a pessoa possa marcar o consentimento. Sugere-se um campo em que seja possível marcar o consentimento sobre o tratamento dos dados pessoais, onde fique evidente a finalidade e o tratamento que será destinado para estes dados. O mesmo termo de consentimento pode ser adaptado para este formato eletrônico e pode ser utilizado para situações de dados pessoais ou sensíveis.

Adendo:

“A coleta dos dados pessoais e dados sensíveis está estritamente condicionada ao consentimento específico do/da titular destes dados”.

 §  O candidato pode dar o consentimento parcial? Como proceder neste caso?

Pode ocorrer situações em que o candidato concorde de forma parcial, um fato totalmente possível e é uma opção factível do candidato. Ele deve ser avisado desde o início do processo seletivo sobre quais dados pessoais serão tratados e a consequência do não fornecimento, ou seja, da impossibilidade de avançar para vaga pleiteada. Complemento, caso ele não envie os dados, como sua carta de apresentação ou o seu nome completo ou outros dados que viabilizaria sua contratação, ele não poderá sequer ser considerado para fins avaliativos, por exemplo.

Considera-se também, que a partir do momento em que o candidato fornece/envie estes dados, é possível assumir que este ato faz parte do conjunto de consentimento do titular e ele, portanto, consente com o tratamento destes (Art. 8° da LGPD), ou ainda, quando torna público por si mesmo, tais como em redes sociais (Linkedin).

 

“A coleta dos dados pessoais e dados pessoais sensíveis está, necessariamente, condicionada ao consentimento específico do titular destes dados”.

 

(ii)            Armazenamento

 

§  Por quanto tempo os dados podem ser armazenados?

É recomendado buscar o princípio da proporcionalidade e razoabilidade, haja vista que não existi previsão legal no ordenamento jurídico apontando um direcionamento específico para o armazenamento dos dados coletados em um processo seletivo.  

Findado o processo seletivo, a sua finalidade e o consentimento oferecido pelo candidato ao enviar a documentação solicitada também se extingue. Isto posto, se não houver previsão legal para o tratamento, a recomendação é que os dados devem ser excluídos.

 

§  Os dados podem ser retidos por mais tempo, depois do processo de seleção?

Há situações em que a empresa encontra um candidato com um bom perfil, mas não contrata, o considera para alguma vaga futura. Para empresa é interessante manter estes dados do processo.

Em uma outra situação, o candidato pode ter sido aprovado para uma outra vaga dentro da própria empresa e neste sentido o titular deste dado pode ter a intenção de ser informado para novas vagas.

Em ambas as hipóteses, os dados podem ser retidos por mais tempo de que o do processo seletivo desde que tal consentimento envolva esta situação.

  

2 DADOS ENVIADOS PELOS CANDIDATOS SEM SOLICITAÇÃO

Em sua totalidade, os dados pessoais exigidos no processo de admissão têm de estar condicionados aos trâmites do recrutamento, com os quais os candidatos têm de consentir desde o início.

Na condição em que os próprios candidatos enviam de livre e espontânea vontade os referidos dados, é taxativo afirmar que os dados só podem ser utilizados para fins de seleção (processo seletivo). É válido adicionar ao entendimento, que os mesmos tratamentos conferidos aos dados tratados sem solicitação aplicam-se aos que são solicitados e devem ser usados com os devidos cuidados e finalidades. Noutra ponta, o ato de enviar estes dados por livre e espontânea vontade também caracteriza como consentimento.

 Adendo,

“Independentemente da forma de coleta, enviados com ou sem solicitação, não podem ser utilizados para finalidades diversas ao que compete a finalidade do processo seletivo”.

 

Adendo que está consonância ao que versa o Art. 8 da LGPD, o consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

Ainda sob o princípio da proporcionalidade e razoabilidade, entende-se que seria razoável manter o currículo do candidato por 1 (um) ano, mais do que isto seria considerado desnecessário, tendo como justificativa que o currículo poderia estar desatualizado, o interesse na vaga poderia ter deixado de existir, dentre outros fatores e que motivariam por si só, uma nova seleção. Por esse motivo, se houver interesse em manter o currículo armazenado por mais tempo, recomenda-se que se busque junto ao candidato um novo consentimento.

 

3 DADOS ENVIADOS POR OUTROS MEIOS

Como parte do processo seletivo, além dos dados enviados pelos candidatos ainda há possibilidade de coletar dados dos candidatos através de meios alternativos de pesquisa. O recrutador afim de corroborar as informações no currículo pode querer ligar para o último empregador do candidato para verificar se ele possui as qualidades necessárias para a função pretendida.

Em linhas gerais, essas pesquisas podem ser feitas desde que:

(i)               A finalidade do uso de seus resultados esteja estritamente vinculada à realização do processo seletivo em curso.

