Escolar Documentos
Profissional Documentos
Cultura Documentos
PROGRAMA DE PRIVACIDADE E
SEGURANÇA DA INFORMAÇÃO
(PPSI)
Versão 2.0
Esther Dweck
Ministra
Marcelo de Lima
informação;
c) não é coautora das publicações internacionais abordadas;
d) não assume nenhuma responsabilidade administrativa, técnica ou jurídica por usos
ou interpretações inadequadas, fragmentados ou parciais do presente guia; e
7
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
INTRODUÇÃO
Este Guia tem por finalidade apresentar orientações com o intuito de auxiliar os
órgãos e entidades da Administração Pública Federal, direta, autárquica e fundacional a
elaborar o Termo de Uso e Política de Privacidade aos serviços prestados por meio de
aplicações, como sítios, sistemas e aplicativos para os dispositivos móveis no âmbito
institucional.
O presente Guia serve como um modelo prático a ser utilizado para auxiliar na
adoção do Controle 29 do Guia do Framework de Privacidade e Segurança da
Informação1 v1 elaborado e publicado pela SGD. As medidas do Controle 29 que estão
contempladas por este Guia são: 29.1, 29.2, 29.3, 29.4, 29.5, 29.6, 29.7, 29.8, 29.9, 29.10
e 29.11.
O Termo de Uso informa as regras que o usuário está sujeito ao utilizar o serviço,
enquanto a Política de Privacidade origina-se da responsabilidade de que os agentes de
tratamento de dados sejam transparentes com o titular de dados pessoais e informem como
as atividades de tratamento de tais dados atendem ao princípio da transparência, disposto no
Art. 6º da LGPD.
Além disso, deve ser salientado que as informações necessitam ser fornecidas com
exatidão, clareza e relevância, garantindo que os termos sejam constantemente atualizados e
1
< https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/guia_framework_psi.pdf >.
Acesso em 03/02/2023.
9
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Organizou-se este guia em tópicos que deverão constar no Termo de Uso e na Política
de Privacidade. Os tópicos apresentados não são restritivos e o objetivo buscado não é sua
adoção rigorosa. Como cada serviço possui características e especificidades próprias, o modelo
deve ser adaptado para cada caso específico.
Cada tópico contém uma descrição e um campo com as informações que devem
constar em cada parte. Os tópicos apresentam referências ao Guia de Boas Práticas da LGPD2,
elaborado pelo Comitê Central de Governança de Dados instituído pelo Decreto nº 10.046, de
9 de outubro de 2019, de modo a auxiliar na compreensão e no aprofundamento dos temas
tratados.
2
Guia de Boas Práticas LGPD, disponível em: <https://www.gov.br/governodigital/pt-br/governanca-de-
dados/guia-lgpd.pdf>
10
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
1 TERMO DE USO
A fim de garantir aos usuários amplo acesso às informações, o Termo de Uso deve:
3
Código de Defesa do Consumidor - Lei 8.078/90 – Art. 54
11
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
É importante que a equipe jurídica do órgão seja consultada ao longo das atividades
de elaboração, de modo a confirmar se as cláusulas escritas no Termo de Uso estão
de acordo com as legislações vigentes e se possuem validade jurídica.
Exemplo de texto
O uso deste serviço está condicionado à aceitação dos termos e das políticas
associadas. O usuário deverá ler tais termos e políticas, certificar-se de havê-los entendido,
concordar com todas as condições estabelecidas no Termo de Uso e se comprometer a
cumpri-las.
Exemplo de texto
O uso deste serviço está condicionado à ciência dos termos e das políticas
associadas. O usuário deverá ler tais termos e políticas, certificar-se de havê-los entendido,
estar consciente de todas as condições estabelecidas no Termo de Uso e se comprometer
a cumpri-las.
Ao utilizar o serviço, o usuário manifesta estar ciente com relação ao conteúdo deste
Termo de Uso e estará legalmente vinculado a todas as condições aqui previstas.
Referência: https://www.c6bank.com.br/termos-de-uso/
O Termo de Uso deve ser acessível a todos que utilizam o serviço. Conceitos
importantes, como termos técnicos ou legais, precisam ser explicados para melhor
entendimento do usuário do serviço. É fundamental que a forma de linguagem utilizada para
esclarecer os significados das palavras seja simples e compreensível, evitando o uso de siglas,
jargões e estrangeirismos.
Exemplo de texto
Agente público: todo aquele que exerce, ainda que transitoriamente ou sem
remuneração, por eleição, nomeação, designação, contratação ou qualquer
outra forma de investidura ou vínculo, mandato, cargo, emprego ou função
nos órgãos e nas entidades da Administração Pública direta e indireta;
Agentes de Estado: inclui órgãos e entidades da Administração pública para
além dos seus agentes públicos;
Códigos maliciosos: são qualquer programa de computador, ou parte de um
programa, construído com a intenção de provocar danos, obter informações
não autorizadas ou interromper o funcionamento de sistemas e/ou redes de
computadores;
Internet: o sistema constituído do conjunto de protocolos lógicos, estruturado
em escala mundial para uso público e irrestrito, com a finalidade de
possibilitar a comunicação de dados entre terminais por meio de diferentes
redes;
Sítios e aplicativos: sítios e aplicativos por meio dos quais o usuário acessa
os serviços e os conteúdos disponibilizados;
Terceiro: pessoa ou entidade que não participa diretamente em um contrato,
em um ato jurídico ou em um negócio, ou que, para além das partes
envolvidas, pode ter interesse num processo jurídico.
Usuários (ou "Usuário", quando individualmente considerado): todas as
pessoas naturais que utilizarem o serviço (citar o serviço).
Neste tópico, são destacadas as referências normativas que poderão respaldar o serviço
prestado pelo órgão ou pela entidade. Na tabela a seguir, são listados alguns dos instrumentos
legais que têm relação direta com a utilização de sítios, sistemas ou aplicativos para
dispositivos móveis desenvolvidos por órgãos da administração pública.
Lei nº 12.527, de
Lei de Acesso à Informação – Regula o acesso a informações previsto na
18 de novembro
Constituição Federal.
de 2011
Lei nº 13.460, de
Dispõe sobre participação, proteção e defesa dos direitos do usuário dos
26 de junho de
serviços públicos da administração pública.
2017
Lei nº 13.709, de
14 de agosto de Dispõe sobre a proteção de dados pessoais.
2018
Decreto nº 8.777,
de 11 de maio de Institui a Política de Dados Abertos do Poder Executivo federal.
2016
15
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Exemplo de texto
Referência: https://www.gov.br/governodigital/pt-br/governanca-de-dados/conecta-
gov.br/termos-de-uso-e-de-politica-de-privacidade/termos-de-uso-versao-1.1
O que é gov.br?
O gov.br é um projeto de unificação dos canais digitais do governo federal. Mas ele
é, acima de tudo, um projeto sobre como a relação do cidadão com o Estado deve ser:
simples e focada nas necessidades do usuário de serviços públicos.
Tudo começa pelo portal gov.br, que reúne, em um só lugar, serviços para o cidadão
e informações sobre a atuação de todas as áreas do governo. Até dezembro de 2020 os
sites do Governo estarão integrados, tornando o portal gov.br a entrada única para as
18
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Sim, ele pode avaliar os serviços do governo por meio de uma ferramenta interativa.
Tem alguma iniciativa semelhante que inspirou esse projeto do Governo Federal?
19
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Referência: https://www.gov.br/sobre/
O tratamento de dados pessoais deve ser feito de forma transparente e com respeito à
intimidade, à vida privada, à honra e à imagem das pessoas, bem como às liberdades e
garantias individuais. Os direitos do usuário em relação ao tratamento de dados pessoais
também devem ser informados neste tópico e detalhados na seção 4.5 da Política de
Privacidade.
Direito à limitação do tratamento dos dados (Art. 18, IV): é o direito do usuário de
limitar o tratamento de seus dados pessoais, podendo exigir a eliminação de dados
desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei
Geral de Proteção de Dados.
Direito de oposição (Art. 18, § 2º): é o direito do usuário de, a qualquer momento, se
opor ao tratamento de dados por motivos relacionados com a sua situação
particular, com fundamento em uma das hipóteses de dispensa de consentimento
ou em caso de descumprimento ao disposto na Lei Geral de Proteção de Dados.
Direito de portabilidade dos dados (Art. 18, V): é o direito do usuário de realizar a
portabilidade dos dados a outro fornecedor de serviço ou produto, mediante
requisição expressa, de acordo com a regulamentação da autoridade nacional,
observados os segredos comercial e industrial.
Direito de não ser submetido a decisões automatizadas (Art. 20, LGPD): o titular dos
dados tem direito a solicitar a revisão de decisões tomadas unicamente com base
em tratamento automatizado de dados pessoais que afetem seus interesses,
incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de
consumo e de crédito ou os aspectos de sua personalidade.
