Você está na página 1de 16

CLAUDIO HENRIQUE TALLACI PASCHOAL – RA T0424C2

KAROLINE FERREIRA RODRIGUES – RA T037BG3

ELABORAÇÃO DE UM RELATÓRIO TECNICO SOBRE VULNERABILIDADE E


PROTEÇÃO DE DADOS

Atividade prática supervisionada (APS)


referente ao curso de Sistemas de
Informação – 5° Semestre.

SÃO PAULO

2021
ÍNDIC

Objetivo.........................................................................................................................3

Introdução......................................................................................................................4

1. Identificação dos agentes de tratamento e do encarregado ...................................5

2. Necessidade de elaborar o relatório.........................................................................5

3. Descrição do Tratamento..........................................................................................6

3.1 Natureza do Tratamento 6


3.1.1 Tratamento dos dados 6
3.1.2 Fonte dos dados 7
3.1.3 Compartilhamento dos dados 7
3.1.4 Medidas de segurança 7
3.2 Escopo do tratamento 8
3.2.1 Tipos de dados 8
3.2.2 Volume de dados 8
3.2.3 Frequência de tratamento de dados 8
3.2.4 Retenção dos dados 9
3.2.5 Titulares afetados pelo tratamento de dados 9
3.3 Contexto do tratamento 9
3.3.1 Natureza do relacionamento com os cidadãos 9
3.3.2 Métodos de controle pelo cidadão 9
3.3.3 Tratamento de dados que envolvem crianças, adolescentes ou outro
grupo vulnerável 9
3.3.4 Tratamento de dados conforme determinação legal 9
3.4 Finalidade do tratamento 10
4. Partes interessadas consultadas 10
5. Necessidades e proporcionalidades 10
6. Identificação e avaliação de riscos 11
6.1 Categorias de riscos 11
6.2 Identificação dos riscos 12
6.3 Medidas de tratamento dos riscos 13
7. Aprovação15
OBJETIVO

Essa Atividade Pratica Supervisionada tem como objetivo compreender os princípios


da Lei Geral de Proteção de Dados (LGPD) dentro de uma empresa de
licenciamento ambiental (Ambi Licenciamentos) que presta serviço para inúmeras
organizações no mundo. Além de alertar sobre o uso correto da LGPD, orientando a
informar e solucionar fragilidades dentro do sistema, resultando em uma boa
Segurança da Informação e Proteção da Privacidade dos Dados Pessoais da
empresa.

3
INTRODUÇÃO

A LGPD, definida na Lei Nº 13.709 de agosto de 2018, discorre sobre como os


dados dos brasileiros devem ser coletados, tratados, armazenados e protegidos,
prevendo punições para descumprimento em casos de vazamentos, ou outras
irregularidades. As normas são baseadas na GDPR (General Data Protection
Regulation), um conjunto de regras específico da União Europeia.

No Brasil, a lei entrou em vigor dia 18 de setembro de 2020, representando um


passo importante para o Brasil. Com isso, passamos a fazer parte de um grupo de
países que contam com uma legislação própria para a proteção de dados de seus
cidadãos. Diante dos atuais casos de uso indevido, comercialização e exposição de
dados, é esperado que com a nova lei as empresas efetuem a capacitação dos seus
colaboradores, promovendo a propagação da cultura de Segurança da informação e
Proteção da Privacidade dos Dados, assim garantindo a privacidade dos brasileiros.

Atualmente, todas as empresas e prestadoras que trabalham com tratamento de


dados dos cidadãos brasileiros feita em território nacional. Por exemplo, Google,
Apple e Amazon seguem as indicações da LGPD.

Os vazamentos de dados serão analisados pela ANPD (Autoridade Nacional de


Proteção de Dados) e julgados conforme a gravidade de cada caso. As empresas e
prestadoras serão obrigadas a informar as falhas às autoridades e tomar
conhecimento delas, e não mais poderão esperar por consertar os vazamentos
antes de virem a público. As consequências variam de uma advertência a uma multa
simples de 2% sobre o faturamento anual, limitada a até R$ 50 milhões, ou uma
multa diária, cuja soma dos valores não pode ultrapassar o valor acima mencionado.

4
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS – RIPD

1 – IDENTIFICAÇÃO DOS AGENTES DE TRATAMENTO E DO ENCARREGADO

Controlador
Ambi Licenciamentos

Operador

Encarregado
Claudio Henrique Paschoal

E-mail do Encarregado Telefone Encarregado


Claudio.pasch@aluno.unip.br (11) 97386-7666

2 – NECESSIDADE DE ELABORAR O RELATÓRIO

A Política de Conformidade da Ambi Licenciamentos tem entre seus objetivos


assegurar que as atividades sejam conduzidas em conformidade com as normas
aplicáveis à Instituição, sob a coordenação do Departamento de Riscos Corporativos
e Referências Operacionais.

Portanto, de acordo com o art. 38, da Lei 13.709, de 14 de agosto de 2018, ou Lei
Geral de Proteção de Dados Pessoais (LGPD), a qualquer momento, a Autoridade
de Proteção de Dados Pessoais (ANPD) pode determinar a Ambi Licenciamentos
que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados
sensíveis. Surgindo, assim, a necessidade de se confeccionar este documento.

A empresa de licenciamentos ambientais, diariamente, realiza o tratamento de


dados pessoais que se relacionam a pessoa natural identificada ou identificável (art.
5º, I, LGPD). Existem também os dados pessoais sensíveis, que dizem respeito a
origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à

5
vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa
natural (art. 5º, II, LGPD).

Entretanto, apesar do elevado grau de maturidade da gestão de riscos da Ambi


Licenciamentos, não se pode garantir a eliminação total dos riscos que, em caso de
concretização, causariam impacto à privacidade dos dados pessoais existentes na
instituição.

3 – DESCRIÇÃO DO TRATAMENTO

A Política de Segurança da Informação Ambi Licenciamentos, pretende conter que


os riscos aos quais estão sujeitos os ativos de informação danifiquem as atividades
da empresa e a realização de seu compromisso organizacional.

Neste em que se refere exclusivamente às informações de caráter pessoal, os


sistemas de controle interno implantados na Ambi mudam de acordo com o tipo de
suporte (digital), bem como com a natureza da informação (comum ou sensível).

Neste passo são retratados os métodos de tratamento de dados pessoais (digitais)


que podem gerar riscos às liberdades civis e aos direitos fundamentais, envolvendo
a identificação de natureza, escopo, contexto e finalidade do tratamento.

3.1 – Natureza do Tratamento

São utilizados procedimentos técnicos e administrativos corretos a proteger todos os


dados pessoais de acessos restritos. A entrada às bases de dados é controlada por
uma rede com acesso restrito a determinados usuários.

3.1.1 – Tratamento dos Dados

A Ambi Licenciamentos possui muitas formas de tratamento dos dados pessoais,


considerando a definição da LGPD:

 Coletados

6
Todos os dados são coletados por meio de Sistemas de Informação, onde é captado
todos os dados inseridos pelos atendentes da empresa presencial e usuários que se
cadastram pelo site.

 Retidos / Armazenados

Os dados são mantidos via banco de dados (SQL Server) e arquivos (planilhas).

 Usados

Os dados são usados em processos de trabalho dos departamentos da Ambi


Licenciamentos por meio de Sistemas de informações.

 Eliminados

Os dados podem ser eliminados por meio de ações em sistemas de informação,


comandos SQL nos bancos de dados e exclusão de arquivos.

3.1.2 – Fonte dos dados

As formas de coleta de dados na Ambi Licenciamentos são via captações de


informações pelos atendimentos institucionais (presencial e telefônico) que são
armazenados arquivos de dados com informações pessoais pelo sistema de
informação implementado.

3.1.3 – Compartilhamento dos dados

O compartilhamento de dados pessoais ocorre com as instituições reguladas pelo


Ambi, apenas com autorização expressa ou presumida do titular. O envio de dados
com incidência de hipóteses de sigilo, da Ambi para outros órgãos, é realizado
geralmente por meio de arquivos.

3.1.4 – Medidas de Segurança

As medidas de segurança adotadas pela Ambi têm validade para qualquer tipo de
informação, no qual são definidas pela Política de Segurança da Informação.

 Transferência de Arquivos

Para a transferência de arquivos eletrônicos, para destinatários internos, com


informação sensível, devem ser utilizadas pastas compartilhadas localizadas em
7
servidor de arquivos sigilosos ou mensagem de e-mail com anexo criptografado,
com a senha do arquivo sendo transmitida por outro meio, como telefone, por
exemplo.

 Servidores de Arquivos

Os servidores de arquivos possuem áreas de armazenamento reservadas para cada


unidade. Os Gestores setoriais de segurança da informação de cada unidade são
responsáveis por conceder permissão de acesso às pastas e arquivos, observados
os princípios da necessidade de conhecer e do privilégio mínimo.

 Descarte de informações

O descarte de informações corporativas gravadas em qualquer mídia deverá ser


feito de maneira a impedir a sua recuperação.

3.2 – Escopo do tratamento

O escopo representa a abrangência do tratamento de dados. Os segmentos


seguintes mostram detalhes sobre a extensão do escopo para os dados digitais.

3.2.1 – Tipos de Dados

A Ambi Licenciamentos recebe dados de pessoas físicas, com as seguintes


informações: número do CPF; nome completo; data de nascimento; sexo; endereço
completo; telefone e nacionalidade. Esses dados são armazenados em um banco de
dados e copiados para outros ambientes diariamente para atender às necessidades
das unidades da empresa.

3.2.2 – Volume de Dados

Atualmente, a Ambi Licenciamentos possui aproximadamente 160 registros em seu


sistema. Os dados de pessoas físicas recebidos, que são armazenados em um
banco de dados, possuem aproximadamente 4 gigabytes.

3.2.3 - Frequência de Tratamento de Dados

8
A empresa recebe diariamente atualizações de dados cadastrais de pessoas físicas,
seja por demandas de registros de reclamação ou pedidos de informação no
atendimento ao cidadão.

3.2.4 – Retenção dos Dados

As informações presentes nas bases de dados e nos outros sistemas listados são
permanentes, pois a empresa pode precisar desses dados mesmo após a conclusão
do trabalho.

3.2.5 – Titulares afetados pelo Tratamento de Dados

Qualquer pessoa física ou jurídica, cliente ou usuários de serviços podem ser


afetados pelo tratamento de dados.

3.3 – Contexto do Tratamento

A Ambi trata os dados pessoais de acordo com os propósitos legítimos e específicos


de modo compatível com a sua finalidade, cujo caráter é de interesse público, e
objetiva executar as competências legais ou cumprir as atribuições legais do serviço
público.

3.3.1 - Natureza do relacionamento com os cidadãos

A empresa organiza e disponibiliza para o cidadão informações de seu pedido,


demonstrando em qual estágio do processo está, e relação de instituições que
mantêm relacionamentos.

3.3.2 Métodos de controle pelo cidadão

O cidadão pode consultar seus dados por meio de sistemas de informação ou


contatar a Ambi Licenciamentos pelos canais existentes (Telefone ou
presencialmente).

3.3.3 Tratamento de dados que envolvem crianças, adolescentes ou outro


grupo vulnerável

9
Esses grupos não podem realizar operações e manter relacionamento com as
instituições do sistema de licenciamento ambiental e, consequentemente, não
podem ter seus dados pessoais no sistema.

3.3.4 Tratamento de dados conforme determinação legal

O tratamento de dados é aquele previsto em regras públicas e comunicados


transparentes, com o objetivo de melhorar a qualidade das informações, detectar
inconsistências, corrigir falhas e fornecer subsídios à fiscalização quando detectadas
possíveis fraudes.

3.4 – Finalidade do Tratamento

A finalidade do tratamento dos dados relaciona-se ao cumprimento de obrigação


legal ou regulatória, assim como à execução de políticas públicas no âmbito da
atuação regulatória do SLA (Sistema de Licenciamentos Ambiental).

4 – PARTES INTERESSADAS CONSULTADAS

Na elaboração deste relatório, foram consultados todos os departamentos da Ambi


Licenciamentos. Em maio de 2021, a LGPD realizou uma avaliação de conformidade
com base nas melhores práticas de gestão de conformidade com base nos padrões
de método estabelecidos pela Gestão de Riscos. Até o momento, mais de 40
unidades organizacionais do realizaram 115 avaliações de conformidade LGPD.

5 – NECESSIDADES E PROPORCIONALIDADES

O processamento de dados é limitado ao mínimo necessário para cumprir o


propósito da notificação ao titular. Quando necessário, inclui dados proporcionais e
não excessivos relacionados à finalidade do processamento de dados.
Este processamento só é efetuado se for necessário e para cumprir as obrigações
legais e regulamentares, monitorizar o sistema financeiro, estudar e distribuir dados
estatísticos para cálculo e distribuição de indicadores agregados (sem consulta
individual)

10
Para garantir que os operadores executem o processamento de dados pessoais de
acordo com a LGPD e cumpram os padrões definidos pela agência, cada servidor ou
terceiro deve cumprir o código de conduta do servidor Ambi Licenciamentos. Além
disso, o sistema de informações possui logs e controle de acesso.

6 – IDENTIFICAÇÃO E AVALIAÇÃO DE RISCOS

Os riscos podem ser divididos em riscos: risco organizacional - risco operacional e


estratégico - e diferentes dimensões de impacto - como impacto financeiro, de
reputação e de negócios.
Dentre os tipos de riscos operacionais, destacamos os riscos de proteção de dados
e informações prestadas pela instituição, principalmente para os anos individuais.
Esse tipo de falésia pode ser descrito como um evento potencial que gera impacto
no ou titular de dados pessoais e no Ambi Licenciamentos.

6.1 - Categorias de riscos

Com a introdução do tema proteção de dados pessoais, a abordagem do Ambi


Licenciamentos para gestão do risco operacional passou por novas alterações,
incluindo uma nova taxonomia para identificar e mensurar os riscos específicos do
tema.

Classificação Valor

Baixo 5

Moderado 10

Alto 15

11
6.2 - Identificação dos riscos

Com base na abordagem de gestão de risco operacional usada para proteger dados
pessoais, a seguir estão exemplos iniciais de riscos identificados e medidos que não
são exaustivos:

· Vazamento intencional de dados pessoais;

· Alterar dados pessoais intencionalmente;

· Acesso inadequado a dados pessoais;

· Roubo de informações confidenciais;

· Divulgação não autorizada de documentos e dados pessoais contidos em


documentos;

· Violação não autorizada das normas de sigilo bancário;

· Hackear o sistema que coleta dados pessoais;

· Hackear o site da Ambi Licenciamentos.

Em todos os processos de Ambi Licenciamentos envolvendo armazenamento de


dados pessoais, uma avaliação abrangente desse tipo específico de risco é

12
planejada.

Nível
de
Id Risco referente ao tratamento de dad30os pessoais P I
Risco
(P x I)
R01 Acesso não autorizado. 10 15 150
R02 Modificação não autorizada. 10 15 100
R03 Perda. 10 15 75
R04 Roubo. 5 15 75
R05 Remoção não autorizada. 10 15 100
R06 Coleção excessiva. 10 10 100
R07 Compartilhar ou distribuir dados pessoais com terceiros sem o
10 15 150
consentimento do titular dos dados pessoais.
R08 Retenção prolongada de dados pessoais sem necessidade. 10 5 50
R09 Vinculação/associação indevida, direta ou indireta, dos dados
5 15 75
pessoais ao titular.
R10 Falha/erro de processamento (Ex.: execução de script de banco de
dados que atualiza dado pessoal com dado equivocado, ausência de 5 15 75
validação dos dados de entrada, etc.).
R11 Reidentificação de dados pseudonimizados. 5 15 75

6.3 - Medidas de tratamento dos riscos

O manuseio é imperfeito ou incorreto. Por exemplo: execute um script de banco de


dados, o script de banco de dados atualizará os dados pessoais com mensagens de
erro, falta de verificação dos dados de entrada etc. Violação dos princípios de
qualidade de dados

