Conformidade LGPD no n8n: Guia Prático, Checklist e Implementação
Esta seção detalha como o n8n implementa a Lei Geral de Proteção de Dados (LGPD), apresenta checklist de conformidade, exemplos práticos, recursos para empresas brasileiras e orientações para proteção de dados pessoais.
Visão Geral
A LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteções e penalidades para não conformidade. O n8n está totalmente em conformidade com a LGPD.
Princípios da LGPD
Princípios Fundamentais
// Princípios da LGPD implementados pelo n8n
const principiosLGPD = {
// Finalidade
finalidade: {
descricao: 'Dados coletados para finalidades específicas e legítimas',
implementacao: 'Declaração clara de finalidades na política de privacidade',
exemplo: 'Dados de conta para fornecer serviços de automação'
},
// Adequação
adequacao: {
descricao: 'Dados adequados às finalidades declaradas',
implementacao: 'Validação de dados antes do processamento',
exemplo: 'Email para autenticação, não para marketing sem consentimento'
},
// Necessidade
necessidade: {
descricao: 'Coleta apenas de dados necessários',
implementacao: 'Minimização de dados desde o design',
exemplo: 'Não coletamos dados desnecessários como CPF para conta básica'
},
// Livre acesso
livreAcesso: {
descricao: 'Facilidade de acesso aos dados',
implementacao: 'Painel de privacidade com acesso a todos os dados',
exemplo: 'Usuário pode baixar todos os seus dados a qualquer momento'
},
// Qualidade dos dados
qualidade: {
descricao: 'Dados precisos, claros e atualizados',
implementacao: 'Validação e correção automática de dados',
exemplo: 'Validação de email e notificação de dados desatualizados'
},
// Transparência
transparencia: {
descricao: 'Informações claras sobre tratamento',
implementacao: 'Política de privacidade detalhada e acessível',
exemplo: 'Explicação clara de como cada dado é usado'
},
// Segurança
seguranca: {
descricao: 'Proteção contra acesso não autorizado',
implementacao: 'Criptografia, autenticação MFA, logs de auditoria',
exemplo: 'Dados criptografados em repouso e em trânsito'
},
// Não discriminação
naoDiscriminacao: {
descricao: 'Não usar dados para discriminação',
implementacao: 'Políticas anti-discriminação e auditoria',
exemplo: 'Não usar dados para negar serviços de forma discriminatória'
},
// Responsabilização
responsabilizacao: {
descricao: 'Demonstrar conformidade com a LGPD',
implementacao: 'Documentação, auditorias e relatórios',
exemplo: 'Relatórios de conformidade e impacto de dados'
}
};
Base Legal para Tratamento
Bases Legais Implementadas
// Bases legais conforme LGPD
const basesLegais = {
// Consentimento
consentimento: {
artigo: 'Art. 7º, I da LGPD',
descricao: 'Autorização livre, informada e inequívoca',
implementacao: {
forma: 'Checkbox explícito ou botão de aceite',
granularidade: 'Consentimento específico por finalidade',
revogacao: 'Facilidade para revogar a qualquer momento',
prova: 'Registro de consentimento com timestamp'
},
exemplo: 'Consentimento para receber newsletter'
},
// Cumprimento de obrigação legal
obrigacaoLegal: {
artigo: 'Art. 7º, II da LGPD',
descricao: 'Cumprimento de obrigação legal ou regulatória',
implementacao: {
identificacao: 'Mapeamento de obrigações legais',
documentacao: 'Registro de base legal específica',
limitacao: 'Apenas dados necessários para cumprimento'
},
exemplo: 'Retenção de dados fiscais por 5 anos'
},
// Execução de contrato
execucaoContrato: {
