Proteção de Dados

Pessoais no Serviço
Público
Módulo

2 O Ciclo de Vida dos Dados

Pessoais
Fundação Escola Nacional de Administração Pública

Presidente
Diogo Godinho Ramos Costa

Diretor de Educação Continuada

Paulo Marques

Coordenador-Geral de Educação a Distância

Carlos Eduardo dos Santos

Conteudista/s
Julierme Rodrigues da Silva (conteudista, 2019)

Curso produzido em Brasília 2019.

Enap, 2019

Enap Escola Nacional de Administração Pública

Diretoria de Educação Continuada
SAIS - Área 2-A - 70610-900 — Brasília, DF

Enap Fundação Escola Nacional de Administração Pública 2

Sumário
1. Medidas de Segurança das Informações e de adequação à LGPD... 5

2. O Ciclo de Vida dos Dados Pessoais................................................ 8

Enap Fundação Escola Nacional de Administração Pública 3

Enap Fundação Escola Nacional de Administração Pública 4
 2
Módulo
O Ciclo de Vida dos Dados
Pessoais
1. Medidas de Segurança das Informações e de adequação
à LGPD
A Lei Geral de Proteção de Dados sedimenta uma necessidade da sociedade atual de promover
o uso ético, seguro e responsável dos dados pessoais por parte daqueles que os custodiam.
Isso requer que os órgãos públicos implementem uma série de medidas para se adequarem
ao disposto nesse novo contexto legal. A implementação dessas medidas deve acontecer de
maneira estruturada e planejada, envolvendo todo o órgão público, promovendo uma verdadeira
mudança na cultura organizacional. Entretanto, é preciso atentar primeiramente para alguns
aspectos que podem definir o sucesso ou fracasso desse projeto.

Quem é o responsável

O tema proteção de dados pessoais não é um tema exclusivo da área de segurança da informação,
tampouco da área jurídica do órgão. A responsabilidade pelo cumprimento da Lei é de todo
o órgão público, desde a Autoridade Máxima do órgão, passando pelas áreas meio e fim. O
cumprimento da Lei se dá no dia a dia, na execução dos processos de trabalho da instituição, na
concepção e execução de projetos, serviços ou produtos, no cumprimento de suas competências
legais, no seu modelo de negócio e na sua cadeia de valor. Desse modo, o projeto de adequação
do órgão público à LGPD tem caráter multidisciplinar, multissetorial e impacto no órgão público
como um todo. Consequentemente, essa responsabilidade não pode ser delegada a uma só
pessoa ou a um grupo fechado de pessoas.

O que precisa ser feito

Inicialmente, é importante que o órgão público encare esse desafio como um projeto estruturante,
sendo para isso necessário um profundo conhecimento do negócio do órgão público, suas
competências legais, atividades finalísticas e atividades meio. O projeto de adequação não deve
ser gerenciado por terceiros, contratadas ou consultorias externas. A prestação desse serviço
pode ajudar o órgão público, mas a liderança, a gestão e as decisões relacionadas ao projeto de
adequação são sempre de responsabilidade do órgão público.

Enap Fundação Escola Nacional de Administração Pública 5

 h,
Destaque,h
Assim, é imprescindível a criação de um Fórum Adequado para Tratar o Tema
Proteção de Dados. Pode ser um comitê ou grupo de trabalho. O órgão também
pode utilizar-se de estruturas já existentes, como por exemplo o Comitê
de Segurança da Informação, conforme disposto pelo art. 15 do Decreto nº
9.637/2018 ou o Comitê de Governança, Riscos e Controles conforme disposto
pela Instrução Normativa Conjunta MP/CGU n° 01/2016, ou ainda o Comitê
de Governança Digital disposto pelo art. 9º do Decreto nº 8.638/2016. Nesse
“Fórum” devem participar representantes de todas áreas meio e fim do órgão
público.

Outra medida importante é a nomeação pelos controladores do chamado

Encarregado ou Data Protection Officer (DPO), atendendo ao que dispõem os
artigos 5º e 41 da LGPD.

São competências do Encarregado:

Art. 5º Para os fins desta Lei, considera-se:

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal
de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar

providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem

tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em

normas complementares.

Enap Fundação Escola Nacional de Administração Pública 6

 §3º A autoridade nacional poderá estabelecer normas complementares sobre a definição
e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua
indicação, conforme a natureza e o porte da entidade ou o volume de operações de
tratamento de dados.

Observe que são tarefas que exigem um alto grau de esforço e por vezes alta complexidade.
Por isso, é importante que o órgão público estruture uma área com profissionais que auxiliem o
Encarregado a cumprir com suas competências legais.

Visão Geral sobre Medidas de Segurança

A adequação do órgão público ao disposto na LGPD requer a adoção de medidas sistêmicas

e que impactam em toda a organização. Essas medidas podem ser implementadas em quatro
dimensões organizacionais:

• Dimensão Estratégica
Na dimensão Estratégica, é necessário definir medidas de adequação do referencial
estratégico do órgão e de seu modelo de negócio aos princípios descritos pelo art.
6º da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados,
transparência, segurança, prevenção, não discriminação e responsabilização e
prestação de contas.

• Dimensão Organizacional
Na dimensão Organizacional, é necessário definir uma estrutura organizacional

Enap Fundação Escola Nacional de Administração Pública 7

 multidisciplinar e que seja suficientemente robusta para apoiar a implementação
das medidas de adequação definidas. Essa estrutura, por si só, já é uma medida de
adequação.

• Dimensão Operacional
Na dimensão Operacional, é necessário definir as medidas de adequação que devem
ser incorporadas aos processos organizacionais que lidam ou, de alguma forma,
afetam os dados pessoais custodiados pelo órgão público. Da mesma forma, nessa
camada é necessário que sejam definidas as medidas de adequação que devem ser
adotadas na concepção de novos projetos, produtos e serviços, além de eventuais
mudanças naqueles já existentes.

• Dimensão Comunicacional
Na dimensão Comunicacional, é necessário definir medidas de disseminação de
conhecimento, conscientização e treinamento relacionado ao tema proteção de
dados no órgão público. Também é necessário promover a ampla divulgação das
medidas de adequação que estão sendo implementadas no órgão, bem como a
mudança de cultura organizacional, incorporando o tema proteção de dados no dia
a dia dos servidores.

Tendo em vista as dimensões organizacionais apresentadas, focaremos no que deve ser

implementado na camada Operacional, a fim de implementar a proteção de dados pessoais e
promover a adequação do órgão público ao disposto pela LGPD. Essa implementação envolve
conhecermos o ciclo de vida dos dados pessoais.

2. O Ciclo de Vida dos Dados Pessoais

O dado pessoal é coletado para atender uma finalidade específica e pode, por exemplo, ser
eliminado a pedido do titular dos dados (LGPD, art. 18, IV), no cumprimento de uma sanção
aplicada pela Autoridade Nacional de Proteção de Dados (LGPD, art. 52, VI) ou ao término de
seu tratamento (LGPD, art. 16). Dessa forma, percebemos a configuração de um ciclo que se
inicia com a coleta e que determina a “vida” (existência) do dado pessoal durante um período de
tempo de acordo com certos critérios de eliminação.
Com a finalidade de representar o ciclo destacado acima, é proposto ciclo de vida de dados
pessoais contemplando as fases de coleta, retenção, tratamento, distribuição e eliminação.

Fases do Ciclo de Vida

Antes de iniciar o processo de identificação e implementação de quaisquer medidas de segurança,

é necessário que o órgão público analise os processos, projetos, serviços e ativos abrangidos
pelo ciclo de vida dos dados pessoais.

Enap Fundação Escola Nacional de Administração Pública 8

 • Coleta
Obtenção, recepção ou extração de dados pessoais independente do meio utilizado
(documento físico, documento eletrônico, sistema de informação etc.).

• Retenção
Arquivamento ou armazenamento de dados pessoais independente do meio
utilizado (documento físico, documento eletrônico, banco de dados, arquivo de aço
etc.).

