Módulo 2 - O Ciclo de Vida dos Dados Pessoais

Prévia do material em texto

Proteção de Dados 
Pessoais no Serviço 
Público
O Ciclo de Vida dos Dados 
Pessoais2
M
ód
ul
o
2Enap Fundação Escola Nacional de Administração Pública
Enap, 2019
Enap Escola Nacional de Administração Pública
Diretoria de Educação Continuada
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Presidente 
Diogo Godinho Ramos Costa
Diretor de Educação Continuada
Paulo Marques
Coordenador-Geral de Educação a Distância 
Carlos Eduardo dos Santos
Conteudista/s 
Julierme Rodrigues da Silva (conteudista, 2019)
Curso produzido em Brasília 2019.
3Enap Fundação Escola Nacional de Administração Pública
1. Medidas de Segurança das Informações e de adequação à LGPD .. 5
2. O Ciclo de Vida dos Dados Pessoais ............................................... 8
Sumário
4Enap Fundação Escola Nacional de Administração Pública
5Enap Fundação Escola Nacional de Administração Pública
1. Medidas de Segurança das Informações e de adequação 
à LGPD
A Lei Geral de Proteção de Dados sedimenta uma necessidade da sociedade atual de promover 
o uso ético, seguro e responsável dos dados pessoais por parte daqueles que os custodiam. 
Isso requer que os órgãos públicos implementem uma série de medidas para se adequarem 
ao disposto nesse novo contexto legal. A implementação dessas medidas deve acontecer de 
maneira estruturada e planejada, envolvendo todo o órgão público, promovendo uma verdadeira 
mudança na cultura organizacional. Entretanto, é preciso atentar primeiramente para alguns 
aspectos que podem definir o sucesso ou fracasso desse projeto.
Quem é o responsável
O tema proteção de dados pessoais não é um tema exclusivo da área de segurança da informação, 
tampouco da área jurídica do órgão. A responsabilidade pelo cumprimento da Lei é de todo 
o órgão público, desde a Autoridade Máxima do órgão, passando pelas áreas meio e fim. O 
cumprimento da Lei se dá no dia a dia, na execução dos processos de trabalho da instituição, na 
concepção e execução de projetos, serviços ou produtos, no cumprimento de suas competências 
legais, no seu modelo de negócio e na sua cadeia de valor. Desse modo, o projeto de adequação 
do órgão público à LGPD tem caráter multidisciplinar, multissetorial e impacto no órgão público 
como um todo. Consequentemente, essa responsabilidade não pode ser delegada a uma só 
pessoa ou a um grupo fechado de pessoas.
O que precisa ser feito
Inicialmente, é importante que o órgão público encare esse desafio como um projeto estruturante, 
sendo para isso necessário um profundo conhecimento do negócio do órgão público, suas 
competências legais, atividades finalísticas e atividades meio. O projeto de adequação não deve 
ser gerenciado por terceiros, contratadas ou consultorias externas. A prestação desse serviço 
pode ajudar o órgão público, mas a liderança, a gestão e as decisões relacionadas ao projeto de 
adequação são sempre de responsabilidade do órgão público.
M
ód
ul
o O Ciclo de Vida dos Dados 
Pessoais2
6Enap Fundação Escola Nacional de Administração Pública
Destaque h, h, h, h, 
Assim, é imprescindível a criação de um Fórum Adequado para Tratar o Tema 
Proteção de Dados. Pode ser um comitê ou grupo de trabalho. O órgão também 
pode utilizar-se de estruturas já existentes, como por exemplo o Comitê 
de Segurança da Informação, conforme disposto pelo art. 15 do Decreto nº 
9.637/2018 ou o Comitê de Governança, Riscos e Controles conforme disposto 
pela Instrução Normativa Conjunta MP/CGU n° 01/2016, ou ainda o Comitê 
de Governança Digital disposto pelo art. 9º do Decreto nº 8.638/2016. Nesse 
“Fórum” devem participar representantes de todas áreas meio e fim do órgão 
público.
Outra medida importante é a nomeação pelos controladores do chamado 
Encarregado ou Data Protection Officer (DPO), atendendo ao que dispõem os 
artigos 5º e 41 da LGPD.
São competências do Encarregado:
Art. 5º Para os fins desta Lei, considera-se:
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal 
de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de 
Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)
 
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
 
§ 2º As atividades do encarregado consistem em:
 
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar 
providências;
 
II - receber comunicações da autoridade nacional e adotar providências;
 
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem 
tomadas em relação à proteção de dados pessoais; e
 
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em 
normas complementares.
 
7Enap Fundação Escola Nacional de Administração Pública
§3º A autoridade nacional poderá estabelecer normas complementares sobre a definição 
e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua 
indicação, conforme a natureza e o porte da entidade ou o volume de operações de 
tratamento de dados.
Observe que são tarefas que exigem um alto grau de esforço e por vezes alta complexidade. 
Por isso, é importante que o órgão público estruture uma área com profissionais que auxiliem o 
Encarregado a cumprir com suas competências legais.
Visão Geral sobre Medidas de Segurança
A adequação do órgão público ao disposto na LGPD requer a adoção de medidas sistêmicas 
e que impactam em toda a organização. Essas medidas podem ser implementadas em quatro 
dimensões organizacionais:
• Dimensão Estratégica
Na dimensão Estratégica, é necessário definir medidas de adequação do referencial 
estratégico do órgão e de seu modelo de negócio aos princípios descritos pelo art. 
6º da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, 
transparência, segurança, prevenção, não discriminação e responsabilização e 
prestação de contas.
• Dimensão Organizacional
Na dimensão Organizacional, é necessário definir uma estrutura organizacional 
8Enap Fundação Escola Nacional de Administração Pública
multidisciplinar e que seja suficientemente robusta para apoiar a implementação 
das medidas de adequação definidas. Essa estrutura, por si só, já é uma medida de 
adequação.
• Dimensão Operacional
Na dimensão Operacional, é necessário definir as medidas de adequação que devem 
ser incorporadas aos processos organizacionais que lidam ou, de alguma forma, 
afetam os dados pessoais custodiados pelo órgão público. Da mesma forma, nessa 
camada é necessário que sejam definidas as medidas de adequação que devem ser 
adotadas na concepção de novos projetos, produtos e serviços, além de eventuais 
mudanças naqueles já existentes.
• Dimensão Comunicacional
Na dimensão Comunicacional, é necessário definir medidas de disseminação de 
conhecimento, conscientização e treinamento relacionado ao tema proteção de 
dados no órgão público. Também é necessário promover a ampla divulgação das 
medidas de adequação que estão sendo implementadas no órgão, bem como a 
mudança de cultura organizacional, incorporando o tema proteção de dados no dia 
a dia dos servidores.
Tendo em vista as dimensões organizacionais apresentadas, focaremos no que deve ser 
implementado na camada Operacional, a fim de implementar a proteção de dados pessoais e 
promover a adequação do órgão público ao disposto pela LGPD. Essa implementação envolve 
conhecermos o ciclo de vida dos dados pessoais.
2. O Ciclo de Vida dos Dados Pessoais
O dado pessoal é coletado para atender uma finalidade específica e pode, por exemplo, ser 
eliminado a pedido do titular dos dados (LGPD, art. 18, IV), no cumprimento de uma sanção 
aplicada pela Autoridade Nacional de Proteção de Dados (LGPD, art. 52, VI) ou ao término de 
seu tratamento (LGPD, art. 16). Dessa forma, percebemos a configuração de um ciclo que se 
inicia com a coleta e que determina a “vida” (existência) do dado pessoal durante um períodode 
tempo de acordo com certos critérios de eliminação.
Com a finalidade de representar o ciclo destacado acima, é proposto ciclo de vida de dados 
pessoais contemplando as fases de coleta, retenção, tratamento, distribuição e eliminação.
Fases do Ciclo de Vida
Antes de iniciar o processo de identificação e implementação de quaisquer medidas de segurança, 
é necessário que o órgão público analise os processos, projetos, serviços e ativos abrangidos 
pelo ciclo de vida dos dados pessoais.
9Enap Fundação Escola Nacional de Administração Pública
• Coleta
Obtenção, recepção ou extração de dados pessoais independente do meio utilizado 
(documento físico, documento eletrônico, sistema de informação etc.).
 
