Ir para o conteúdo principal

Plano de Ação

PLANO DE AÇÃO

Com base no parecer diagnóstico, a Comissão Tática e Operacional (CTO) desenvolverá o plano de ação, elencando as ações necessárias para que o órgão entre em conformidade com as exigências da LGPD, devendo seguir uma ordem de prioridade, na qual o CGPD decidirá.

Esse parecer deverá ser apresentado ao CGPD, que deliberará por sua aprovação.

As ações elencadas abaixo são as necessárias para alcançarmos o nível de maturidade "Em Aprimoramento" (penúltimo nível dentre os cinco existentes), baseando-se na ferramenta de diagnóstico da Secretaria de Governo Digital (SGD), do Ministério da Economia, Governo Federal, até o final deste ano (2021): 

 

Ação

Justificativa

Resultado Esperado

Monitoramento

Status

1

Elaborar e publicar Programa de Governança em Privacidade (PGP)

O Programa de Governança em Privacidade (PGP) propõe ações permanentes de conformidade com a LGPD, e está previsto no art. 50, da LGPD.

Dentre suas peculiaridades, deve-se atentar ao estabelecimento de políticas e salvaguardas, aplicabilidade a todo o conjunto de dados pessoais, contar com planos de respostas a incidentes e remediações e estabelecer relação de confiança com o titular.

Além disso, também deverá propor ações de melhoria contínua no que diz respeito ao cumprimento das diretrizes estabelecidas pela LGPD, sugerindo-se a adoção de um ciclo que estabeleça o monitoramento e auditoria dessas ações.

Considerando a avaliação diagnóstica da SGD, abrange 4 dos seus quesitos (B2, B3, B7 e D2).

Elaboração, aprovação, publicação e promoção da conscientização quanto a importância do PGP, que deverá abranger ações permanentes de conformidade da SETIC com a LGPD e normas correlatas, visando a manutenção, adaptação, criação e execução de políticas, processos e procedimentos buscando a melhoria contínua no que diz respeito ao cumprimento das diretrizes estabelecidas pela LGPD por meio de estratégias e ações necessárias para que a SETIC entre, e se mantenha, em conformidade.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

Concluído

2

Iniciar campanha de publicidade e conscientização

A instituição de uma campanha de publicidade e conscientização é uma ação que visa principalmente a mudança cultural quanto ao tratamento de dados pessoais, uma vez que a LGPD é transdisciplinar e deve ser cumprida no decorrer de todo o ciclo de vida do tratamento de dados pessoais.

No mais, na própria LGPD (art. 50, I, “a”) se verifica que o Programa de Governança em Privacidade (PGP) deve demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais, o que poderá ser incentivado por meio da campanha de publicidade e conscientização.

Considerando a avaliação diagnóstica da SGD, abrange 4 dos seus quesitos (B1, C4, C5 e D2).

Alcançar 100% dos próprios servidores que atuam em nome da SETIC, dos clientes, parceiros, fornecedores e prestadores de serviço, sobre a importância e responsabilidade de todos no processo de entrada e permanência em conformidade com a LGPD.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

Concluído

3

Iniciar implementação do Privacy by Design na cultura organizacional

O Privacy By Design consiste em desenvolver projetos, produtos ou serviços já inserindo medidas de privacidade desde a concepção, ou seja, desde sua construção.

O Privacy by Design possui sete princípios, sendo estes: Proatividade e prevenção; Privacy by Default (privacidade como padrão); Privacidade incorporada ao design, pois deve ser incorporado ao desenvolvimento e à arquitetura de sistemas de TI, bem como em práticas de negócios e quaisquer produtos e serviços desenhados; Funcionalidade total, pois busca acomodar todos os legítimos interesses e objetivos; Segurança de ponta a ponta, uma vez que integra todas as fases do ciclo de vida do tratamento de dados pessoais; Visibilidade e transparência, que preza pela diligência e pelo compliance; e Respeito pela privacidade do usuário.

O art. 6º da LGPD elenca um rol de princípios que devem ser observados desde a concepção de um projeto, produto ou serviço, relacionando-se diretamente com o Privacy by Design.

No mais, a própria LGDP (art. 46, § 2º) determina que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais, sendo que tais medidas devem ser observadas desde a fase de concepção do produto ou do serviço até sua execução.

Considerando a avaliação diagnóstica da SGD, abrange 4 dos seus quesitos (C1, C3,C4 E F1).

