View
10
Download
0
Category
Preview:
Citation preview
Oficina LGPDInventário de Dados Pessoais
Secretaria de Governo Digital
outubro/2020
Oficina Dirigida
Inventário de Dados Pessoais
Lei Geral de Proteção de Dados – Lei 13.709/18
Oficina LGPDInventário de Dados Pessoais
PROJETO ADEQUAÇÃO À LGPD
Objetivo: Definir e implementar estratégia para atuar preventivamente nas frentes desegurança da informação e privacidade de dados, com o intuito de fomentar a cultura deproteção de dados, implementando ações que visam avançar no processo de adequação àLGPD, minimizando os riscos.
Estratégia de Governo Digital 2020-2022 / Um Governo Confiável
Objetivo 10: Implementação da Lei Geral de Proteção de Dados - LGPD no Governo
Iniciativa 10.1: Estabelecer método de adequação e conformidade dos órgãos com os requisitos da Lei Geral de Proteção de Dados, até 2020
2
Oficina LGPDInventário de Dados Pessoais
Objetivo da Oficina
Realizar levantamento e registro dos dados pessoais
tratados no âmbito institucional com base nas
orientações do Guia de Elaboração de Inventário de
Dados Pessoais elaborado pela Secretaria de
Governo Digital do Ministério da Economia.
3
Oficina LGPDInventário de Dados Pessoais
Agenda da Oficina
Inventário de Dados Pessoais
▪ O que é?
▪ Estruturação
1
Como elaborar o Inventário de Dados Pessoais
▪ Etapas Elaboração2
Listagem Geral
▪ Lista geral do inventário dos serviços/processos de negócio
que tratam dados pessoais
3
4
Oficina LGPDInventário de Dados Pessoais
Material da Oficina
• Planilha – Inventário de Dados Pessoais
<https://www.gov.br/governodigital/pt-br/governanca-de-dados/TemplateInventariodadospessoais.xlsx>
Template
• Programa de Localização de Desaparecidos
<https://www.gov.br/governodigital/pt-br/governanca-de-dados/arquivos/EstudodeCasoPLDOficinaIDP.pdf>
Estudo de Caso
5
Oficina LGPDInventário de Dados Pessoais
Inventário de Dados Pessoais
▪ O que é?
▪ Estruturação
1
6
Oficina LGPDInventário de Dados Pessoais
O que é?
O Inventário de Dados Pessoais – IDP consiste no registro das
operações de tratamento dos dados pessoais realizados pela
instituição (LGPD, art. 37).
Descreve informações como, por exemplo:
Agentes de tratamento(Controlador e Operador)
Encarregado
Finalidade(O que a instituição faz com o dado pessoal)
Hipótese (art. 7º e 11) e previsão legal
Dados pessoais tratados eCategorias dos titulares dos dados pessoais
Tempo de retenção
Compartilhamento dados pessoais Transferência internacional
7
Oficina LGPDInventário de Dados Pessoais
Papéis na elaboração do IDP
ENCARREGADO ÁREA DE TI
Apoia na definição de diretrizes e no templatede elaboração do IDP.
▪ dos dados pessoaistratados pelos sistemas eaplicativos; e
▪ das medidas desegurança adotadas paraproteção dos dadospessoais.
▪ Finalidade, hipótese eprevisão legal;
▪ Categorias dos Titulares dedados pessoais; temporetenção;
▪ Compartilhamento dedados pessoais etransferência internacional;
▪ Dados pessoais mantidosem documentos em papelou eletrônicos.
ÁREA DE NEGÓCIO
Identificação:
8
Oficina LGPDInventário de Dados Pessoais
Estruturação
A estrutura do IDP é inspirado nos
modelos propostos por três autoridades
de proteção de dados europeias.França
BélgicaInglaterra
9
Oficina LGPDInventário de Dados Pessoais
Estruturação
O inventário foi estruturado em formato de planilha eletrônica, disponível no link<https://www.gov.br/governodigital/pt-br/governanca-de-dados/TemplateInventariodadospessoais.xlsx>
A planilha eletrônica que representa o template do IDP é composta por 4 divisões
denominadas:
1-Orientações
2-Lista InventárioLista geral dos serviços/processos de negócio institucionais querealizam o tratamento de dados pessoais.