• Retenção
Arquivamento ou armazenamento de dados pessoais independente do meio 
utilizado (documento físico, documento eletrônico, banco de dados, arquivo de aço 
etc.).
• Tratamento
Qualquer operação que envolva processamento, classificação, utilização, produção, 
avaliação e modificação de dados pessoais.
• Distribuição
Qualquer operação que envolva reprodução, transmissão, distribuição, comunicação, 
transferência, difusão e compartilhamento de dados pessoais.
• Eliminação
Qualquer operação que vise apagar ou eliminar dados pessoais. Esta fase também 
contempla descarte dos ativos organizacionais nos casos necessários ao negócio da 
instituição.
Importante 
É fundamental destacar que a LGPD considera como tratamento todas as 
operações realizadas com dados pessoais. Assim, a LGPD não adota qualquer 
tipo de segregação, considerando como tratamento, por exemplo, tanto a 
coleta quanto o armazenamento de dados pessoais, mesmo essas operações 
tratando de propósitos diferentes.
Art. 5º Para os fins desta Lei, considera-se:
X - tratamento: toda operação realizada com dados pessoais, como as que se referem 
a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, 
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou 
controle da informação, modificação, comunicação, transferência, difusão ou extração;
10Enap Fundação Escola Nacional de Administração Pública
As fases do ciclo de vida descritas neste tópico possuem relação direta com as operações 
consideradas como tratamento pela LGPD:
Destaque h, h, h, h, 
A operação de tratamento “acesso” (LGPD, art. 5º, X) está presente em todas 
as fases do ciclo de vida dos dados pessoais, pois, de alguma forma, temos 
que realizar acesso ao dado pessoal para viabilizar sua coleta, retenção, 
tratamento, distribuição ou eliminação.
Ativos Organizacionais
Os ativos organizacionais têm relação direta com o ciclo de vida proposto para os dados pessoais. 
Por isso, é importante identificar quais ativos organizacionais são envolvidos no ciclo de vida dos 
dados pessoais.
11Enap Fundação Escola Nacional de Administração Pública
Os principais ativos são: bases de dados, documentos, equipamentos, locais físicos, pessoas, 
sistemas e unidades organizacionais, cujas definições são apresentadas a seguir.
• Base de Dados
É uma coleção de dados logicamente relacionados, com algum significado. Uma 
base de dados é projetada, construída e preenchida (instanciada) com dados para 
um propósito específico.
• Documento
Unidade de registro de informações, qualquer que seja o suporte e formato (RIO DE 
JANEIRO, 2005).
• Equipamento
Objeto ou conjunto de objetos necessários para o exercício de uma atividade ou de 
uma função.
• Local Físico
Determinação do lugar no qual pode residir, de forma definitiva ou temporária, uma 
informação de identificação pessoal, como uma sala, um arquivo, um prédio, uma 
mesa etc.
• Pessoa
Qualquer indivíduo que executa ou participa de alguma operação realizada com 
dados pessoais, como as que se referem a coleta, produção, recepção, classificação, 
utilização, acesso, reprodução, transmissão, distribuição, processamento, 
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, 
modificação, comunicação, transferência, difusão ou extração.
• Sistema
Qualquer aplicação, software ou solução de TI que esteja envolvida com as fases 
do ciclo de vida dos dados pessoais: coleta, retenção, tratamento, distribuição e 
eliminação de dados pessoais.
• Unidade Organizacional
Órgãos e entidades da Administração Pública.
Relacionamento do Ciclo Vida dos Dados Pessoais com Ativos Organizacionais
Identificadas as fases do ciclo de vida dos dados pessoais e os ativos organizacionais, é preciso 
entender como eles se relacionam e o que deve ser realizado em cada fase.
12Enap Fundação Escola Nacional de Administração Pública
Na fase de Coleta (C) deve-se identificar os ativos envolvidos na coleta de dados pessoais. Esses 
dados podem entrar na organização via algum documento físico, algum sistema hospedado em 
algum equipamento localizado em algum local físico do órgão público. Pode ser via prestação de 
algum serviço1 externo ou serviço prestado pelo próprio órgão público por meio de alguma de 
suas unidades organizacionais.
Na fase de Retenção (R), deve-se avaliar os ativos utilizados para armazenar os dados pessoais. 