Referência: https://www.gov.br/governodigital/pt-br/governanca-de-dados/conecta-
gov.br/termos-de-uso-e-de-politica-de-privacidade/termos-de-uso-versao-1.1
O Termo de Uso deve evidenciar de forma clara quais são as responsabilidades de cada
parte envolvida no serviço. Ao definir responsabilidades, a Administração Pública e o cidadão
estabelecem direitos e deveres para ambas as partes e compreendem suas obrigações ao
utilizar e prover o serviço, de forma a esclarecer quais situações configuram violações aos
Termos e para quais situações cabem reparação de danos.
Responsabilidades do Usuário;
Responsabilidades da Administração Pública.
21
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
i Responsabilidade do Usuário
Exemplo de texto
RESPONSABILIDADES DO USUÁRIO
O login e senha só poderão ser utilizados pelo usuário cadastrado. O usuário deve
manter o sigilo da senha, que é pessoal e intransferível, não sendo possível, em qualquer
hipótese, a alegação de uso indevido após o ato de compartilhamento.
https://servicos.receita.fazenda.gov.br/Servicos/CPF/alterar/default.asp).
Referência: https://apps-politica-privacidade.saude.gov.br/
Além disso, a Administração Pública deve cumprir todas as legislações inerentes ao uso
correto dos dados pessoais do cidadão de forma a preservar a privacidade dos dados utilizados
no serviço, bem como garantir todos os direitos e garantias legais dos titulares dos dados. Os
órgãos e entidades públicas também devem promover, independentemente de
requerimentos, a divulgação em local de fácil acesso, no âmbito de suas competências, de
informações de interesse coletivo ou geral por eles produzidas ou custodiadas.
Exemplo de texto
ADMINISTRAÇÃO PÚBLICA
Tal dever inclui publicar e informar ao Usuário as futuras alterações a estes Termos
de Uso e Política de Privacidade por meio do sítio (https://sso.acesso.gov.br/), conforme o
princípio da publicidade estabelecido no artigo 37, caput, da Constituição Federal.
Tendo em vista que o serviço lida com informações pessoais, o usuário concorda
que não usará robôs, sistemas de varredura e armazenamento de dados (como “spiders” ou
“scrapers”), links escondidos ou qualquer outro recurso escuso, ferramenta, programa,
algoritmo ou método coletor/extrator de dados automático para acessar, adquirir, copiar ou
monitorar o serviço, sem permissão expressa e por escrito do órgão.
malware, worm, bot, backdoor, spyware, rootkit, ou de quaisquer outros que venham a ser
criados), em decorrência da navegação na Internet pelo Usuário.
Tendo em vista que o serviço lida com informações pessoais, o usuário concorda
que não usará robôs, sistemas de varredura e armazenamento de dados (como “spiders”
ou “scrapers”), links escondidos ou qualquer outro recurso escuso, ferramenta, programa,
algoritmo ou método coletor/extrator de dados automático para acessar, adquirir, copiar ou
monitorar o serviço, sem permissão expressa por escrito do órgão.
Referência: https://apps-politica-privacidade.saude.gov.br/
29
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Ela deverá ser aplicada sempre que o serviço tratar dados pessoais. Logo, faz-se
necessário vincular a Política de Privacidade ao Termo de Uso. No contexto desse tópico, deve
constar o caminho ou o link que leva até a Política de Privacidade do Órgão.
Exemplo de texto
Tal Política específica faz parte, de forma inerente, do presente Termo de Uso,
ressaltando-se que os dados pessoais tratados por esse serviço serão tratados nos termos
da legislação em vigor.
Privacidade do Usuário
Referência: https://www.adidas.com.br/help-topics-terms_and_conditions.html
Como se viu, o Termo de Uso trata do funcionamento do serviço, exibe suas regras de
uso, define responsabilidades e descreve a forma como ocorre o tratamento de dados pessoais
30
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
(dentro da Política de Privacidade). Assim, qualquer atualização ocorrida deve ser acrescentada
ao Termo.
Para tal tópico, deve ser informada ao usuário a forma de comunicação das mudanças
realizadas no Termo de Uso. A comunicação pode, por exemplo, ser feita por meio do envio
de uma mensagem para a caixa de e-mail do usuário ou diretamente na aplicação, quando o
usuário acessa o Serviço. Pode ser destacado também nesse tópico que o usuário deve acessar
o Termo de Uso com frequência para verificar se existem atualizações. Nesse contexto,
informam-se também qual a versão do Termo de Uso e a data da última atualização do
documento.
Exemplo de texto
A presente versão deste Termo de Uso foi atualizada pela última vez na data de:
24/01/2022.
Referência: https://www.serpro.gov.br/midia/cpf-digital-termos-de-uso.pdf
Referência: https://www.tjdft.jus.br/transparencia/protecao-de-dados-pessoais/termo-de-
uso
Eventuais dúvidas com relação ao serviço podem surgir. Dessa forma, é importante
que seja divulgado pelo menos um canal de atendimento (telefone para contato, endereço
de e-mail, chats, Fala BR etc.), informando o horário de atendimento, para orientações e
esclarecimentos acerca do serviço.