Incorporação do Privacy by Design na cultura organizacional da SETIC, desde a concepção até a execução de serviços, processos e produtos, no âmbito de suas competências.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

Concluído

4

Iniciar a construção do portfólio de treinamento e desenvolvimento

O treinamento e desenvolvimento consistem em ações objetivando o nivelamento e constante aperfeiçoamento envolvendo boas práticas na conformidade com a LGPD. 

Consiste numa necessidade, uma vez que a LGPD é transdisciplinar, devendo ser aplicada durante todo o ciclo de vida do tratamento de dados pessoais.

No mais, na própria LGPD (art. 50, I, “a”) se verifica que o Programa de Governança em Privacidade (PGP) deve demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais, o que poderá ser incentivado por meio de programas de treinamento e desenvolvimento.

Considerando a avaliação diagnóstica da SGD, abrange 3 dos seus quesitos (B10, C4 e C5).

Nivelamento e constante aperfeiçoamento dos servidores que atuam em nome da SETIC, objetivando difundir boas práticas no que diz respeito à conformidade com a LGPD.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

Concluído

5

Desenvolver Relatórios de Impacto de Proteção de Dados (RIPD)

De acordo com o art. 5º, XVII, LGPD, o Relatório de Impacto de Proteção de Dados (RIPD) consiste em “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

Ademais, ao longo da LGPD, o RIPD é abordado em diferentes vertentes. No art. 4º, § 3º, a ANPD deverá solicitá-lo aos responsáveis elencados no rol de exceções do art. 4º, III. No art. 10, § 3º, a ANPD poderá solicitá-lo quando do tratamento com fundamento no legítimo interesse. No art. 32, a ANPD poderá solicitar sua publicação e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público. No art. 38, a ANPD poderá determinar ao controlador sua elaboração referente a operações de tratamento de dados pessoais.

Considerando a avaliação diagnóstica da SGD, abrange 3 dos seus quesitos (B8, B9 e G1).

Relatório contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

2022

6

Criar procedimentos para manter o IDP atualizado

Conforme Guia de Elaboração de Inventário de Dados Pessoais (SGD, 2021, p. 25), o Inventário de Dados Pessoais (IDP) é um documento “vivo”, que deve ser atualizado, no mínimo, anualmente, ou sempre que existir mudanças no tratamento de dados pessoais do serviço/processo inventariado.

Destaca-se que é importante sempre manter tais registros atualizados, por isso deve-se estabelecer um ciclo de periodicidade para revisão, bem como a realização de atualização sempre que houver mudança no ciclo de tratamento de dados pessoais do serviço/processo relacionado.

No mais, o art. 37 da LGPD versa que “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem [...]”

Considerando a avaliação diagnóstica da SGD, abrange 3 dos seus quesitos (C2, E1 e E2).

Registro de tratamento de dados pessoais devidamente atualizado, refletindo a realidade da SETIC.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

2022

7

Elaborar e publicar Política de Privacidade

A Política de Privacidade, conforme Guia de Elaboração de Termo de Uso e Política de Privacidade para Serviços Públicos (SGD, 2020, p. 24), tem como objetivo descrever ao usuário o método, os processos e os procedimentos adotados no tratamento de dados pessoais pelo serviço e informá-lo sobre as medidas de privacidade empregadas. Para isso, o serviço deve informar ao titular do dado como ele fornece a privacidade necessária para que a confidencialidade dos dados prestados pelos titulares seja garantida de forma eficiente e como os princípios elencados no art. 6º, LGPD, são atendidos.

O art. 6º, que trata dos princípios da LGPD, traz em seu inciso VI o princípio da transparência, o qual consiste em “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial”, justificando a implementação da Política de Privacidade.

Ademais, o caput do art. 50 da LGPD versa que os controladores e operadores poderão formular regras de boas práticas e de governança que estabeleçam, dentre outros, regime de funcionamento, normas de segurança e outros aspectos relacionados ao tratamento de dados pessoais, reforçando a ideia da implementação da Política de Privacidade.

Considerando a avaliação diagnóstica da SGD, abrange 3 dos seus quesitos (C6, D3 e D4).

Descrição de métodos, processos e procedimentos adotados no tratamento de dados pessoais pelo serviço, fornecendo informações sobre as medidas de privacidade empregadas. 

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

Concluído

8

Instituir a gestão de incidentes de violação de dados pessoais

Considerando as diretrizes que a LGPD nos traz, é importante frisar que o controlador deverá comunicar à ANPD, bem como ao titular, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, inteligência do caput, art. 48, LGPD.

Já o art. 48, § 1º, estabelece que tal comunicação deverá ser realizada em prazo razoável, contendo no mínimo: a descrição da natureza dos dados pessoais afetados; informações sobre os titulares envolvidos; e indicação das medidas técnicas e de segurança utilizadas para proteção dos dados.

Dessa forma, torna-se imperiosa a implementação de uma gestão de incidentes de violação de dados pessoais, abrangendo a criação de: um CSIRT (Computer Security Incident Response Team - Grupo de Resposta a Incidentes de Segurança); de procedimentos para apuração de incidentes; de gestão de auditoria e logs; e plano de respostas e comunicação de incidentes.

Com tais ações, o órgão também estará cumprindo com as determinações contidas no art. 50, § 2º, I, “g”, LGPD, que consiste na abordagem de planos de respostas a incidentes e remediações no Programa de Governança em Privacidade (PGP).

O órgão também deverá promover o registro das ações adotadas para solucionar os incidentes que envolvam violação de dados pessoais, bem como registrar tais incidentes, tornando-se importante o estabelecimento de responsabilidades e procedimentos para assegurar respostas rápidas, efetivas e ordenadas a incidentes que envolvam violação de dados pessoais.

Considerando a avaliação diagnóstica da SGD, abrange 3 dos seus quesitos (G3, H1 e H2).

Gestão de incidentes de violação de dados pessoais, incluindo a comunicação à ANPD e ao titular de dados, quando necessário.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

2022

9

Elaborar modelo de Termo de Uso

O Termo de Uso, conforme Guia de Elaboração de Termo de Uso e Política de Privacidade para Serviços Públicos (SGD, 2020, p. 6), é um documento que estabelece as regras e condições de uso de determinado serviço. Caso o Termo de Uso seja aceito pelo usuário, a utilização do serviço será vinculada às cláusulas dispostas nele.

O art. 6º, que trata dos princípios da LGPD, traz em seu inciso VI o princípio da transparência, o qual consiste em “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial”, justificando a implementação do Termo de Uso.

Ademais, o caput do art. 50 da LGPD versa que os controladores e operadores poderão formular regras de boas práticas e de governança que estabeleçam, dentre outros, regime de funcionamento, normas de segurança e outros aspectos relacionados ao tratamento de dados pessoais, reforçando a ideia da implementação da Termo de Uso.

Considerando a avaliação diagnóstica da SGD, abrange 1 dos seus quesitos (C6).

Estabelecimento de regras e condições de uso de determinado serviço.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

2022

10

Instituir canal para contatar o encarregado e para realizar denúncias, incluindo a possibilidade de comunicação em modo anônimo

A institucionalização de canal para contatar o encarregado, bem como para registro de denúncias, pressupõem ação voltada à auditoria e ao monitoramento no que diz respeito à conformidade do tratamento de dados pessoais perante a LGPD e o cumprimento dos princípios elencados no art. 6º da referida Lei.

O art. 5º, VIII, LGPD, contém a definição de encarregado, que consiste: “Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD”. Ademais, o art. 50, § 2º, I, alínea “e”, esclarece que no Programa de Governança em Privacidade (PGP) tem o “objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular”.

O caráter da denúncia anônima busca proteger a identidade da pessoa do denunciante, evitando perseguições e retaliações.

Portanto, para cumprir tais apontamentos deve-se instituir canal de comunicação para contar o encarregado, bem como para apuração de eventuais desvios.

Considerando a avaliação diagnóstica da SGD, abrange 1 dos seus quesitos (H3).

Estabelecimento da relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

Concluído

11

Adquirir/Desenvolver sistema para gerir a manifestação dos titulares

De acordo com o art. 18 da LGPD, o titular tem direito a obter do controlador, em relação aos seus dados pessoais, a qualquer momento e mediante requisição: a confirmação da existência de tratamento; o acesso aos dados; a correção de dados; a anonimização, bloqueio ou eliminação de dados; a portabilidade dos dados a outro fornecedor de serviço ou produtos; a eliminação dos dados pessoais tratados com o consentimento do titular; a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e a revogação do consentimento.

O titular também tem direito à revisão de decisões automatizadas (art. 20, LGPD).

Sobretudo, destaca-se que o titular exercerá seus direitos mediante requerimento expresso dele próprio ou de representante legalmente constituído, a agente de tratamento (art. 18, § 2º, LGPD).

Segundo Viviane Maldonado, “A gestão é sim algo complexo, mas a preparação inicia com o agente de tratamento elencando e organizando tudo aquilo que seja necessário para se conseguir responder ao titular. A gestão das requisições passará basicamente por três aspectos, que devem acontecer ao mesmo tempo. Primeiro, por processos, com canal para receber as demandas e desenhados a partir da realidade de cada empresa. Segundo, por treinamentos, para toda a pirâmide da organização. E terceiro, mas não menos importante, é preciso facilitar para o titular”.

Portanto, torna-se imperioso que a SETIC implemente tal sistema, capaz de gerir as requisições dos titulares, bem como seu consentimento, permitindo gerar registros de auditoria no que diz respeito ao exercício de seus direitos.

Considerando a avaliação diagnóstica da SGD, abrange 1 dos seus quesitos

Gerir as manifestações do titular, permitindo gerar registros de auditoria no que diz respeito ao exercício de seus direitos.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

Concluído

12

Revisar contratos com parceiros e terceirizados

A adequação e revisão dos atuais contratos com terceiros deve ser realizada objetivando o cumprimento dos dispositivos da LGPD, tanto pelo controlador quanto pelo operador, e demais envolvidos no tratamento de dados pessoais.

Nesse sentido, deve-se procurar atender principalmente aos princípios da adequação, responsabilização e prestação de contas, elencados no art. 6º, LGDP, buscando cumprir com a compatibilidade entre o tratamento e as finalidades elencadas em contrato, bem como com a observância e o cumprimento de normas de proteção de dados pessoais pelos envolvidos no ciclo de tratamento.

A LGPD, em seu artigo 42, caput, determina que a responsabilidade por qualquer dano ou violação referente ao tratamento de dados pessoais é do controlador ou operador. Inclusive há previsão (art. 42, I, LGPD) de responsabilidade solidária do operador quando este não cumprir com suas obrigações legais e com instruções lícitas do controlador.

Dessa forma, torna-se imperioso que todos os contratos, termos, convênios e congêneres estejam adequados à LGPD e normas complementares e conexas, prevendo cláusulas específicas sobre proteção de dados pessoais, destacando-se ainda a necessidade de realizar diligências junto aos parceiros para validação de cumprimento das exigências da LGPD (Due Diligence).

Considerando a avaliação diagnóstica da SGD, abrange 1 dos seus quesitos (F1).

Adequar à LGPD, e a normas complementares e conexas os termos, convênios e congêneres.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

2022

13

Instituir escritório/equipe permanente de apoio à privacidade e proteção de dados pessoais

Visando a implementação de ações permanentes de conformidade com a LGPD, torna-se imperiosa a criação de Equipe/Escritório de Privacidade e Proteção de Dados Pessoais no âmbito da SETIC.

A finalidade da Equipe/Escritório é a de promover ações voltadas à conformidade da SETIC para com a LGPD, normas complementares e conexas, atuando em nível tático e operacional e subsidiando o Encarregado pelo Tratamento de Dados Pessoais na execução de suas atividades.

Sugere-se ainda que o referido Escritório seja integrado ao Controle Interno da SETIC, objetivando elidir possíveis conflitos de interesses, inclusive possuindo poderes relativos a ações de auditoria e monitoramento no que diz respeito às atividades relacionadas ao tratamento de dados pessoais.

Como referência, para tal implementação, tem-se a Portaria nº 1.197, de 25 de agosto de 2020, da Agência Nacional de Telecomunicações do Ministério das Comunicações (ANATEL), que criou o Escritório de Apoio à Proteção de Dados (EAPD), bem como o Ministério das Comunicações, que em seu Programa de Governança em Privacidade criou a Equipe de Proteção de Dados Pessoais.

Considerando a avaliação diagnóstica da SGD, abrange 1 dos seus quesitos (B5).

Execução de ações permanentes de conformidade com a LGPD. 

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.



Concluído

14

Proceder com a criação e utilização de métricas (KPI)

As métricas possibilitam mensurar, monitorar e gerir as estratégias para que possamos entrar em conformidade com a LGPD. Elas apresentam informações sobre quais estratégias devem ser continuadas, aperfeiçoadas ou até mesmo abandonadas.