3-Template Modelo de inventário de dados pessoais a ser elaborada para cadaserviço/processo de negócio da instituição.
4-ListasApresenta uma sugestão de informações para preenchimento doinventário de dados com valores padronizados. A lista não é exaustivae por isso pode ser ajustada de acordo com a realidade de cadainstituição.
Orientações gerais sobre preenchimento do template.
10
Oficina LGPDInventário de Dados Pessoais
Sugestão
Auxiliar os órgãos e
entidades, que
exercem papel de
controlador de dados
pessoais.
Adaptável
Pode ser adaptado
para se adequar a
cada contexto
particular.
Não obrigatório
A instituição pode
utilizar outros
modelos até pacotes
de software
especializados.
Governança de dados já estruturada
A LGPD não proíbe de combinar e incorporar a
documentação de suas atividades de tratamento de
dados pessoais com as práticas existentes de
inventário de dados. Mas deve-se ter cuidado para
garantir que pode cumprir os requisitos do art. 37 da
LGPD, se necessário, ajustando sua estrutura de
governança de dados para inventariar os dados
pessoais.
O modelo do Inventário de Dados Pessoais
11
Oficina LGPDInventário de Dados Pessoais
Como elaborar o Inventário de Dados Pessoais
2
12
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
13
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
14
Oficina LGPDInventário de Dados Pessoais
Fase: 1. Identificação do serviço/processo
O modelo de IDP adota a estratégia de inventariar os dados pessoais por serviço
e/ou processo de negócio realizado pelo órgão ou entidade.
1 - Identificação dos serviços / processo de negócio de tratamento de dados pessoais
1.1 - Nome do serviço / Processo de negócio
1.2 - Nº Referência / ID
1.3 - Data de Criação do Inventário
1.4 - Data Atualização do Inventário
Os dados pessoais de todos os serviços/processos
de negócios devem ser inventariados, mesmo os
serviços que, porventura, não são digitais.
15
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
16
Oficina LGPDInventário de Dados Pessoais
Esta fase envolve identificar os agentes de tratamento (controlador e operador) e o
encarregado no IDP (art. 5º da LGPD), destacando nome, endereço, CEP, telefone
e e-mail.
2 - Agentes de Tratamento e EncarregadoNome Endereço CEP Telefone E-mail
2.1 - Controlador
2.2 - Encarregado
2.3 - Operador
Fase: 2. Identificação dos agentes de tratamento e encarregado
Explicações sobre controlador, operador e encarregado podem ser conferidas na
seção 1.1 do Guia de Boas Práticas LGPD.
17
Oficina LGPDInventário de Dados Pessoais
1
2
3
OBJETIVO
Fornecer orientações básicas às instituições
públicas no sentido de nortear as operações
de tratamento de dados pessoais em
observância aos requisitos previstos pela
LGPD.
ELABORAÇÃO
Comitê Central de
Governança de Dados - CCGD
Decreto nº 10.046, de 09/10/2019.
PUBLICAÇÃO
Abril de 2020
Revisões trimestrais
Guia de Boas Práticas LGPD
4
DISPONÍVEL EM:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd 18
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
19
Oficina LGPDInventário de Dados Pessoais
O ciclo de vida do tratamento do dado pessoal envolve as fases de: coleta,
retenção, processamento, compartilhamento e eliminação.