A aplicação da metodologia de identificação e avaliação dos riscos permite


classificá-los de acordo com critérios de priorização. Assim, após a validação do
tratamento pela alta administração, as ações necessárias para mitigar os riscos são
formalizadas pelos departamentos em Planos de Mitigação de Riscos (PMR). A
elaboração desses PMR, quando os planos forem necessários, cabe à unidade do
Ambi Licenciamentos responsável pelo processo na cadeia de valor. Dessa forma,
vários planos de mitigação estão em andamento com o objetivo de reduzir a
probabilidade de ocorrência e/ou os impactos dos riscos mapeados. A condução
13
desses planos possui suporte organizacional, em termos de recursos, e apoio da
alta administração

Risco Residual Medida(s


Efeito sobre Nível )
Risco Medida(s)
o Risco P I (P x Aprovad
I) a(s)

1. CONTROLE DE
ACESSO LÓGICO
R01 Acesso não 2.DESENVOLVIMENTO
REDUZIR 5 10 50 SIM
autorizado. SEGURO
3.SEGURANÇA EM
REDES

1. APLICAÇÃO DE
R02 Modificação não CONTROLE DE REDUZIR 5 5 25 SIM
autorizada. VERSÕES PARA
REVERTER
DOCUMENTOS PARA
VERSÕES ANTERIORES
1. UTILIZAÇÂO DE
ARMAZENAMENTO EM
NUVEM

R03 Perda 2. SEGURANÇA DE REDUZIR 5 5 25 SIM


DADOS
3. BACKUPS
FREQUENTES
1. CONTROLE DE
ACESSO LÓGICO

2.CONTROLES REDUZIR 5 5 25 SIM


R04 Roubo.
CRIPTOGRÁFICOS
3. PROTEÇÃO FÍSICA E
DO AMBIENTE
R05 Remoção não 1. CONTROLE DE
autorizada. ACESSO LÓGICO 5 10 50 SIM
REDUZIR
2. PROTEÇÃO FÍSICA E
DO AMBIENTE
R06 Coleção excessiva. 1. LIMITAÇÃO DE 5 10 50 SIM
REDUZIR
COLETA.
R07 Compartilhar ou 1.IMPLEMENTAÇÃO DE REDUZIR
distribuir dados VERIFICAÇÃO EM DUAS
pessoais com terceiros ETAPAS
5 10 50 SIM
sem o consentimento do

14
titular dos dados.
R08 Retenção 1. IMPLEMENTAR UM
prolongada de dados SISTEMA DE
REDUZIR
pessoais sem CRIPTOGRAFIA DENTRO
5 5 25 sim
necessidade. DO BANCO DE DADOS
R10 Falha/erro de 1. CONTROLE DE
processamento ACESSO LÓGICO
REDUZIR
2. PROTEÇÃO FÍSICA E 5 5 25 sim
DO AMBIENTE
R11 Reidentificação de 1. UTILIZAÇÃO DA
dados VERIFICAÇÃO EM DUAS 5 10 50 SIM
REDUZIR
pseudonimizados. ETAPAS PARA A
ALTERAÇÃO DE DADOS

7 – APROVAÇÃO

RESPONSÁVEL PELA ELABORAÇÃO DO


ENCARREGADO
RELATÓRIO DE IMPACTO

_____________________________ ______________________________
<Nome do responsável> <Nome do encarregado>
Matrícula/SIAPE: xxxxx Matrícula/SIAPE: xxxxx
<Local>, <dia> de <mês> de <ano> <Local>, <dia> de <mês> de <ano>

AUTORIDADE REPRESENTANTE AUTORIDADE REPRESENTANTE


DO CONTROLADOR DO OPERADOR

_____________________________ ______________________________
<Nome do representante> <Nome do representante>
Matrícula/SIAPE: xxxxx Matrícula/SIAPE: xxxxx
<Local>, <dia> de <mês> de <ano> <Local>, <dia> de <mês> de <ano>

15
16