Conforme o Programa de Governança em Privacidade do Ministério das Comunicações (Disponível em: https://www.gov.br/mcom/pt-br/composicao/secretaria-executiva-novo/planejamento-e-tecnologia-da-informacao/programa-de-governanca-em-privacidade. Acesso em: 27 mai. 2021), as métricas são ferramentas que facilitam a tomada de decisões estratégicas e a prestação de contas. São obtidas mediante a coleta, análise e relatório de dados. Para serem eficientes, devem ser objetivas, mensuráveis, relevantes e claramente definidas, além de alinhadas com objetivos específicos do Programa de Governança em Privacidade.

O ciclo de vida da métrica envolve a identificação da audiência a que as métricas se destinam, seleção das métricas relevantes, definição dos responsáveis por sua mensuração, coleta e análise da métrica.

São essenciais pois apontam os reais resultados de investimentos, sejam em gestão de pessoas, otimização de processos, redução de gastos, aumento da produtividade dentre outros.

São exemplos de métricas: percentual de treinamentos concluídos; porcentagem de conformidade de sistemas; número de requisições de titulares de dados; número de incidentes de segurança/vazamento de dados etc.

Considerando a avaliação diagnóstica da SGD, abrange 1 dos seus quesitos (B7).

Mensurar, monitorar e gerir as estratégias para que possamos entrar em conformidade com a LGPD.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

Concluído

15

Implementar gestão de vulnerabilidades

A gestão de vulnerabilidades objetiva a realização de monitoramento e aplicação de resolução/mitigação de eventuais falhas existentes em sistemas inseridos no contexto do órgão. Procura prevenir a exploração de tais vulnerabilidades, identificando e aplicando soluções específicas.

O órgão deve adotar ou reforçar as ações de gestão de vulnerabilidades, procurando cumprir com a abordagem contida no caput do art. 50, LGPD, que determina que tanto o controlador quanto o operador deverão formular regras de boas práticas e de governança que estabeleçam mecanismos internos de supervisão e de mitigação de riscos.

A análise de vulnerabilidades, por exemplo, deve ser realizada periodicamente, registrando e notificando os envolvidos, e orientando-os quanto ao seu uso, manutenção e desenvolvimento.

Nesse contexto, o órgão deve adotar mecanismos de monitoramento proativo no que diz respeito aos eventos de segurança.

Não obstante, tal ação também visa o atendimento do previsto no caput do art. 46 da LGPD, determinando que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Considerando a avaliação diagnóstica da SGD, abrange 1 dos seus quesitos (G2).

Monitoramento e aplicação de resolução/mitigação de eventuais falhas existentes em sistemas inseridos no contexto do órgão. 

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

2022

16

Adquirir assinatura de coleção de normas técnicas ABNT

Visando atender a adequação da SETIC aos ditames da LGPD, bem como proporcionar a confidencialidade, integridade e disponibilidade de dados e informações que estão sob sua responsabilidade.

Considerando a necessidade de padronizar o trato na gestão, governança e segurança na área de TIC.

Considerando ainda que, em todo o mundo e principalmente no Brasil, destacam-se as normas da International Organization of Standardization (ISO) em conjunto com a International Electrotechnical Commission (IEC), que fornecem regras, diretrizes e características mínimas relativas à área de TIC.

Propõe-se que a SETIC adquira serviço de coletânea de normas técnicas para gestão, proporcionando acesso, em tempo real, às normas ISO/IEC e ABNT, que são necessárias para uma melhor adequação dos procedimentos e padronizações dos serviços prestados pela SETIC, não só relacionadas ao tratamento de dados pessoais, mas também a vários outros temas como: segurança, governança, gestão, infraestrutura, serviço etc, corroborando com os mais diversos setores e departamentos.

Atender a adequação da SETIC aos ditames da LGPD, bem como proporcionar a confidencialidade, integridade e disponibilidade de dados e informações que estão sob sua responsabilidade.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

2022

17

Criar procedimento para contextualização de ações administrativas, civis e criminais relativas à LGPD, quanto à jurisprudência.

De acordo com o glossário do Superior Tribunal Federal (Disponível em: http://www.stf.jus.br/portal/glossario/. Acesso em: 31 mai. 2021), jurisprudência consiste em conjunto de decisões reiteradas de juízes e tribunais sobre algum tema e orientação uniforme dos tribunais na decisão de casos semelhantes.

Tendo em vista que a LGPD já está sendo utilizada como fundamento para aplicação de sanções administrativas, civis e criminais, convém à SETIC criar procedimento para contextualização de ações dessa natureza, registrando tais jurisprudências.

