ANPPD TR Projetos LGPD Municipios

MODELO OFICIAL – PARECER TÉCNICO Nº 01/2022
TERMO DE REFERÊNCIA:
PROJETOS DE ADEQUAÇÃO À
LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
Proposta com os elementos necessários para uso em licitações

de Projetos de Adequação à Lei 13.709/2018 – LGPD nas
câmaras e prefeituras brasileiras.
Resumo:
Proposta de Termo de Referência para uso nos Projetos de Adequação à Lei Geral de Proteção de
Dados (LGPD) dos municípios brasileiros. Esse modelo foi elaborado conforme estudos técnicos e
diretrizes do Tribunal de Contas da União (TCU) disponível para o Termo de Referência (tcu.gov.br),
referências normativas da Lei de Licitações e Contratos Administrativos (Lei 14.133/2021), além da Lei
da Modalidade e Pregão (Lei 10.520/2002). A estruturação do escopo técnico segue o modelo
(framework) europeu DPMS/SGPD - Sistema de Gestão de Proteção de Dados, convalidado no Brasil
pelas comissões técnicas da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) e
Rede Governança Brasil (RGB), referências aos dispositivos da LGPD além das normas e boas práticas
internacionais para demonstração do comprometimento do controlador em adotar processos e políticas
internas que assegurem o cumprimento, de forma abrangente à proteção de dados pessoais. (Art. 50,
§ 2º, I – LGPD, 2018).
Versão 1.0
01/06/2022
Parecer Técnico ANPPD Nº 01/2022 publicado oficialmente em:
https://anppd.org/parecer/parecer-tecnico-012022-termo-de-referncia-para-projetos-de-lgpd
RGB® – Rede Governança Brasil – https://rgb.org.br

ANPPD® – Associação Nacional dos Profissionais de Privacidade de Dados – https://anppd.org
Termo de Referência para Projetos de LGPD - Documento Público/Publicado
2022
TERMO DE REFERÊNCIA PARA
PROJETOS DE ADEQUAÇÃO À LEI GERAL DE PROTEÇÃO DE DADOS
PARA AS CÂMARAS E MUNICIPIOS BRASILEIROS
(MODELO v.1.0)
REFERÊNCIAS NORMATIVAS:
• Lei 14.133/2021 – Lei de Licitações e Contratos Administrativos;
• Lei 10.520/2002 – Lei da Modalidade Pregão; e
• Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais.
PREFÁCIO: AS EMPRESAS DEVERÃO EVIDENCIAR A APLICAÇÃO

PRÁTICA DOS CONTROLES TÉCNICOS E ADMINISTRATIVOS, PARA
COMPROVAÇÃO DA ADERÊNCIA SATISFATÓRIA DO TERMO DESCRITO
ABAIXO.
OBJETO: Contratação de empresa para adequação, implantação e monitoramento

contínuo no ambiente da CÂMARA/PREFEITURA MUNICIPAL DE .................,
aspirando ao estabelecimento de princípios, objetivos, diretrizes e requisitos gerais que
promovam a gestão da privacidade e proteção de dados para esta
CÂMARA/PREFEITURA MUNICIPAL DE ............., bem como a sua orientação para a
Lei 13.709/2018 – Lei Geral de Proteção de Dados, sendo observado e respeitado os
trâmites e ritos procedimentais concernentes às contratações públicas, conforme a Lei
8.666/2021, Lei 10.520/2002 e a nova Lei de Licitações e Contratos 14.133/2021.
JUSTIFICATIVA:
Em 14 de agosto de 2018 foi publicada a Lei 13.709, que dispõe sobre a Proteção de
Dados Pessoais. Esta lei ficou conhecida como LGPD e as instituições deverão se adequar
à mesma. A Lei estabelece regras e traz requisitos e obrigações para o tratamento de
dados pessoais, de modo a fomentar negócios (inclusive com outros países) e, ao mesmo
tempo, protege os direitos de liberdade e privacidade dos titulares dos dados (indivíduos).
Atualmente, a CÂMARA/PREFEITURA MUNICIPAL DE ................. atua como

controladora de dados pessoais de cerca de milhares de munícipes sendo esses; titulares,
entre cidadãos e usuários dos serviços do município, que se relacionaram com a edilidade
de alguma forma.

2022
Com a Lei em vigor, as pessoas referidas poderão solicitar, a qualquer
momento: (Art: 18 - Lei 13.709/2018 – LGPD)
a) Confirmação da existência de tratamento de seus dados pessoais;

b) Acesso aos seus dados;
c) Correção de dados incompletos, inexatos ou desatualizados;
d) Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a
Legislação;
e) Portabilidade dos dados a outro fornecedor de serviço ou produto;
f) Eliminação dos dados pessoais tratados;
g) Informação das entidades públicas e privadas com as quais o controlador realizou uso
compartilhado de dados;
h) Informação sobre a possibilidade de não fornecer consentimento e sobre as
consequências da negativa;
i) Revogação do consentimento; e
j) Revisão de decisões automatizadas, e comunicação sobre o uso de decisões
automatizadas sempre que solicitado. (Art. 20 - Lei 13.709/2018 – LGPD).
A CÂMARA/PREFEITURA MUNICIPAL DE ................. possui diversos cadastros em

sua base, seja ela, sejam estes de fornecedores, servidores públicos ou munícipes, e sua
gestão interna com dados pessoais de várias pessoas de forma direta e indireta. A Casa
precisa aprimorar seus processos de gestão da segurança da informação e privacidade,
além de governança de dados pessoais, não apenas para cumprir a Lei, mas também
para melhorar o tratamento de dados pessoais e assim elevar a qualidade dos seus
serviços mantendo a proteção dos direitos e liberdades dos titulares. (Art. 2 – Lei
13.709/2018 – LGPD)
A Legislação Federal prevê que atividades são passíveis de terceirização (Lei

14.133/2021). Nesse sentido e diante da necessidade de solução multidisciplinar para as
demandas, se faz necessário estabelecer medidas técnicas e administrativas para
proteção de dados – em que são envolvidas as Políticas de Segurança da Informação e
Privacidade, Comunicação e monitoramento contínuo do ambiente – para contratação de
empresa especializada, pela CÂMARA/PREFEITURA MUNICIPAL DE ..................
ESCOPO
Objetivo Geral:
Prestação de serviço especializado para assessoria referente à Lei Geral de Proteção de
Dados - LGPD na CÂMARA/PREFEITURA MUNICIPAL DE ..................

2022
Apresentação do Projeto:
O projeto tem como escopo a prestação do serviço de consultoria especializada para a

realização de um diagnóstico de privacidade, identificação de riscos associados ao
tratamento de dados pessoais, construção de um plano de ação, implementação das
medidas necessárias, revisão e monitoramento da Política de Privacidade e Proteção de
Dados para que a CÂMARA/PREFEITURA MUNICIPAL DE .................. esteja
adequada à Lei 13.709/2018, tanto do ponto de vista jurídico, e de sistemas sob o
aspecto de segurança da informação.
Deverá ser incluso dentro do projeto, um treinamento de conscientização sobre a Política

Privacidade e Proteção de Dados para a manutenção do Compliance com a LGPD, para
os servidores municipais nas dependências da CÂMARA/PREFEITURA MUNICIPAL
DE ................., divididos em turmas conforme a necessidade do projeto, e deverá seguir
os seguintes padrões:
Detalhes de execução do projeto

O projeto deverá respeitar a abordagem internacional de gestão da privacidade: Sistema
de Gestão de Proteção de Dados (SGPD) - Data Protection and Privacy Management
System. Data Protection and Privacy Guide - Vol. 1 (John Kyriazoglou, 2016), já vinculada
com a referência base na Lei Geral de Proteção de Dados (LGPD) e demais práticas
complementares.
O projeto deverá conter no mínimo 06 fases, contemplando:
Fase Descrição Referência Base

Fase 01 Preparação Art. 50, §2, I, a –
LGPD
Fase 02 Organização Art. 6, II – LGPD
Fase 03 Implementação Art. 46 – LGPD
Fase 04 Governança Art. 50 – LGPD
Fase 05 Avaliação e Melhoria Art. 50, §2, I, d & f
– LGPD
Fase 06 Serviço de Gestão da Privacidade (DPOaaS) Art. 41, §2 – LGPD

2022
FASE 01 - PREPARAÇÃO
Referência: Art. 50, §2, a - Implementar programa de governança em privacidade que, no

mínimo: Demonstre o comprometimento do controlador em adotar processos e políticas
internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas
relativas à proteção de dados pessoais (LGPD, 2018).
Objetivo:
Analisar os requisitos e necessidades de proteção de dados e privacidade, coletar leis,

regulamentos e normas relevantes, estabelecer um plano de ação.
Entradas / Pré-requisitos:
• Ter uma rede de computadores já operante com os sistemas em funcionamento
Atividades:
Descrição Referência Base Referência

(administrativa) Complementar
(técnica)
• Realizar análise de privacidade Art. 50, §2, I – ISO-9001, ISO-27701,
LGPD ISO-29134
• Identificar leis de privacidade e Arts. 5º, XXXIII, ISO, 27002, ISO-27701
outras normas aplicáveis ao 24, 25 e 29 da
segmento de atuação Constituição
Federal; Art. 1º,
Lei n.
12.527/2011;
Art. 23 e
seguintes da
LGPD
• Analisar o impacto da privacidade Art. 32 e Art. 50, ISO-31000, ISO-27005,
I, d, da LGPD ISO-29134
• Realizar auditorias e avaliações dos Art. 20, § 2º; Art. ISO-27007, ISO-27008,
dados iniciais 55-J, incisos IV e ISO-19011
XVI da LGPD; Art.
2º, XVI, do
Decreto n.
10.474/2020

2022
• Estabelecer organização de Art. 49 e alínea f DMBOK, COBIT, ISO-
governança de dados do inciso I do Art. 27014
50 da LGPD
• Estabelecer fluxos de dados e Alínea a do inciso ISO-38500, ISO-9001,
inventário de dados pessoais I do Art. 50 da ISO-27002, ISO-27701
LGPD
• Estabelecer programa proteção de Art. 50, I e II, ISO-27701, ISO-27014,
dados e privacidade LGPD ISO-27001
• Esboçar planos de implementação Art. 50, I, LGPD ISO-9001, ISO-27701,
de ações de proteção de dados e ISO-27014
privacidade
Saídas:
Descrição Referência Base Referência

(administrativa) Complementar
(técnica)
• Relatório de análises de proteção Arts. 5º, XVII, 10, ISO-9001, ISO-27701,
de dados e privacidade § 3º e 32 da ISO-29134
LGPD
• Manual de leis de privacidade Art. 50, I alíneas ISO 27002, ISO 27701
“a” e “d”, LGPD
• Relatório de auditoria de dados Art. 50, § 1º e § ISO-27007, ISO-27008
pessoais 2º, I, h, LGPD
• Sistema de fluxo de dados Art. 50, § 2º, ISO-38500, ISO-9001
LGPD
• Inventário de dados pessoais Art. 50, § 2º, ISO-38500, ISO-9001
LGPD
• Política de proteção de dados Art. 50, I alíneas ISO-38500, ISO-9001,
“a”, “b”, “d” e “f”, ISO-27001, ISO-27701
LGPD
• Plano de treinamento em Art. 50, LGPD ISO-27001, ISO-27701
privacidade
• Programa de proteção de dados e Art. 50, § 2º, I, ISO-27001, ISO-27701
privacidade LGPD
• Relatório e listagem das Art. 165, ISO-20000
aquisições e materiais necessários Constituição
para proteção dos dados Federal; Art. 50,
§ 2º, LGPD
• Planos de implementação de Art. 50, I, LGPD ISO-9001, ISO-27701,
ações de proteção de dados e ISO-20000
privacidade

2022
Resultado:
O resultado da Fase 1 é identificar os departamentos impactados, mapear os dados e
definir o cronograma do projeto a ser seguido nas próximas etapas.
Observações:
Deverá ser realizada 01 (uma) visita presencial de até 02 (duas) horas a ser previamente
agendada. Nesta fase deverá ser contemplada a entrega do Registro das Operações de
Tratamento (Art. 37 – LGPD), contendo o mapeamento e inventário dos dados pessoais
da CÂMARA/PREFEITURA MUNICIPAL DE ...................
FASE 2 – ORGANIZAÇÃO
Referência: Art. 6, II - adequação: compatibilidade do tratamento com as finalidades

informadas ao titular, de acordo com o contexto do tratamento.
Objetivo:
Desenhar e implantar o programa de proteção de dados e privacidade, designar um DPO,

envolver e obter o compromisso de todas as partes interessadas relevantes.
Atividades:
Descrição Referência Base Referência Complementar

(administrativa) (técnica)
• Manter programa, políticas e Arts. 46 a 50, ISO-27001, ISO-27701,
controles de governança de LGPD ISO-27014
privacidade de dados
• Atribuir e manter Art. 50, LGPD ISO-10667
responsabilidades na Proteção ISO-27014
de Dados e Privacidade
• Manter o envolvimento da Art. 50, LGPD ISO-38500, ISO-9001
gerência sênior em Proteção de
Dados e Privacidade
• Manter o compromisso na Art. 50, § 2º, I, ISO-9001
organização com Proteção de “a”, LGPD ISO-27014
Dados e Privacidade
• Manter comunicações Art. 50, § 2º, I, ISO-9001, ISO-27010,
regulares para questões de “a”, LGPD ISO-27001, ISO-27014, ISO
Proteção de Dados e 27010
Privacidade

2022
• Manter o envolvimento das Art. 50, § 2º, I, ISO-38500, ISO-27001
partes interessadas em “a”, LGPD ISO-27014
questões de Proteção de Dados
e Privacidade
• Implementar e operar sistemas Arts. 6º, VII e ISO-27001
computadorizados para VIII, 47 e 49, ISO 27701
Proteção de Dados e LGPD
Privacidade
Saídas:

• Estratégia de Proteção de Art. 50, LGPD ISO-27001, ISO-27701,
Dados e Privacidade ISO-27014
atualizada.
• Programa de Proteção de Art. 50, LGPD ISO-27001, ISO-27701,
Dados e Privacidade ISO-27014
atualizado
• Controles de governança de Art. 50, § 2º, I, “b”, ISO-38500, ISO-27014
dados atualizados LGPD ISO 27001
• Anúncio da nomeação do Arts. 5º, VIII, 23, III, ISO-27701
DPO/Encarregado 41, § 1º, LGPD
• Comunicações relativas a Art. 50, § 2º, I, “a”, ISO-9001, ISO-27010,
todas as questões LGPD ISO-27001
relacionadas a Proteção de
Dados e Privacidade.
• Garantias da Rede dos Arts. 6º, VII e VIII, 47 ISO-27010, ISO-27701,
Agentes de Tratamento, e 49, LGPD ISO-27001
com medidas de Proteção de
Dados e Privacidade
• Papel de Proteção de Dados Art. 41, § 2º, LGPD; ISO-10667, ISO-27701
e Privacidade nas descrições Art. 29 do Decreto-lei
de trabalho n. 5.452/1943 (CLT)
ou Art. 593 da Lei n.
10.406/2002 (Código
Civil)
• Plano de treinamento, Art. 50, LGPD ISO-27001, ISO-27701
comunicação e

2022
conscientização de
privacidade atualizado
• Sistemas e processamentos Arts. 20, 47 e 49, ISO-27001
automatizados com medidas LGPD
para Proteção de Dados e
Privacidade
Resultados: Estruturas organizacionais para facilitar a implementação de Proteção de Dados

e Privacidade, e a conscientização das áreas funcionais impactadas a respeito da Legislação,
realização do inventário de dados pessoais.
Observações: Deverão ser realizadas no mínimo 02 (duas) sessões de treinamento

presencial de até 02 (duas) horas cada e no mínimo 07 (sete) entrevistas de 01 (uma)
hora cada a serem previamente agendadas conforme cronograma definido na fase 1. Os
prestadores de serviço para a CÂMARA/PREFEITURA MUNICIPAL DE ..................,
na figura de “OPERADORES” deverão realizar o tratamento segundo as instruções
fornecidas pela CÂMARA/PREFEITURA MUNICIPAL DE ..................,,na figura de
controlador, que verificará a observância das próprias instruções e das normas sobre a
matéria. (Art. 39 – LGPD)
FASE 3 - IMPLEMENTAÇÃO
Referência – Art. 46 - Os agentes de tratamento devem adotar medidas de segurança,

técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e
de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer
forma de tratamento inadequado ou ilícito. (LGPD, 2018)
Objetivo: Projetar um sistema de classificação de dados, desenvolver e implementar

políticas, procedimentos e controles para cumprir leis de privacidade e requisitos da
organização.
Atividades:

• Desenvolver e implementar Art. 50, LGPD ISO-27001, ISO-27701
estratégias, planos e políticas ISO-27014
de Proteção de Dados e
Privacidade
• Implementar o procedimento Art. 50, LGPD ISO-9001, ISO-27001
de aprovação para

2022
processamento de dados
pessoais
• Registrar bancos de dados para Art. 49 e alínea f, ISO-27701
dados pessoais do inciso I, do
Art. 50 da LGPD
• Desenvolver e implementar um Art. 49 e alínea f, ISO-27010
sistema de transferência do inciso I, do
internacional de dados Art. 50 da LGPD
• Executar atividades de Alínea f, do ISO-27701, ISO-27001,
integração de Proteção de inciso I, do Art. ISO-27010
Dados e Privacidade 50 da LGPD
• Executar o plano de Art. 50, LGPD ISO-27002, ISO-27701
treinamento de Proteção de
Dados e Privacidade
• Implementar controles de Art. 50, § 2º, I, ISO-27002
segurança de dados “b”, LGPD
Saídas:

• Sistema de classificação de Art. 49 e alínea f, ISO 27001, ISO-27001
dados pessoais do inciso I, do
Art. 50 da LGPD
• Procedimento para aprovar o Art. 50, § 2º, I, ISO-27701
processamento “a”, LGPD
• Documento de registro de Art. 50, § 2º, I, ISO 27701

bancos de dados de dados “b”, LGPD
pessoais
• Sistema de transferência Arts. 33 e 50, § ISO 27010
internacional de dados 2º, I, “b”, LGPD
• Atividades de integração de Alínea f, do ISO-27701
Proteção de Dados e inciso I, do Art.
Privacidade concluídas 50 da LGPD
• Atividades de treinamento de Art. 50, LGPD ISO-27002, ISO-27701
Proteção de Dados e
Privacidade concluídas
• Controles de segurança de Art. 50, § 2º, I, ISO-27002, ISO-27701
dados implementados “b”, LGPD
2022
Resultados: Medidas implementadas para governar dados pessoais com mais
efetividade.
FASE 4 – GOVERNANÇA
Referência – Art. 50 - Os controladores e operadores, no âmbito de suas competências,

pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão
formular regras de boas práticas e de governança que estabeleçam as condições de
organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições
de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os
diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de
supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados
pessoais. (LGPD, 2018)
Objetivos: Desenhar e configurar estruturas de governança, Ex.: Programa de proteção e

privacidade, DPO, etc., envolver e obter o comprometimento de todas as partes interessadas
relevantes, relatar todas as questões de privacidade (processo contínuo) e seguir os
requisitos identificados como necessários do checklist de adequação da LGPD para os agentes
de pequeno porte conforme publicado pela ANPD (https://www.gov.br/anpd/pt-
br/documentos-e-publicacoes/checklist-vf.pdf).
Atividades:

• Implementar práticas para Art. 50, § 1º, ISO-27014
gerenciar o uso de dados LGPD
pessoais
• Manter avisos de privacidade Art. 5º, VI, 9º, § ITIL, ISO-27014
sobre dados pessoais 1º, 10º, § 2º, e
23º, I, LGPD
• Executar um plano de Arts. 18 a 20 e ITIL, ISO-27014
solicitações, reclamações e 50, LGPD
retificações
• Executar uma avaliação de Parágrafo único ISO-27005, ISO-27701
riscos de proteção de dados do Art. 38 e Art.
5, XVII, LGPD

2022
• Emitir relatórios de Proteção de Parágrafo único ISO-20000, ISO-27701
Dados e Privacidade do Art. 38 e Art.
5, XVII, LGPD
• Manter documentação de Arts. 5, X, e 50, ITIL, ISO-9001
privacidade de dados II, LGPD
• Estabelecer e manter um plano Art. 50, § 2º, ITIL

de resposta de violação de “g”, LGPD ISO-22301
privacidade
Saída:

(administrativa) (técnicas)
• Estratégia de Proteção de Art. 50, LGPD ISO-27014
Dados e Privacidade atualizada
• Política de proteção de dados Art. 50, § 2º, I, ISO-27014
“a”, LGPD
• Procedimentos para manter Art. 5º, VI, 9º, § ITIL
avisos de privacidade de dados 1º, 10º, § 2º, e
23º, I, LGPD
• Plano de para tratar Art. 5º, VI, 9º, § ITIL
solicitações, reclamações e 1º, 10º, § 2º, e
retificação 23º, I, LGPD
• Processo de avaliação de riscos Parágrafo único ISO-31000, ISO-27005,
de Proteção de Dados e do Art. 38, Arts. ISO-29134
Privacidade 5, XVII, e 50,
LGPD
• Plano de gerenciamento de Parágrafo único ISO-27002, ISO-27005
riscos de terceiros do Art. 38, Arts.
5, XVII, e 50,
LGPD
• Relatório Proteção de Dados e Arts. 32 e 38, ISO-27701
Privacidade LGPD
• Documentação de privacidade Arts. 5, X, e 50, ISO-27701

de dados II, LGPD
• Plano de resposta à violação de Art. 50, § 2º, ITIL

privacidade de dados “g”, LGPD

2022
Resultado: Estruturas de governança para proteção de dados. Programa de Governança em
Proteção de Dados. Sistema de Gestão da Privacidade da Informação (SGPI)
Observação: Nesta fase é necessário a implementação de controles de segurança seguindo

orientações da Autoridade Nacional de Proteção de Dados – ANPD.
FASE 5 – AVALIAÇÃO E MELHORIA
Referência - Art. 50, §2, I, d & f - Na aplicação dos princípios indicados nos incisos VII e
VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume
de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a
gravidade dos danos para os titulares dos dados, poderá: d) estabeleça políticas e
salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos
à privacidade; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique
mecanismos de supervisão internos e externos (LGPD, 2018)
Objetivo: Monitorar a operação e a resolução de todas as questões

relacionadas à privacidade, avaliar regularmente a conformidade com processos e políticas
internas, melhorar a proteção de dados e as medidas de privacidade.
Atividades:

• Realizar auditoria interna de Art. 20, § 2º; Art. ISO-19011, ISO-27701
Proteção de Dados e 55-J, incisos IV e
Privacidade XVI da LGPD;
Art. 2º, XVI, do
Decreto n.
10.474/2020;
Arts. 33, §2º, 70,
71, 72, §1º, 74,
§2º e 161,
parágrafo único,
da Constituição
Federal
• Envolver uma parte externa Art. 20, § 2º; Art. ISO-27701, ISO-27010
para avaliações Proteção de 55-J, incisos IV e
Dados e Privacidade XVI da LGPD;
Art. 2º, XVI, do
Decreto n.
10.474/2020

2022
• Realizar avaliações e Art. 50, LGPD ISO-9001
estabelecer comparações com
entidades similares
• Executar avaliações de riscos Parágrafo único ISO-27005, ISO-27701

de proteção de dados do Art. 38, Arts.
5, XVII, e 50,
LGPD
• Resolver riscos de Proteção de Parágrafo único ISO-27005, ISO-27701
Dados e Privacidade do Art. 38, Arts.
5, XVII, e 50,
LGPD
• Relatar análise de riscos de Parágrafo único ISO-27005, ISO-27701
Proteção de Dados e do Art. 38, Arts.
Privacidade e resultados 5, XVII, e 50,
LGPD
• Monitorar as leis e Art. 50, § 2º, h, ISO-27701, ISO-27001
regulamentos de Proteção de LGPD
Dados e Privacidade
Saída:

• Relatório de auditoria interna Art. 20, § 2º; ISO-27701, ISO-19011,
de Proteção de Dados e Art. 55-J, incisos ISO-9001
Privacidade IV e XVI da
LGPD; Art. 2º,
XVI, do Decreto
n. 10.474/2020;
Arts. 33, §2º, 70,
71, 72, §1º, 74,
§2º e 161,
parágrafo único,
da Constituição
Federal
• Relatório de auditoria externa Art. 20, § 2º; ISO-27701, ISO-19011,
Proteção de Dados e Art. 55-J, incisos ISO-9001
Privacidade IV e XVI da
LGPD; Art. 2º,
XVI, do Decreto
n. 10.474/2020

2022
• Relatórios de avaliação Art. 50, §2, I – ISO-29134
desestruturados LGPD
• Relatório de auto avaliação de Art. 50, §2, I – ISO-27701
privacidade LGPD
• Relatório comparativo de Art. 50, LGPD ISO-9001

privacidade com outras
entidades similares à do
controlador
• Relatório de avaliação de Parágrafo único ISO-27701, ISO-29134

impacto sobre proteção de do Art. 38, Arts.
dados 5, XVII, e 50,
LGPD
• Relatório de riscos de Parágrafo único ISO-27005, ISSO-27701
privacidade e proteção de do Art. 38, Arts.
dados resolvidos 5, XVII, e 50,
LGPD
• Análise de riscos de Parágrafo único ISO-27005, ISO-27701
privacidade e proteção de do Art. 38, Arts.
dados e relatório de resultados 5, XVII, e 50, §
2º, I, LGPD
• Relatório de monitoramento de Art. 50, § 2º, h, ISO-27701, ISO-29134
leis de privacidade LGPD
Resultados: Relatório de monitoramento de leis de privacidade, identificação dos riscos

associados ao tratamento de dados pessoais e lista de compras dos materiais necessários para
tratamento dos riscos identificados
Observações: É de responsabilidade da CÂMARA/PREFEITURA MUNICIPAL DE

.................., o processo de aquisição dos materiais necessários para tratamento dos riscos
identificados em qualquer fase do Projeto de Adequação à LGPD. Mediante à um Termo de
Responsabilidade, a empresa prestadora do serviço deverá formalizar a requisição, informar
os impactos caso o controlador não autorize qualquer aquisição, e prosseguir com o
andamento do projeto, sendo passível de auditar as medidas implementadas após a aquisição.