Esses dados podem estar armazenados em bases de dados, documentos físicos, equipamentos 
e/ou sistemas. É preciso considerar também as unidades organizacionais responsáveis pelo 
armazenamento e guarda dos dados, bem como os locais físicos onde estão localizados os ativos 
que armazenam esses dados. Se o armazenamento for em “nuvem”, por exemplo, é preciso 
considerar o serviço de armazenamento contratado e/ou utilizado.
A fase de Tratamento (T) segue a mesa linha de raciocínio das anteriores. Identificam-se os ativos 
onde são realizados os tratamentos dos dados. O tratamento pode ser realizado em documento 
físico, pode ser feito por um sistema interno ou contratado pelo órgão. É preciso identificar 
as pessoas (papeis organizacionais), unidades organizacionais e equipamentos envolvidos 
nesse tratamento. Onde estão localizadas fisicamente essas unidades organizacionais e os 
equipamentos envolvidos nesse tratamento também importa.
Na fase de Distribuição (D), é preciso mapear os ativos envolvidos na distribuição ou divulgação 
dos dados pessoais para dentro e para fora do órgão público. Quais sistemas são usados para 
transmitir, exibir ou divulgar dados pessoais? Quais pessoas são destinatárias dessas informações? 
Quais unidades organizacionais e quais equipamentos são usados para tal? Etc.
1_Serviço no sentido próprio da palavra, sem considerá-lo com um ativo. Toda ocorrência do termo “serviço” considerará esse 
sentido.
13Enap Fundação Escola Nacional de Administração Pública
No que se refere à fase de Eliminação (E), deve-se avaliar os ativos que armazenam os dados 
pessoais que possam ser objeto de solicitação de eliminação de dados a pedido do titular 
dos dados pessoais ou de descarte nos casos necessários ao negócio da instituição. Os dados 
pessoais a serem eliminados podem estar armazenados em ativos relacionados com bases 
de dados, documentos físicos, equipamentos e/ou sistemas. Tais ativos também podem ser 
objeto de descarte. É necessário considerar, também, as unidades organizacionais responsáveis 
pelo armazenamento e guarda dos dados que possam ser objeto de eliminação ou descarte, 
bem como os locais físicos onde estão os ativos que contenham dados a serem eliminados ou 
descartados. Se a eliminação do dado pessoal ou o descarte do ativo tiver relação com solução 
em “nuvem”, por exemplo, é preciso considerar o serviço de armazenamento contratado e/ou 
utilizado.
Destaque h, h, h, h, 
Esse processo demanda esforço considerável, principalmente para grandes 
organizações. O ideal é que se estabeleçam ações de mapeamento e análise 
dos processos organizacionais, tendo em vista que, desta forma, o órgão 
conseguirá identificar de maneira mais eficaz os ativos descritos anteriormente.
Uma vez identificados os ativos, é necessário analisá-los para verificar quais medidas técnicas de 
segurança estão efetivamenteimplementadas neles, com vistas a prover a adequada proteção aos 
dados pessoais de que trata a LGPD. Recomenda-se a utilização de algum framework, boa prática 
ou norma técnica aplicável como a ABNT NBR ISO/IEC 27002 – Código de Prática para controles 
de segurança da informação; ISO/IEC 29151 – Code of practice for personally identifiable 
information protection; e ISO/IEC 29134 - Guidelines for privacy impact assessment.
Além disso, é compulsória para toda a Administração Pública Federal Brasileira a implementação 
das medidas de segurança dispostas pela Instrução Normativa (IN) GSI/PR nº 1, de 13 de junho 
de 2008 e Normas Complementares decorrentes. A IN GSI/PR nº 1/2008 disciplina a gestão de 
segurança da informação e comunicações na Administração Pública Federal, direta e indireta.
O resultado dessa análise vai determinar quais medidas de segurança devem ser implementadas 
em cada ativo e quais devem ser ajustadas para que o órgão público possua o adequado grau 
de proteção de dados exigido pela LGPD. A figura a seguir apresenta esquema exemplificando o 
mapeamento dos ativos e suas respectivas medidas de segurança implementadas (destacadas 
em verde) e não implementadas (destacadas em vermelho).
14Enap Fundação Escola Nacional de Administração Pública
O conhecimento dos tipos de ativos organizacionais e a relação com o ciclo de vida dos dados 
pessoais apresentados neste módulo são fundamentais para a compreensão da aplicação de 
medidas de segurança e dos respectivos controles.