Essas ações deverão ser periodicamente acompanhadas para identificar se a SETIC age de maneira similar, visando a adequação de suas atividades para evitar que recaiam sanções em seu prejuízo e em prejuízo do Governo do Estado de Rondônia.

Identificar se a SETIC age de maneira que resulte em sanções administrativas, civis e criminais relativas à LGPD para que haja adequação conforme à LGPD.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.



2022

18

Elaborar Guia de Conformidade da SETIC, contendo roadmap

A SETIC, como parte integrante da administração pública do Estado de Rondônia, objetivando entrar em conformidade perante as exigências da LGPD, agindo com responsabilidade e transparência, deve implementar um Guia de Conformidade, baseando-se em normas de boas práticas e nas experiências de especialistas na área, tendo por objetivo descrever o conjunto das principais ações (roadmap) voltadas para alcançar a conformidade com a LGPD.

Por meio deste Guia, procura-se facilitar a difusão do conhecimento para todos os servidores e departamentos pertencentes à SETIC, devendo ser desenvolvido considerando suas peculiaridades, tais como área de atuação, organização, estrutura, atribuições etc.

Difundir o conhecimento relativo à LGPD e a sua implementação para todos os servidores e departamentos pertencentes à SETIC, bem como outros órgãos da administração pública do Estado de Rondônia. 

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

Concluído

19

Implementar a avaliação de riscos de segurança e de privacidade

A avaliação de riscos de segurança e de privacidade deve ocorrer com base nos Relatórios de Impacto de Proteção de Dados (RIPD), que dependem da realização do Inventário de Dados Pessoais (IDP).

Risco, conforme “Glossário de Segurança da Informação” (Portaria nº 93, de 26 de setembro de 2019), consiste num “potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização”. Já a avaliação de riscos consiste no “processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco”.

A avaliação de riscos objetiva classificar os riscos envoltos dos ativos, neste caso os dados pessoais dos titulares, e possibilitar a implementação de ações voltadas à mitigação, resolução ou transferência do risco.

Não obstante, o órgão deve cumprir com a abordagem contida no caput do art. 50, LGPD, que determina que tanto o controlador quanto o operador deverão formular regras de boas práticas e de governança que estabeleçam mecanismos internos de supervisão e de mitigação de riscos.

Classificar os riscos envoltos dos dados pessoais dos titulares, e possibilitar a implementação de ações voltadas à mitigação, resolução ou transferência do risco.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

2022

20

Elaborar e publicar Política de Segurança da Informação (PSI)

Política de Segurança da Informação (PSI), conforme “Glossário de Segurança da Informação” (Portaria nº 93, de 26 de setembro de 2019), consiste num documento contendo um conjunto de diretrizes destinadas a definir a proteção adequada dos ativos produzidos pelos Sistemas de Informação.

Conforme descreve o art. 46 da LGPD: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

A adoção de uma PSI também cumpre com os quesitos elencados no art. 50, § 1º, I, “a” e “d”, especificando que o controlador deve demonstrar comprometimento em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; e estabelecer políticas e salvaguardas adequadas.

Dessa forma, a implementação de uma PSI procura prevenir danos ao andamento do negócio e padronizar procedimentos, além de prever e mensurar respostas a incidentes. A longo prazo, isso pode resultar na redução de custos com incidentes de TIC.

A PSI deve estar de acordo com os requisitos de negócio e com leis e regulamentações aplicáveis, devendo conter, além dos objetivos, princípios e requisitos do documento, as seguintes normatizações: responsabilidades dos servidores; responsabilidades da área de TIC; informações ligadas à logística da implementação da TIC no órgão; tecnologias de defesa contra ciberataques; política de treinamento aos colaboradores dentre outras. 

Prevenir danos ao andamento do negócio e padronizar procedimentos, além de prever e mensurar respostas a incidentes.

O monitoramento ocorrerá por meio da ferramenta disponibilizada pela SGD de diagnóstico de maturidade. Sendo realizado um novo diagnóstico a cada dois meses, avaliando-se a evolução da maturidade da SETIC com relação à conformidade com a LGPD.

A ferramenta consiste em um questionário que avalia as ações contidas neste plano e está disponível em: https://limesurvey.sgd.nuvem.gov.br/index.php/798411?lang=pt-BR.

Concluído

image-1639150195731.png

PLANO DE AÇÃO (4).png

      

META DE CONFORMIDADE ATÉ DEZEMBRO DE 2021

Grafico-de-Adquacao-Out.2021-1.png