Plano de Ação LGPD - 2022
As ações que compõe este plano devem ter início, meio e fim, para que seja possível obter resultados concretos por meio de métricas. como explícito no Programa de Governança em Privacidade da SETIC: "Para serem eficientes (as métricas), devem ser objetivas, mensuráveis, relevantes e claramente definidas, além de alinhadas com o objetivo específico do PGP".
Esboço do Plano de Ação para conformidade com a LGPD em 2022:
| O que? | Por que? | Quantos meses de duração? | Quando? |
| Elaborar parecer diagnóstico dos Inventários | Para identificar os gaps (lacunas) no tratamento de dados pessoais dos serviços/processos da SETIC. | ||
| Desenvolver Relatórios de Impacto de Proteção de Dados (RIPD) | Para atender |
||
| Elaborar modelo de Termo de Uso | Para estabelecer regras e condições de uso de determinado serviço. | ||
| Revisar contratos com parceiros e terceirizados | Para adequá-los à LGPD, e a normas complementares e conexas os termos, convênios e congêneres. | ||
| Implementar gestão de vulnerabilidades | Para monitorar e aplicar resolução/mitigação de eventuais falhas existentes em sistemas inseridos no contexto do órgão. | ||
| Implementar a avaliação de riscos de segurança e de privacidade | Para classificar os riscos envoltos dos dados pessoais dos titulares, e possibilitar a implementação de ações voltadas à mitigação, resolução ou transferência do risco. | ||
| Implementar plano de resposta a incidentes de segurança | |||
|
Institucionalizar o roteiro de compliance |
Para subsidiar os processos de auditoria bem como orientar o desenvolvimento de sistemas com base no privacy by design. | ||
|
Implementar processo de auditoria |
|||
|
Elaboração do curso de Privacy by Design |
Para auxiliar no processo de treinamento e desenvolvimento dos servidores da SETIC com relação à LGPD. | ||
|
Elaboração do curso de introdução à LGPD na administração pública |
Para auxiliar o treinamento e desenvolvimento dos servidores do Governo do Estado de Rondônia. | ||
| Realizar autoavaliação de segurança | Pra mensurar o nível de maturidade da segurança com LGPD e traçar estratégias para melhorias | ||
| Realizar autoavaliação de privacidade | Para identificar periodicamente o avanço da conformidade com a LGPD na SETIC. | ||
| Criar instrumentais para fomentar o Privacy by Design na SETIC | Para que todos os sistemas novos estejam de acordo com a LGPD desde a concepção | ||
| Elaborar curso de privacy by design | Para conscientizar, treinar e desenvolver os servidores sobre o privacy by design | ||
| Avaliação de Conformidade Interna | Para avaliar e orientar a correção dos tratamentos de dados pessoais na SETIC | ||
| Atualizar curso de introdução à LGPD na SETIC | Para disponibilizar ao governo do estado | ||
|
Adquirir assinatura de coleção de normas técnicas ABNT |
Para subsidiar a produção de documentos e normas, especialmente de segurança da informação | ||
| Elaborar cartilha de boas práticas para adequado tratamento de dados pessoais | Para instruir aos boas práticas para o adequado tratamento de dados pessoais | ||
| Vincular aviso de privacidade e cookies aos sítios eletrônicos da SETIC | Para colher consentimento do tratamento de cookies e informar sobre a privacidade | ||
| Identificar ações administrativas, civis e criminais relativas à LGPD, quanto à jurisprudência. | Para identificar se a SETIC age de maneira que resulte em sanções administrativas, civis e criminais relativas à LGPD para que haja adequação conforme à LGPD. | ||
| Reestruturar CGPD da SETIC | Para inserir suplentes e alterar membros | ||
| Criar procedimento para atualização do IDP | Para facilitar a atualização do IDP | ||
| Verificar softwares para auxiliar na conformidade LGPD | Para armazenar IDPs, avaliações de conformidade, ripd etc | ||
| Elaborar termo de compromisso/responsabilidade para servidores/parceiros/estagiário/prestador de serviço etc. | Para que eles estejam cientes de que devem tratar os dados pessoais de acordo com a LGPD | ||
| Elaborar procedimentos de LGPD para onboarding | Para que os novos funcionários da SETIC estejam cientes do tratamento de dados pessoais pela LGPD | ||
| Criar manual de boas práticas quanto ao direto/atendimento dos titulares | Para instruir os funcionários da SETIC sobre o adequado tratamento dos dados pessoais | ||
| Criar plano de atendimento à solicitações da ANPD, baseado na resolução de fiscalização administrativo sancionador | Para preparar a SETIC em caso de solicitações da ANPD | ||
| Criar procedimento para publicar o IDP, (conforme pergunta 16 do questionário) | Para dar publicidade a forma de tratamento de dados pessoais | ||
| Criar vídeos explicativos sobre a Política de Privacidade | Para facilitar a compreensão da Política de Privacidade |
Obs.:
- O Plano de Ação deve estar em ordem de realização, podendo haver ações simultâneas;
- Deve haver a timeline visual do plano de ação, divido nos dois semestres de 2022;
- O questionário diagnóstico de maturidade deverá ser respondido no início do ano, considerando o cumprimento de cada ação de forma individual e cumulativa de acordo com o período planejado para sua realização, com o objetivo de identificar de forma concreta a porcentagem de adequação a ser atingida ao final de cada ação deste plano, bem como ao final do plano por completo.
Detalhamento de cada ação
Elaborar parecer diagnóstico dos Inventários
Requisitos mínimos: inventário de dados pessoais de cada tratamento de dados pessoais.
Passos:
- Organizar todos os inventários da SETIC em uma base comum;
- Analisar cada inventário para identificar gaps (lacunas) no tratamento de dados pessoais;
- Documentar gaps encontrados.
Resultado esperado: conhecer os tratamentos de dados pessoais que precisam se adequar à LGPD.
Desenvolver Relatórios de Impacto de Proteção de Dados (RIPD)
Requisitos mínimos: parecer diagnóstico dos inventários, avaliação de risco de segurança e de privacidade.
Passos:
- Priorizar a ordem de elaboração do RIPD por serviços/processos, iniciando com os de maiores riscos de acordo com a avaliação de risco de segurança e de privacidade;
- Encaminhar o template do RIPD aos responsáveis pelo serviço/processo para que seja preenchido;
Resultado esperado: atender aos arts. 4, 10, 32 e 38 da LGPD.
Implementar Termo de Uso
Requisitos mínimos: inventário de dados pessoais.
Passos:
- Elaborar modelo padrão de termo de uso;
- Enviar modelo de termo de uso para os donos do serviço/processo de negócio;
- Implementar termo de uso preenchido à cada sítio eletrônico.
Resultado esperado: ter 100% dos sítios eletrônicos apresentando as regras e condições de uso de determinado serviço.
Revisar contratos com parceiros e terceirizados
Requisitos mínimos: treinamento com a CAF e assessorias sobre a LGPD nos contratos.
Passos:
- Nivelar conhecimento dos servidores que tratam diretamente os contratos da SETIC;
- Criar cláusula padrão sobre LGPD para inserir nos contratos;
- Identificar qual o melhor instrumental para fazer a atualização dos contratos antigos;
Resultado esperado: ter 100% dos contratos da SETIC adequados à LGPD.
Implementar gestão de vulnerabilidades
Requisitos mínimos:
Passos:
Resultado esperado: