Oficina IDP

Inventário de Dados Pessoais
Oficina LGPD
Oficina Dirigida
Secretaria de Governo Digital
outubro/2020
Lei Geral de Proteção de Dados – Lei 13.709/18

Oficina LGPD
Estratégia de Governo Digital 2020-2022 / Um Governo Confiável
Objetivo 10: Implementação da Lei Geral de Proteção de Dados - LGPD no Governo
Iniciativa 10.1: Estabelecer método de adequação e conformidade dos órgãos com os requisitos da Lei Geral de Proteção de Dados, até 2020
PROJETO ADEQUAÇÃO À LGPD
Objetivo: Definir e implementar estratégia para atuar preventivamente nas frentes de

segurança da informação e privacidade de dados, com o intuito de fomentar a cultura de
proteção de dados, implementando ações que visam avançar no processo de adequação à
LGPD, minimizando os riscos.
2
Oficina LGPD
Objetivo da Oficina
Realizar levantamento e registro dos dados pessoais

tratados no âmbito institucional com base nas
orientações do Guia de Elaboração de Inventário de
Dados Pessoais elaborado pela Secretaria de
Governo Digital do Ministério da Economia.
3
Oficina LGPD
Agenda da Oficina
1 ▪ O que é?
▪ Estruturação
Como elaborar o Inventário de Dados Pessoais

2 ▪ Etapas Elaboração
Listagem Geral
3 ▪ Lista geral do inventário dos serviços/processos de negócio
que tratam dados pessoais
4
Oficina LGPD
Material da Oficina
• Planilha – Inventário de Dados Pessoais

Template <https://www.gov.br/governodigital/pt-br/governanca-de-
dados/TemplateInventariodadospessoais.xlsx>
Estudo de • Programa de Localização de Desaparecidos

<https://www.gov.br/governodigital/pt-br/governanca-de-
Caso dados/arquivos/EstudodeCasoPLDOficinaIDP.pdf>
5
Oficina LGPD
Inventário de
Dados Pessoais
1 ▪ O que é?
▪ Estruturação
6
Oficina LGPD
O que é?
O Inventário de Dados Pessoais – IDP consiste no registro das
operações de tratamento dos dados pessoais realizados pela
instituição (LGPD, art. 37).
Descreve informações como, por exemplo:
Agentes de tratamento Encarregado

(Controlador e Operador)
Finalidade Hipótese (art. 7º e 11) e previsão legal

(O que a instituição faz com o dado pessoal)
Dados pessoais tratados e Tempo de retenção

Categorias dos titulares dos dados pessoais
Compartilhamento dados pessoais Transferência internacional
7
Oficina LGPD
Papéis na elaboração do IDP
ENCARREGADO ÁREA DE TI ÁREA DE NEGÓCIO

▪ Finalidade, hipótese e
Identificação: previsão legal;
▪ dos dados pessoais ▪ Categorias dos Titulares de
Apoia na definição de
tratados pelos sistemas e dados pessoais; tempo
diretrizes e no template
aplicativos; e retenção;
de elaboração do IDP.
▪ das medidas de ▪ Compartilhamento de
segurança adotadas para dados pessoais e
proteção dos dados transferência internacional;
pessoais. ▪ Dados pessoais mantidos
em documentos em papel
ou eletrônicos.
8
Oficina LGPD
Estruturação
A estrutura do IDP é inspirado nos

modelos propostos por três autoridades
França
de proteção de dados europeias.
Inglaterra
Bélgica
9
Oficina LGPD
Estruturação
O inventário foi estruturado em formato de planilha eletrônica, disponível no link
<https://www.gov.br/governodigital/pt-br/governanca-de-dados/TemplateInventariodadospessoais.xlsx>
A planilha eletrônica que representa o template do IDP é composta por 4 divisões
denominadas:
1-Orientações Orientações gerais sobre preenchimento do template.
Lista geral dos serviços/processos de negócio institucionais que

2-Lista Inventário realizam o tratamento de dados pessoais.
Modelo de inventário de dados pessoais a ser elaborada para cada

3-Template serviço/processo de negócio da instituição.
Apresenta uma sugestão de informações para preenchimento do

4-Listas inventário de dados com valores padronizados. A lista não é exaustiva
e por isso pode ser ajustada de acordo com a realidade de cada
instituição. 10
Oficina LGPD
O modelo do Inventário de Dados Pessoais
Sugestão
Auxiliar os órgãos e
entidades, que
exercem papel de Adaptável Governança de dados já estruturada
controlador de dados Pode ser adaptado
pessoais. para se adequar a A LGPD não proíbe de combinar e incorporar a
cada contexto documentação de suas atividades de tratamento de
particular. dados pessoais com as práticas existentes de
inventário de dados. Mas deve-se ter cuidado para
garantir que pode cumprir os requisitos do art. 37 da
LGPD, se necessário, ajustando sua estrutura de
governança de dados para inventariar os dados
pessoais.
Não obrigatório
A instituição pode
utilizar outros
modelos até pacotes
de software
especializados.
11
Oficina LGPD
Como elaborar
2 o Inventário de
Dados Pessoais
12
Oficina LGPD
Fases de elaboração do IDP
Legenda das fases:

Elementos mínimos.
Levantamento complementar
para o RIPD.
Contratações a serem avaliadas

na análise de adequação
contratual.
13
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
14
Oficina LGPD
Fase: 1. Identificação do serviço/processo
O modelo de IDP adota a estratégia de inventariar os dados pessoais por serviço

e/ou processo de negócio realizado pelo órgão ou entidade.
1 - Identificação dos serviços / processo de negócio de tratamento de dados pessoais

1.1 - Nome do serviço / Processo de negócio
1.2 - Nº Referência / ID
1.3 - Data de Criação do Inventário
1.4 - Data Atualização do Inventário
Os dados pessoais de todos os serviços/processos

de negócios devem ser inventariados, mesmo os
serviços que, porventura, não são digitais.
15
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
16
Oficina LGPD
Fase: 2. Identificação dos agentes de tratamento e encarregado
Esta fase envolve identificar os agentes de tratamento (controlador e operador) e o

encarregado no IDP (art. 5º da LGPD), destacando nome, endereço, CEP, telefone
e e-mail.
Nome Endereço CEP Telefone E-mail

2 - Agentes de Tratamento e Encarregado
2.1 - Controlador
2.2 - Encarregado
2.3 - Operador
Explicações sobre controlador, operador e encarregado podem ser conferidas na

seção 1.1 do Guia de Boas Práticas LGPD.
17
Oficina LGPD
Guia de Boas Práticas LGPD

OBJETIVO
Fornecer orientações básicas às instituições
1 públicas no sentido de nortear as operações
de tratamento de dados pessoais em
observância aos requisitos previstos pela
LGPD.
ELABORAÇÃO
2 Comitê Central de
Governança de Dados - CCGD
Decreto nº 10.046, de 09/10/2019.
PUBLICAÇÃO
3 Abril de 2020
Revisões trimestrais
DISPONÍVEL EM:
4
https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd 18
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
19
Oficina LGPD
Fase: 3. Atuação do operador no ciclo de vida do tratamento do dado pessoal

O ciclo de vida do tratamento do dado pessoal envolve as fases de: coleta,
retenção, processamento, compartilhamento e eliminação.
3 - Fases do Ciclo de Vida do Tratamento
Coleta Retenção Processamento Compartilhamento Eliminação
Dados Pessoais
3.1 - Em qual fase do ciclo de vida o

Operador atua
✓ Constatar em que fase do ciclo de ✓ Esta fase do IDP subsidiará um dos

vida do tratamento do dado pessoal o elementos que compõem a descrição
operador é essencial para compreensão da natureza do tratamento no Relatório
de quais operações de tratamento são de Impacto de Proteção à Dados
realizadas por ele e quais ativos Pessoais - RIPD (Seção 2.5, Guia de
organizacionais estão envolvidos nesse Boas Práticas LGPD), no que tange
tratamento (Capítulo 3, Guia de Boas ao papel do operador em relação ao
Práticas LGPD). tratamento do dado pessoal.
20
Oficina LGPD
Qualquer operação que envolva Qualquer operação que visa apagar ou

