Princípios de Proteção de Dados Pessoais

Prévia do material em texto

Conceitos
Orientações Iniciais
Dado pessoal: informação relacionada à pessoa natural identificada ou 
identificável
Dado anonimizado: dado que não possa ser identificado, com meios 
técnicos razoáveis e disponíveis na ocasião de seu tratamento
Conceitos
Dado pessoal sensível: origem racial ou étnica, convicção religiosa, 
opinião política, filiação a sindicato ou à organização de caráter religioso, 
filosófico ou político; saúde ou à vida sexual, genético ou biométrico.
Titular: pessoa natural a quem se referem os dados pessoais que são 
objeto de tratamento
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem 
Tratamento: coleta, produção, recepção, classificação, utilização, acesso, 
reprodução, transmissão, distribuição, processamento, arquivamento, 
armazenamento, eliminação, avaliação ou controle da informação, 
modificação, comunicação, transferência, difusão ou extração.
Conceitos
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem 
competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o 
tratamento de dados pessoais em nome do controlador;
Encarregado: pessoa indicada pelo controlador e operador corporativo para
atuar como canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD);
Realização do tratamento para propósitos legítimos, específicos, 
explícitos e informados ao titular, sem possibilidade de tratamento
posterior de forma incompatível com essas finalidades;
1 FINALIDADE
Compatibilidade do tratamento com as finalidades informadas ao titular, 
de acordo com o contexto do tratamento;
2 ADEQUAÇÃO
Princípios
Limitação do tratamento ao mínimo necessário para a realização de suas 
finalidades, com abrangência dos dados pertinentes, proporcionais e não 
excessivos em relação às finalidades do tratamento de dados;
3 NECESSIDADE
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a 
duração do tratamento, bem como sobre a integralidade de seus dados 
pessoais;
4 ACESSO 
LIVRE
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos 
dados, de acordo com a necessidade e para o cumprimento da finalidade de 
seu tratamento;
5 QUALIDADE 
DOS DADOS
Garantia, aos titulares, de informações claras, precisas e facilmente 
acessíveis sobre a realização do tratamento e os respectivos agentes de 
tratamento, observados os segredos comercial e industrial;
6
TRANSPARÊNCIA
Utilização de medidas técnicas e administrativas aptas a proteger os dados 
pessoais de acessos não autorizados e de situações acidentais ou ilícitas 
de destruição, perda, alteração, comunicação ou difusão;
7
SEGURANÇA
Princípios
Adoção de medidas para prevenir a ocorrência de danos em virtude do 
tratamento de dados pessoais;8
PREVENÇÃO
Impossibilidade de realização do tratamento para fins discriminatórios 
ilícitos ou abusivos;9
NÃO 
DISCRIMINAÇÃO
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de 
comprovar a observância e o cumprimento das normas de proteção de 
dados pessoais e, inclusive, da eficácia dessas medidas.
10
ACCOUNTABILITY
1. Para cumprimento de obrigação legal ou regulatória;
2. Pela administração pública, para execução de políticas previstas em leis;
3. Para estudos por órgão de pesquisa, desde que mantido o anonimato;
4. Para execução de contrato do qual é parte o titular dos dados;
5. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
6. Para proteção da vida ou da incolumidade física do titular ou de terceiro;
Hipóteses de Coleta de Dados Pessoais
6. Para proteção da vida ou da incolumidade física do titular ou de terceiro;
7. Para a tutela da saúde, com procedimento realizado por profissionais da área da
saúde ou por entidades sanitárias;
8. Para proteção do crédito, nos termos do Código de Defesa do Consumidor;
9. Quando necessário para atender aos interesses legítimos do controlador ou de
terceiros (exceto no caso de prevalecerem direitos e liberdades fundamentais do
titular que exijam a proteção dos dados pessoais);
10.Mediante o consentimento do titular.
CONTROLADORIA SETOR DE TI
POLÍTICA DE 
PRIVACIDADE
Responsabilidades (Encarregado)
PPDPL
Representante 
Legal
Apoio
jurídico
Aprova PPDPL, define prioridades, 
indica encarregado, emite instruções 
e presta contas.