• Tratamento
Qualquer operação que envolva processamento, classificação, utilização, produção,
avaliação e modificação de dados pessoais.

• Distribuição
Qualquer operação que envolva reprodução, transmissão, distribuição, comunicação,
transferência, difusão e compartilhamento de dados pessoais.

• Eliminação
Qualquer operação que vise apagar ou eliminar dados pessoais. Esta fase também
contempla descarte dos ativos organizacionais nos casos necessários ao negócio da
instituição.

Importante
É fundamental destacar que a LGPD considera como tratamento todas as
operações realizadas com dados pessoais. Assim, a LGPD não adota qualquer
tipo de segregação, considerando como tratamento, por exemplo, tanto a
coleta quanto o armazenamento de dados pessoais, mesmo essas operações
tratando de propósitos diferentes.

Art. 5º Para os fins desta Lei, considera-se:

X - tratamento: toda operação realizada com dados pessoais, como as que se referem
a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração;

Enap Fundação Escola Nacional de Administração Pública 9

As fases do ciclo de vida descritas neste tópico possuem relação direta com as operações
consideradas como tratamento pela LGPD:

h,
Destaque,h
A operação de tratamento “acesso” (LGPD, art. 5º, X) está presente em todas
as fases do ciclo de vida dos dados pessoais, pois, de alguma forma, temos
que realizar acesso ao dado pessoal para viabilizar sua coleta, retenção,
tratamento, distribuição ou eliminação.

Ativos Organizacionais

Os ativos organizacionais têm relação direta com o ciclo de vida proposto para os dados pessoais.
Por isso, é importante identificar quais ativos organizacionais são envolvidos no ciclo de vida dos
dados pessoais.

Enap Fundação Escola Nacional de Administração Pública 10

Os principais ativos são: bases de dados, documentos, equipamentos, locais físicos, pessoas,
sistemas e unidades organizacionais, cujas definições são apresentadas a seguir.

• Base de Dados
É uma coleção de dados logicamente relacionados, com algum significado. Uma
base de dados é projetada, construída e preenchida (instanciada) com dados para
um propósito específico.

• Documento
Unidade de registro de informações, qualquer que seja o suporte e formato (RIO DE
JANEIRO, 2005).

• Equipamento
Objeto ou conjunto de objetos necessários para o exercício de uma atividade ou de
uma função.

• Local Físico
Determinação do lugar no qual pode residir, de forma definitiva ou temporária, uma
informação de identificação pessoal, como uma sala, um arquivo, um prédio, uma
mesa etc.

• Pessoa
Qualquer indivíduo que executa ou participa de alguma operação realizada com
dados pessoais, como as que se referem a coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.

• Sistema
Qualquer aplicação, software ou solução de TI que esteja envolvida com as fases
do ciclo de vida dos dados pessoais: coleta, retenção, tratamento, distribuição e
eliminação de dados pessoais.

• Unidade Organizacional
Órgãos e entidades da Administração Pública.

Relacionamento do Ciclo Vida dos Dados Pessoais com Ativos Organizacionais

Identificadas as fases do ciclo de vida dos dados pessoais e os ativos organizacionais, é preciso
entender como eles se relacionam e o que deve ser realizado em cada fase.

Enap Fundação Escola Nacional de Administração Pública 11

Na fase de Coleta (C) deve-se identificar os ativos envolvidos na coleta de dados pessoais. Esses
dados podem entrar na organização via algum documento físico, algum sistema hospedado em
algum equipamento localizado em algum local físico do órgão público. Pode ser via prestação de
algum serviço1 externo ou serviço prestado pelo próprio órgão público por meio de alguma de
suas unidades organizacionais.

Na fase de Retenção (R), deve-se avaliar os ativos utilizados para armazenar os dados pessoais.
Esses dados podem estar armazenados em bases de dados, documentos físicos, equipamentos
e/ou sistemas. É preciso considerar também as unidades organizacionais responsáveis pelo
armazenamento e guarda dos dados, bem como os locais físicos onde estão localizados os ativos
que armazenam esses dados. Se o armazenamento for em “nuvem”, por exemplo, é preciso
considerar o serviço de armazenamento contratado e/ou utilizado.