Obtenção, recepção ou produção de dados classificação, utilização, reprodução, pro- eliminar dados pessoais. Esta fase também
pessoais independente do meio utilizado cessamento, avaliação ou controle da contempla descarte dos ativos
(documento em papel, documento informação, extração e modificação de organizacionais nos casos necessários ao
eletrônico, sistema de informação, etc.). dados pessoais. negócio da instituição.
Comparti-
Coleta Retenção Processamento Eliminação
lhamento
Ciclo de vida do tratamento dos dados pessoais
Arquivamento ou armazenamento de dados Qualquer operação que envolva

pessoais independente do meio utilizado transmissão, distribuição, comunicação,
(documento em papel, documento transferência, difusão e compartilhamento
eletrônico, banco de dados, arquivo de aço, de dados pessoais.
etc.).
Mais detalhes consulte o Capítulo 3 do Guia de Boas Práticas LGPD
21
Oficina LGPD

Fases do Ciclo de Vida
Ativos Organizacionais
22
Oficina LGPD

Qualquer operação que envolva operações referentes ao ato
de decidir quais documentos devem ser eliminados (mediante
autorização, conforme legislação vigente), bem como quais
Operações referentes à elaboração de documentos devem ser mantidos por razões administrativas,
documentos em razão da execução das legais ou fiscais. Para tal, envolve as atividades de análise,
atividades de um órgão ou entidade. seleção e fixação de prazos de guarda dos documentos.
Eliminação
Produção Utilização Destinação Final
Guarda
Permanente
Ciclo de vida dos documentos de arquivos (Arquivo Nacional)
Operações referentes ao fluxo percorrido

pelos documentos para o cumprimento de
sua função administrativa, assim como de
sua guarda, após cessar o seu trâmite.
Mais detalhes consulte o Capítulo 3 do Guia de Boas Práticas LGPD (versão 2)
23
Oficina LGPD
O Tratamento de Dados
1 Pessoais no Setor
Público.
O Ciclo de Vida dos Dados

2 Pessoais.
Medidas de Segurança no
3 Tratamento dos Dados
Pessoais.
Relatório de Impacto à Proteção

4 de Dados Pessoais.
https://www.escolavirtual.gov.br/curso/290 24
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
25
Oficina LGPD
Fase: 4. Fluxo do Tratamento dos dados pessoais

Descrever como (de que forma) os dados pessoais são coletados,
retidos/armazenados, processados/usados e eliminados.
4 - De que forma (como) os dados pessoais são coletados, retidos/armazenados, processados/usados, compartilhados e eliminados
4.1 - Descrição do Fluxo do tratamento dos

dados pessoais
A instituição pode:
Desenhar o fluxo, se
Descrever o fluxo e/ou
considerar mais conveniente.
26
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
27
Oficina LGPD
Fase: 5. Escopo e Natureza dos dados pessoais

Esta fase contempla identificar dois elementos relevantes do escopo e natureza
dos dados pessoais tratados a serem futuramente descritos no RIPD (Seção 2.5,
Guia de Boas Práticas LGPD).
5 - Escopo e Natureza dos Dados Pessoais
5.1 - Abrangência da área geográfica do

tratamento
5.2 - Fonte de dados utilizada para obtenção
dos dados pessoais
Representa o Titular do Dado

alcance geográfico Fonte de Obtenção
Abrangência do tratamento de Dados Pessoais XML
dados realizado:
API, etc.
nacional, estadual,
distrital, municipal
ou regional.
28
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
29
Oficina LGPD
Fase: 6. Finalidade do Tratamento dos dados pessoais

Identificação de três aspectos fundamentais para respaldar o tratamento dos dados
pessoais: a hipótese (arts. 7º e 11) da LGPD, a especificação da finalidade e a previsão
legal.
Detalhes sobre base legal e hipótese de tratamento ver seções 1.1 e 2.1 do Guia de Boas
Práticas LGPD.
6 - Finalidade do Tratamento de Dados Pessoais
6.1 - Hipótese de Tratamento

6.2 - Finalidade
6.3 - Previsão legal
6.4 - Resultados pretendidos para o titular de
dados
6.5 - Benefícios esperados para o órgão,
entidade ou para a sociedade como um todo
Abrangência Fonte de Obtenção
Dados Pessoais
Os órgãos e entidades da administração pública tem a prerrogativa de tratar os

dados pessoais para o exercício de suas competências legais ou execução de
políticas públicas sem a necessidade de obter consentimento do titular dos dados
pessoais. 30
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
31
Oficina LGPD
Fase: 7. Categorias de dados pessoais

Identificar quais são os dados pessoais tratados pelo órgão ou entidade representa o
objetivo central do IDP. Inventariar os dados pessoais utilizados pela instituição
possibilitará avaliar se todos os dados pessoais usados são realmente necessários e
adequados para realização de suas finalidades (LGPD, art. 6º, III).
7 - Categoria de Dados Pessoais
Fonte
7.1 -Dados de Identificação Pessoal Descrição Tempo Retenção dos Dados Nome Base de Dados
Retenção
7.1.1 - Informações de identificação
pessoal
7.1.2 - Informações de identificação
atribuídas por instituições
governamentais
7.1.3 - Dados de identificação
eletrônica
7.1.4 - Dados de localização
eletrônica Dados Pessoais
O template do IDP elenca uma lista exemplificativa e não exaustiva de 15 categorias

de dados pessoais com suas respectivas subcategorias, para as quais devem ser
especificamente descritos os dados pessoais tratados.
32
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
33
Oficina LGPD
Fase: 8. Categorias de dados pessoais sensíveis
Descrever se são tratados os dados sensíveis descritos pelo art. 5º, II da LGPD.
8 - Categorias de Dados Pessoais Fonte
Descrição Tempo Retenção dos Dados Nome Base de Dados
Sensíveis Retenção
8.1 - Dados que revelam origem
racial ou ética
8.2 - Dados que revelam convicção
religiosa
8.3 - Dados que revelam opinião
política
8.4 - Dados que revelam filiação a
sindicato
8.5 - Dados que revelam filiação a
organização de caráter religioso
8.6 - Dados que revelam filiação ou
crença filosófica
8.7 - Dados que revelam filiação ou
preferências política
8.8 - Dados referentes à saúde ou à
Abrangência vida sexual Fonte de Obtenção
Dados Pessoais
8.9 - Dados genéticos
8.10 - Dados biométricos
Art. 5º Para os fins desta Lei, considera-se:
A seção 2.1.3 do Guia de Boas
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião
Práticas LGPD aborda o
política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à
tratamento de dados pessoais
saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
sensíveis. 34
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
35
Oficina LGPD
Fase: 9. Frequência e totalização das categorias de dados pessoais tratados

A frequência e totalização das categorias de dados pessoais tratados pelo serviço /
processo de negócio fornecerão subsídio para o escopo do tratamento de dados pessoais
a serem descritos no RIPD.
9 - Frequência e totalização das categorias de dados pessoais tratados
9.1 - Frequência de tratamento dos dados

pessoais
9.2 - Quantidade de dados pessoais e dados
pessoais sensíveis tratados
✓ Representa a disponibilidade/horário de funcionamento do sistema

Frequência 24x7
automatizado ou processo manual que trata os dados pessoais.
Abrangência
✓ Visão quantitativa do número de dados pessoais e dados pessoais

sensíveis tratados.
Quantidade ✓ Quantos mais dados pessoais são tratados maior será o potencial impacto
aos titulares dos dados pessoais em caso, por exemplo, de vazamentos.
36
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
37
Oficina LGPD
Fase: 10. Categorias de titulares de dados pessoais
Identificar quais são as categorias (tipos) de titulares a quem pertencem os dados
pessoais e se são tratados dados pessoais de crianças/adolescentes, bem como de outro
grupo vulnerável.
10 - Categorias dos titulares de dados
Tipo de Categoria Descrição
pessoais
10.1 - Categoria 1
10.2 - Categoria 2
10.3 - Trata dados de crianças e adolescentes
10.4 - Além de crianças e adolescente trata
dados de outro grupo vulnerável
Categorias dos Crianças e Grupo

Titulares
Abrangência
Adolescentes Vulnerável
Categorias (tipos) de titulares a quem O órgão ou entidade analisar se são Idosos, população em condição de rua,
pertencem os dados pessoais atendidas as determinações do art. 14 da pessoas com deficiência física ou
LGPD. Mais informações: seção 2.1.4 do sofrimento mental etc.
Guia de Boas Práticas LGPD.
38
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
39
Oficina LGPD
Fase: 11. Compartilhamento de dados pessoais
Informar com quais instituições os dados pessoais são compartilhados e para qual
finalidade.
11 - Compartilhamento de Dados Pessoais Dados pessoais compartilhados Finalidade do compartilhamento
11.1 - Nome da Instituição 1

✓ Dados pessoais e dados pessoais sensíveis compartilhados com as

Dados pessoais instituições destinatárias dos dados. Utilizar, no que couber, as informações
Compartilhados descritas nas fase "7. Categorias de Dados Pessoais" e "8. Categorias de
Dados Pessoais Sensíveis“.
✓ Atentar que a finalidade doDados
compartilhamento
Pessoais deve ser compatível com a
Finalidade finalidade que embasou o tratamento do dado pessoal descrita na fase “6.
Compartilha- Finalidade do Tratamento dos dados pessoais”.
mento ✓ Se existir incompatibilidade, então esse é um ponto de atenção a ser
tratado pela instituição no sentido de existir uma adequação da finalidade
do compartilhamento ou sua interrupção. 40
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
41
Oficina LGPD
Fase: 12. Medidas de Segurança/Privacidade
Identificar as atuais medidas de segurança, técnicas e administrativas implementadas e a
descrição dos controles que visam assegurar a integridade dos dados pessoais
12 - Medidas de Segurança/Privacidade Tipo de medida de segurança e privacidade Descrição do(s) Controle(s)
12.1 - Medida de Segurança/Privacidade 1
Tipo de medida Os tipos de medidas de segurança da já estão previamente definidas na guia

de segurança e “4-Listas” da planilha eletrônica do IDP, mas podem ser alterados e
privacidade ajustados de acordo com o contexto da instituição.
Dados Pessoais
Descrição do(s) controle(s) específico(s) adotado(s) para a medida de

Controle(s) segurança/privacidade.
42
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
43
Oficina LGPD
Fase: 13. Transferência internacional de dados pessoais

Destacar as organizações internacionais que recebem dados pessoais por meio de
qualquer tipo de transferência ou meio compartilhamento.
13 - Transferência Internacional de Dados Tipo de garantia para
País Dados pessoais transferidos
Pessoais transferência
13.1 - Organização 1
Dados
Organização e Tipo
Pessoais
País
Abrangência de Garantia
Transferidos
Nome da organização e país que recebe o Dados pessoais e dados pessoais sensíveis Os tipos de garantia da art. 33 da LGPD
dado pessoal por transferência compartilhados com as instituições já estão previamente definidos na
internacional. destinatárias dos dados. Utilizar, no que divisão “4-Listas” da planilha eletrônica
couber, as informações descritas nas fase "7. do IDP, mas podem ser alterados e
Categorias de Dados Pessoais" e "8. ajustados de acordo com o contexto da
Categorias de Dados Pessoais Sensíveis“. instituição. 44
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
45
Oficina LGPD
Fase: 14. Contrato(s)

Identificar as contratações de serviços ou soluções de TI que realizam algum tipo de
operação de tratamento com os dados pessoais do serviço/processo de negócio.
14 - Contrato(s) de serviços e/ou
soluções de TI que trata(m) dados Nº Processo E-mail do Gestor do
Objeto
pessoais do serviço/processo de Contratação Contrato
negócio
14.1 - Contrato nº 1
14.2 - Contrato nº 2
Contrato e
Gestor do
Processo de Objeto
Abrangência Contrato
Contratação
Número de identificação do contrato e do Especificação do objeto descrita no Identificação do e-mail institucional do

processo de contratação de serviço ou contrato. gestor responsável pelo contrato.
solução de TI que realiza algum tipo de
operação de tratamento com os dados
pessoais elencados no inventário.
46
Oficina LGPD
Legenda das fases:

Elementos mínimos.
para o RIPD.

contratual.
47
Oficina LGPD
Fase: 15. Manter atualização

O IDP não termina com a conclusão de sua elaboração. As informações documentadas no
inventário devem sempre refletir a situação atual do tratamento de dados pessoais do
serviço/processo de negócio. Ele é um documento “vivo” que é atualizado quando necessário.
Contrato e
Gestor do
Processo de Objeto
Abrangência Contrato
Contratação
48
Oficina LGPD
Inventário de Dados Pessoais, RIPD e Conformidade
O IDP consiste no registro das operações de tratamento dos dados pessoais

realizados pela instituição, ele proporciona uma espécie de “fotografia” do atual
cenário do tratamento de dados pessoais do serviço/processo de negócio.
As informações contidas no IDP fornecem subsídios para a elaboração do RIPD,

o qual é um instrumento fundamental para avaliação da conformidade do
tratamento de dados pessoais em relação à LGPD, bem como de análise do
Contrato e
controlador com relação a medidas, salvaguardas e mecanismos de mitigação de
Processo de Gestor do
riscos
Abrangência
Contratação
adotados. Objeto
Contrato
Se no momento da instituição finalizar a elaboração do IDP identifique, por
exemplo, a necessidade de minimização dos dados pessoais tratados ou
incompatibilidades de adequação à finalidade do tratamento de dados, não
há objeções, caso opte por sanar imediatamente no serviço/processo de
negócio essas não conformidades antes da elaboração do RIPD. Todavia,
após realizar tal ação é indicado que seja gerado nova versão do IDP, refletindo o
novo cenário de tratamento de dados pessoais. 49
Oficina LGPD
Listagem geral dos

serviços/processos
3 de negócio que
processam dados
pessoais
50
Oficina LGPD
Listagem geral – Identificação do Controlador e Encarregado

Identificar o controlador e o encarregado (incisos VI e VII do art. 5º da LGPD), destacando
nome, e-mail, endereço, CEP, cidade e telefone.
Nome: E-mail: Endereço:
Controlador
CEP: Cidade: Telefone:
Nome: E-mail: Endereço:

Encarregado
CEP: Cidade: Telefone:
Tipo de medida
de segurança e
✓ privacidade
Diferentemente das informações constantes da fase 2 do IDP, na listagem geral não consta a
Fonte de Obtenção
identificação
Abrangência do operador porque pode ocorrer de existir mais de um operador atuando em cada
Dados Pessoais
serviço/processo de negócio que trata dados pessoais.
✓ Contudo, se a instituição considerar importante constar a informação do operador na
Controle(s)
listagem geral, então realize esse ou qualquer outro ajuste no modelo da listagem, de
acordo com o mais indicado para sua realidade institucional.
51
Oficina LGPD
Listagem geral dos serviços e processos de negócio

Lista geral dos serviços / processos de negócio com dados pessoais inventariados.
Data de
Nome do Data de Trata Dados
Atualização
serviço/processo de Nº Ref / ID Criação do Finalidade do tratamento dos dados pessoais Pessoais
do
negócio Inventário Sensíveis?
Inventário
Correspondência entre Listagem Geral e Inventário de Dados Pessoais

Tipo deGeral
Listagem medida
- Guia “2-Lista Inventario” Inventário de Dados Pessoais - Guia “3-Template”
de segurança
Nome e de negócio
do serviço/processo Seção 1 – item 1.1
Nº Ref / ID
privacidade Seção 1 – item 1.2
Data de Criação do Inventário Seção 1 – item Fonte
1.3 de Obtenção
Abrangência
Data de Atualização do Inventário Seção 1 – item 1.4
Dados Pessoais
Finalidade do tratamento dos dados pessoais Seção 6 – item 6.2
Trata Dados Pessoais Sensíveis? Seção 8 – Itens 8.1 até 8.10
Preencher com Sim: se existir pelo menos uma informação de dado sensível
Controle(s) estiver preenchida em qualquer das subcategorias do item 8.
Preencher com Não: se nenhuma informação de dado sensível estiver
preenchida nas subcategorias da seção 8.
52
Oficina LGPD
Guia de Inventário de Dados Pessoais