Fase: 3. Atuação do operador no ciclo de vida do tratamento do dado pessoal
3 - Fases do Ciclo de Vida do Tratamento
Dados PessoaisColeta Retenção Processamento Compartilhamento Eliminação
3.1 - Em qual fase do ciclo de vida o
Operador atua
✓ Constatar em que fase do ciclo de
vida do tratamento do dado pessoal o
operador é essencial para compreensão
de quais operações de tratamento são
realizadas por ele e quais ativos
organizacionais estão envolvidos nesse
tratamento (Capítulo 3, Guia de Boas
Práticas LGPD).
✓ Esta fase do IDP subsidiará um dos
elementos que compõem a descrição
da natureza do tratamento no Relatório
de Impacto de Proteção à Dados
Pessoais - RIPD (Seção 2.5, Guia de
Boas Práticas LGPD), no que tange
ao papel do operador em relação ao
tratamento do dado pessoal.
20
Oficina LGPDInventário de Dados Pessoais
Fase: 3. Atuação do operador no ciclo de vida do tratamento do dado pessoal
Coleta Retenção ProcessamentoComparti-lhamento
Eliminação
Obtenção, recepção ou produção de dados pessoais independente do meio utilizado (documento em papel, documento eletrônico, sistema de informação, etc.).
Arquivamento ou armazenamento de dados pessoais independente do meio utilizado (documento em papel, documento eletrônico, banco de dados, arquivo de aço, etc.).
Qualquer operação que envolva classificação, utilização, reprodução, pro-cessamento, avaliação ou controle da informação, extração e modificação de dados pessoais.
Qualquer operação que envolva transmissão, distribuição, comunicação, transferência, difusão e compartilhamento de dados pessoais.
Qualquer operação que visa apagar ou eliminar dados pessoais. Esta fase também contempla descarte dos ativos organizacionais nos casos necessários ao negócio da instituição.
Ciclo de vida do tratamento dos dados pessoais
Mais detalhes consulte o Capítulo 3 do Guia de Boas Práticas LGPD
21
Oficina LGPDInventário de Dados Pessoais
Fase: 3. Atuação do operador no ciclo de vida do tratamento do dado pessoalFases do Ciclo de Vida
Ativ
os
Org
an
iza
cio
na
is
22
Oficina LGPDInventário de Dados Pessoais
Fase: 3. Atuação do operador no ciclo de vida do tratamento do dado pessoal
Produção Utilização Destinação Final
Operações referentes à elaboração de documentos em razão da execução das atividades de um órgão ou entidade.
Operações referentes ao fluxo percorrido pelos documentos para o cumprimento de sua função administrativa, assim como de sua guarda, após cessar o seu trâmite.
Qualquer operação que envolva operações referentes ao ato de decidir quais documentos devem ser eliminados (mediante autorização, conforme legislação vigente), bem como quais documentos devem ser mantidos por razões administrativas, legais ou fiscais. Para tal, envolve as atividades de análise, seleção e fixação de prazos de guarda dos documentos.
Ciclo de vida dos documentos de arquivos (Arquivo Nacional)
Eliminação
Guarda Permanente
Mais detalhes consulte o Capítulo 3 do Guia de Boas Práticas LGPD (versão 2)
23
Oficina LGPDInventário de Dados Pessoais
Fase: 3. Atuação do operador no ciclo de vida do tratamento do dado pessoal
O Tratamento de Dados
Pessoais no Setor
Público.
O Ciclo de Vida dos Dados
Pessoais.
Medidas de Segurança no
Tratamento dos Dados
Pessoais.
Relatório de Impacto à Proteção
de Dados Pessoais.
1
2
3
4
https://www.escolavirtual.gov.br/curso/290 24
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
25
Oficina LGPDInventário de Dados Pessoais
Descrever como (de que forma) os dados pessoais são coletados,
retidos/armazenados, processados/usados e eliminados.
Fase: 4. Fluxo do Tratamento dos dados pessoais
4 - De que forma (como) os dados pessoais são coletados, retidos/armazenados, processados/usados, compartilhados e eliminados
4.1 - Descrição do Fluxo do tratamento dos
dados pessoais
Descrever o fluxoDesenhar o fluxo, se considerar mais conveniente.
A instituição pode:
e/ou
26
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
27
Oficina LGPDInventário de Dados Pessoais
Esta fase contempla identificar dois elementos relevantes do escopo e natureza
dos dados pessoais tratados a serem futuramente descritos no RIPD (Seção 2.5,
Guia de Boas Práticas LGPD).
Fase: 5. Escopo e Natureza dos dados pessoais
5 - Escopo e Natureza dos Dados Pessoais
5.1 - Abrangência da área geográfica do
tratamento
5.2 - Fonte de dados utilizada para obtenção
dos dados pessoais
Abrangência
Representa o alcance geográfico do tratamento de dados realizado: nacional, estadual, distrital, municipal ou regional.
Fonte de Obtenção
Dados Pessoais
Titular do Dado
XML
API, etc.
28
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
29
Oficina LGPDInventário de Dados Pessoais
Identificação de três aspectos fundamentais para respaldar o tratamento dos dados
pessoais: a hipótese (arts. 7º e 11) da LGPD, a especificação da finalidade e a previsão
legal.
Detalhes sobre base legal e hipótese de tratamento ver seções 1.1 e 2.1 do Guia de Boas
Práticas LGPD.
Fase: 6. Finalidade do Tratamento dos dados pessoais
Abrangência Fonte de Obtenção
Dados Pessoais
6 - Finalidade do Tratamento de Dados Pessoais
6.1 - Hipótese de Tratamento
6.2 - Finalidade
6.3 - Previsão legal
6.4 - Resultados pretendidos para o titular de
dados
6.5 - Benefícios esperados para o órgão,
entidade ou para a sociedade como um todo
Os órgãos e entidades da administração pública tem a prerrogativa de tratar os
dados pessoais para o exercício de suas competências legais ou execução de
políticas públicas sem a necessidade de obter consentimento do titular dos dados
pessoais. 30
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
31
Oficina LGPDInventário de Dados Pessoais
Identificar quais são os dados pessoais tratados pelo órgão ou entidade representa o
objetivo central do IDP. Inventariar os dados pessoais utilizados pela instituição
possibilitará avaliar se todos os dados pessoais usados são realmente necessários e
adequados para realização de suas finalidades (LGPD, art. 6º, III).
Fase: 7. Categorias de dados pessoais
Abrangência Fonte de Obtenção
Dados Pessoais
O template do IDP elenca uma lista exemplificativa e não exaustiva de 15 categorias
de dados pessoais com suas respectivas subcategorias, para as quais devem ser
especificamente descritos os dados pessoais tratados.
7 - Categoria de Dados Pessoais
7.1 -Dados de Identificação Pessoal Descrição Tempo Retenção dos DadosFonte
RetençãoNome Base de Dados
7.1.1 - Informações de identificação
pessoal
7.1.2 - Informações de identificação
atribuídas por instituições
governamentais
7.1.3 - Dados de identificação
eletrônica
7.1.4 - Dados de localização
eletrônica
32
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
33
Oficina LGPDInventário de Dados Pessoais
Descrever se são tratados os dados sensíveis descritos pelo art. 5º, II da LGPD.
Fase: 8. Categorias de dados pessoais sensíveis
Abrangência Fonte de Obtenção
Dados Pessoais
8 - Categorias de Dados Pessoais
SensíveisDescrição Tempo Retenção dos Dados
Fonte
RetençãoNome Base de Dados
8.1 - Dados que revelam origem
racial ou ética
8.2 - Dados que revelam convicção
religiosa
8.3 - Dados que revelam opinião
política
8.4 - Dados que revelam filiação a
sindicato
8.5 - Dados que revelam filiação a
organização de caráter religioso
8.6 - Dados que revelam filiação ou
crença filosófica
8.7 - Dados que revelam filiação ou
preferências política
8.8 - Dados referentes à saúde ou à
vida sexual
8.9 - Dados genéticos
8.10 - Dados biométricos
Art. 5º Para os fins desta Lei, considera-se:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
A seção 2.1.3 do Guia de Boas
Práticas LGPD aborda o
tratamento de dados pessoais
sensíveis. 34
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
35
Oficina LGPDInventário de Dados Pessoais
A frequência e totalização das categorias de dados pessoais tratados pelo serviço /
processo de negócio fornecerão subsídio para o escopo do tratamento de dados pessoais
a serem descritos no RIPD.
Fase: 9. Frequência e totalização das categorias de dados pessoais tratados
Abrangência
9 - Frequência e totalização das categorias de dados pessoais tratados
9.1 - Frequência de tratamento dos dados
pessoais
9.2 - Quantidade de dados pessoais e dados
pessoais sensíveis tratados
Frequência✓ Representa a disponibilidade/horário de funcionamento do sistemaautomatizado ou processo manual que trata os dados pessoais.
Quantidade
24x7
✓ Visão quantitativa do número de dados pessoais e dados pessoaissensíveis tratados.✓ Quantos mais dados pessoais são tratados maior será o potencial impactoaos titulares dos dados pessoais em caso, por exemplo, de vazamentos.
36
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
37
Oficina LGPDInventário de Dados Pessoais
Identificar quais são as categorias (tipos) de titulares a quem pertencem os dados
pessoais e se são tratados dados pessoais de crianças/adolescentes, bem como de outro
grupo vulnerável.
Fase: 10. Categorias de titulares de dados pessoais
Abrangência
Categorias dos
TitularesCrianças e
Adolescentes
10 - Categorias dos titulares de dados
pessoaisTipo de Categoria Descrição
10.1 - Categoria 1
10.2 - Categoria 2
10.3 - Trata dados de crianças e adolescentes
10.4 - Além de crianças e adolescente trata
dados de outro grupo vulnerável
Grupo
Vulnerável
Categorias (tipos) de titulares a quempertencem os dados pessoais
O órgão ou entidade analisar se sãoatendidas as determinações do art. 14 daLGPD. Mais informações: seção 2.1.4 doGuia de Boas Práticas LGPD.
Idosos, população em condição de rua,pessoas com deficiência física ousofrimento mental etc.
38
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
39
Oficina LGPDInventário de Dados Pessoais
Informar com quais instituições os dados pessoais são compartilhados e para qual
finalidade.
Fase: 11. Compartilhamento de dados pessoais
Abrangência Fonte de Obtenção
Dados Pessoais
11 - Compartilhamento de Dados Pessoais Dados pessoais compartilhados Finalidade do compartilhamento
11.1 - Nome da Instituição 1
11.2 - Nome da Instituição 2
11.3 - Nome da Instituição 3
11.4 - Nome da Instituição 4
Dados pessoais
Compartilhados
✓ Dados pessoais e dados pessoais sensíveis compartilhados com asinstituições destinatárias dos dados. Utilizar, no que couber, as informaçõesdescritas nas fase "7. Categorias de Dados Pessoais" e "8. Categorias deDados Pessoais Sensíveis“.
Finalidade
Compartilha-
mento
✓ Atentar que a finalidade do compartilhamento deve ser compatível com afinalidade que embasou o tratamento do dado pessoal descrita na fase “6.Finalidade do Tratamento dos dados pessoais”.✓ Se existir incompatibilidade, então esse é um ponto de atenção a sertratado pela instituição no sentido de existir uma adequação da finalidadedo compartilhamento ou sua interrupção. 40
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
41
Oficina LGPDInventário de Dados Pessoais
Identificar as atuais medidas de segurança, técnicas e administrativas implementadas e a
descrição dos controles que visam assegurar a integridade dos dados pessoais
Fase: 12. Medidas de Segurança/Privacidade
Abrangência Fonte de Obtenção
Dados Pessoais
Tipo de medida
de segurança e
privacidade
Os tipos de medidas de segurança da já estão previamente definidas na guia“4-Listas” da planilha eletrônica do IDP, mas podem ser alterados eajustados de acordo com o contexto da instituição.
Controle(s)Descrição do(s) controle(s) específico(s) adotado(s) para a medida desegurança/privacidade.
12 - Medidas de Segurança/Privacidade Tipo de medida de segurança e privacidade Descrição do(s) Controle(s)
12.1 - Medida de Segurança/Privacidade 1
12.2 - Medida de Segurança/Privacidade 2
12.3 - Medida de Segurança/Privacidade 3
42
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
43
Oficina LGPDInventário de Dados Pessoais
Destacar as organizações internacionais que recebem dados pessoais por meio de
qualquer tipo de transferência ou meio compartilhamento.
Fase: 13. Transferência internacional de dados pessoais
Abrangência
Organização e
País
Dados
Pessoais
Transferidos
Tipo
de Garantia
Nome da organização e país que recebe odado pessoal por transferênciainternacional.
Dados pessoais e dados pessoais sensíveiscompartilhados com as instituiçõesdestinatárias dos dados. Utilizar, no quecouber, as informações descritas nas fase "7.Categorias de Dados Pessoais" e "8.Categorias de Dados Pessoais Sensíveis“.
Os tipos de garantia da art. 33 da LGPDjá estão previamente definidos nadivisão “4-Listas” da planilha eletrônicado IDP, mas podem ser alterados eajustados de acordo com o contexto dainstituição.
13 - Transferência Internacional de Dados
PessoaisPaís Dados pessoais transferidos
Tipo de garantia para
transferência
13.1 - Organização 1
13.2 - Organização 2
13.3 - Organização 3
44
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
45
Oficina LGPDInventário de Dados Pessoais
Identificar as contratações de serviços ou soluções de TI que realizam algum tipo de
operação de tratamento com os dados pessoais do serviço/processo de negócio.
Fase: 14. Contrato(s)
Abrangência
Contrato e
Processo de
ContrataçãoObjeto
Gestor do
Contrato
Número de identificação do contrato e doprocesso de contratação de serviço ousolução de TI que realiza algum tipo deoperação de tratamento com os dadospessoais elencados no inventário.
Especificação do objeto descrita nocontrato.
Identificação do e-mail institucional dogestor responsável pelo contrato.
14 - Contrato(s) de serviços e/ou
soluções de TI que trata(m) dados
pessoais do serviço/processo de
negócio
Nº Processo
ContrataçãoObjeto
E-mail do Gestor do
Contrato
14.1 - Contrato nº 1
14.2 - Contrato nº 2
46
Oficina LGPDInventário de Dados Pessoais
Fases de elaboração do IDP
Legenda das fases:
Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas
na análise de adequação
contratual.
47
Oficina LGPDInventário de Dados Pessoais
O IDP não termina com a conclusão de sua elaboração. As informações documentadas no
inventário devem sempre refletir a situação atual do tratamento de dados pessoais do
serviço/processo de negócio. Ele é um documento “vivo” que é atualizado quando necessário.
Fase: 15. Manter atualização
Abrangência
Contrato e
Processo de
ContrataçãoObjeto
Gestor do
Contrato
48
Oficina LGPDInventário de Dados Pessoais
Inventário de Dados Pessoais, RIPD e Conformidade
Abrangência
Contrato e
Processo de
Contratação ObjetoGestor do
Contrato
O IDP consiste no registro das operações de tratamento dos dados pessoais
realizados pela instituição, ele proporciona uma espécie de “fotografia” do atual
cenário do tratamento de dados pessoais do serviço/processo de negócio.
As informações contidas no IDP fornecem subsídios para a elaboração do RIPD,
o qual é um instrumento fundamental para avaliação da conformidade do
tratamento de dados pessoais em relação à LGPD, bem como de análise do
controlador com relação a medidas, salvaguardas e mecanismos de mitigação de
riscos adotados.