A fase de Tratamento (T) segue a mesa linha de raciocínio das anteriores. Identificam-se os ativos
onde são realizados os tratamentos dos dados. O tratamento pode ser realizado em documento
físico, pode ser feito por um sistema interno ou contratado pelo órgão. É preciso identificar
as pessoas (papeis organizacionais), unidades organizacionais e equipamentos envolvidos
nesse tratamento. Onde estão localizadas fisicamente essas unidades organizacionais e os
equipamentos envolvidos nesse tratamento também importa.

Na fase de Distribuição (D), é preciso mapear os ativos envolvidos na distribuição ou divulgação

dos dados pessoais para dentro e para fora do órgão público. Quais sistemas são usados para
transmitir, exibir ou divulgar dados pessoais? Quais pessoas são destinatárias dessas informações?
Quais unidades organizacionais e quais equipamentos são usados para tal? Etc.

1_Serviço no sentido próprio da palavra, sem considerá-lo com um ativo. Toda ocorrência do termo “serviço” considerará esse
sentido.

Enap Fundação Escola Nacional de Administração Pública 12

No que se refere à fase de Eliminação (E), deve-se avaliar os ativos que armazenam os dados
pessoais que possam ser objeto de solicitação de eliminação de dados a pedido do titular
dos dados pessoais ou de descarte nos casos necessários ao negócio da instituição. Os dados
pessoais a serem eliminados podem estar armazenados em ativos relacionados com bases
de dados, documentos físicos, equipamentos e/ou sistemas. Tais ativos também podem ser
objeto de descarte. É necessário considerar, também, as unidades organizacionais responsáveis
pelo armazenamento e guarda dos dados que possam ser objeto de eliminação ou descarte,
bem como os locais físicos onde estão os ativos que contenham dados a serem eliminados ou
descartados. Se a eliminação do dado pessoal ou o descarte do ativo tiver relação com solução
em “nuvem”, por exemplo, é preciso considerar o serviço de armazenamento contratado e/ou
utilizado.

h,
Destaque,h
Esse processo demanda esforço considerável, principalmente para grandes
organizações. O ideal é que se estabeleçam ações de mapeamento e análise
dos processos organizacionais, tendo em vista que, desta forma, o órgão
conseguirá identificar de maneira mais eficaz os ativos descritos anteriormente.

Uma vez identificados os ativos, é necessário analisá-los para verificar quais medidas técnicas de
segurança estão efetivamente implementadas neles, com vistas a prover a adequada proteção aos
dados pessoais de que trata a LGPD. Recomenda-se a utilização de algum framework, boa prática
ou norma técnica aplicável como a ABNT NBR ISO/IEC 27002 – Código de Prática para controles
de segurança da informação; ISO/IEC 29151 – Code of practice for personally identifiable
information protection; e ISO/IEC 29134 - Guidelines for privacy impact assessment.

Além disso, é compulsória para toda a Administração Pública Federal Brasileira a implementação
das medidas de segurança dispostas pela Instrução Normativa (IN) GSI/PR nº 1, de 13 de junho
de 2008 e Normas Complementares decorrentes. A IN GSI/PR nº 1/2008 disciplina a gestão de
segurança da informação e comunicações na Administração Pública Federal, direta e indireta.

O resultado dessa análise vai determinar quais medidas de segurança devem ser implementadas
em cada ativo e quais devem ser ajustadas para que o órgão público possua o adequado grau
de proteção de dados exigido pela LGPD. A figura a seguir apresenta esquema exemplificando o
mapeamento dos ativos e suas respectivas medidas de segurança implementadas (destacadas
em verde) e não implementadas (destacadas em vermelho).

Enap Fundação Escola Nacional de Administração Pública 13

O conhecimento dos tipos de ativos organizacionais e a relação com o ciclo de vida dos dados
pessoais apresentados neste módulo são fundamentais para a compreensão da aplicação de
medidas de segurança e dos respectivos controles.

Enap Fundação Escola Nacional de Administração Pública 14