Ir para o conteúdo principal

Plano de Ação 2022

As ações que compõe este plano devem ter início, meio e fim, para que seja possível obter resultados concretos por meio de métricas. como explícito no Programa de Governança em Privacidade da SETIC: "Para serem eficientes (as métricas), devem ser objetivas, mensuráveis, relevantes e claramente definidas, além de alinhadas com o objetivo específico do PGP". 

Esboço do Plano de Ação para conformidade com a LGPD em 2022:

O que? Por que? Quantos meses de duração? Quando?
Elaborar parecer diagnóstico dos Inventários Para identificar os gaps (lacunas) no tratamento de dados pessoais dos serviços/processos da SETIC. 2 meses 2022.1
Desenvolver Relatórios de Impacto de Proteção de Dados (RIPD) Para atender as exigências da LGPD. 4 meses 2022.1
Elaborar modelo de Termo de Uso Para estabelecer regras e condições de uso de determinado serviço. 2 meses 2022.2
Revisar contratos com parceiros e terceirizados Para adequá-los à LGPD, e a normas complementares e conexas os termos, convênios e congêneres. 6 meses 2022.2
Implementar gestão de vulnerabilidades Para monitorar e aplicar resolução/mitigação de eventuais falhas existentes em sistemas inseridos no contexto do órgão.     
Implementar a avaliação de riscos de segurança e de privacidade Para classificar os riscos envoltos dos dados pessoais dos titulares, e possibilitar a implementação de ações voltadas à mitigação, resolução ou transferência do risco.    

Institucionalizar o roteiro de compliance

Para subsidiar os processos de auditoria bem como orientar o desenvolvimento de sistemas com base no privacy by design.   2022.1

Implementar processo de auditoria 

Para ...    

Elaboração do curso de Privacy by Design

Para auxiliar no processo de treinamento e desenvolvimento dos servidores da SETIC com relação à LGPD.    

 

     

Obs.;

  • O Plano de Ação deve estar em ordem de realização, podendo haver ações simultâneas;
  • Deve haver a timeline visual do plano de ação, divido nos dois semestres de 2022.
Detalhamento de cada ação

Elaborar parecer diagnóstico dos Inventários

Requisitos mínimos: inventário de dados pessoais de cada tratamento de dados pessoais.

Passos:

  1. Organizar todos os inventários da SETIC em uma base comum;
  2. Analisar cada inventário para identificar gaps (lacunas) no tratamento de dados pessoais;
  3. Documentar gaps encontrados.

Resultado esperado: conhecer os tratamentos de dados pessoais que precisam se adequar à LGPD.

 

Desenvolver Relatórios de Impacto de Proteção de Dados (RIPD)

Requisitos mínimos: parecer diagnóstico dos inventários, avaliação de risco de segurança e de privacidade.

Passos: 

  1. Priorizar a ordem de elaboração do RIPD por serviços/processos, iniciando com os de maiores riscos de acordo com a avaliação de risco de segurança e de privacidade;
  2. Encaminhar o template do RIPD aos responsáveis pelo serviço/processo para que seja preenchido;

Resultado esperado: atender aos arts. 4, 10, 32 e 38 da LGPD.

 

Implementar Termo de Uso

Requisitos mínimos: inventário de dados pessoais.

Passos: 

  1. Elaborar modelo padrão de termo de uso;
  2. Enviar modelo de termo de uso para os donos do serviço/processo de negócio;
  3. Implementar termo de uso preenchido à cada sítio eletrônico.

Resultado esperado: ter 100% dos sítios eletrônicos apresentando as regras e condições de uso de determinado serviço.

 

Revisar contratos com parceiros e terceirizados

Requisitos mínimos: treinamento com a CAF e assessorias sobre a LGPD nos contratos.

Passos: 

  1. Nivelar conhecimento dos servidores que tratam diretamente os contratos da SETIC;
  2. Criar cláusula padrão sobre LGPD para inserir nos contratos;
  3. Identificar qual o melhor instrumental para fazer a atualização dos contratos antigos;

Resultado esperado: ter 100% dos contratos da SETIC adequados à LGPD.

 

Implementar gestão de vulnerabilidades

Requisitos mínimos:

Passos:

Resultado esperado: