LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
Proteção de Dados Pessoais na Gestão Pública (PDPGP
1.
2. Dado pessoal: informação relacionada à pessoa natural identificada ou
identificável
Dado pessoal sensível: origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou à organização de caráter religioso,
filosófico ou político; saúde ou à vida sexual, genético ou biométrico.
Dado anonimizado: dado que não possa ser identificado, com meios
técnicos razoáveis e disponíveis na ocasião de seu tratamento
Titular: pessoa natural a quem se referem os dados pessoais que são
objeto de tratamento
3.
4. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais;
Tratamento: coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;
Encarregado: pessoa indicada pelo controlador e operador corporativo para
atuar como canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD);
5. Realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento
posterior de forma incompatível com essas finalidades;
1 FINALIDADE
Limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados;
3 NECESSIDADE
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a
duração do tratamento, bem como sobre a integralidade de seus dados
pessoais;
4 ACESSO
LIVRE
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de
seu tratamento;
5 QUALIDADE
DOS DADOS
Compatibilidade do tratamento com as finalidades informadas ao titular,
de acordo com o contexto do tratamento;
2 ADEQUAÇÃO
6. Garantia, aos titulares, de informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento e os respectivos agentes de
tratamento, observados os segredos comercial e industrial;
6
TRANSPARÊNCIA
Adoção de medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais;
8
PREVENÇÃO
Impossibilidade de realização do tratamento para fins discriminatórios
ilícitos ou abusivos;
9
NÃO
DISCRIMINAÇÃO
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da eficácia dessas medidas.
10
ACCOUNTABILITY
Utilização de medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas
de destruição, perda, alteração, comunicação ou difusão;
7
SEGURANÇA
7. 1. Para cumprimento de obrigação legal ou regulatória;
2. Pela administração pública, para execução de políticas previstas em leis;
3. Para estudos por órgão de pesquisa, desde que mantido o anonimato;
4. Para execução de contrato do qual é parte o titular dos dados;
5. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
6. Para proteção da vida ou da incolumidade física do titular ou de terceiro;
7. Para a tutela da saúde, com procedimento realizado por profissionais da área da
saúde ou por entidades sanitárias;
8. Para proteção do crédito, nos termos do Código de Defesa do Consumidor;
9. Quando necessário para atender aos interesses legítimos do controlador ou de
terceiros (exceto no caso de prevalecerem direitos e liberdades fundamentais do
titular que exijam a proteção dos dados pessoais);
10.Mediante o consentimento do titular.
13. o Plano de Governança: Legitimidade e Orientação ao trabalho;
o Forma Sugerida: Instrução Normativa;
o Apresentação: Alinhamento Estratégico;
o Conteúdo:
I. Princípios;
II. Diretrizes;
III. Objetivos;
IV. Do Controlador, Encarregado e Operadores;
V. Atribuições e Responsabilidades;
VI. Tratamento de dados pessoais.
o Exemplo disponível no site da SCGE.
LGPD – Material de apoio – SCGE
14. ● Controlador: SCGE;
● Representação Legal: Secretária da SCGE;
● Comitê de Privacidade: Conselho Deliberativo de Gestão - CDG;
● Encarregado: Assessoria Técnica - AST;
● Equipe de apoio do encarregado: Gerência de Assuntos Jurídicos - GAJ,
Assessoria Especial de Controle Interno - AECI, a Ouvidoria da SCGE, a Diretoria
de Tecnologia e Informação do Controle Interno - DTCI e a Diretoria de
Planejamento e Gestão - DPGE.
● Gestor de Processos: todo e qualquer responsável pela unidade de execução de
um determinado processo de trabalho, inclusive sobre a gestão de riscos
15.
16. ● Nível Estratégico;
● Conceitos Gerais LGPD;
● Decreto Estadual;
● Detalhes da Política de Proteção
de Dados Pessoais Local;
● Instrução para o Diagnóstico
Preliminar;
● Apresentação dos Pontos de
Controle da Autoavaliação;
● Agenda para próximo encontro.
19. ● O processo em questão manipula dados pessoais?
● Selecione os tipos de dados pessoais a unidade utiliza em seu processo:
● Há utilização de alguma plataforma no tratamento de dados pessoais?
● Os dados pessoais estão sendo armazenados em nuvem?
● Em quais condições ocorrem a coleta dos dados?
● Qual a criticidade da coleta de dados pessoais?
● Qual a natureza do tratamento e valor da informação?
● Qual o nível de exposição dos dados pessoais coletados?
● Descreva a finalidade específica do tratamento de dados pessoais para o
processo em questão.
● Há previsão legal ou administrativa para a coleta de dados pessoais?
● Selecione a forma de como os dados foram acessados pela unidade:
20. ● Há garantias da limitação do tratamento dos dados pessoais à finalidade?