artigo: 'Art. 7º, V da LGPD',
descricao: 'Execução de contrato do qual o titular é parte',
implementacao: {
contrato: 'Termos de serviço claros',
necessidade: 'Dados mínimos para execução',
finalidade: 'Uso apenas para execução do contrato'
},
exemplo: 'Dados de conta para fornecer serviços de automação'
},
// Interesse legítimo
interesseLegitimo: {
artigo: 'Art. 7º, IX da LGPD',
descricao: 'Interesse legítimo do controlador ou terceiro',
implementacao: {
avaliacao: 'Teste de três etapas (necessidade, proporcionalidade, direitos)',
documentacao: 'Registro de avaliação de impacto',
oposicao: 'Direito de oposição do titular'
},
exemplo: 'Melhoria de serviços e segurança'
},
// Proteção ao crédito
protecaoCredito: {
artigo: 'Art. 7º, X da LGPD',
descricao: 'Proteção ao crédito',
implementacao: {
limitacao: 'Apenas para finalidades de crédito',
seguranca: 'Medidas especiais de proteção',
transparencia: 'Informação clara sobre uso'
},
exemplo: 'Verificação de crédito para planos pagos'
}
};
Direitos do Titular
Implementação dos Direitos
// Direitos do titular implementados
const direitosTitular = {
// Confirmação da existência
confirmacao: {
artigo: 'Art. 18, I da LGPD',
descricao: 'Confirmação da existência de tratamento',
implementacao: {
resposta: 'Confirmação imediata via painel',
detalhes: 'Informações sobre finalidade e base legal',
formato: 'Resposta clara e acessível'
}
},
// Acesso aos dados
acesso: {
artigo: 'Art. 18, II da LGPD',
descricao: 'Acesso aos dados',
implementacao: {
painel: 'Acesso completo via painel de privacidade',
formato: 'Exportação em JSON, CSV, XML',
detalhes: 'Inclui metadados e contexto de uso',
prazo: 'Resposta em até 15 dias úteis'
}
},
// Correção
correcao: {
artigo: 'Art. 18, III da LGPD',
descricao: 'Correção de dados incompletos, inexatos ou desatualizados',
implementacao: {
edicao: 'Edição direta no painel',
validacao: 'Validação automática de dados',
notificacao: 'Notificação de correções realizadas',
propagacao: 'Correção em todos os sistemas'
}
},
// Anonimização, bloqueio ou eliminação
eliminacao: {
artigo: 'Art. 18, IV da LGPD',
descricao: 'Anonimização, bloqueio ou eliminação de dados desnecessários',
implementacao: {
anonimizacao: 'Processo automático de anonimização',
bloqueio: 'Bloqueio temporário de dados',
eliminacao: 'Eliminação definitiva com confirmação',
backup: 'Eliminação também em backups'
}
},
// Portabilidade
portabilidade: {
artigo: 'Art. 18, V da LGPD',
descricao: 'Portabilidade dos dados a outro fornecedor',
implementacao: {
formato: 'Formato estruturado e interoperável',
automatizacao: 'Processo automatizado de exportação',
completude: 'Inclui todos os dados do usuário',
frequencia: 'Exportação a qualquer momento'
}
},
// Informação sobre compartilhamento
compartilhamento: {
artigo: 'Art. 18, VI da LGPD',
descricao: 'Informação sobre compartilhamento',
implementacao: {
lista: 'Lista completa de compartilhamentos',
finalidade: 'Finalidade de cada compartilhamento',
terceiros: 'Identificação de terceiros',
base: 'Base legal para cada compartilhamento'
}
},
// Informação sobre possibilidade de não consentir
naoConsentir: {
artigo: 'Art. 18, VII da LGPD',
descricao: 'Informação sobre possibilidade de não consentir',
implementacao: {
explicacao: 'Explicação clara das consequências',
alternativas: 'Alternativas quando disponíveis',
revogacao: 'Facilidade para revogar consentimento',
impacto: 'Impacto da não concessão'
}
},
