Plano de Ação LGPD 2022
O Plano de Ação elenca as principais atividades que deverão ser executadas para que a SETIC cumpra com as exigências da LGPD. Está previsto no Guia de Conformidade LGPD da SETIC, instituído por meio da Portaria SETIC nº 53/2021.
Atualmente, o Plano de Ação 2022 da SETIC apresenta as atividades que serão executadas e suas respectivas justificativas, incluindo-se gráfico e timeline para ambos os semestres deste ano. Como pode ser visualizado abaixo:
O que? | Por que? | Tempo de duração estimada? | Quando? | Qual categoria de demanda? | |||
1 | Desenvolver vídeos explicativos sobre a Política de Privacidade da SETIC. | Para facilitar a leitura e compreensão da Política de Privacidade. | 1 mês | 1º semestre | Publicidade e Conscientização | ||
2 | Redigir cartilha de boas práticas para adequado tratamento de dados pessoais. | Para orientar os servidores da SETIC quanto ao adequado tratamento dos dados pessoais. | 1 mês | 1º semestre | Publicidade e Conscientização | ||
3 |
| ||||||
Reestruturar CGPD da SETIC. |
Para atualizar o rol de membros do Comitê Gestor de Privacidade e Proteção de Dados Pessoais (CGPD) da SETIC e inserir os servidores que serão suplentes. |
1 mês |
1º semestre | Administrativo | |||
Colaborar na implementação da gestão de riscos. |
Para gerir os riscos envoltos do tratamento de dados pessoais dos titulares e possibilitar a implementação de ações voltadas à mitigação, resolução ou transferência do risco. | 4 meses | 1º semestre | Gestão de Risco | |||
Colaborar com a implementação do plano de gestão de incidentes de segurança da informação. | Para atender à LGPD e ao Programa de Governança de Privacidade da SETIC, principalmente com a estruturação do plano de resposta a incidentes. | 1 mês | 1º semestre | Segurança da Informação | |||
Implementar roteiro de compliance. |
Para subsidiar os processos de avaliação de conformidade interna bem como promover a autorregulação com base no privacy by design, ambos por meio da institucionalização do instrumental que conterá questionamentos devidamente fundamentados na legislação pertinente e normas correlatas, que objetivam atender as premissas da LGPD. | 2 meses | 1º semestre | Elaboração de instrumentais | |||
Institucionalizar do modelo de Termo de Uso. | Para estabelecer regras e condições de uso de determinado serviço. | 3 meses | 1º semestre | Elaboração de instrumentais | |||
8 | Estudar a viabilidade da adoção do uso de termo de compromisso/responsabilidade LGPD. | Para que servidores/parceiros/estagiários/prestadores de serviço firmem compromisso com o adequado tratamento de dados pessoas nos termos da LGPD. | 2 meses | 1º semestre | Elaboração de instrumentais | ||
9 | Adquirir coleção de normas técnicas da ABNT. | Para subsidiar a produção de documentos, normativas e regras de boas práticas, colaborando com a governança e gestão. | 4 meses | 1º semestre | Administrativo | ||
10 | Criar guia orientativo com cláusulas padronizadas relativas à LGPD para contratos correlatos. | Para abranger as responsabilidades de ambas as partes no que diz respeito ao adequado tratamento de dados pessoais. | 2 meses | 2º semestre | Administrativo | ||
11 | Elaborar curso de Privacy by Design. |
Para promover a conscientização dos servidores sobre a importância das medidas de segurança, técnicas e administrativas relativas a proteção dos dados pessoais desde a fase de concepção do produto ou serviço até a sua execução (Privacy by Design).
|
3 meses | 2º semestre |
Privacy by Design
|
||
12 | Revisar contratos e instrumentos congêneres firmados com parceiros e terceirizados. | Para adequá-los à LGPD, quando seu objeto estiver relacionado ao tratamento de dados pessoais. | 4 meses | 2º semestre | Administrativo | ||
Acompanhar a vinculação do aviso de privacidade e de cookies aos sítios eletrônicos da SETIC. | Para cumprir com os princípios previstos na LGPD, em especial o da transparência e o da responsabilização e prestação de contas. | ||||||
Publicidade e Conscientização | |||||||
14 |
Para orientar os responsáveis pela produção do RIPD, instruindo-os por meio de técnicas de elaboração, avaliação e feedback de correções e melhorias. |
No decorrer do ano | Gestão de Risco | ||||
15 |
|
Pra mensurar o nível de maturidade da segurança da informação para com a LGPD e
|
|
|
|
||
16 | Disponibilizar curso de introdução à LGPD na administração pública. | Para auxiliar o treinamento e desenvolvimento dos servidores do Governo do Estado de Rondônia. | 3 meses | 2º semestre | Treinamento e Desenvolvimento | ||
17 | Qualificar Conformidade Interna | Para avaliar e orientar a correção dos tratamentos de dados pessoais na SETIC | 3 meses | 2º semestre | Administrativo | ||
18 | Elaborar instrumentais para fomentar o Privacy by Design na SETIC. | Para que todos os sistemas novos estejam de acordo com a LGPD desde a concepção. | 2 meses | 2º semestre | Privacy by Design | ||
19 | Implementação de gestão de vulnerabilidades | Para monitorar e aplicar resolução/mitigação de eventuais falhas existentes em sistemas inseridos no contexto do órgão. | 3 meses | 2º semestre | Segurança da Informação | ||
20 | Identificar ações administrativas, civis e criminais relativas à LGPD, quanto à jurisprudência. | Para identificar se a SETIC age de maneira que resulte em sanções administrativas, civis e criminais relativas à LGPD para que haja adequação conforme à LGPD. | 2 meses | 2º semestre | Publicidade e Conscientização | ||
21 | Softwares para auxiliar na conformidade LGPD. | Para armazenar Inventários de Dados Pessoais, avaliações de conformidade, Relatórios de Impacto etc. | 4 meses | 2º semestre | Administrativo | ||
22 | Elaborar procedimentos de LGPD para onboarding. | Para que os novos funcionários da SETIC estejam cientes do tratamento de dados pessoais pela LGPD | 1 mês | 2º semestre | Treinamento e desenvolvimento | ||
23 | Criar de plano de atendimento à solicitações da ANPD, baseado na resolução de fiscalização administrativo sancionador. | Para preparar a SETIC em caso de solicitações da ANPD | 2 meses | 2º semestre | Elaboração de instrumentais | ||
24 | Criar de procedimento para publicar o IDP, (conforme pergunta 16 do questionário). | Para dar publicidade a forma de tratamento de dados pessoais. | 1 mês | 2º semestre | Publicidade e Conscientização |
Vermelho: Conteúdo em edição.
1º Semestre
2º Semestre
Observações:
- O Plano de Ação está organizado por ordem de priorização, podendo haver a execução de ações simultâneas;
- Para mensurar o nível de maturidade será utilizado o questionário diagnóstico desenvolvido pela Secretaria de Governo Digital do Ministério da Economia, que será respondido bimestralmente.
Destacamos que este Plano é passível de alteração ao decorrer do ano.