2022
FASE 06 – SERVIÇO DE GESTÃO DA PRIVACIDADE (DPOAAS)
Referência: Art: 41 §2 - As atividades do encarregado consistem em: I - aceitar

reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências; II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a
serem tomadas em relação à proteção de dados pessoais; e IV - executar as demais
atribuições determinadas pelo controlador ou estabelecidas em normas
complementares. (LGPD, 2018)
Objetivo:
A Contratada deverá prestar serviços de assessoria técnica e implementar um método de
análise de impacto à privacidade após a conclusão das 5 primeiras fases, que será adotado
pela CÂMARA/PREFEITURA MUNICIPAL DE ................. em futuras alterações e
implementações de processos e de sistemas de informação que envolvam o tratamento de
dados pessoais, a fim de manter a conformidade com a LGPD, informar o titular sobre a
mudança de finalidade e prover o acesso quando solicitado pelo titular; Art. 9º § 2º; Art.
20 § 1º - LGPD
A Contratada, auxiliará a equipe da CÂMARA/PREFEITURA MUNICIPAL DE

................. na implementação de mecanismos de notificação, de forma digital ou
presencial, e de acesso do titular de dados sobre o tratamento a ser executado pela
edilidade tais como: finalidade, quais dados serão tratados, e o tempo necessário deste
tratamento; acesso para correção de dados incompletos, inexatos ou desatualizados e
informação sobre o compartilhamento de dados com outras entidades públicas ou
privadas; Art. 10º, Caput, § 1º e 2º - LGPD
A Contratada deverá auxiliar a equipe da CÂMARA/PREFEITURA MUNICIPAL DE

................. à comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos
titulares a ocorrência de incidente de segurança que possa acarretar risco ou dano
relevante aos titulares. Art. 48º - LGPD
A Contratada deverá propor e apoiar a implantação das melhores práticas para o

gerenciamento do ciclo de vida dos dados pessoais e o gerenciamento de consentimento
do titular, indicando, também, os recursos tecnológicos necessários, como programas
específicos, e também manter pública informação sobre tratamento de dados de crianças
e adolescentes, e auxiliar na reparação nos danos causados direta ou indiretamente por
falhas no processamento de dados pessoais. Art.7 §5 ; Art. 14 §2º; Art. 42 - LGPD
Para o fim de promover a divulgação do Programa de Conformidade aos colaboradores e

servidores da CÂMARA/PREFEITURA MUNICIPAL DE ................., deverá a
Contratada realizar treinamentos referentes aos processos implantados, ou ajustados, de
acordo com a Legislação. Os treinamentos e capacitações serão ministrados de forma
remota, ou, nos casos de inviabilidade técnica ou comum acordo entre as partes, de
2022
forma presencial na sede da CÂMARA/PREFEITURA MUNICIPAL DE .................. ou
local adequado indicado por esta.
Deverá a Contratada assessorar a equipe da CÂMARA/PREFEITURA MUNICIPAL DE

................., na elaboração de regras de boas práticas e de governança, com indicação
das condições de organização, o regime de funcionamento, os procedimentos, incluindo
reclamações e petições de titulares, os padrões técnicos que deverão ser seguidos, além
das obrigações específicas para os diversos agentes envolvidos no tratamento. Art. 50 -
LGPD
Propor modalidades de disseminação da política de governança adotada para os demais

colaboradores da CÂMARA/PREFEITURA MUNICIPAL DE .................., armazenar
dados não eliminados após o término do tratamento para atendimento a obrigação legal
ou regulatória e anonimizar, quando possível Art. 16 IV - LGPD
Disposições Gerais:
Para consecução das atividades indicadas até conclusão da fase 5, estima-se a utilização
de 600 (seiscentas) horas técnicas de consultoria, as quais deverão compor o custo da
contratação na proposta da futura Contratada. Deverá, ainda, ser indicado o valor unitário
da hora técnica para eventuais acréscimos ou supressões durante a vigência do contrato.
As atividades relacionadas no presente item e nos itens precedentes não excluem outras
atividades destinadas à adequação dos procedimentos da CÂMARA/PREFEITURA
MUNICIPAL DE ................. às exigências da Lei nº 13.709/2018, criadas por
regulamentação posterior da Autoridade Nacional de Proteção de Dados
LOCAL DE PRESTAÇÃO
Os Serviços deverão ser prestados considerando-se toda a estrutura física, lógico e
remota da CÂMARA/PREFEITURA MUNICIPAL DE ................., com sede na Rua
.........
As reuniões presenciais serão realizadas na sede da CÂMARA/PREFEITURA
MUNICIPAL DE .................
DOS PRAZOS E CRONOGRAMA DE EXECUÇÃO
Os serviços de planejamento inicial, mapeamento do tratamento de dados, análise de

adequação e criação do programa de conformidade deverão ser executados por completo
em até 350 (trezentos e cinquenta) dias úteis, após o início da prestação dos serviços,
programados para ocorrer em até 5 (cinco) dias úteis após a assinatura do contrato.
Exclui-se do período acima os serviços de assessoramento e consultoria para

implementação do programa de conformidade, que deverão ser executados até o fim da
vigência contratual, por um DPO/Encarregado pelo Tratamento de Dados.

2022
O contrato terá vigência pelo prazo de 30 (trinta) meses contados de sua assinatura,
sendo admitida a sua prorrogação nos termos do art. 57,inc. II e seu §1º, da Lei nº
8.666/93.
O cronograma abaixo contempla os prazos em dias corridos que deverão ser observados
para cada etapa deste projeto, podendo ser prorrogado por igual período, a critério da
CÂMARA/PREFEITURA MUNICIPAL DE .................:
Etapa Prazo
FASE 1 Até 70 dias
FASE 2 Até 70 dias
FASE 3 Até 70 dias
FASE 4 Até 70 dias
FASE 5 Até 70 Dias
FASE 6 Ao Iniciar o Projeto
O prazo da Fase 1 será contado a partir do início da prestação dos serviços, sendo os
demais contados da data de aprovação da etapa precedente.
DO SIGILO
A CONTRATADA deverá manter sigilo sobre toda e qualquer informação confidencial

reservada ou exclusiva, incluindo informações técnicas, de negócio ou financeira,
comunicada pela CÂMARA/PREFEITURA MUNICIPAL DE ................. em função do
contrato, exceto as informações que:
Sejam de domínio público à época da comunicação;
Seja conhecida pela parte receptora antes da comunicação ou caia no domínio público
sem culpa da parte receptora; ou
Seja desenvolvida, de modo independente, pela parte receptora, sem uso de informação
confidencial.

2022
DO PAGAMENTO
O pagamento pelos serviços prestados nas etapas de planejamento inicial, mapeamento

do tratamento de dados, análise de adequação e criação do programa de conformidade
será feito de acordo com o cronograma abaixo:
Percentual
Etapas
correspondente
1 Preparação 30%
2 e 3 Organização e Implementação 40%
4 Governança 25%
5 Avaliação e Melhoria 5%
Para efeito da etapa 6, os pagamentos dos serviços prestados, excluiu-se do cronograma

acima o valor referente às horas técnicas de Serviço de Gestão da Privacidade
(DPOaaS). Estas deverão ser quitadas mensalmente à parte, durante a vigência do
contrato, do total de 900 (Novecentas) horas técnicas, dividido em 30 meses.
Serão computadas o total de 30 horas mês até o final do contrato para os serviços de DPO
as a Service, contadas a partir do início da Etapa 1.
COMPROVAÇÃO DE CAPACIDADE TÉCNICA PARA ASSINATURA DO CONTRATO.
A comprovação da capacidade técnica operacional dar-se-á através de atestado emitido

por empresa de direito público ou privado, comprovando que a proponente executou
serviço de conscientização, diagnóstico preparatório e auxílio às atividades de
conformidade para a adequação, implantação e melhoria contínua com a LGPD;
Deverá apresentar comprovação de possuir no mínimo 01 (um) profissional com

conhecimento na área de Segurança da Informação, com certificado em Lei Geral de
Proteção de Dados (LGPD);
Deverá apresentar comprovação de possuir no mínimo 01 (um) profissional certificado

em Data Protection Officer (DPO) EXIN, CDPO BR (IAPP), ou certificações internacionais
com carga horárias equivalentes;
2022
conhecimento da norma ISO-IEC 27001, certificado este que tenha validade
internacional;

conhecimento da norma ISO-IEC 27701, certificado este que tenha validade nacional;
Deverá apresentar comprovação de possuir no mínimo 01 (um) profissional certificação

em ITIL com validade internacional e Pós-graduação em Gestão de Projetos de TI,
Governança de TI, ou em áreas relacionadas à privacidade;
Deverá apresentar comprovação de possuir no mínimo 01 (um) profissional certificação

em COBIT com validade internacional;

certificação internacional em Cloud Computing; e

certificação internacional em Segurança Cibernética ou MBA em Cyber Security /
Segurança da Informação.
ACORDO DE NÍVEL DE SERVIÇO (SLA)
O tempo de resposta no SLA deverá ser de forma remota ou presencial em local

determinado pela CÂMARA/PREFEITURA MUNICIPAL DE ................. Conforme a
tabela de prioridades abaixo:
PRIORIDADE TIPO SLA
CRÍTICA INCIDENTE DE DADOS PESSOAIS COM A 2 HORAS

NECESSIDADE REPORTE À ANPD OU AO TITULAR
INCIDENTE COM DADOS PESSOAIS SEM A
ALTA 4 HORAS
NECESSIDADE DE REPORTE
MÉDIA SOLICITAÇÕES DE PROCEDIMENTOS, OU 6 HORAS
EXECUÇÃO DE DIREITO DOS TITULARES
BAIXA DÚVIDAS DE TIULARES SOBRE LGPD NO 24 HORAS
CONTROLADOR OU OPERADOR

2022
Data de Publicação: 01 de junho de 2022
CLASSIFICAÇÃO DESTE DOCUMENTO – PÚBLICO/PUBLICADO
Comissão Técnica:
Anielle Martinelli Paulo Emerson Pereira

