Plano de Ação
PLANO DE AÇÃO
Com base no parecer diagnóstico, a Comissão Tática e Operacional (CTO) desenvolverá o plano de ação, elencando as ações necessárias para que o órgão entre em conformidade com as exigências da LGPD, devendo seguir uma ordem de prioridade, na qual o CGPD decidirá.
Esse parecer deverá ser apresentado ao CGPD, que deliberará por sua aprovação.
|
Ação |
Justificativa |
|
|
1 |
Implementação do Programa de Governança em Privacidade (PGP) |
O Programa de Governança em Privacidade (PGP) propõe ações permanentes de conformidade com a LGPD. Está previsto … Considerando a avaliação diagnóstica da SGD, abrange 4 quesitos (B2, B3, B7 e D2). |
|
2 |
Criar campanha de publicidade e conscientização |
A instituição de uma campanha de publicidade e conscientização é uma ação que visa principalmente a mudança cultural quanto ao tratamento de dados pessoais. Está prevista … Considerando a avaliação diagnóstica da SGD, abrange 4 quesitos (B1, C4, C5 e D2) |
|
3 |
Implementar na cultura do órgão o Privacy By Design |
DIAGNÓSTICO TCU
DIAGNÓSTICO ABEP |
|
4 |
Desenvolver portfólio de treinamentos e workshops |
Referência(s): ABNT NBR ISO/IEC 27.701/2019, itens 5.5.2, 5.5.3 e 5.5.4 DIAGNÓSTICO TCU |
|
5 |
Desenvolver Relatórios de Impacto de Proteção de Dados (RIPD) |
|
|
6 |
Criar procedimentos para realização periódica de IDP |
|
|
7 |
Elaborar modelo de política de privacidade |
|
|
8 |
Instituir a gestão de incidentes de violação de dados pessoais |
Auditoria; trilha de autoria… Criação do CSIRT (equipe multidisciplinar) procedimento para apuração de incidentes Referência(s): Lei 13.709/2018, art. 50, § 2º, inciso I, alínea "g". ABNT NBR ISO/IEC 27.701/2019, item 6.13.1.5. Convém que a organização possua sistema para o registro das ações adotadas para solucionar os incidentes que envolvem violação de dados pessoais. O tratamento de incidentes pode envolver, primeiramente, a adoção de solução de contorno para, posteriormente, haver análise e erradicação da causa. DIAGNÓSTICO TCU Referência(s): Lei 13.709/2018, art. 50, § 2º, inciso I, alínea "g". ABNT NBR ISO/IEC 27.701/2019, item 6.13.1.1. Convém que a organização possua um sistema de informação de gestão de incidentes que viabiliza o tratamento de casos que envolvem violação de dados pessoais. Essa gestão inclui o registro dos incidentes. DIAGNÓSTICO TCU Referência(s): Lei 13.709/2018, art. 46. ABNT NBR ISO/IEC 27.701/2019, item 6.9.4.1. Convém que a organização registre os eventos (logs) das atividades de tratamento de dados pessoais de forma que seja possível identificar por quem, quando e quais dados pessoais foram acessados. Nos casos em que ocorrem mudanças nos dados, também deve ser registrada a ação realizada (e.g.: inclusão, alteração ou exclusão) DIAGNÓSTICO TCU |
|
9 |
Elaborar modelo de termo de uso |
|
|
10 |
Criar canal para contatar o encarregado e para realizar denúncias, incluindo a possibilidade de comunicação em modo anônimo |
para apuração de eventuais desvios |
|
11 |
Adquirir ou desenvolver sistema para gerir consentimento e solicitações/requisições de titulares |
Validação do usuário Referência(s): Lei 13.709/2018, art. 46. ABNT NBR ISO/IEC 27.701/2019, itens 6.6.2.1 e 6.6.2.2. Convém que a organização defina processo formal para registro e cancelamento de usuários para viabilizar a atribuição dos direitos de acesso aos sistemas que realizam tratamento de dados pessoais. O mesmo deve ser feito com o processo de provisionamento para conceder ou revogar os direitos de acesso dos usuários nesses sistemas. Convém que a concessão de direitos de acesso observem os princípios de "necessidade de conhecer" e "necessidade de uso". DIAGNÓSTICO TCU |
|
12 |
Revisar contratos com parceiros e terceirizados |
Prever cláusulas específicas sobre proteção de dados em contratos e termos Destacando-se também a necessidade de realizar diligências junto ao parceiro para validação de cumprimento das exigências da LGPD (Due Dilligence) |
|
13 |
Instituir escritório ou equipe permanente de apoio à privacidade e proteção de dados pessoais |
|
|
14 |
Criação e utilização de métricas (KPI) |
|
|
15 |
Implementar gestão de vulnerabilidades |
Referência(s): Lei 13.709/2018, art. 50, § 2º, inciso I, alínea "g". ABNT NBR ISO/IEC 27.701/2019, itens 6.13.1.4 e 6.13.1.5. Convém que a organização adote mecanismo para monitorar proativamente os eventos de segurança da informação que são associados à violação de dados pessoais para adotar medidas necessárias caso ocorram. A identificação precoce de incidentes pode diminuir significativamente os impactos causados por eles. DIAGNÓSTICO TCU |
|
16 |
Criar plano de respostas e comunicação de incidentes de violação de dados pessoais |
Criar plano de incidente de violação de dados pessoais; Plano de gestão de crise (planos de resposta a incidentes e remediação); Referência(s): Lei 13.709/2018, art. 50, § 2º, inciso I, alínea “g”. ABNT NBR ISO/IEC 27.701/2019, item 6.13.1.1. Como parte do processo de gestão de incidentes de segurança da informação global, é conveniente que a organização estabeleça responsabilidades e procedimentos para assegurar respostas rápidas, efetivas e ordenadas a incidentes que envolvem violação de dados pessoais DIAGNÓSTICO IDP Referência(s): Lei 13.709/2018, art. 46. ABNT NBR ISO/IEC 27.002/2013, item 6.1. A organização deve adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. DIAGNÓSTICO TCU |
|
17 |
Adquirir assinatura da ABNT Coleção |
|
|
18 |
Criar procedimento para contextualização de ações administrativas, civis e criminais relativas à LGPD, quanto à jurisprudência |
|
|
19 |
Elaboração do Guia de Boas Práticas da Setic, contendo roadmap |
1 |
|
20 |
Desenvolver a avaliação de risco dos processos de tratamento de dados pessoais |
|
|
21 |
Implementar Política e Segurança da Informação |
|