O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?
Implementar LGPD em centro espirita.pptx
1.
2. O que veremos?
IMPLEMENTANDO A LGPD
1.0 Introdução
2.0 Organizando a implementação da LGPD
3.0 Ciclo de vida no tratamento de dados pessoais
4.0 Boas práticas em segurança da informação
5.0 Padrões Frameworks e Controles de Segurança
6.0 ANEXOS
3. IMPLEMENTANDO A LGPD
Referências
5.5 ABNT NBR ISO/IEC 27701:2019. Técnicas de segurança — Extensão da ABNT NBR
ISO/ IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação —
Requisitos e diretrizes
Lei nº 13.709, de 14 de agosto de 2018
5.1 ABNT NBR ISO/IEC 27001:2013. Sistemas de gestão da segurança da informação
5.2 ABNT NBR ISO/IEC 27002: 2013. Código de Prática para controles de segurança da
informação
5.3 ABNT NBR ISO/IEC 27005:2019. Gestão de riscos de segurança da informação.
5.4 ABNT NBR ISO/IEC 31000:2018. Gestão de riscos - Diretrizes
4. IMPLEMENTANDO A LGPD
Orientações sobre os encarregados da proteção de dados (EPD)
GDRP - pt.
Orientações relativas ao consentimento
Diretrizes 3/2019 sobre tratamento de dados pessoais através de dispositivos de vídeo
Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD)
Orientações relativas à transparência
6. IMPLEMENTANDO A LGPD
Siglas
PyD – Privacy by Design | by Default(Privacidade desde a concepção)
LGPD - Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados)
DPO – Data Protection Officer (UE) EPD – Encarregado de Proteção de Dados (BR)
AIPD - Avaliação de Impacto sobre a Proteção de Dados (UE) RIPD – Relatório de
Impacto à Proteção de Dados Pessoais (BR)
GDPR - General Data Protection Regulation (RGPD - Regulamento Geral de Proteção de
Dados) UE
ANPD – Autoridade Nacional de Proteção de Dados
8. IMPLEMENTANDO A LGPD
LGPD
Art. 1º Esta Lei dispõe sobre o tratamento de dados
pessoais, inclusive nos meios digitais, por pessoa
natural ou por pessoa jurídica de direito público ou
privado, com o objetivo de proteger os direitos
fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural.
9. IMPLEMENTANDO A LGPD
LGPD, ART 5º - ATORES
O Titular
É a pessoa física a
quem se referem os
dados pessoais
O Controlador
Pessoa física ou
jurídica de direito
público ou privado
que coleta dados
pessoais e toma
todas as decisões em
relação a forma e
finalidade do
tratamento dos
dados.
O Encarregado
Pessoa física indicada pelo
controlador e que atua
como canal de
comunicação entre as
partes (controlador, os
titulares e a autoridade
nacional), além de orientar
os colaboradores sobre
práticas de tratamento de
dados.
O Operador
Pessoa natural ou
jurídica, de direito
público ou privado,
que realiza o
tratamento e
processamento de
dados pessoais
10. Diagrama LGPD
IMPLEMENTANDO A LGPD
Dados Pessoais
Dados sensíveis
Segurança
Privacidade
Sistema da I. E.
Controlador
DPO
Titular
Copiar
Alterar
Transferir
Excluir
A. N. P. D.
Violação
Comunicação
Operador
DPO
Princípios do tratamento
Anonimização
Finalidade
Pseudonimização
Compartilhamento
Transferência
Internacional
Eliminação
Exclusão
Log
Backup
Relatório de impacto
Contexto das atividades
Boas práticas
Relatório
13. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 1. Passo a passo LGPD
Fase 2. Equipe
Fase 3. Inventário
Fase 4. EPD - Encarregado de proteção de dados (DPO – Data Protection
Officer)
Fase 5. Mapeamento de dados
Fase 6. Realizando o tratamento de dados pessoais
Fase 7. Relatório de impacto à proteção de dados pessoais - RIPD
Fase 8. Término do tratamento de dados pessoais
14. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
a) Constituir uma equipe de trabalho para adequação e/ou implementação de
um programa de segurança da informação e privacidade que contemple as
exigências da LGPD;
b) Levantar todas as atividades da Instituição Espírita que envolvam
tratamento de dados pessoais;
c) Definir as bases legais conforme a finalidade (consentimento, legítimo
interesse, execução de contrato, cumprimento de obrigação legal ou
regulatória, etc.);
Fase 1. Passo a passo LGPD
15. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
e) Definir formas/ferramentas para que os titulares de dados pessoais possam
exercer seus direitos contemplados pela LGPD;
f) Construir o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
baseado em legítimo interesse e/ou nas situações em que isso seja
recomendável;
g) Elaborar políticas de privacidade e planos de resposta a incidentes e
outros documentos sobre privacidade e proteção de dados;
Fase 1. Passo a passo LGPD
16. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
h) Revisar e implementar procedimentos de segurança da informação e
privacidade – privacy by design/by default (segurança da informação e
privacidade desde a concepção);
i) Estabelecer programa de governança de controle e proteção de dados
pessoais e privacidade;
j) Elaborar um programa de boas práticas na gestão de segurança da
informação e privacidade.
Fase 1. Passo a passo LGPD
17. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Crie uma equipe para a implementação da LGPD na Instituição Espírita.
Estabeleça quem assumirá as funções exigidas pelo Art 5º da LGPD dentro da
Instituição Espírita e delegue responsabilidades.
Fase 2. Equipe
18. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Faça um inventário de dados. Descreva quais dados pessoais são coletados,
onde e como estão armazenados, se estão em meios digitais ou físicos, quem
são os responsáveis pela guarda e etc.
Fase 3. Inventário
19. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Nomeie o encarregado de proteção de dados da instituição dando preferência
por alguém que conheça de segurança da informação e LGPD. Conhecer a
família ISO27000, principalmente a ISO27001, ISO27002, ISO27005 e, além
destas, a ISO31000 é de suma importância, procurando segui-las.
Fase 4. EPD - Encarregado de proteção de dados (DPO – Data
Protection Officer)
20. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e
adotar providências;
Fase 4. EPD - Encarregado de proteção de dados (DPO – Data
Protection Officer)
§ 1º A identidade e as informações de contato do encarregado deverão ser
divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio
eletrônico do controlador.
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados
pessoais.
21. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
IV - executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
Fase 4. EPD - Encarregado de proteção de dados (DPO – Data
Protection Officer)
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das
práticas a serem tomadas em relação à proteção de dados pessoais; e
22. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 5. Mapeamento de dados
Princípios LGPD Direitos dos Titulares Referência LGPD
Princípio da finalidade
Direito ao tratamento adstrito aos propósitos
legítimos, específicos, explícitos e informados ao
titular, sem possibilidade de tratamento posterior
de forma incompatível com essas finalidades
Art. 6º, I
Princípio da necessidade
Direito à limitação do tratamento ao mínimo
necessário para a realização de suas finalidades,
com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às
finalidades do tratamento
Art. 6º, III
23. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 5. Mapeamento de dados
Princípios LGPD Direitos dos Titulares Referência LGPD
Princípio do livre acesso
Direito à consulta facilitada e gratuita sobre a forma
e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais
Art. 6º, IV
Princípio da qualidade dos dados
Direito à exatidão, clareza, relevância e atualização
dos dados, de acordo com a necessidade para o
cumprimento da finalidade de seu tratamento
Art. 6º, V
Princípio da transparência
Direito a informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento e os
respectivos agentes de tratamento, observados os
segredos comercial e industrial
Art. 6º, VI
24. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 5. Mapeamento de dados
Princípios LGPD Direitos dos Titulares Referência LGPD
Princípio da segurança
Direito à segurança dos dados, ao qual se contrapõe
o dever, por parte dos agentes de tratamento, de
utilização de medidas técnicas e administrativas
aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou
difusão
Art. 6º, VII
Princípio da prevenção
Direito à adequada prevenção de danos, ao qual se
contrapõe o dever, por parte dos agentes de
tratamento, de adoção de medidas para prevenir a
ocorrência de danos em virtude do tratamento de
dados pessoais
Art. 6º, VIII
25. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 5. Mapeamento de dados
Princípios LGPD Direitos dos Titulares Referência LGPD
Princípio da não discriminação Direito de não ser discriminado de forma ilícita ou
abusiva
Art. 6º, IX
Princípio da responsabilização e
prestação de contas
Direito de exigir a adequada responsabilização e a
prestação de contas por parte dos agentes de
tratamento, ao qual se contrapõe o dever, por parte
destes, de adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das
normas de proteção de dados pessoais
Art. 6º, X
26. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
6.1 – Hipóteses de tratamento de dados pessoais
Fase 6. Realizando o tratamento de dados pessoais
6.1.1 Tratamento de dados pessoais sensíveis
6.1.2 Tratamento de dados de crianças e adolescentes
6.2 – Análise de dados
6.3 – Coleta de dados pessoais
27. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Que tipo de dados pessoais estamos usando e para qual finalidade?
Fase 6. Realizando o tratamento de dados pessoais
Qual legislação regula nossos requisitos de uso e segurança?
Quem é o proprietário institucional e técnico dos dados pessoais?
Com que frequência os dados são acessados?
O acesso é controlado?
28. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 6. Realizando o tratamento de dados pessoais
Anonimização e Pseudonimização
Segundo a LGPD, dado anonimizado é o dado relativo ao titular que não possa
ser identificado. A não identificação da relação entre o dado e seu proprietário
decorre da utilização da técnica de anonimização, a fim de impossibilitar a
associação entre estes, seja de forma direta ou indireta.
O dado esteja anonimizado, uma vez observada a possibilidade de reversão
do processo que obteve a anonimização, este processo deixa de ser assim
considerado e passa a ser considerado pseudonimização.
29. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 6. Realizando o tratamento de dados pessoais
6.1 – Hipóteses de tratamento de dados pessoais
É necessário que conheçamos todas as hipóteses de tratamento de dados
autorizados para:
- Analisar quais casos de tratamento de dados pessoais já foram realizados,
para verificar se há hipótese legal que os autorize; e
- Avaliar antecipadamente cada caso novo de tratamento que se pretenda
realizar, identificando as hipóteses legais autorizativas aplicáveis.
30. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
V - quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, a pedido do
titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou
arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996
(Lei de Arbitragem) ;
31. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
VII - para a proteção da vida ou da incolumidade física do titular ou de
terceiro;
IX - quando necessário para atender aos interesses legítimos do controlador
ou de terceiro, exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação
pertinente.
32. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Consentimento
1. Será viável a coleta e o armazenamento da opção de consentimento do
titular de modo a poder comprovar posteriormente a sua expressa
manifestação de vontade?
2. Se o consentimento se der de forma escrita, será garantido que a opção
pelo consentimento conste de cláusula destacada das demais, em que o titular
seja instado a escolher livremente pela anuência ou não ao consentimento
solicitado?
33. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Consentimento
3. O consentimento será solicitado para cada uma das finalidades de
tratamento, e será informado ao titular que tipo de tratamento será realizado,
antes que este opte pelo consentimento?
4. Será dada ao titular a opção de revogação do consentimento, a qualquer
momento, mediante manifestação expressa, por procedimento gratuito e
facilitado?
34. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Consentimento
5. No caso de tratamento de dados de crianças e adolescentes, será solicitado
o consentimento específico para pelo menos um dos pais ou pelo responsável
legal?
35. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Consentimento
Observações:
a) É vedado o tratamento de dados pessoais mediante vício de consentimento.
b) O consentimento será considerado nulo caso as informações fornecidas ao titular
tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente
com transparência, de forma clara e inequívoca.
c) Se houver mudanças da finalidade para o tratamento de dados pessoais não
compatíveis com o consentimento original, o titular deverá ser informado previamente
sobre as mudanças de finalidade, podendo revogar o consentimento, caso discorde das
alterações.
d) As autorizações genéricas para o tratamento de dados pessoais serão consideradas
nulas.
36. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 6. Realizando o tratamento de dados pessoais
6.1.1 Tratamento de dados pessoais sensíveis
Estão definidos no art. 5º, inciso II como “dado pessoal sobre origem racial
ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a
uma pessoa natural”.
37. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 6. Realizando o tratamento de dados pessoais
6.1.2 Tratamento de dados de crianças e adolescentes
O tratamento de dados pessoais de crianças e de adolescentes deverá ser
realizado em seu melhor interesse, mediante consentimento específico e em
destaque dado por pelo menos um dos pais ou pelo responsável legal. Nessa
hipótese, os controladores deverão manter pública a informação sobre os
tipos de dados coletados, a forma de sua utilização e os procedimentos para
acesso às informações tratadas.
38. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 6. Realizando o tratamento de dados pessoais
6.2 – Análise de dados
Divida os dados pessoais para facilitar a organização. Assim conseguiremos
separar os dados, conforme indicado pela LGPD, em dados pessoais, dados
pessoais sensíveis e dados de crianças e adolescentes.
39. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 6. Realizando o tratamento de dados pessoais
6.3 – Coleta de dados pessoais
O Art. 5º, inciso X da LGPD traz como uma das operações de tratamento de
dados pessoais, a coleta. Assim sendo, a coleta é a operação inicial de
tratamento dos dados pessoais e somente deve ser realizada mediante o
atendimento das hipóteses de tratamento, das medidas de segurança, dos
princípios, dos diretos do titular e demais regras dispostas pela LGPD.
40. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais - RIPD
O Relatório de impacto à proteção de dados pessoais (RIDP), previsto na
LGPD, é um relatório fundamental onde as instituições demonstram como
ocorre a coleta, o tratamento, como os dados são usados, compartilhados, as
medidas que são tomadas para mitigar os riscos que afetem liberdades civis
e direitos fundamentais dos titulares desses dados.
41. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais - RIPD
7.1 Construindo o RIPD
7.1.1 Passo 1 - Identificar a necessidade da construção do RIPD
7.1.2 Passo 2 - Identificando os atores do tratamento de dados pessoais na
instituição
7.1.3 Passo 3 - Descrição dos processos de tratamento de dados pessoais
42. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais - RIPD
7.1.4 Passo 4 - Avaliar a necessidade e proporcionalidade
7.1.5 Passo 5 - Identificando e avaliando riscos
7.1.6 Passo 6 - Identificando medidas de segurança e privacidade para
mitigar riscos
7.1.7 Passo 7 - Aprovar e registrar os resultados da RIPD
7.1.8 Passo 8 – Revisão e atualização RIPD
43. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
7.1 Construindo o RIPD
A Instituição Espírita é obrigada a construir um RIPD? Não, mas a construção
de um RIPD fomenta a confiança, e a RIPD completa deve ser comunicada à
autoridade de controle em caso de consulta prévia ou se tal for solicitado
pela Autoridade Nacional de Proteção de Dados - ANPD.
44. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 1 - Identificar a necessidade da construção do RIPD
O primeiro passo para identificar a necessidade de se construir um relatório
é saber em quais atividades da Instituição Espírita existe a necessidade de
tratamento de dados pessoais.
45. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 2 - Identificando os atores do tratamento de dados
pessoais na instituição
Neste passo identificamos e indicamos os atores que irão trabalhar no
processo chamado ciclo de vida no tratamento de dados pessoais. Esses
atores estão contemplados na LGPD.
46. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 2 - Identificando os atores do tratamento de dados
pessoais na instituição
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de
comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados
47. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
A descrição do processo deverá envolver as especificações de natureza,
escopo, contexto e finalidade do tratamento.
48. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.3.1 Fase 1 - Natureza do tratamento de dados pessoais
Nesta fase a instituição demonstra como pretende tratar os dados pessoais
ou como trata os dados pessoais que estão em sua posse. É importante citar
o fluxo de dados pessoais onde, entre outros, conste:
49. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.3.1 Fase 1 - Natureza do tratamento de dados pessoais
- Coleta de dados: como os dados pessoais são coletados. Se, como
exemplo, são coletados via formulário online ou formulário em papel e etc.;
- Armazenamento de dados: como os dados são armazenados na
instituição, exemplo: se em banco de dados online ou em móveis como
arquivos, prateleiras, armários e etc.;
50. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.3.1 Fase 1 - Natureza do tratamento de dados pessoais
- Tratamento de dados: como os dados são tratados, tipos de segurança da
informação utilizada, quem tem acesso, como ocorre esse acesso e etc.;
- Distribuição: com qual instituição e quando os dados pessoais são
compartilhados, exemplo: fichas de inscrição que são compartilhadas com
outra instituição onde exista uma parceria.
51. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.3.1 Fase 1 - Natureza do tratamento de dados pessoais
- Operadores: quem são os operadores que realizam o tratamento de dados
pessoais em nome do controlador e destacar em quais fases (se na coleta,
retenção, tratamento, distribuição, eliminação);
- Eliminação: descrever a forma que os dados pessoais são eliminados do(s)
banco(s) de dado(s) da instituição.
52. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.3.2 Fase 2 - Escopo do tratamento de dados pessoais
O escopo vai definir a abrangência do tratamento de dados, assim sendo,
podemos, dentro do escopo, descrever:
53. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.3.2 Fase 2 - Escopo do tratamento de dados pessoais
Quais os tipos de dados pessoais tratados. Exemplo: se são dados pessoais
sensíveis, dados pessoais de jovens e adolescentes;
- Quanto tempo (dias, meses ou anos) os dados permanecerão de posse da
instituição (retidos, mantidos ou armazenados);
54. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.3.2 Fase 2 - Escopo do tratamento de dados pessoais
- Quais dados são coletados e tratados, sua extensão e frequência;
- Qual número de titulares que são afetados pelo tratamento de dados
pessoais e a abrangência geográfica deste;
55. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.3.3 Fase 3 – Estabelecendo contexto do tratamento de dados pessoais
Nesta fase vamos incluir os fatores internos e externos que poderão afetar o
impacto sobre o tratamento de dados bem como a confiança do Titular dos
dados pessoais.
56. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.3.3 Fase 3 – Estabelecendo contexto do tratamento de dados pessoais
- Qual é a natureza do relacionamento entre a instituição e os titulares;
- O tratamento envolve adolescente, crianças ou algum grupo vulnerável;
- Método de controle que os titulares exercem sobre os dados pessoais;
57. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.3.3 Fase 3 – Estabelecendo contexto do tratamento de dados pessoais
- O tratamento de dados pessoais atende as expectativas dos titulares dos
dados pessoais;
- Quais avanços a instituição atingiu no que tange a segurança da
informação;
58. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.3.4 Fase 4 - Finalidade do tratamento
A finalidade é a razão pela qual se deseja realizar o tratamento de dados
pessoais, assim sendo, construir uma finalidade objetiva e clara para que o
titular de dados compreenda facilmente o objetivo proposto é de suma
importância.
59. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
7.1.4 Passo 4 - Avaliar a necessidade e proporcionalidade
O controlador deve se guiar pela finalidade que pretende atingir, sem se
prender à implementação que espera executar, assim, com foco na finalidade
da coleta de dados pessoais, deve ser identificada a alternativa de
implementação que ofereça menos riscos à proteção de dados. Deve ficar
claro que as operações realizadas sobre os dados pessoais limitam o
tratamento ao mínimo necessário para a realização de suas finalidades.
60. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 5 - Identificando e avaliando riscos
É preciso, antes de tudo, identificar os fatores de risco que possam impactar
no tratamento de dados pessoais. O Atr. 5º da LGPD descreve que o RIPD
deve conter as “medidas, salvaguardas e mecanismos de mitigação de risco”.
Assim, para cada risco identificado se define a probabilidade de ocorrência
do fator de risco, o possível impacto e o potencial de risco.
61. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 3 - Descrição dos processos de tratamento de dados
pessoais
7.1.5 Passo 5 - Identificando e avaliando riscos
Matriz Probabilidade x Impacto, instrumento de apoio para a definição dos
critérios de classificação do nível de risco.
64. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 6 - Identificando medidas de segurança e privacidade para
mitigar riscos
Neste passo são sugeridas as medidas que buscam tratar as ameaças
identificadas na etapa anterior. As medidas propostas devem atender aos
requisitos legais por estarem pautadas nos princípios da legislação. As
medidas foram identificadas com suas correspondentes ameaças.
65. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Destacamos que as medidas para tratar riscos indicados no Art. 46 da LGPD
podem ser: de segurança, técnicas ou administrativas.
66. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 7 - Aprovar e registrar os resultados da RIPD
Este passo visa formalizar a aprovação do Relatório de Impacto à Proteção
de Dados Pessoais – RIPD. Deverão constar os nomes e a assinaturas do
responsável pela a elaboração do RIPD, bem como do encarregado,
controlador e do operador.
67. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 7. Relatório de impacto à proteção de dados pessoais – RIPD
Passo 8 – Revisão e atualização RIPD
É de suma importância que o RIPD seja revisado ao menos uma vez ao ano e que seja
atualizado sempre que:
- Haja alteração em sua finalidade de tratamento de dados pessoais;
- Sejam alteradas as formas que esses dados são tratados;
- Alteração na forma de coleta e/ou na quantidade de dados coletados;
- Quando houver necessidade de mudança no tratamento de dados por motivo de
identificação de falha na segurança da informação, alteração para a utilização de uma
nova tecnologia ou vulnerabilidade de um grupo específico de titulares de dados
pessoais.
68. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 8. Término do tratamento de dados pessoais
A LGPD indica em seu Art. 15 que o término do tratamento de dados pessoais
deve ocorrer:
(i) exaurimento da finalidade para os quais os dados foram coletados ou
quando estes deixam de ser necessários ou pertinentes para o alcance desta
finalidade;
(ii) fim do período de tratamento;
69. IMPLEMENTANDO A LGPD
Organizando a implementação da LGPD
Fase 8. Término do tratamento de dados pessoais
(iv) determinação da autoridade nacional em face de violação do disposto
na Lei.
(iii) revogação do consentimento ou a pedido do titular, resguardado o
interesse público;
71. IMPLEMENTANDO A LGPD
Ciclo de vida no tratamento de dados pessoais
O ciclo de vida no tratamento de dados pessoais indica o passo a passo
desde que o dado pessoal é coletado para atender a uma finalidade
específica, a permanência do dado em posse da instituição até a eliminação
do dado, de acordo com certos critérios de eliminação.
73. IMPLEMENTANDO A LGPD
Boas práticas em segurança da informação
O conceito de Privacidade desde a concepção significa que a privacidade e a
proteção de dados devem ser consideradas desde a concepção e durante todo
o ciclo de vida do projeto, sistema, serviço, produto ou processo.
O modelo conceitual de Privacy by Design (PbD) é desenvolvido por
Cavoukian (2009) em 7 princípios fundamentais.
Privacidade desde a Concepção (Privacy by Design e by Default)
74. IMPLEMENTANDO A LGPD
Boas práticas em segurança da informação
1) Proativa, não reativa; Preventiva, não remedial
A ideia de Privacy by Design é a tomada ações para evitar a ocorrência do
dano, e não em resposta a este. A abordagem antecipa e previne eventos
invasivos à privacidade, sem esperar que seus riscos se materializem.
Privacidade desde a Concepção (Privacy by Design e by Default)
75. IMPLEMENTANDO A LGPD
Boas práticas em segurança da informação
2) Privacidade por padrão
A abordagem de PbD busca entregar o máximo de privacidade garantindo
que informação pessoal seja protegida automaticamente, por padrão, sem a
necessidade de interação ou ação por parte do sujeito de dados. Caso o
indivíduo não aja, sua privacidade permanece intacta.
Privacidade desde a Concepção (Privacy by Design e by Default)
76. IMPLEMENTANDO A LGPD
Boas práticas em segurança da informação
3) Privacidade embutida no design
A privacidade é embutida na concepção do sistema ou da tecnologia, como
parte integral e não como acessório adicionado posteriormente. Deve ser
integrada de maneira holística, considerando contextos amplos de usos e
consequências, integrativa, consultando os interessados e criativa, quando as
escolhas disponíveis sejam consideradas inaceitáveis.
Privacidade desde a Concepção (Privacy by Design e by Default)
77. IMPLEMENTANDO A LGPD
Boas práticas em segurança da informação
4) Funcionalidade completa – Soma positiva (win-win)
O conceito de PbD pretende acomodar todos os interesses legítimos da
organização, evitando falsas dicotomias, como privacidade vs. segurança. A
privacidade, portanto, não competiria com outros interesses do negócio, mas
se realizaria integralmente com estes.
