Plano de Ação LGPD 2022
Conforme explícito no Programa de Governança em Privacidade da SETIC: "Para serem eficientes (as métricas), devem ser objetivas, mensuráveis, relevantes e claramente definidas, além de alinhadas com o objetivo específico do PGP". Dessa forma, segue abaixo o Plano de Ação para conformidade com LGPD no ano de 2022.
O que? | Por que? | Tempo de duração previsto? | Quando? | |
1 | Criar vídeos explicativos sobre a Política de Privacidade | Para facilitar a compreensão da Política de Privacidade. | 1 mês | Janeiro |
2 | Criar manual de boas práticas quanto ao direto/atendimento dos titulares. | Para instruir os funcionários da SETIC sobre o adequado tratamento dos dados pessoais. | 1 mês | Janeiro |
3 | Reestruturar CGPD da SETIC. | Para atualizar o rol de membros do CGPD e inserir os servidores que serão suplentes. | 1 mês | Fevereiro |
4 | Realizar autoavaliação de segurança com base no questionário SGD. | Pra mensurar o nível de maturidade da segurança com LGPD e traçar estratégias para melhoria | 1 mês | Fevereiro |
5 | Implementar a gestão de riscos de segurança e de privacidade. | Para classificar os riscos envoltos dos dados pessoais dos titulares, e possibilitar a implementação de ações voltadas à mitigação, resolução ou transferência do risco. | 4 meses | 1º semestre |
6 | Implementar plano de resposta a incidentes de segurança. | Para atender à LGPD e ao Programa de Governança de Privacidade da SETIC | 2 meses | 1º semestre |
7 |
Institucionalizar o roteiro de compliance. |
Para subsidiar os processos de avaliação de conformidade interna bem como orientar o desenvolvimento de sistemas com base no privacy by design. | 2 meses | 1º semestre |
8 | Institucionalizar modelo de Termo de Uso. | Para estabelecer regras e condições de uso de determinado serviço. | 3 meses | 1º semestre |
9 | Elaboração do curso de Privacy by Design. | Para conscientizar, treinar e desenvolver os servidores sobre o privacy by design. | 3 meses | 1º semestre |
10 | Vincular aviso de privacidade e cookies aos sítios eletrônicos da SETIC. | Para colher consentimento do tratamento de cookies e informar sobre a privacidade | 3 meses | 1º semestre |
11 | Adquirir assinatura de coleção de normas técnicas ABNT. | Para subsidiar a produção de documentos e normas, especialmente de segurança da informação. | 2 meses | 1º semestre |
12 | Elaborar cartilha de boas práticas para adequado tratamento de dados pessoais. | Para instruir as boas práticas para o adequado tratamento de dados pessoais. | 1 mês | 1º semestre |
13 | Elaborar termo de compromisso/responsabilidade para servidores/parceiros/estagiário/prestador de serviço etc. | Para que eles estejam cientes de que devem tratar os dados pessoais de acordo com a LGPD. | 1 mês | 1º semestre |
14 | Desenvolver Relatórios de Impacto de Proteção de Dados (RIPD). | Para atender aos arts. 4º, 10, 32, e 38 da LGPD. | 3 meses | 2º semestre |
15 | Revisar contratos com parceiros e terceirizados. | Para adequá-los à LGPD, normas complementares e conexas, termos, convênios e congêneres. | 4 meses | 2º semestre |
16 | Elaboração do curso de introdução à LGPD na administração pública. | Para auxiliar o treinamento e desenvolvimento dos servidores do Governo do Estado de Rondônia. | 3 meses | 2º semestre |
17 | Avaliação de Conformidade Interna | Para avaliar e orientar a correção dos tratamentos de dados pessoais na SETIC | 3 meses | 2º semestre |
18 | Criar instrumentais para fomentar o Privacy by Design na SETIC. | Para que todos os sistemas novos estejam de acordo com a LGPD desde a concepção. | 2 meses | 2º semestre |
19 | Implementar gestão de vulnerabilidades | Para monitorar e aplicar resolução/mitigação de eventuais falhas existentes em sistemas inseridos no contexto do órgão. | 3 meses | 2º semestre |
20 | Identificar ações administrativas, civis e criminais relativas à LGPD, quanto à jurisprudência. | Para identificar se a SETIC age de maneira que resulte em sanções administrativas, civis e criminais relativas à LGPD para que haja adequação conforme à LGPD. | 2 meses | 2º semestre |
21 | Verificar softwares para auxiliar na conformidade LGPD. | Para armazenar Inventários de Dados Pessoais, avaliações de conformidade, Relatórios de Impacto etc. | 4 meses | 2º semestre |
22 | Elaborar procedimentos de LGPD para onboarding. | Para que os novos funcionários da SETIC estejam cientes do tratamento de dados pessoais pela LGPD | 1 mês | 2º semestre |
23 | Criar plano de atendimento à solicitações da ANPD, baseado na resolução de fiscalização administrativo sancionador. | Para preparar a SETIC em caso de solicitações da ANPD | 2 meses | 2º semestre |
24 | Criar procedimento para publicar o IDP, (conforme pergunta 16 do questionário). | Para dar publicidade a forma de tratamento de dados pessoais. | 1 mês | 2º semestre |
1º Semestre
2º Semestre
Observações:
- O Plano de Ação deve estar em ordem de realização, podendo haver ações simultâneas;
- Deve haver a timeline visual do plano de ação, divido nos dois semestres de 2022;
- O questionário diagnóstico de maturidade deverá ser respondido no início do ano, considerando o cumprimento de cada ação de forma individual e cumulativa de acordo com o período planejado para sua realização, com o objetivo de identificar de forma concreta a porcentagem de adequação a ser atingida ao final de cada ação deste plano, bem como ao final do plano por completo.