CURSO LGPD

Prévia do material em texto

Na fase de Coleta (C) deve-se identificar os ativos envolvidos na coleta de dados pessoais. Esses dados podem entrar na organização via algum documento físico, algum sistema hospedado em algum equipamento localizado em algum local físico do órgão público. Pode ser via prestação de algum serviço [1] externo ou serviço prestado pelo próprio órgão público por meio de alguma de suas unidades organizacionais.
Na fase de Retenção (R), deve-se avaliar os ativos utilizados para armazenar os dados pessoais. Esses dados podem estar armazenados em bases de dados, documentos físicos, equipamentos e/ou sistemas. É preciso considerar também as unidades organizacionais responsáveis pelo armazenamento e guarda dos dados, bem como os locais físicos onde estão localizados os ativos que armazenam esses dados. Se o armazenamento for em “nuvem”, por exemplo, é preciso considerar o serviço de armazenamento contratado e/ou utilizado.
A fase de Processamento (P) segue a mesa linha de raciocínio das anteriores. Identificam-se os ativos onde são realizados os tratamentos dos dados. O tratamento pode ser realizado em documento físico, pode ser feito por um sistema interno ou contratado pelo órgão. É preciso identificar as pessoas (papeis organizacionais), unidades organizacionais e equipamentos envolvidos nesse tratamento. Onde estão localizadas fisicamente essas unidades organizacionais e os equipamentos envolvidos nesse tratamento também importa.
Na fase de Compartilhamento (CP), é preciso mapear os ativos envolvidos na distribuição ou divulgação dos dados pessoais para dentro e para fora do órgão público. Quais sistemas são usados para transmitir, exibir ou divulgar dados pessoais? Quais pessoas são destinatárias dessas informações? Quais unidades organizacionais e quais equipamentos são usados para tal?.
No que se refere à fase de Eliminação (E), deve-se avaliar os ativos que armazenam os dados pessoais que possam ser objeto de solicitação de eliminação de dados a pedido do titular dos dados pessoais ou de descarte nos casos necessários ao negócio da instituição. Os dados pessoais a serem eliminados podem estar armazenados em ativos relacionados com bases de dados, documentos físicos, equipamentos e/ou sistemas, tais ativos também podem ser objeto de descarte. É necessário considerar, também, as unidades organizacionais responsáveis pelo armazenamento e guarda dos dados que possam ser objeto de eliminação ou descarte, bem como os locais físicos onde estão localizados os ativos que contenham dados a serem eliminados ou descartados. Se a eliminação do dado pessoal ou o descarte do ativo tiver relação com solução em “nuvem”, por exemplo, é preciso considerar o serviço de armazenamento contratado e/ou utilizado. Ainda, é preciso considerar as regras incidentes sobre os arquivos públicos.
	MEDIDA DE SEGURANÇA[1]
	DESCRIÇÃO
	CLASSIFICAÇÃO DA INFORMAÇÃO
	Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a instituição.
	COMPARTILHAMENTO, USO E PROTEÇÃO DA INFORMAÇÃO
	Assegurar a privacidade e proteção das informações de identificação pessoal conforme requerido por legislação e regulamentação pertinente.
	CONTINUIDADE DE NEGÓCIO
	A proteção de dados deve ser contemplada nos sistemas de gestão da continuidade do negócio da organização.
	CONTROLE DE ACESSO LÓGICO
	Limitar o acesso à informação e aos recursos de processamento da informação.
	CONTROLES CRIPTOGRÁFICOS
	Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informação.
	CONTROLES DE COLETA E PRESERVAÇÃO DE EVIDÊNCIAS
	A instituição deve definir e aplicar procedimentos para a identificação, coleta, aquisição e preservação das informações, as quais podem servir como evidências.
	CÓPIA DE SEGURANÇA
	Cópias de segurança das informações, de softwares e das imagens do sistema devem ser efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida.
	DESENVOLVIMENTO SEGURO
	Garantir que a proteção de dados está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação.
	GESTÃO DE MUDANÇAS
	Mudanças na organização, nos processos do negócio, nos recursos de processamento da informação e nos sistemas que afetam a proteção de dados devem ser controladas.
	GESTÃO DE RISCOS
	Processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos que possam afetar a instituição. Destinado a fornecer segurança razoável quanto à proteção dos dados pessoais e à realização de seus objetivos.
	ORGANIZAÇÃO DA SEGURANÇA
	Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e operação da segurança dos dados dentro da organização.
	POLÍTICA DE SEGURANÇA
	Prover orientação da direção e apoio para a segurança dos dados pessoais de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
	PROTEÇÃO FÍSICA E DO AMBIENTE
	Prevenir o acesso físico não autorizado, danos e interferências com os recursos de processamento e informações institucionais.
	REGISTRO DE EVENTOS E RASTREABILIDADE
	Registrar eventos e gerar evidências, a fim de proporcionar rastreabilidade.
	SEGURANÇA EM REDES
	Assegurar a proteção das informações em redes e dos recursos de processamento da informação que os apoiam.
	SEGURANÇA NAS OPERAÇÕES
	Garantir a operação segura e correta dos recursos de processamento da informação.
	TRATAMENTO E RESPOSTA A INCIDENTES
	Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados pessoais, incluindo a comunicação sobre fragilidades e eventos de segurança.
Na medida de segurança Gestão de Mudanças, constam controles que contribuem para que as mudanças sejam realizadas de forma a assegurar a proteção dos dados pessoais. Nesse caso, consideramos que a instituição está tratando o controle ressaltado, na tabela, em fundo verde: “É realizado o controle de mudanças em atualizações de software e outros componentes das soluções de TIC?”.
Para tal controle, são identificados três ativos  organizacionais marcados com “X”: Base de Dados, Equipamentos e Sistemas. Isso significa que mudanças em atualizações de software e outros componentes das soluções de TIC que envolvam Base de Dados, Equipamentos e Sistemas devem ser controladas.
Essa abordagem de identificação dos controles a serem aplicados sobre os ativos  organizacionais é aplicável para todas as medidas de segurança constantes da planilha em questão.
A planilha também proporciona a visão de todos os controles que podem ser aplicados para um ativo organizacional específico.  Considerando que a instituição deseje verificar, por exemplo, quais controles são aplicáveis para o ativo Sistemas, então basta identificar quais linhas da planilha estão com um “X” marcado na coluna com o mesmo nome do ativo.
O conhecimento sobre medidas e controles de segurança será muito importante no momento de elaborar o Relatório de Impacto à Proteção do Dados Pessoais – RIPD. O RIPD representa uma ferramenta muito útil no sentido de avaliar o impacto potencial que um produto ou serviço pode gerar sobre a privacidade dos dados pessoais que serão tratados pela instituição. Esse Relatório também mapeará os riscos à privacidade dos dados e respectivas medidas de segurança a serem adotadas.