Leitura sobre: Elaboração de programa de governança em privacidade.

Entendimento geral e aplicabilidade na ANS:

Na administração pública, o gerenciamento da privacidade deve englobar vários aspectos
deste habilidades pessoais até ferramentas para assegurar o uso correto dos normativos de
privacidade.
O documento base de leitura trata sobre como é composta a lei de proteção de dados bem
como elaborá-la.

O que é o PGP?
O Programa de Governança em Privacidade, que deve:
1- Assegurar que o Controlador cumpra as normas;
2- Ser aplicado a todo conjunto de dados pessoais sob a responsabilidade do controlador;
3- Seja adaptável quanto ao volume, e sensibilidade dos dados tratados;
4- Estabelecer políticas sistemáticas para avaliação de riscos à privacidade;
5- Estabelecer confiança e transparência ao titular dos dados;
6- Integrar sua estrutura de governança afim de aplicar mecanismos de supervisão interna
e externa;
7- Planos de respostas a incidentes e remediação;
8- Atualização constante de informações obtidas;

Principais Atores:
Titular -> pessoa natural protegida pelo princípio da autodeterminação
Controlador -> pessoa natural ou jurídica a quem competem as decisões referentes ao
tratamento de dados pessoais.
Operador -> pessoa natural ou jurídica que realiza o tratamento de dados pessoais em
nome do controlador;
Encarregado -> pessoa natural (Data Protection Officer - DPO - Europa) intermediário entre
o titular e os agentes de tratamento ou entre agentes e a ANPD
ANPD -> Autoridade Nacional de Proteção de Dados - é quem regulariza o setor de
tratamento de dados pessoais. Age em proteção aos princípios da Lei.

Responsáveis pela elaboração do programa

líderes de: operações de TI, segurança, jurídico, operadores, compliance, canais de
comunicação e etc.

Estrutura do processo:
Inspirada no ciclo PDCA, normas ABNT, Tecnologia da informação, Técnicas de segurança, –
Gestão de riscos de segurança da informação.
É baseada em 3 pilares:
Iniciação e planejamento; construção e execução; Monitoramento.

Primeiras medidas a serem providenciadas:

Nomeação do encarregado;
Alinhamento das expectativas com a alta administração.
Analise da maturidade de adequação
Analise da adoção de medidas de segurança.
Estrutura organizacional para gestão da LGPD
Inventario de dados pessoais
Levantamento de contratos relacionados a dados pessoais, (ou que tenha algum impacto
na aplicação dos dados pessoais)

O encarregado é quem possui o papel fundamental

Atribuições do Encarregado
 Prestar esclarecimento e adotar providencias para reclamações dos titulares.
 Adotar providencias ao receber comunicados da autoridade Nacional.
 Orientar a respeito das práticas adotadas
 Apoiar a definição de diretrizes para construção do inventário
 Conduzir ou orientar a elaboração de relatório de impacto à proteção de dados
 Conduzir ou orientar a implementação de regras de boas praticas
 Executar as demais atribuições determinadas pelo controlador.
 Ter acesso amplo a estrutura organizacional,
 Investigar proativamente os níveis de conformidade
 Orientar os responsáveis sobre os riscos a corrigir lacunas encontradas
 Apresentação de minuta de politica de privacidade aos dirigentes do órgão.
 Projeção ou refinamento de estratégia de privacidade
 Alinhamento de expectativas com a alta administração.

Resumo das atividades de levantamento do encarregado

 Alinhamento de expectativas
 Maturidade da Organização
 Medidas de segurança
 Estrutura para governança
 Inventário de dados pessoais
 Levantamento de contratos relacionados a dados pessoais

Construção e execução das bases LGPD

 Gerenciamento de direitos individuais
Direito dos órgãos ou entidades de gerenciar e acessar os dados dos indivíduos,
devendo estes estar preparados para receber, realizar triagem, responder consultas e
reclamações. Podendo sofrer penalidades por não responder de maneira oportuna.

 Consentimento e rastreamento de preferencia

Possibilidade de tanto o titular quanto os agentes de tratamento verificarem se os
dados estão obedecendo as preferencias do titular

 Redução de responsabilidade por violação

 Redução da exposição por meio de criptografia e anonimização de dados. Onde os
dados devem ser mantidos exclusivamente para sua finalidade.