● A finalidade pode ser atingida de outro modo sem dados pessoais?
● Selecione, quais tipos de dados realmente são essenciais ao tratamento:
● Há prazo mínimo para conservar o dado pessoais?
● Há possibilidade de redução no uso, no menor volume possível?
● Há viabilidade de livre acesso aos dados pessoais sob sua custódia?
● Há garantias da qualidade dos dados pessoais sob sua custódia?
● Há registro dos tratamentos realizados e os agentes responsáveis?
● Há a capacidade operacional de retificação e apagamento dos dados?
● Os dados pessoais são compartilhados para outras finalidades?
● Qual a finalidade do compartilhamento?
● A nova finalidade está legitimada pela lei ou política pública ou possui
anuência do titular?
● O compartilhamento está legitimado por convênio ou outro instrumento?
21. Questão Pontos Critério
Há utilização de alguma plataforma no tratamento de dados pessoais? 10 Não
Os dados pessoais estão sendo armazenados em nuvem? 10 Sim
O volume de dados pessoais é intenso? 50 Sim
Há previsão legal ou administrativa para a coleta de dados pessoais? 50 Não
Há garantias da limitação do tratamento dos dados pessoais à finalidade? 20 Não
A finalidade pode ser atingida de outro modo sem dados pessoais? 20 Sim
Há a utilização de dados pessoais sensíveis 50 Sim
Há prazo mínimo para conservar o dado pessoais? 20 Não
Há possibilidade de redução no uso, no menor volume possível? 20 Sim
Há viabilidade de livre acesso aos dados pessoais sob sua custódia? 30 Não
Há garantias da qualidade dos dados pessoais sob sua custódia? 20 Não
Há registro dos tratamentos realizados e os agentes responsáveis? 20 Não
Há a capacidade operacional de retificação e apagamento dos dados? 20 Não
Os dados pessoais são compartilhados para outras finalidades? 30 Sim
A nova finalidade está legitimada pela lei ou política pública ou possui anuência do titular? 20 Não
O compartilhamento está legitimado por convênio ou outro instrumento? 10 Não
Prioridade Pontuação
Crítica [300,400]
Moderada [100<300[
Baixa [0,100[
Prioridade Avaliação
Crítica 1 ano
Moderada 2 anos
Baixa 4 anos
25. • Semestralmente,
• SCGE consolidará os resultados.
• Ranking comparativo entre as unidades
do Estado.
• Cada encarregado só conseguirá
visualizar a sua própria posição e a
posição dos 3 primeiros colocados.
26.
27.
28. ETAPA
4
Inserir no ciclo de
monitoramento de
riscos organizacionais
ETAPA
3
Incluir no Plano de
Implantação de
Controle
ETAPA
2
Propor medidas de
controle de interno
ETAPA
1
Avaliar os principais
riscos
29. Termo de Uso ou contrato de Termo de Uso é um documento que estabelece as regras e condições de uso de
determinado serviço
Política de Privacidade é um documento informativo pelo qual o prestador de serviço transparece ao usuário a forma
como o serviço realiza o tratamento dos dados pessoais e como ele fornece privacidade ao usuário
LGPD – Material de apoio – SCGE
Modelos disponíveis no
site da SCGE
30. 1. Tratamento dos dados pessoais em conformidade com as instruções do Controlador;
2. Adotar medidas de SI para evitar acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito,
segundo padrões mínimos do Controlador;
3. Recursos de SI e de TI de qualidade, eficiência e eficácia reconhecidas, seguras e atualizadas;
4. Registros de tratamento de dados pessoais que realizar, assim como aqueles compartilhados, com
rastreabilidade e de prova eletrônica a qualquer tempo;
5. Facultar acesso ao pessoal autorizado e com compromisso formal, ou ao próprio Titular dos dados, em
caráter permanente;
6. Permitir a realização de auditorias;
7. Anuência prévia do Controlador/Contratante sobre a utilização de serviços de terceiros;
8. Informação e documentação que comprovem a implementação dos requisitos de segurança;
9. Providência de obrigações perante Titulares de dados pessoais e autoridades;
10. Comunicação formal e de imediata da ocorrência de qualquer risco, ameaça ou incidente de
segurança;
11. Revogação de privilégios de acesso, em caso de desligamento de funcionário;
12. Obter, quando necessário, o consentimento;
13. Não utilização de dados pessoais tratados para finalidade diversa;
14. planos de resposta a incidentes de segurança;
15. Responsabilidade por prejuízos causados e danos;
16. Procedimento de descarte seguro dos dados pessoais.
Encaminhamento PGE nº 0373/2020
31. • Publicação Pontos de Controles;
• Modelo de Avaliação de Controles;
• Modelo de Relatório de Impacto de
Proteção de Dados Pessoais;
• Plano Quadrienal Estratégico de
Proteção de Dados Pessoais.