Se no momento da instituição finalizar a elaboração do IDP identifique, por
exemplo, a necessidade de minimização dos dados pessoais tratados ou
incompatibilidades de adequação à finalidade do tratamento de dados, não
há objeções, caso opte por sanar imediatamente no serviço/processo de
negócio essas não conformidades antes da elaboração do RIPD. Todavia,
após realizar tal ação é indicado que seja gerado nova versão do IDP, refletindo o
novo cenário de tratamento de dados pessoais. 49
Oficina LGPDInventário de Dados Pessoais
Listagem geral dos serviços/processos de negócio que processam dados pessoais
3
50
Oficina LGPDInventário de Dados Pessoais
Identificar o controlador e o encarregado (incisos VI e VII do art. 5º da LGPD), destacando
nome, e-mail, endereço, CEP, cidade e telefone.
Listagem geral – Identificação do Controlador e Encarregado
Abrangência Fonte de Obtenção
Dados Pessoais
Tipo de medida
de segurança e
privacidade
Controle(s)
Controlador
Nome: E-mail: Endereço:
CEP: Cidade: Telefone:
Encarregado
Nome: E-mail: Endereço:
CEP: Cidade: Telefone:
✓ Diferentemente das informações constantes da fase 2 do IDP, na listagem geral não consta a
identificação do operador porque pode ocorrer de existir mais de um operador atuando em cada
serviço/processo de negócio que trata dados pessoais.
✓ Contudo, se a instituição considerar importante constar a informação do operador na
listagem geral, então realize esse ou qualquer outro ajuste no modelo da listagem, de
acordo com o mais indicado para sua realidade institucional.
51
Oficina LGPDInventário de Dados Pessoais
Lista geral dos serviços / processos de negócio com dados pessoais inventariados.
Listagem geral dos serviços e processos de negócio
Abrangência Fonte de Obtenção
Dados Pessoais
Tipo de medida
de segurança e
privacidade
Controle(s)
Nome do
serviço/processo de
negócio
Nº Ref / ID
Data de
Criação do
Inventário
Data de
Atualização
do
Inventário
Finalidade do tratamento dos dados pessoais
Trata Dados
Pessoais
Sensíveis?
Listagem Geral - Guia “2-Lista Inventario” Inventário de Dados Pessoais - Guia “3-Template”
Nome do serviço/processo de negócio Seção 1 – item 1.1
Nº Ref / ID Seção 1 – item 1.2
Data de Criação do Inventário Seção 1 – item 1.3
Data de Atualização do Inventário Seção 1 – item 1.4
Finalidade do tratamento dos dados pessoais Seção 6 – item 6.2
Trata Dados Pessoais Sensíveis? Seção 8 – Itens 8.1 até 8.10
Preencher com Sim: se existir pelo menos uma informação de dado sensível
estiver preenchida em qualquer das subcategorias do item 8.
Preencher com Não: se nenhuma informação de dado sensível estiver
preenchida nas subcategorias da seção 8.
Correspondência entre Listagem Geral e Inventário de Dados Pessoais
52
Oficina LGPDInventário de Dados Pessoais
1
2
3
OBJETIVO
Apresentar orientações com o intuito de
auxiliar os órgãos e entidades da
Administração Pública Federal, direta,
autárquica e fundacional a realizar o
levantamento e registro dos dados pessoais
tratados no âmbito institucional.
ELABORAÇÃO
Coordenação-Geral de Segurança da
Informação da Secretaria de Governo Digital
– CGSIN/SGD.
PUBLICAÇÃO
Última atualização: Setembro de 2020.
Guia de Inventário de Dados Pessoais
4
DISPONÍVEL EM:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaInventarioDadosPessoais.pdf 53
Oficina LGPDInventário de Dados Pessoais
Contato
cgsin@economia.gov.br
MINISTÉRIO DA
ECONOMIA
Secretaria de Governo Digital
Recommended