Marcos que devem ser alcançados na etapa de construção e execução:

 Politicas e praticas para proteção da privacidade
 Cultura de segurança e proteção dos dados
 Relatório de impacto à proteção de dados
 Politica de privacidade e segurança da informação
 Adequação de cláusulas contratuais
 Termo de uso.

Políticas e práticas para assegurar a privacidade do cidadão.

Devem ser especificadas, tais como:
 Proteção contra mau uso ou revelação inadvertida ou deliberada;
 Estabelecimento de papéis específicos dos servidores envolvidos na coleta, retenção,
processamento, compartilhamento e eliminação de dados e o tratamento adequado
a cada fase;
 Educação dos colaboradores em relação a políticas e práticas de proteção de
privacidade e dos cidadãos;
 Informações sobre a finalidade do órgão ou entidade e a base legal para tratamento
de dados, obtidas no inventário dos dados pessoais;
 Informações que auxiliem na determinação dos detalhes do ciclo de vida dos dados
pessoais, por exemplo a finalidade do tratamento, como, onde e por quanto tempo é
o armazenamento, entre outros

7 princípios do conceito e concepção da cultura de privacidade

 Ser proativo e não reativo, ser preventivo e corretivo;
 Ter a privacidade como padrão em qualquer sistema de TI ou pratica de negócios.
 Ter privacidade incorporada ao projeto, não ser um item adicional após sistema,
projeto ou serviço já estar em implementação.
 Plena funcionalidade, não comprometer a funcionalidade com a implementação de
privacidade permitindo que todas as exigências do projeto sejam atendidas.
 Segurança e proteção de ponta a ponto do ciclo de vida do tratamento dos dados
 Visibilidade e transparência para estabelecer a confiabilidade do processo, bem como
a responsabilidade com que os dados estão sendo tratados
 Respeito pela privacidade do usuário. Medidas que visam a utilização de padrões de
privacidade, avisos apropriados, interfaces amigáveis que empoderem o titular dos
dados.

Criação do RIPD – Relatório de Impacto a Proteção de Dados

Documento que visa descrever os processos de tratamento que podem gerar riscos as
liberdades civis e aos direitos fundamentais, bem como medidas e mecanismos de
mitigação do risco.

Medidas e politica de segurança da informação e política de privacidade.

 Finalidade: Obrigatoriedade de tratamento somente para fins legítimos, específicos e
explícitos.
 Adequação: compatibilidade do tratamento com as finalidades informadas
 Necessidade: Limitação do tratamento ao mínimo necessário para a realização de
suas finalidades;
 Livre acesso: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e
a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
 Qualidade dos dados: Critérios de qualidade dos dados, para garantir, aos titulares, a
exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e
para o cumprimento da finalidade de seu tratamento;
 Transparência: Critérios de transparência, para garantir, aos titulares, o fornecimento
de informações claras, precisas e facilmente acessíveis sobre a realização do
tratamento e os respectivos agentes de tratamento, observados os segredos
comercial e industrial;
 Segurança: Critérios de segurança, para que se utilize medidas técnicas e
administrativas aptas a proteger os dados pessoais;
 Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais;
 Não discriminação: Critérios de não discriminação, para garantir que não se realize o
tratamento de dados para fins discriminatórios ilícitos ou abusivos;
 Responsabilização e prestação de contas: para que, para cada tratamento de dados
se possa demonstrar a adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas;

Adequação Cláusulas Contratuais:

 Delimitações claras e objetivas das responsabilidades do controlador e operador;
 A forma que é realizada a coleta e o tratamento de dados;
 A existência da possibilidade de o titular acessar os seus dados coletados;
 A forma que é realizada a correção, bloqueio ou eliminação de dados mediante
solicitação do titular;
 A existência da possibilidade de revogação do consentimento dado pelo titular;
 O detalhamento de quem tem acesso aos dados, o responsável por seu uso e
tratamento, a forma de armazenamento e as particularidades de possíveis auditorias;
 As medidas de proteção e segurança dos dados coletados e armazenados pela
contratada.
Termo de Uso
1. Aceitação dos Termos e Políticas
2. Definições
3. Arcabouço Legal
4. Descrição do serviço
5. Direitos do usuário
6. Responsabilidades do usuário e da Administração Pública
7. Mudanças no Termo de Uso
8. Informações para contato
9. Foro

O monitoramento da conformidade com LGPD é dado pela coleta e análise de relatórios

com apresentações dos resultados.

Esses relatórios deveram conter:

 Indicadores de performance
 Gestão de incidentes
 Analise de resultados
 Reporte de resultados.