Escolar Documentos
Profissional Documentos
Cultura Documentos
o que muda
com a lei e como
a RNP irá apoiar
na adequação
de instituições
de ensino e
pesquisa do país
03 introdução
05 O que é um
dado pessoal?
07 Os fundamentos
e princípios da LGPD
10 O que muda
com a lei?
14 Como se adequar
à LGPD?
20 Precisa de ajuda
para se adequar?
Como essas informações são coletadas, tratadas e 03
Introdução armazenadas? Com quem elas são compartilhadas?
Como a proteção dessas informações é realizada para
04
garantir a sua privacidade? Ao passar um dado pessoal seu, 05
07
você teve ciência da real necessidade de disponibilizá-la
Você já parou para e o que seria feito com aquele dado? Aliás, antes disso,
introdução
os benefícios para os titulares dos dados, os impactos para
as instituições que realizam o seu tratamento e o método de
adequação adotado pela RNP. Aproveite a leitura!
03
Afinal, 04
o que é 05
e para que 07
10
serve a LGPD?
14
Todos os dias, milhões de empresas
e instituições, públicas e privadas, captam
20
e tratam dados pessoais de seus clientes,
um dado pessoal.
1 2
04
A lei ainda Finalidade Adequação
Quando um cidadão autoriza Os dados pessoais tratados 05
prevê que o
07
o uso dos seus dados, a precisam ser compatíveis
organização que os detém com as finalidades informadas
tratamento
deve ter propósitos legítimos, pela instituição ao titular
específicos, explícitos e que a concedeu. Por exemplo,
informados ao titular. Além não há justificativas claras
10
de dados disso, essas informações não para que uma instituição de
podem ser tratadas com outros tecnologia solicite dados sobre
14
pessoais deve fins posteriormente. a origem racial ou convicção
religiosa de alguém.
20
considerar
3 4
5 6 7
04
Qualidade Transparência Segurança
dos dados As empresas precisam garantir aos As instituições devem utilizar 05
07
titulares informações claras, precisas medidas técnicas e administrativas
As instituições precisam garantir
e de fácil acesso sobre o tratamento para proteger os dados pessoais
aos donos dos dados tratados
de seus dados. Também informar de acessos não autorizados, como
que essas informações são
invasões por hackers, bem como
10
ao titular se compartilharem as
exatas, claras, relevantes e
informações pessoais tratadas, situações acidentais ou ilícitas
atualizadas, de acordo com a
inclusive com operadores essenciais de destruição, perda, alteração,
14
necessidade e a finalidade do
para alguma função. comunicação ou difusão dos
tratamento desses dados.
dados pessoais.
20
8 9 10
10
envolvendo medidas como a criação
Não há para onde fugir. de políticas, adequações contratuais,
Governo e empresas têm que aplicação de controles em processos e
adotar políticas e planos de sistemas de informação e capacitação 14
proteção de dados para se de seus colaboradores.
20
adequar à lei e garantir maior
segurança aos dados pessoais Quem não cumprir os requisitos de
dos clientes e usuários. proteção de dados pessoais está sujeito
a advertências, multas, podendo chegar
até na suspensão das atividades.
efeitos da
10
do faturamento, com direito à privacidade do usuário e uma
limite de R$ 50 milhões mudança de cultura
LGPD no de maior responsabilidade no
por infração.
tratamento dos dados pessoais. 14
caixa das Em casos mais críticos, em última Além de credibilidade dos clientes, 20
instância, as empresas que tiverem essas instituições conquistam
instituições: recorrência na inconformidade com vantagem reputacional no mercado,
a LGPD podem sofrer proibições do considerando que a lei contribui para
exercício das atividades. Além do um cenário com maior igualdade
“peso no bolso” e das determinações de condições entre as empresas
rigorosas, a publicização do não do segmento.
cumprimento das normas pode abalar
1 2
04
CONFIRA:
Primeiro, é necessário fazer um mapeamento Hierarquize essas informações: quais
05
dos dados pessoais tratados pela instituição, dados são mais importantes e merecem
respondendo a algumas questões: que dados prioridade na atenção? Por exemplo, os dados
armazenados na seção acadêmica de uma
07
Tudo começa com um são esses? De que tipo eles são? De quem
são (estudantes, clientes, funcionários e/ou instituição provavelmente são mais críticos
diagnóstico sobre o em relação aos repositórios que guardam
familiares)? Onde eles estão armazenados?
tratamento de dados Como eles são protegidos? informações do login usado para acessar um
site da organização, como nome completo,
10
14
De onde eles vêm? Para onde vão? Qual o fluxo
pessoais em uma
dessas informações? Além de armazenadas, e-mail e senha.
3
instituição. elas são compartilhadas com terceiros?
Sem essa etapa, não há O mapeamento provavelmente resultará
20
em necessidades de ajustes em processos Identifique os pontos de possíveis vazamentos:
como seguir em frente. proteger os dados pessoais envolve controles
de governança, contratuais e tecnológicos,
Aqui, é preciso reunir desdobrando na necessidade de adequação físicos, processuais e tecnológicos. Uma vez
de políticas de privacidade, contratos que se conhece o fluxo dos dados pessoais, é
algumas informações
de prestação de serviços e sistemas como necessário identificar em quais pontos podem
que guiarão um plano revisão dos campos coletados e controles sofrer vazamentos.
de ações posterior. de segurança implementados. Lá vai É importante identificar falhas de segurança
uma dica: se a instituição não possuir que podem ser ocasionadas a partir de
todos os processos internos mapeados, pessoas, incidentes físicos ou incidentes
Etapa1 - Diagnóstico
03
4 1
Depois, é hora de realizar uma avaliação Com esses dados A privacidade dos titulares de dados precisa ser 04
protegida das ameaças existentes. As ferramentas
05
de riscos, considerando possíveis
levantados, uma para isso são tecnologias e processos, utilizar
vulnerabilidades, ameaças e agentes de
estratégia de adequação recursos como a anonimização, pseudonimização,
07
ameaças relacionados aos dados pessoais
criptografia, minimização de dados e segurança
e a todos os pontos de vazamento pode ser definida. Então,
identificados, como por exemplo, um por padrão. Essas medidas visam reduzir os riscos
10
a próxima etapa é a de exposição de dados pessoais e fazem parte de
vazamento de dados por hackers que exploram
implementação de um um programa de governança em privacidade, que
14
vulnerabilidades de uma aplicação que dá
acesso ao banco de dados. Essa medida prevê também a atuação de um Encarregado de
plano de ação que Proteção de Dados da instituição. Trata-se de uma
é a estrutura para garantir segurança da
informação e gerenciamento de riscos. prevê a conformidade pessoa, física ou jurídica, responsável pela proteção
5
20
de dados pessoais na instituição. As instituições têm
da instituição com a lei,
obrigação de ter esse tipo de profissional e oferecer
Por fim, todas as informações relevantes incluindo um conjunto condições adequadas para que ele possa gerir o
identificadas e avaliadas devem ser tratamento de dados pessoais e, assim, responder
de ações envolvendo
condensadas em um documento padrão a demandas e solicitações de usuários.
chamado Relatório de Impacto à Proteção processos, políticas,
2
de Dados Pessoais (RIPD), também controles de segurança,
conhecido como Data Protection Impact As instituições precisam estar preparadas para fazer
adequações jurídicas e
Assessment (DPIA). Esse relatório a gestão dos dados dos titulares, que têm o direito
adequações de sistemas
3
Para estar em conformidade com a LGPD
04
05
e prezar pela segurança da informação,
é necessário criar contratos, processos,
07
políticas e normas já de acordo com as
novas diretrizes, além de revisar e adequar
os documentos, sistemas e bancos de
dados já existentes.
10
4
Ainda sobre a proteção de dados, algumas
práticas devem estar bem estruturadas, 14
20
como a implementação de controles
processuais e tecnológicos de segurança;
monitoramento e adequação dos sistemas,
prevendo a correção de vulnerabilidades e
minimização de dados; plano de gestão de
vulnerabilidades; e resposta a incidentes.
5
Mantenha suas equipes atualizadas.
14
necessárias para a realização
Realizar a avaliação de
de suas atividades
impacto de proteção de dados
Impor limitações,
Consultar a autoridade
antes do processamento
advertências, multas
ou paralisação dos 20
Ter um plano de processamentos
contingenciamento
de vazamentos
Definir um encarregado
de proteção de
dados pessoais