CONTROLADOR
ENCARREGADO
Jurídico
- Consulta e pareceres / LGPD
- Gestão do risco jurídico
Comitê
Privacidade
Monitora e apoia o projeto de 
implantação e execução da LGPD.
Equipe de Apoio (Sugestão)
Operações
e presta contas.
Órgãos, entidades, pessoas físicas e 
demais contratadas
OPERADOR Compliance LGPD
Apoio
Tecnologia da
Informação
- Consulta e pareceres / LGPD
- Gestão do risco jurídico
- Proposições normativas
Tec. da Informação
- Gestão de aplicações
- Gestão da Seg. da Informação
- Proposições técnicas
Apoio Técnico
Ouvidoria e Controle Interno
- Transparência Ativa e 
Passiva
- Gestão de Riscos
- Accountability
Política de Proteção de Dados Pessoais Local 
o Plano de Governança: Legitimidade e Orientação ao trabalho;
o Forma Sugerida: Instrução Normativa;
o Apresentação: Alinhamento Estratégico; 
o Conteúdo:
I. Princípios;
II. Diretrizes; 
III. Objetivos;III. Objetivos;
IV. Do Controlador, Encarregado e Operadores;
V. Atribuições e Responsabilidades;
VI. Tratamento de dados pessoais.
o Exemplo disponível no site da SCGE.
● Controlador: SCGE;
● Representação Legal: Secretária da SCGE;
● Comitê de Privacidade: Conselho Deliberativo de Gestão - CDG;
● Encarregado: Assessoria Técnica - AST;
● Equipe de apoio do encarregado: Gerência de Assuntos Jurídicos - GAJ, 
Exemplo SCGE
Assessoria Especial de Controle Interno - AECI, a Ouvidoria da SCGE, a Diretoria 
de Tecnologia e Informação do Controle Interno - DTCI e a Diretoria de 
Planejamento e Gestão - DPGE.
● Gestor de Processos: todo e qualquer responsável pela unidade de execução de
um determinado processo de trabalho, inclusive sobre a gestão de riscos
Modelo - Etapas
● Nível Estratégico;
● Conceitos Gerais LGPD;
● Decreto Estadual;
● Detalhes da Política de Proteção 
de Dados Pessoais Local;
Alinhamento Estratégico
de Dados Pessoais Local;
● Instrução para o Diagnóstico 
Preliminar;
● Apresentação dos Pontos de 
Controle da Autoavaliação;
● Agenda para próximo encontro.
Avaliação 
de Controle
Diagnóstico 
Preliminar
Organização
Avaliações
Preliminar
Pontos de 
Controle
Processo 1 Processo 2
Processo 3 Processo 4
Diagnóstico Preliminar
Atribuições
Legais
Atribuições
Objetos
Existência
Dados 
Pessoais
Resultados
Questões
Estruturadas
Critério de Atribuições
Regulam.
Processos
Sistemas
Visão 
Sistêmica
Pontos
Focais
Critério de 
Seleção
Processo
Ágil
Diagnóstico Preliminar
● O processo em questão manipula dados pessoais?
● Selecione os tipos de dados pessoais a unidade utiliza em seu processo:
● Há utilização de alguma plataforma no tratamento de dados pessoais? 
● Os dados pessoais estão sendo armazenados em nuvem?
● Em quais condições ocorrem a coleta dos dados?
● Qual a criticidade da coleta de dados pessoais?● Qual a criticidade da coleta de dados pessoais?
● Qual a natureza do tratamento e valor da informação?
● Qual o nível de exposição dos dados pessoais coletados?
● Descreva a finalidade específica do tratamento de dados pessoais para o 
processo em questão.
● Há previsão legal ou administrativa para a coleta de dados pessoais?
● Selecione a forma de como os dados foram acessados pela unidade:
Diagnóstico Preliminar
● Há garantias da limitação do tratamento dos dados pessoais à finalidade?
● A finalidade pode ser atingida de outro modo sem dados pessoais? 
● Selecione, quais tipos de dados realmente são essenciais ao tratamento:
● Há prazo mínimo para conservar o dado pessoais? 
● Há possibilidade de reduçãono uso, no menor volume possível? 
● Há viabilidade de livre acesso aos dados pessoais sob sua custódia?● Há viabilidade de livre acesso aos dados pessoais sob sua custódia?
● Há garantias da qualidade dos dados pessoais sob sua custódia?
● Há registro dos tratamentos realizados e os agentes responsáveis?
● Há a capacidade operacional de retificação e apagamento dos dados?
● Os dados pessoais são compartilhados para outras finalidades?
● Qual a finalidade do compartilhamento? 
● A nova finalidade está legitimada pela lei ou política pública ou possui 
anuência do titular? 
● O compartilhamento está legitimado por convênio ou outro instrumento? 
Questão Pontos Critério
Há utilização de alguma plataforma no tratamento de dados pessoais? 10 Não
Os dados pessoais estão sendo armazenados em nuvem? 10 Sim
O volume de dados pessoais é intenso? 50 Sim
Há previsão legal ou administrativa para a coleta de dados pessoais? 50 Não
Há garantias da limitação do tratamento dos dados pessoais à finalidade? 20 Não
A finalidade pode ser atingida de outro modo sem dados pessoais? 20 Sim
Há a utilização de dados pessoais sensíveis 50 Sim
Há prazo mínimo para conservar o dado pessoais? 20 Não
Modelo: 
Diagnóstico Preliminar – Critério de 
Seleção
Há prazo mínimo para conservar o dado pessoais? 20 Não
Há possibilidade de redução no uso, no menor volume possível? 20 Sim
Há viabilidade de livre acesso aos dados pessoais sob sua custódia? 30 Não
Há garantias da qualidade dos dados pessoais sob sua custódia? 20 Não
Há registro dos tratamentos realizados e os agentes responsáveis? 20 Não
Há a capacidade operacional de retificação e apagamento dos dados? 20 Não
Os dados pessoais são compartilhados para outras finalidades? 30 Sim
A nova finalidade está legitimada pela lei ou política pública ou possui anuência do titular? 20 Não
O compartilhamento está legitimado por convênio ou outro instrumento? 10 Não
Prioridade Pontuação
Crítica [300,400]
Moderada [100<300[
Baixa [0,100[
Prioridade Avaliação
Crítica 1 ano
Moderada 2 anos
Baixa 4 anos
S
E
C
R
E
T
A
R
IA
 D
A
 C
O
N
T
R
O
L
A
D
O
R
IA
-G
E
R
A
L
 
D
O
 E
S
T
A
D
O
Auditoria
Auditoria de Obras
Auditoria de Pessoal
....
....
Auditoria de Pessoal
Exemplo
S
E
C
R
E
T
A
R
IA
 D
A
 C
O
N
T
R
O
L
A
D
O
R
IA
D
O
 E
S
T
A
D
O
Correição
Tomada de Contas 
Especial
Orientação Comissões
....
....
Tomada de Contas 
Especial
Monitoramento – Portaria SCGE nº01/21
Níveis de Conformidade
Indicadores Desempenho
ETAPA 
Incluir no Plano de 
Implantação de 
Controle
ETAPA 
Avaliar os principais 
riscos
Avaliação de Controles
ETAPA 
4
Inserir no ciclo de 
monitoramento de 
riscos organizacionais
ETAPA 
3
ETAPA 
2
Propor medidas de 
controle de interno
ETAPA 
1
Termo de Uso e Política de Privacidade
Termo de Uso ou contrato de Termo de Uso é um documento que estabelece as regras e condições de uso de 
determinado serviço 
Política de Privacidade é um documento informativo pelo qual o prestador de serviço transparece ao usuário a forma 
como o serviço realiza o tratamento dos dados pessoais e como ele fornece privacidade ao usuário