Privacidade desde a Concepção (Privacy by Design e by Default)
78. IMPLEMENTANDO A LGPD
Boas práticas em segurança da informação
5) Proteção de ponta a ponta (end-to-end)
Com a PbD sendo implantada antes do início do uso do sistema, a
informação pessoal estará protegida desde sua inserção, em sua retenção e uso
até sua eventual destruição por rigorosos padrões de segurança. Os padrões
devem garantir a confidencialidade, integridade e disponibilidade dos dados
pessoais por todo o seu ciclo, incluindo garantia de destruição segura,
criptografia apropriada e rigorosos métodos de registro (logging) e controle de
acesso.
Privacidade desde a Concepção (Privacy by Design e by Default)
79. IMPLEMENTANDO A LGPD
Boas práticas em segurança da informação
6) Visibilidade e Transparência
Estes princípios buscam garantir que o sistema ou tecnologia envolvida de
fato está operando de acordo com os propósitos declarados, sujeito à
verificação independente. Os princípios são integrais ao estabelecimento de
responsabilização e confiança, além da utilidade na demonstração de
compliance.
Privacidade desde a Concepção (Privacy by Design e by Default)
80. IMPLEMENTANDO A LGPD
Boas práticas em segurança da informação
7) Respeito à privacidade do usuário
Os melhores resultados são obtidos quando o sistema é conscientemente
concebido com foco nas necessidades dos usuários, com fortes padrões de
privacidade, comunicação apropriada e permitindo aos sujeitos de dados
exercerem um papel ativo na administração de suas informações.
Privacidade desde a Concepção (Privacy by Design e by Default)
82. IMPLEMENTANDO A LGPD
Padrões Frameworks e Controles de Segurança
É de suma importância ter e seguir documentos que orientem e melhorem o
gerenciamento do tratamento de riscos de segurança. Citamos abaixo
documentos que irão colaborar na implantação de normas para condutas
dentro da instituição no que se refere a segurança da informação.
83. IMPLEMENTANDO A LGPD
Padrões Frameworks e Controles de Segurança
São apresentados os requisitos para estabelecer, implementar, manter e
melhorar continuamente um Sistema de Gestão da Segurança da Informação
(SGSI), bem como os requisitos para avaliação e tratamento de riscos de
segurança da informação, sempre com o foco nas necessidades da organização.
ABNT NBR ISO/IEC 27001:2013.
Sistemas de gestão da segurança da informação
84. IMPLEMENTANDO A LGPD
Padrões Frameworks e Controles de Segurança
Estipula melhores práticas para apoiar a implantação do SGSI, com diretrizes
para práticas de gestão de segurança da informação e normas de segurança da
informação para as organizações, incluindo a seleção, a implementação e o
gerenciamento de controles, levando em consideração os ambientes de risco
da segurança da informação da organização.
ABNT NBR ISO/IEC 27002: 2013.
Código de Prática para controles de segurança da informação
85. IMPLEMENTANDO A LGPD
Padrões Frameworks e Controles de Segurança
Esta norma apresenta diretrizes para o processo de gestão de riscos de
segurança da informação de uma organização, atendendo particularmente aos
requisitos de um SGSI, conforme a NBR ISO/IEC 27001.
ABNT NBR ISO/IEC 27005:2019.
Gestão de riscos de segurança da informação.
86. IMPLEMENTANDO A LGPD
Padrões Frameworks e Controles de Segurança
É um documento com recomendações para gerenciar riscos enfrentados
pelas organizações, podendo ser personalizado para qualquer contexto. A
versão do ano de 2018 apresenta um guia mais claro e conciso, com o intuito
de ajudar as organizações a usar os princípios de gerenciamento de risco para
melhorar o planejamento e tomar melhores decisões.
ABNT NBR ISO/IEC 31000:2018.
Gestão de riscos - Diretrizes.
87. IMPLEMENTANDO A LGPD
Padrões Frameworks e Controles de Segurança
Este documento especifica os requisitos e fornece as diretrizes para o
estabelecimento, implementação, manutenção e melhoria contínua de um
Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma
extensão das ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002. Visa a
gestão da privacidade no contexto da organização.
ABNT NBR ISO/IEC 27701:2019. Técnicas de segurança — Extensão da
ABNT NBR ISO/ IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da
privacidade da informação — Requisitos e diretrizes.