OBJETIVO
Apresentar orientações com o intuito de
1 auxiliar os órgãos e entidades da
Administração Pública Federal, direta,
autárquica e fundacional a realizar o
levantamento e registro dos dados pessoais
tratados no âmbito institucional.
ELABORAÇÃO
2 Coordenação-Geral de Segurança da
Informação da Secretaria de Governo Digital
– CGSIN/SGD.
PUBLICAÇÃO
3 Última atualização: Setembro de 2020.
DISPONÍVEL EM:
4
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaInventarioDadosPessoais.pdf 53
Oficina LGPD
Contato
cgsin@economia.gov.br
MINISTÉRIO DA
ECONOMIA
Secretaria de
Governo Digital

Oficina IDP

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Oficina IDP

Enviado por

Direitos autorais:

Formatos disponíveis

Inventário de Dados Pessoais

Lei Geral de Proteção de Dados – Lei 13.709/18

PROJETO ADEQUAÇÃO À LGPD

Objetivo: Definir e implementar estratégia para atuar preventivamente nas frentes de

Realizar levantamento e registro dos dados pessoais

Como elaborar o Inventário de Dados Pessoais

• Planilha – Inventário de Dados Pessoais

Estudo de • Programa de Localização de Desaparecidos

Agentes de tratamento Encarregado

Finalidade Hipótese (art. 7º e 11) e previsão legal

Dados pessoais tratados e Tempo de retenção

Compartilhamento dados pessoais Transferência internacional

Papéis na elaboração do IDP

ENCARREGADO ÁREA DE TI ÁREA DE NEGÓCIO

A estrutura do IDP é inspirado nos

1-Orientações Orientações gerais sobre preenchimento do template.

Lista geral dos serviços/processos de negócio institucionais que

Modelo de inventário de dados pessoais a ser elaborada para cada

Apresenta uma sugestão de informações para preenchimento do

O modelo do Inventário de Dados Pessoais

Fases de elaboração do IDP

Legenda das fases:

Contratações a serem avaliadas

Fases de elaboração do IDP

Legenda das fases:

Contratações a serem avaliadas

Fase: 1. Identificação do serviço/processo

O modelo de IDP adota a estratégia de inventariar os dados pessoais por serviço

1 - Identificação dos serviços / processo de negócio de tratamento de dados pessoais

1.3 - Data de Criação do Inventário

1.4 - Data Atualização do Inventário

Os dados pessoais de todos os serviços/processos

Fases de elaboração do IDP

Legenda das fases:

Contratações a serem avaliadas

Fase: 2. Identificação dos agentes de tratamento e encarregado

Esta fase envolve identificar os agentes de tratamento (controlador e operador) e o

Nome Endereço CEP Telefone E-mail

Explicações sobre controlador, operador e encarregado podem ser conferidas na

Guia de Boas Práticas LGPD

Fases de elaboração do IDP

Legenda das fases:

Contratações a serem avaliadas

Fase: 3. Atuação do operador no ciclo de vida do tratamento do dado pessoal

3.1 - Em qual fase do ciclo de vida o

✓ Constatar em que fase do ciclo de ✓ Esta fase do IDP subsidiará um dos

Fase: 3. Atuação do operador no ciclo de vida do tratamento do dado pessoal

Qualquer operação que envolva Qualquer operação que visa apagar ou

Ciclo de vida do tratamento dos dados pessoais

Arquivamento ou armazenamento de dados Qualquer operação que envolva

Mais detalhes consulte o Capítulo 3 do Guia de Boas Práticas LGPD

Fase: 3. Atuação do operador no ciclo de vida do tratamento do dado pessoal

Fase: 3. Atuação do operador no ciclo de vida do tratamento do dado pessoal

Operações referentes ao fluxo percorrido

Mais detalhes consulte o Capítulo 3 do Guia de Boas Práticas LGPD (versão 2)

Fase: 3. Atuação do operador no ciclo de vida do tratamento do dado pessoal

O Ciclo de Vida dos Dados

Relatório de Impacto à Proteção

Fases de elaboração do IDP

Legenda das fases:

Contratações a serem avaliadas

Fase: 4. Fluxo do Tratamento dos dados pessoais

4.1 - Descrição do Fluxo do tratamento dos