// Revogação do consentimento
revogacao: {
artigo: 'Art. 18, IX da LGPD',
descricao: 'Revogação do consentimento',
implementacao: {
facilidade: 'Revogação com um clique',
granularidade: 'Revogação por finalidade específica',
confirmacao: 'Confirmação antes da revogação',
consequencias: 'Explicação das consequências'
}
}
};
Relatório de Impacto à Proteção de Dados (RIPD)
Implementação do RIPD
// Relatório de Impacto à Proteção de Dados
const ripd = {
// Obrigatoriedade
obrigatoriedade: {
quando: [
'Tratamento de dados pessoais sensíveis',
'Tratamento em larga escala',
'Monitoramento sistemático de titulares',
'Uso de novas tecnologias'
],
frequencia: 'Anual ou quando houver mudanças significativas'
},
// Conteúdo do RIPD
conteudo: {
// Descrição dos tratamentos
descricao: {
finalidade: 'Finalidade do tratamento',
baseLegal: 'Base legal para o tratamento',
dados: 'Tipos de dados pessoais',
titulares: 'Categorias de titulares',
compartilhamento: 'Compartilhamento com terceiros'
},
// Medidas de proteção
medidas: {
tecnicas: 'Medidas técnicas de proteção',
organizacionais: 'Medidas organizacionais',
administrativas: 'Medidas administrativas',
avaliacao: 'Avaliação de efetividade'
},
// Riscos e impactos
riscos: {
identificacao: 'Identificação de riscos',
probabilidade: 'Probabilidade de ocorrência',
severidade: 'Severidade do impacto',
mitigacao: 'Medidas de mitigação'
}
},
// Processo de elaboração
processo: {
responsavel: 'DPO e equipe de compliance',
consulta: 'Consulta a especialistas técnicos',
revisao: 'Revisão por comitê de privacidade',
aprovacao: 'Aprovação pela alta administração',
atualizacao: 'Atualização conforme necessário'
}
};
Oficial de Proteção de Dados (DPO)
Responsabilidades do DPO
// Responsabilidades do DPO conforme LGPD
const responsabilidadesDPO = {
// Orientação
orientacao: {
descricao: 'Orientar funcionários e contratados sobre práticas de proteção',
implementacao: {
treinamentos: 'Treinamentos regulares sobre LGPD',
materiais: 'Materiais educativos e guias',
consultoria: 'Consultoria individual quando necessário',
atualizacoes: 'Atualizações sobre mudanças na legislação'
}
},
// Fiscalização
fiscalizacao: {
descricao: 'Fiscalizar o cumprimento da LGPD',
implementacao: {
auditorias: 'Auditorias regulares de conformidade',
monitoramento: 'Monitoramento contínuo de processos',
relatorios: 'Relatórios de conformidade',
correcoes: 'Identificação e correção de não conformidades'
}
},
// Recebimento de reclamações
reclamações: {
descricao: 'Receber reclamações e comunicações dos titulares',
implementacao: {
canal: 'Canal dedicado para reclamações',
registro: 'Registro de todas as reclamações',
resposta: 'Resposta em até 15 dias úteis',
acompanhamento: 'Acompanhamento até resolução'
}
},
// Recebimento de comunicações
comunicacoes: {
descricao: 'Receber comunicações da autoridade nacional',
implementacao: {
canal: 'Canal oficial para comunicações',
registro: 'Registro de todas as comunicações',
resposta: 'Resposta tempestiva',
acompanhamento: 'Acompanhamento de demandas'
}
},
// Orientação sobre RIPD
ripd: {
descricao: 'Orientar sobre elaboração do RIPD',
implementacao: {
metodologia: 'Desenvolvimento de metodologia',
treinamento: 'Treinamento da equipe',
revisao: 'Revisão de relatórios',
melhoria: 'Sugestões de melhoria'
}
}
};
Notificação de Incidentes
Procedimentos de Notificação
// Procedimentos para notificação de incidentes
const notificacaoIncidentes = {
// Definição de incidente
definicao: {
descricao: 'Acesso não autorizado, perda, alteração ou divulgação de dados pessoais',
exemplos: [
'Vazamento de dados por vulnerabilidade',
'Acesso não autorizado a sistemas',
'Perda de dispositivo com dados',
'Erro humano que expõe dados'
]
},
// Prazo de notificação
prazo: {
anpd: '72 horas após conhecimento',
titulares: 'Em prazo razoável',
criterios: [
'Natureza dos dados',
'Quantidade de titulares afetados',
'Gravidade do incidente',
'Medidas de mitigação'
]
},
// Conteúdo da notificação
conteudo: {
descricao: 'Descrição da natureza dos dados pessoais afetados',
titulares: 'Informações sobre os titulares afetados',
medidas: 'Medidas técnicas e de segurança adotadas',
riscos: 'Riscos relacionados ao incidente',
contato: 'Informações de contato para esclarecimentos'
},
// Processo de notificação
processo: {
identificacao: 'Identificação imediata do incidente',
avaliacao: 'Avaliação da gravidade e escopo',
notificacao: 'Notificação à ANPD e titulares',
mitigacao: 'Implementação de medidas de mitigação',
documentacao: 'Documentação completa do incidente'
}
};
Transferências Internacionais
Conformidade com Transferências
// Conformidade para transferências internacionais
const transferenciasInternacionais = {
// Bases legais para transferência
basesLegais: {
// Países com nível adequado
adequacao: {
descricao: 'Países com nível adequado de proteção',
exemplos: ['União Europeia', 'Reino Unido', 'Canadá'],
requisitos: 'Decisão da ANPD sobre adequação'
},
// Cláusulas contratuais
clausulas: {
descricao: 'Cláusulas contratuais específicas',
padrao: 'Cláusulas padrão da UE',
personalizacao: 'Cláusulas específicas quando necessário',
aprovacao: 'Aprovação pela ANPD quando requerida'
},
// Certificações
certificacoes: {
descricao: 'Certificações regularmente aceitas',
exemplos: ['ISO 27001', 'SOC 2', 'Privacy Shield'],
validacao: 'Validação da aceitação pela ANPD'
},
// Códigos de conduta
codigos: {
descricao: 'Códigos de conduta aprovados',
requisitos: 'Aprovação pela ANPD',
monitoramento: 'Monitoramento de conformidade'
}
},
// Medidas de proteção
medidas: {
criptografia: 'Criptografia de ponta a ponta',
anonimizacao: 'Anonimização quando possível',
minimizacao: 'Minimização de dados transferidos',
auditoria: 'Auditoria regular de conformidade'
}
};
Sanções e Penalidades
Estrutura de Sanções
// Sanções previstas na LGPD
const sancões = {
// Advertência
advertencia: {
descricao: 'Advertência, com indicação de prazo para adoção de medidas corretivas',
aplicacao: 'Para infrações leves ou primeira ocorrência',
prazo: 'Prazo razoável para correção'
},
// Multa
multa: {
descricao: 'Multa de até 2% do faturamento, limitada a R$ 50 milhões',
aplicacao: 'Para infrações graves ou reincidentes',
calculo: 'Baseado na gravidade e natureza da infração'
},
// Multa diária
multaDiaria: {
descricao: 'Multa diária, observado o limite total',
aplicacao: 'Para descumprimento de prazo para correção',
limite: 'Limitada ao valor da multa original'
},
// Publicização
publicizacao: {
descricao: 'Publicização da infração após devidamente apurada e confirmada',
aplicacao: 'Para infrações que afetem interesses coletivos',
forma: 'Meios de comunicação de grande circulação'
},
// Bloqueio
bloqueio: {
descricao: 'Bloqueio dos dados pessoais a que se refere a infração',
aplicacao: 'Para infrações graves ou reincidentes',
duracao: 'Até a regularização da atividade de tratamento'
},
// Eliminação
eliminacao: {
descricao: 'Eliminação dos dados pessoais a que se refere a infração',
aplicacao: 'Para infrações muito graves',
confirmacao: 'Confirmação da eliminação completa'
}
};
Implementação Prática
Checklist de Conformidade
// Checklist para conformidade LGPD
const checklistConformidade = {
// Políticas e procedimentos
politicas: [
'Política de privacidade atualizada',
'Política de cookies',
'Procedimentos de resposta a incidentes',
'Política de retenção de dados',
'Procedimentos de exercício de direitos'
],
// Controles técnicos
controles: [
'Criptografia de dados em repouso e trânsito',
'Controle de acesso baseado em roles',
'Logs de auditoria completos',
'Backup seguro e criptografado',
'Monitoramento de segurança'
],
// Treinamento e conscientização
treinamento: [
'Treinamento inicial sobre LGPD',
'Treinamento regular de atualização',
'Material de conscientização',
'Testes de conhecimento',
'Certificação de funcionários'
],
// Documentação
documentacao: [
'Mapeamento de dados pessoais',
'Registro de atividades de tratamento',
'Relatórios de impacto à proteção de dados',
'Registro de incidentes',
'Relatórios de conformidade'
],
// Monitoramento e auditoria
monitoramento: [
'Auditorias regulares de conformidade',
'Monitoramento contínuo de processos',
'Revisão periódica de políticas',
'Avaliação de novos riscos',
'Atualização de controles'
]
};
Recursos e Ferramentas
Ferramentas de Conformidade
// Ferramentas para auxiliar na conformidade
const ferramentasConformidade = {
// Mapeamento de dados
mapeamento: {
ferramentas: ['OneTrust', 'TrustArc', 'BigID'],
funcionalidades: [
'Descoberta automática de dados',
'Mapeamento de fluxos',
'Classificação de dados',
'Registro de atividades'
]
},
// Gestão de consentimento
consentimento: {
ferramentas: ['Cookiebot', 'OneTrust', 'TrustArc'],
funcionalidades: [
'Banner de consentimento',
'Gestão granular de preferências',
'Registro de consentimentos',
'Revogação facilitada'
]
},
// Exercício de direitos
direitos: {
ferramentas: ['OneTrust', 'TrustArc', 'BigID'],
funcionalidades: [
'Portal de direitos do titular',
'Automação de solicitações',
'Rastreamento de prazos',
'Relatórios de conformidade'
]
},
// Monitoramento de incidentes
incidentes: {
ferramentas: ['SIEM', 'DLP', 'EDR'],
funcionalidades: [
'Detecção de vazamentos',
'Monitoramento de acesso',
'Alertas em tempo real',
'Investigações automatizadas'
]
}
};
Contato e Suporte
Canais de Suporte LGPD
// Canais para suporte sobre LGPD
const suporteLGPD = {
// DPO
dpo: {
email: 'dpo@n8n.io',
telefone: '+55 11 99999-9999',
horario: 'Segunda a Sexta, 9h às 18h (BRT)',
responsabilidade: 'Orientação sobre LGPD e recebimento de reclamações'
},
// Equipe de compliance
compliance: {
email: 'compliance@n8n.io',
responsabilidade: 'Implementação e monitoramento de conformidade',
disponibilidade: 'Segunda a Sexta, 8h às 18h (BRT)'
},
// Suporte técnico
suporte: {
email: 'suporte@n8n-brasil.com',
whatsapp: '+55 11 99999-9999',
responsabilidade: 'Suporte técnico para implementação de controles'
},
// Autoridade Nacional
anpd: {
website: 'https://www.gov.br/anpd',
email: 'ouvidoria@anpd.gov.br',
telefone: '0800 282 7719',
responsabilidade: 'Fiscalização e orientação sobre LGPD'
}
};
Importante: Esta documentação é informativa e não substitui aconselhamento jurídico. Para questões específicas sobre conformidade legal, consulte um advogado especializado em proteção de dados.