Baixe o app para aproveitar ainda mais
Prévia do material em texto
Conceitos Orientações Iniciais Dado pessoal: informação relacionada à pessoa natural identificada ou identificável Dado anonimizado: dado que não possa ser identificado, com meios técnicos razoáveis e disponíveis na ocasião de seu tratamento Conceitos Dado pessoal sensível: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político; saúde ou à vida sexual, genético ou biométrico. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem Tratamento: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Conceitos Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; Encarregado: pessoa indicada pelo controlador e operador corporativo para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; 1 FINALIDADE Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; 2 ADEQUAÇÃO Princípios Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; 3 NECESSIDADE Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; 4 ACESSO LIVRE Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; 5 QUALIDADE DOS DADOS Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; 6 TRANSPARÊNCIA Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; 7 SEGURANÇA Princípios Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;8 PREVENÇÃO Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;9 NÃO DISCRIMINAÇÃO Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 10 ACCOUNTABILITY 1. Para cumprimento de obrigação legal ou regulatória; 2. Pela administração pública, para execução de políticas previstas em leis; 3. Para estudos por órgão de pesquisa, desde que mantido o anonimato; 4. Para execução de contrato do qual é parte o titular dos dados; 5. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral; 6. Para proteção da vida ou da incolumidade física do titular ou de terceiro; Hipóteses de Coleta de Dados Pessoais 6. Para proteção da vida ou da incolumidade física do titular ou de terceiro; 7. Para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; 8. Para proteção do crédito, nos termos do Código de Defesa do Consumidor; 9. Quando necessário para atender aos interesses legítimos do controlador ou de terceiros (exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais); 10.Mediante o consentimento do titular. CONTROLADORIA SETOR DE TI POLÍTICA DE PRIVACIDADE Responsabilidades (Encarregado) PPDPL Representante Legal Apoio jurídico Aprova PPDPL, define prioridades, indica encarregado, emite instruções e presta contas. CONTROLADOR ENCARREGADO Jurídico - Consulta e pareceres / LGPD - Gestão do risco jurídico Comitê Privacidade Monitora e apoia o projeto de implantação e execução da LGPD. Equipe de Apoio (Sugestão) Operações e presta contas. Órgãos, entidades, pessoas físicas e demais contratadas OPERADOR Compliance LGPD Apoio Tecnologia da Informação - Consulta e pareceres / LGPD - Gestão do risco jurídico - Proposições normativas Tec. da Informação - Gestão de aplicações - Gestão da Seg. da Informação - Proposições técnicas Apoio Técnico Ouvidoria e Controle Interno - Transparência Ativa e Passiva - Gestão de Riscos - Accountability Política de Proteção de Dados Pessoais Local o Plano de Governança: Legitimidade e Orientação ao trabalho; o Forma Sugerida: Instrução Normativa; o Apresentação: Alinhamento Estratégico; o Conteúdo: I. Princípios; II. Diretrizes; III. Objetivos;III. Objetivos; IV. Do Controlador, Encarregado e Operadores; V. Atribuições e Responsabilidades; VI. Tratamento de dados pessoais. o Exemplo disponível no site da SCGE. ● Controlador: SCGE; ● Representação Legal: Secretária da SCGE; ● Comitê de Privacidade: Conselho Deliberativo de Gestão - CDG; ● Encarregado: Assessoria Técnica - AST; ● Equipe de apoio do encarregado: Gerência de Assuntos Jurídicos - GAJ, Exemplo SCGE Assessoria Especial de Controle Interno - AECI, a Ouvidoria da SCGE, a Diretoria de Tecnologia e Informação do Controle Interno - DTCI e a Diretoria de Planejamento e Gestão - DPGE. ● Gestor de Processos: todo e qualquer responsável pela unidade de execução de um determinado processo de trabalho, inclusive sobre a gestão de riscos Modelo - Etapas ● Nível Estratégico; ● Conceitos Gerais LGPD; ● Decreto Estadual; ● Detalhes da Política de Proteção de Dados Pessoais Local; Alinhamento Estratégico de Dados Pessoais Local; ● Instrução para o Diagnóstico Preliminar; ● Apresentação dos Pontos de Controle da Autoavaliação; ● Agenda para próximo encontro. Avaliação de Controle Diagnóstico Preliminar