(ii)             O candidato seja informado de que tais pesquisas serão realizadas

 

Nesta ocasião, o entrevistador deverá expor de forma transparente, quais os dados são relevantes para a sua candidatura da vaga, indicando tanto aqueles que poderão ser obtidos por por outros meios.  

Partindo sob este entendimento, o entrevistador pode considerar fazer algumas pesquisas por conta própria, àqueles apontados que despertava certa atenção, vejamos:

(i)               Certidão de distribuições em ações judiciais em que o candidato for parte.

(ii)             Certidão de antecedentes criminais.

(iii)            Certidões emitidas por órgãos de proteção ao crédito (SPC, Serasa).

Questionado anteriormente, a indagação limitava-se a coletar estas informações solicitando-o diretamente ao candidato como condição à sua participação em processo seletivo. Aqui, a pergunta difere-se:

“o recrutador pode pesquisar por conta própria de posse das informações coletadas no início do processo?”. 

 

Novamente a resposta é a mesma, depende de legislação específica pertinente ao cargo e a depender do caso é necessário consultar o jurídico da empresa ou aplicar algum tipo de normatização para os casos que seja exigido como padrão dentro da empresa.

 

4 CURRÍCULOS COLETADOS EM SITES ESPECIALIZADOS

É comum o uso do banco de currículos de terceiros, a observação considerada é que ao utilizar estes bancos é taxativo ater-se sobre a finalidade, ou seja, está restrito ao processo seletivo que a empresa busca já que os dados inseridos ali não precisam de consentimento uma vez que o próprio autor já o disponibilizou de forma pública, ele consente.

4.1 O USO ILEGAL DOS DADOS PESSOAIS (ART. 42, I E II, LGPD).

Por conseguinte, significa dizer que qualquer tipo de finalidade que cause danos a terceiros, por descumprimento da LGPD, concorre de forma bilateral com empresa que forneceu o acesso a este banco simultâneo a empresa que utiliza a plataforma. Significa afirmar que cada um irá responder com o seu respectivo grau de responsabilidade. A empresa que está recrutando pode deixar vazar a sua senha de acesso a este portal na modalidade corporativa e a empresa que fornece acesso a este banco também pode responder pela falta de uma medida coercitiva para tal acesso indevido usando para tal uma login com acesso de segundo fator (uso de senha síncrona a algum pin gerador de senhas aleatório ou um código enviado por e-mail), ou, sobre o uso indevido das informações que ali são colocadas por parte da plataforma, por exemplo.

Dentro deste interim, uma prática saudável é a de aplicar rotinas de conformidades auditando o site que oferece este banco de currículos, isto de forma periódica. Desta forma a empresa irá diminuir a possibilidade responsabilização solidária.

“Uma vez concluída a seleção do colaborador, a finalidade alcançará o fim que se destina e todos os dados que não forem essenciais para a fase de vinculação do colaborador devem ser eliminados”.

 

5 TRATANDO DADOS DE COLABORADORES

5.1 DADOS PARA A CONTRATAÇÃO

       I.          Coleta

É esperado que o time de RH utilize outros dados exigidos para vinculação no caso de um colaborador regido pela CLT e não coincidir em sua totalidade, com os dados exigidos no cadastro inicial que caberá julgar se este é indispensável para ser coletado em conformidade com a vinculação pretendida.

Neste caso em tela, a finalidade da coleta é a constituição do vínculo entre o Contratante (empregador) e o novo colaborador. Deste modo, devem ser coletados somente os dados necessários para a contratação.

“Um parêntese para uma observação saudável, há duas distinções: (i) o candidato forneceu os seus dados inicialmente para fins de processo seletivo; (ii) estes dados foram obtidos com esta finalidade específica. Neste parêntese, o recrutador terá que solicitar novamente o consentimento, salvo se inicialmente ele também mencionou esta outra finalidade”.

Utilizando um embasamento legal da LGPD, para um consentimento válido e legítimo, ele precisa estar dentro deste rol:

                          I.          Livre;

                         II.          Informado;

                       III.          Inequívoco, e

                       IV.          Utilizado para uma finalidade determinada.

Neste último, utilizado para uma finalidade determinada, é possível explanar que para cada tipo de finalidade, o titular dos dados precisa ter a opção de escolher permitindo-se que ele forneça o consentimento para fins específicos.  

Dados comuns e padrão para a contratação:

§  Nome;

§  RG;

§  CPF;

§  Dados bancários para  fins de pagamento;

§  Número de PIS/PASEP/NIS;

§  Carteira de trabalho (dispensado para os casos de carteira de trabalho digital);

§  FOTO

Tal coleta está respaldada no Art. 7, V da LGPD, tendo como base legal a execução de contrato. Nesta base legal podem ser tratados dados pessoais quando a finalidade for a de permitir a execução de um contrato no qual o titular de dados possui interesse na execução.

