Plano de Ação

PLANO DE AÇÃO

Com base no parecer diagnóstico, a Comissão Tática e Operacional (CTO) desenvolverá o plano de ação, elencando as ações necessárias para que o órgão entre em conformidade com as exigências da LGPD, devendo seguir uma ordem de prioridade, na qual o CGPD decidirá.

Esse parecer deverá ser apresentado ao CGPD, que deliberará por sua aprovação.

	Ação	Justificativa
1	Implementação do Programa de Governança em Privacidade (PGP)	O Programa de Governança em Privacidade (PGP) propõe ações permanentes de conformidade com a LGPD. Está previsto … Considerando a avaliação diagnóstica da SGD, abrange 4 quesitos (B2, B3, B7 e D2).
2	Criar campanha de publicidade e conscientização	A instituição de uma campanha de publicidade e conscientização é uma ação que visa principalmente a mudança cultural quanto ao tratamento de dados pessoais. Está prevista … Considerando a avaliação diagnóstica da SGD, abrange 4 quesitos (B1, C4, C5 e D2)
3	Implementar na cultura do órgão o Privacy By Design	C1 C3 C4 F1 avaliação quanto ao tratamento de dados estritamente necessários; avaliação quanto à retenção dos dados; avaliação quanto ao compartilhamento de dados e atendimento dos critérios da LGPD; DIAGNÓSTICO TCU Tabela de temporalidade DIAGNÓSTICO ABEP
4	Desenvolver portfólio de treinamentos e workshops	B10 C4 C5 Referência(s): ABNT NBR ISO/IEC 27.701/2019, itens 5.5.2, 5.5.3 e 5.5.4 DIAGNÓSTICO TCU
5	Desenvolver Relatórios de Impacto de Proteção de Dados (RIPD)	B8 B9 G1
6	Criar procedimentos para realização periódica de IDP	C2 E1 E2
7	Elaborar modelo de política de privacidade	C6 D4
8	Instituir a gestão de incidentes de violação de dados pessoais	G3 H2 Auditoria; trilha de autoria… Criação do CSIRT (equipe multidisciplinar) procedimento para apuração de incidentes Referência(s): Lei 13.709/2018, art. 50, § 2º, inciso I, alínea "g". ABNT NBR ISO/IEC 27.701/2019, item 6.13.1.5. Convém que a organização possua sistema para o registro das ações adotadas para solucionar os incidentes que envolvem violação de dados pessoais. O tratamento de incidentes pode envolver, primeiramente, a adoção de solução de contorno para, posteriormente, haver análise e erradicação da causa. DIAGNÓSTICO TCU Referência(s): Lei 13.709/2018, art. 50, § 2º, inciso I, alínea "g". ABNT NBR ISO/IEC 27.701/2019, item 6.13.1.1. Convém que a organização possua um sistema de informação de gestão de incidentes que viabiliza o tratamento de casos que envolvem violação de dados pessoais. Essa gestão inclui o registro dos incidentes. DIAGNÓSTICO TCU Referência(s): Lei 13.709/2018, art. 46. ABNT NBR ISO/IEC 27.701/2019, item 6.9.4.1. Convém que a organização registre os eventos (logs) das atividades de tratamento de dados pessoais de forma que seja possível identificar por quem, quando e quais dados pessoais foram acessados. Nos casos em que ocorrem mudanças nos dados, também deve ser registrada a ação realizada (e.g.: inclusão, alteração ou exclusão) DIAGNÓSTICO TCU
9	Elaborar modelo de termo de uso	C6
10	Criar canal para contatar o encarregado e para realizar denúncias, incluindo a possibilidade de comunicação em modo anônimo	H3 para apuração de eventuais desvios
11	Adquirir ou desenvolver sistema para gerir consentimento e solicitações/requisições de titulares	C7 Validação do usuário Referência(s): Lei 13.709/2018, art. 46. ABNT NBR ISO/IEC 27.701/2019, itens 6.6.2.1 e 6.6.2.2. Convém que a organização defina processo formal para registro e cancelamento de usuários para viabilizar a atribuição dos direitos de acesso aos sistemas que realizam tratamento de dados pessoais. O mesmo deve ser feito com o processo de provisionamento para conceder ou revogar os direitos de acesso dos usuários nesses sistemas. Convém que a concessão de direitos de acesso observem os princípios de "necessidade de conhecer" e "necessidade de uso". DIAGNÓSTICO TCU
12	Revisar contratos com parceiros e terceirizados	F1 Prever cláusulas específicas sobre proteção de dados em contratos e termos Destacando-se também a necessidade de realizar diligências junto ao parceiro para validação de cumprimento das exigências da LGPD (Due Dilligence)
13	Instituir escritório ou equipe permanente de apoio à privacidade e proteção de dados pessoais	B5
14	Criação e utilização de métricas (KPI)	B7
15	Implementar gestão de vulnerabilidades	G2 Referência(s): Lei 13.709/2018, art. 50, § 2º, inciso I, alínea "g". ABNT NBR ISO/IEC 27.701/2019, itens 6.13.1.4 e 6.13.1.5. Convém que a organização adote mecanismo para monitorar proativamente os eventos de segurança da informação que são associados à violação de dados pessoais para adotar medidas necessárias caso ocorram. A identificação precoce de incidentes pode diminuir significativamente os impactos causados por eles. DIAGNÓSTICO TCU
16	Criar plano de respostas e comunicação de incidentes de violação de dados pessoais	H1 Criar plano de incidente de violação de dados pessoais; Plano de gestão de crise (planos de resposta a incidentes e remediação); Referência(s): Lei 13.709/2018, art. 50, § 2º, inciso I, alínea “g”. ABNT NBR ISO/IEC 27.701/2019, item 6.13.1.1. Como parte do processo de gestão de incidentes de segurança da informação global, é conveniente que a organização estabeleça responsabilidades e procedimentos para assegurar respostas rápidas, efetivas e ordenadas a incidentes que envolvem violação de dados pessoais DIAGNÓSTICO IDP Referência(s): Lei 13.709/2018, art. 46. ABNT NBR ISO/IEC 27.002/2013, item 6.1. A organização deve adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. DIAGNÓSTICO TCU
17	Adquirir assinatura da ABNT Coleção
18	Criar procedimento para contextualização de ações administrativas, civis e criminais relativas à LGPD, quanto à jurisprudência
19	Elaboração do Guia de Boas Práticas da Setic, contendo roadmap	1
20	Desenvolver a avaliação de risco dos processos de tratamento de dados pessoais
21	Implementar Política e Segurança da Informação	Referência(s): Lei 13.709/2018, art. 46; art. 50, § 2º, inciso I, alíneas “a” e “d". ABNT NBR ISO/IEC 27.701/2019, itens 5.3.2 e 6.2. Uma Política de Segurança da Informação estabelece a abordagem da organização para gerenciar os objetivos de segurança da informação. A referida política deve ser aprovada pela alta direção e estar de acordo com os requisitos de negócio e com leis e regulamentações aplicáveis. DIAGNÓSTICO TCU


	Adequar os sistemas à norma ISO/IEC 27.701/19 (Governança de Privacidade de Dados Pessoais)
	Criar procedimentos de portabilidade dos dados pessoais
	Implementar Política de Proteção de Dados Pessoais	Referência(s): Lei 13.709/2018, art. 46; art. 50, § 2º, inciso I, alíneas “a” e “d”. ABNT NBR ISO/IEC 27.701/2019, itens 6.2.1. DIAGNÓSTICO TCU
	Implementar Política de Classificação da Informação	Referência(s): Lei 13.709/2018, art. 46; art. 50, § 2º, inciso I, alíneas “a” e “d”. ABNT NBR ISO/IEC 27.701/2019, item 6.5.2. DIAGNÓSTICO TCU
	Desenvolver a gestão de risco quanto à privacidade de dados	Propor metodologia para avaliação de riscos de segurança e privacidade (Guia Ministério da Economia)
	Implementar gestão de crises
	Implementar política de gestão de dados pessoais
	Criar normativa para descarte de dados pessoais
	Institucionalizar modelo de governança de dados pessoais (MCOM)
	Estratégia para proteção de dados pessoais (MCOM)
	Atribuição do papel de gestor de dados	Realizado pala CAGD.
	Solução para criptografia de dispositivos DLP (Data Loss Prevention)	Referência(s): Lei 13.709/2018, art. 46; art. 50, § 2º, inciso I, alínea "c". ABNT NBR ISO/IEC 27.701/2019, item 6.7. A utilização de criptografia pode proteger a confidencialidade, a autenticidade e/ou a integridade da informação. Por exemplo, devido à criticidade dos dados sensíveis, a adoção de mecanismos para criptografá-los em trânsito e no armazenamento pode mitigar riscos associados à violação de dados pessoais. DIAGNÓSTICO TCU
	Solução criptográfica para dados pessoais (estruturados, semiestruturados e não-estruturados)
	Desenhar fluxo de dados para cada registro de tratamento de dados pessoais
	Implementar boas práticas do Catálogo de Base de Dados da SGD	https://www.gov.br/governodigital/pt-br/governanca-de-dados/catalogo-de-bases-de-dados
	Resolver ou mitigar os gaps encontrados
	Adquirir ferramenta para Data Mapping e Data Discovery
	Adquirir desfragmentadoras
	Criar procedimentos relativos ao gerenciamento de consentimento de pais ou responsáveis legais de crianças e adolescentes para acesso Wi-Fi Infovia (SI-02 - Segurança da Informação)