Organização Avaliações Preliminar Pontos de Controle Processo 1 Processo 2 Processo 3 Processo 4 Diagnóstico Preliminar Atribuições Legais Atribuições Objetos Existência Dados Pessoais Resultados Questões Estruturadas Critério de Atribuições Regulam. Processos Sistemas Visão Sistêmica Pontos Focais Critério de Seleção Processo Ágil Diagnóstico Preliminar ● O processo em questão manipula dados pessoais? ● Selecione os tipos de dados pessoais a unidade utiliza em seu processo: ● Há utilização de alguma plataforma no tratamento de dados pessoais? ● Os dados pessoais estão sendo armazenados em nuvem? ● Em quais condições ocorrem a coleta dos dados? ● Qual a criticidade da coleta de dados pessoais?● Qual a criticidade da coleta de dados pessoais? ● Qual a natureza do tratamento e valor da informação? ● Qual o nível de exposição dos dados pessoais coletados? ● Descreva a finalidade específica do tratamento de dados pessoais para o processo em questão. ● Há previsão legal ou administrativa para a coleta de dados pessoais? ● Selecione a forma de como os dados foram acessados pela unidade: Diagnóstico Preliminar ● Há garantias da limitação do tratamento dos dados pessoais à finalidade? ● A finalidade pode ser atingida de outro modo sem dados pessoais? ● Selecione, quais tipos de dados realmente são essenciais ao tratamento: ● Há prazo mínimo para conservar o dado pessoais? ● Há possibilidade de reduçãono uso, no menor volume possível? ● Há viabilidade de livre acesso aos dados pessoais sob sua custódia?● Há viabilidade de livre acesso aos dados pessoais sob sua custódia? ● Há garantias da qualidade dos dados pessoais sob sua custódia? ● Há registro dos tratamentos realizados e os agentes responsáveis? ● Há a capacidade operacional de retificação e apagamento dos dados? ● Os dados pessoais são compartilhados para outras finalidades? ● Qual a finalidade do compartilhamento? ● A nova finalidade está legitimada pela lei ou política pública ou possui anuência do titular? ● O compartilhamento está legitimado por convênio ou outro instrumento? Questão Pontos Critério Há utilização de alguma plataforma no tratamento de dados pessoais? 10 Não Os dados pessoais estão sendo armazenados em nuvem? 10 Sim O volume de dados pessoais é intenso? 50 Sim Há previsão legal ou administrativa para a coleta de dados pessoais? 50 Não Há garantias da limitação do tratamento dos dados pessoais à finalidade? 20 Não A finalidade pode ser atingida de outro modo sem dados pessoais? 20 Sim Há a utilização de dados pessoais sensíveis 50 Sim Há prazo mínimo para conservar o dado pessoais? 20 Não Modelo: Diagnóstico Preliminar – Critério de Seleção Há prazo mínimo para conservar o dado pessoais? 20 Não Há possibilidade de redução no uso, no menor volume possível? 20 Sim Há viabilidade de livre acesso aos dados pessoais sob sua custódia? 30 Não Há garantias da qualidade dos dados pessoais sob sua custódia? 20 Não Há registro dos tratamentos realizados e os agentes responsáveis? 20 Não Há a capacidade operacional de retificação e apagamento dos dados? 20 Não Os dados pessoais são compartilhados para outras finalidades? 30 Sim A nova finalidade está legitimada pela lei ou política pública ou possui anuência do titular? 20 Não O compartilhamento está legitimado por convênio ou outro instrumento? 10 Não Prioridade Pontuação Crítica [300,400] Moderada [100<300[ Baixa [0,100[ Prioridade Avaliação Crítica 1 ano Moderada 2 anos Baixa 4 anos S E C R E T A R IA D A C O N T R O L A D O R IA -G E R A L D O E S T A D O Auditoria Auditoria de Obras Auditoria de Pessoal .... .... Auditoria de Pessoal Exemplo S E C R E T A R IA D A C O N T R O L A D O R IA D O E S T A D O Correição Tomada de Contas Especial Orientação Comissões .... .... Tomada de Contas Especial Monitoramento – Portaria SCGE nº01/21 Níveis de Conformidade Indicadores Desempenho ETAPA Incluir no Plano de Implantação de Controle ETAPA Avaliar os principais riscos Avaliação de Controles ETAPA 4 Inserir no ciclo de monitoramento de riscos organizacionais ETAPA 3 ETAPA 2 Propor medidas de controle de interno ETAPA 1 Termo de Uso e Política de Privacidade Termo de Uso ou contrato de Termo de Uso é um documento que estabelece as regras e condições de uso de determinado serviço Política de Privacidade é um documento informativo pelo qual o prestador de serviço transparece ao usuário a forma como o serviço realiza o tratamento dos dados pessoais e como ele fornece privacidade ao usuário
Compartilhar