# Conformidade LGPD — Acesso a Contas ### Base legal — LGPD e proteção de dados As mudanças descritas neste comunicado estão fundamentadas na **Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD)** e visam garantir a conformidade da plataforma Helena com as obrigações legais aplicáveis ao tratamento de dados pessoais. #### Fundamentos legais O acesso a contas de clientes envolve, por natureza, o tratamento de **dados pessoais** dos titulares cadastrados nessas contas — incluindo nomes, telefones, e-mails, histórico de conversas e demais informações armazenadas na plataforma. De acordo com a LGPD, o tratamento de dados pessoais deve observar, entre outros, os seguintes princípios (Art. 6º): * **Finalidade (I):** o acesso a contas deve ter propósito legítimo, específico e informado ao titular — como suporte técnico, configuração ou resolução de problemas. * **Necessidade (III):** o acesso deve ser limitado ao mínimo necessário para a finalidade pretendida. A duração configurável (de 30 minutos a 15 dias) garante que o acesso não se estenda além do necessário. * **Segurança (VII):** devem ser adotadas medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados. O fluxo de aprovação, os níveis de permissão e a revogação imediata atendem a este princípio. * **Prevenção (VIII):** devem ser adotadas medidas para prevenir a ocorrência de danos. O bloqueio automático por expiração e a invalidação de tokens são medidas preventivas. * **Responsabilização e prestação de contas (X):** o agente de tratamento deve demonstrar a adoção de medidas eficazes. O log de auditoria completo atende integralmente a este princípio. #### Relação controlador e operador Na estrutura da plataforma Helena: * O **cliente final** (empresa/conta) é o **controlador** dos dados pessoais dos seus contatos e usuários, pois determina as finalidades e os meios de tratamento. * O **parceiro** atua como **operador** ao prestar serviços de suporte, configuração e implantação em nome do cliente. * A **Helena** atua como **suboperadora**, fornecendo a infraestrutura tecnológica e suporte de segundo nível. O acesso a contas de clientes pelo parceiro ou pela Helena configura **tratamento de dados pessoais em nome do controlador** (Art. 39). O novo sistema de aprovação formaliza e documenta esse acesso, criando um registro auditável que comprova que o tratamento ocorreu com autorização do controlador ou de seu representante dentro da plataforma. #### Registro de atividades de tratamento O Art. 37 da LGPD determina que o controlador e o operador devem manter **registro das operações de tratamento de dados pessoais** que realizarem. O log de auditoria implementado no sistema de acesso a contas atende a essa exigência ao registrar: * A identidade de quem solicitou o acesso (operador) * A identidade de quem autorizou (controlador ou seu representante) * O momento exato de cada ação (solicitação, aprovação, revogação, expiração) * A duração do acesso concedido * O usuário específico cujos dados foram acessados Esses registros ficam armazenados de forma segura e podem ser apresentados à **Autoridade Nacional de Proteção de Dados (ANPD)** ou ao próprio titular em caso de solicitação, conforme previsto nos Arts. 18 e 19 da LGPD. #### Direitos dos titulares O novo sistema contribui para o atendimento aos direitos dos titulares previstos no Art. 18 da LGPD, especialmente: * **Direito de acesso (II):** o titular pode solicitar informações sobre quem acessou seus dados e quando, informações que estão disponíveis no log de auditoria. * **Direito à informação sobre compartilhamento (VII):** o log registra de forma transparente quando dados foram acessados por terceiros (parceiro ou Helena) e por qual motivo. #### Medidas técnicas implementadas Em conformidade com o Art. 46 da LGPD, que exige a adoção de medidas de segurança técnicas e administrativas, o novo sistema implementa: | Medida | Descrição | | --------------------------------- | ------------------------------------------------------------------------------------------------------------- | | **Controle de acesso granular** | Três níveis de permissão (Bloqueado, Mediante aprovação, Acesso completo) configuráveis por usuário | | **Princípio do menor privilégio** | Novos usuários recebem o nível "Mediante aprovação" por padrão; perfil Financeiro é bloqueado automaticamente | | **Consentimento do controlador** | Fluxo de aprovação que exige autorização explícita de um representante da conta antes do acesso | | **Limitação temporal** | Acesso com duração definida (30 min a 15 dias), com encerramento automático e invalidação de tokens | | **Revogação imediata** | Possibilidade de revogar o acesso a qualquer momento, com efeito instantâneo | | **Segregação de ambientes** | Parceiros só podem acessar contas do seu próprio workspace | | **Rastreabilidade completa** | Log de auditoria com registro de todas as ações, identidades e timestamps | | **Notificação em tempo real** | Aprovadores são notificados imediatamente sobre solicitações e podem agir de forma oportuna | #### Recomendações aos parceiros Como operadores de dados pessoais, recomendamos que os parceiros: 1. **Atualizem seus contratos de prestação de serviço** com os clientes para incluir referência ao novo mecanismo de controle de acesso, caso ainda não prevejam essa possibilidade. 2. **Informem seus clientes** sobre a existência do fluxo de aprovação, reforçando que todo acesso é registrado e pode ser auditado. 3. **Orientem suas equipes** sobre a importância de solicitar apenas o tempo de acesso necessário para a atividade a ser realizada, em observância ao princípio da necessidade. 4. **Revisem periodicamente os níveis de permissão** dos membros da equipe, removendo acessos que não sejam mais necessários. 5. **Mantenham um registro próprio** das finalidades de cada acesso realizado, complementando o log técnico da plataforma com a justificativa de negócio. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.helena.app/configurando-sua-plataforma/usuarios-adm/conformidade-lgpd-acesso-a-contas.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.