“Abre-se novamente um ponto de atenção, nenhum tipo de dado pode ser tratado sem o devido consentimento atrelado a base legal e principalmente a sua finalidade”.

Abre-se um parêntese para o dado de exame admissional, não é necessário solicitar um consentimento para esta finalidade, na medida em que ela se justifica com o contrato de trabalho, respaldado pela CLT (Consolidação das Leis do Trabalho). Cabe ainda, o comento do E-Social, sistema informatizado da administração pública, cuja o seu abastecimento trata as informações trabalhistas, fiscais e previdenciárias, ademais o seu registro é obrigatório tendo como base legal a obrigação regulatória (Art. 7, II da LGPD).

É concluso afirmar que quaisquer informações deste cunho, seja ela sensível ou de dados pessoais, não é necessário qualquer adendo de requisito adicional de consentimento por parte do colaborador, ela é uma obrigação regulatória.

É concernente aludir que no momento da coleta dos dados pessoais ou sensíveis junto aos titulares, é necessário que este consentimento seja claro, preciso, em linguagem acessível e de fácil compreensão com a informação de quais dados serão tratados, assim como a sua finalidade, e quais tratamentos serão aplicados – incluindo os compartilhamentos que serão realizados entre as unidades internas da Empresa. Atentar-se sobre os dados excessivos e desnecessários no compartilhamento destes dados.

Por fim, cabe dizer que a LGPD também traz, em seu art. 46, em seu ordenamento o comando alinhado com o princípio da segurança como padrão para o tratamento da informação. Dispõe sobre a necessidade de que os agentes (a empresa como controlador ou um terceirizado que compartilhar estes dados – o operador) técnicas administrativas e tecnológicas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou impreciso com intenção de má fé.

 

5 TRATANDO DADOS DE EX-COLABORADORES

Seguindo a sinergia do conhecimento alcançado até este ponto, todos dados pessoais tratados durante o vínculo estabelecido com os colaboradores possuem um “ciclo de vida”, significa afirmar que estes dados não podem ser armazenados por um tempo indeterminado.

Findado o vínculo, os dados devem ser excluídos da base de dados, consoante ao prevê o Art. 16 da LGPD. Em concordância ao disposto acima, há casos que o ex-colaborador pode pleitear uma ação na justiça e neste fato a empresa terá que arguir de todos os dados necessários para criar a sua defesa.

Assim ao que postula o Artigo 16 para a exclusão, ela também aponta os casos que terá exceções quanto a eliminação dos dados, isto é, findado o tratamento e após alcançar o seu objetivo. A exceção em seu inciso I deste artigo, é apresentado como previsão legal ou que exista a necessidade do armazenamento para funções regulatórias da Controladora (a empresa) ou processos judiciais.

“Desta forma, em todos os casos, as orientações adicionais cabíveis (área cível, trabalhista, criminal, entre outros) deverão ser buscadas junto ao Jurídico da empresa”.

 

Neste compasso, a legislação trabalhista destaca que há um prazo para ingresso de ações trabalhistas, ela prescreve em 2 (dois) anos após o término da relação estabelecida (Constituição Federal, Artigo 7 XXIX). Com este entendimento, recomenda-se a exclusão após este lapso de tempo.  

Com a necessidade de buscar informações detalhadas, em torno deste tema e suas ramificações em outras áreas do Direito, além dos cuidados que a situação exige, na hipótese de exclusão de dados, recomenda-se:

(i)               Em primeiro lugar, deve ser consultado o Jurídico da Empresa, para que informe se a exigência é permitida do ponto de vista da legislação trabalhista ou cível aplicável ao processo seletivo;

(ii)             Em segundo lugar, deve ser consultado o Encarregado da Empresa, para que sejam consideradas as questões de proteção de dados envolvidas.

Alinhado ao lapso exigido pela legislação para ajuizar qualquer tipo de ação trabalhista, é válido a retenção dos dados até o trânsito e julgado da ação.

No tocante a ações sobre o sistema financeiro e dados da contabilidade, estes devem ser armazenados até que o prazo para uma ação de cunho civil e/ou tributária possa ser ajuizada face à Empresa.

 

REFERÊNCIAS

BRASIL. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 15 set. de 2021. PARLAMENTO

EUROPEU E O CONSELHO DA UNIÃO EUROPEIA. GENERAL DATA PROTECTION REGULATION – EU 2016/679. Disponível em: Acesso em: 15 set. 2021.

PORTAL ONLINE. INSTITUIÇÃO DE ENSINO E PESQUISA – FUNDAÇÃO GETÚLIO VARGAS (FGV). Guia de Proteção de Dados. Disponível em: https://portal.fgv.br/sites/portal.fgv.br/files/recursos_humanos.pdf Acesso em: 13 set. 2021.

https://www.sitesa.com.br/contabil/conteudo_trabalhista/procedimentos/p_trabalhista/c48.html#:~:text=7%C2%BA...,25%2F5%2F00).