Diretora do Comitê de Conteúdo Membro do Comitê de Privacidade
ANPPD RGB
Umberto Correia Dr. Lucas Paglia
Diretor do Comitê de Governança Diretor do Comitê de Privacidade
ANPPD RGB
Drª. Adrianne Lima Drª. Elise Brites
Diretora do Comitê Jurídico Diretora Institucional
ANPPD RGB
Dr. Luiz Lima Drª. Marcela Blok
Diretor do Comitê Científico Conselho de Ética
ANPPD RGB
Dr. Davis Alves, Ph.D Flávio Feitosa Costa
Presidente Presidente
ANPPD RGB
Versão 1.0
01/06/2022
Parecer Técnico ANPPD Nº 01/2022 publicado oficialmente em:
https://anppd.org/parecer/parecer-tecnico-012022-termo-de-referncia-para-projetos-de-lgpd

2022

ANPPD TR Projetos LGPD Municipios

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ANPPD TR Projetos LGPD Municipios

Enviado por

Direitos autorais:

Formatos disponíveis

MODELO OFICIAL – PARECER TÉCNICO Nº 01/2022

Proposta com os elementos necessários para uso em licitações

RGB® – Rede Governança Brasil – https://rgb.org.br

PREFÁCIO: AS EMPRESAS DEVERÃO EVIDENCIAR A APLICAÇÃO

OBJETO: Contratação de empresa para adequação, implantação e monitoramento

Atualmente, a CÂMARA/PREFEITURA MUNICIPAL DE ................. atua como

RGB® – Rede Governança Brasil – https://rgb.org.br

a) Confirmação da existência de tratamento de seus dados pessoais;

A CÂMARA/PREFEITURA MUNICIPAL DE ................. possui diversos cadastros em

A Legislação Federal prevê que atividades são passíveis de terceirização (Lei

RGB® – Rede Governança Brasil – https://rgb.org.br

O projeto tem como escopo a prestação do serviço de consultoria especializada para a

Deverá ser incluso dentro do projeto, um treinamento de conscientização sobre a Política

Detalhes de execução do projeto

O projeto deverá conter no mínimo 06 fases, contemplando:

Fase Descrição Referência Base

RGB® – Rede Governança Brasil – https://rgb.org.br

Referência: Art. 50, §2, a - Implementar programa de governança em privacidade que, no

Analisar os requisitos e necessidades de proteção de dados e privacidade, coletar leis,

Descrição Referência Base Referência

RGB® – Rede Governança Brasil – https://rgb.org.br

Descrição Referência Base Referência

RGB® – Rede Governança Brasil – https://rgb.org.br

Referência: Art. 6, II - adequação: compatibilidade do tratamento com as finalidades

Desenhar e implantar o programa de proteção de dados e privacidade, designar um DPO,

Descrição Referência Base Referência Complementar

RGB® – Rede Governança Brasil – https://rgb.org.br

Descrição Referência Base Referência Complementar

RGB® – Rede Governança Brasil – https://rgb.org.br

Resultados: Estruturas organizacionais para facilitar a implementação de Proteção de Dados

Observações: Deverão ser realizadas no mínimo 02 (duas) sessões de treinamento

Referência – Art. 46 - Os agentes de tratamento devem adotar medidas de segurança,

Objetivo: Projetar um sistema de classificação de dados, desenvolver e implementar

Descrição Referência Base Referência Complementar

RGB® – Rede Governança Brasil – https://rgb.org.br

Descrição Referência Base Referência Complementar

• Documento de registro de Art. 50, § 2º, I, ISO 27701

Referência – Art. 50 - Os controladores e operadores, no âmbito de suas competências,

Objetivos: Desenhar e configurar estruturas de governança, Ex.: Programa de proteção e

Descrição Referência Base Referência Complementar

RGB® – Rede Governança Brasil – https://rgb.org.br

• Estabelecer e manter um plano Art. 50, § 2º, ITIL

Descrição Referência Base Referência Complementar

• Documentação de privacidade Arts. 5, X, e 50, ISO-27701

• Plano de resposta à violação de Art. 50, § 2º, ITIL

RGB® – Rede Governança Brasil – https://rgb.org.br

Observação: Nesta fase é necessário a implementação de controles de segurança seguindo

FASE 5 – AVALIAÇÃO E MELHORIA

Objetivo: Monitorar a operação e a resolução de todas as questões

Descrição Referência Base Referência Complementar

RGB® – Rede Governança Brasil – https://rgb.org.br

• Executar avaliações de riscos Parágrafo único ISO-27005, ISO-27701

Descrição Referência Base Referência Complementar

RGB® – Rede Governança Brasil – https://rgb.org.br

• Relatório comparativo de Art. 50, LGPD ISO-9001

• Relatório de avaliação de Parágrafo único ISO-27701, ISO-29134

Resultados: Relatório de monitoramento de leis de privacidade, identificação dos riscos

Observações: É de responsabilidade da CÂMARA/PREFEITURA MUNICIPAL DE

RGB® – Rede Governança Brasil – https://rgb.org.br

Referência: Art: 41 §2 - As atividades do encarregado consistem em: I - aceitar

A Contratada, auxiliará a equipe da CÂMARA/PREFEITURA MUNICIPAL DE

A Contratada deverá auxiliar a equipe da CÂMARA/PREFEITURA MUNICIPAL DE

A Contratada deverá propor e apoiar a implantação das melhores práticas para o