Vale ressaltar que, caso o usuário queira esclarecer dúvidas acerca do tratamento
de dados pessoais, recomenda-se orientá-lo a consultar a seção de informações do
Encarregado na Política de Privacidade.
Referência: https://www.semparar.com.br/termos-e-politica
1.10 Foro
Deve ser recordado que litígios que envolvam órgãos e entidades federais se sujeitam
normalmente à Justiça Federal na maior parte dos casos, ao passo que litígios que envolvam
órgãos e entidades estaduais e municipais normalmente se sujeitam à Justiça Estadual – ou à
Justiça do Distrito Federal e Territórios, no caso do Distrito Federal. De acordo com a esfera
32
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
federativa (federal, estadual ou municipal) em que o órgão estiver inserido, o texto relativo a
este tópico pode ser baseado em um dos exemplos abaixo:
Federal
Este Termo será regido pela legislação brasileira. Qualquer reclamação ou controvérsia
com base neste Termo será dirimida exclusivamente pela Justiça Federal, na seção judiciária
do domicílio do usuário, por previsão do artigo 109, §§ 1º, 2º e 3º da Constituição Federal.
Estadual
Este Termo será regido pela legislação brasileira. Qualquer reclamação ou controvérsia
com base neste Termo será dirimida exclusivamente pela Justiça Estadual, na seção judiciária
do domicílio do usuário.
Municipal
Este Termo será regido pela legislação brasileira. Qualquer reclamação ou controvérsia
com base neste Termo será dirimida exclusivamente pela Comarca.
Exemplo de texto
Referência: https://www.ufcspa.edu.br/acesso-a-informacao/lei-geral-de-protecao-de-
dados-pessoais-lgpd/termo-uso-politica-privacidade
Fica eleito o Foro da Comarca da cidade de São Paulo, Estado de São Paulo, para
dirimir quaisquer questões decorrentes destes Termos de Uso.
Referência: https://www.tjsp.jus.br/TjspMobile/TermoDeUso
Referência: https://www.gov.br/governodigital/pt-br/governanca-de-dados/conecta-
gov.br/termos-de-uso-e-de-politica-de-privacidade/termos-de-uso-versao-1.1
34
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
2 POLÍTICA DE PRIVACIDADE
A instituição que realiza o tratamento de dados pessoais, sempre que possível, deve ser
capaz de demonstrar que o titular obteve acesso a política de privacidade do serviço.
Abaixo, seguem os tópicos que devem estar presentes na Política de Privacidade, com
suas respectivas descrições e exemplos.
4
Norma ABNT/NBR/ISO 29100:2011
36
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
A Política de Privacidade deve ser acessível a todos que utilizam o serviço, para que os
usuários possam entender como funciona o tratamento de dados pessoais. Conceitos
importantes, como termos técnicos ou legais, precisam ser explicados para melhor
entendimento. É fundamental que a forma de linguagem utilizada para esclarecer os
significados das palavras seja simples e compreensível, evitando o uso de siglas, jargões e
estrangeirismos.
Além dos termos definidos no Glossário do GSI, o Art. 5º da LGPD traz as definições
que podem ser utilizadas nesse tópico da Política de Privacidade:
Encarregado: Pessoa indicada pelo controlador e operador para atuar como canal
de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional
de Proteção de Dados (ANPD).
Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador.
Órgão de Pesquisa: Órgão ou entidade da administração pública direta ou indireta
ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob
as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou
em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter
histórico, científico, tecnológico ou estatístico.
Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento.
Transferência Internacional de Dados: Transferência de dados pessoais para país
estrangeiro ou organismo internacional do qual o país seja membro.
Tratamento: Toda operação realizada com dados pessoais, como as que se referem
a coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração.
Uso Compartilhado de Dados: Comunicação, difusão, transferência internacional,
interconexão de dados pessoais ou tratamento compartilhado de bancos de dados
pessoais por órgãos e entidades públicos no cumprimento de suas competências
legais, ou entre esses e entes privados, reciprocamente, com autorização específica,
para uma ou mais modalidades de tratamento permitidas por esses entes públicos,
O tratamento de dados pessoais poderá ser realizado pelos órgãos ou entidades desde
que enquadrado em uma das hipóteses elencadas na LGPD. Tais hipóteses podem ser
compreendidas como condições necessárias para verificar se o tratamento de dados pelo
38
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Referência: https://www.tjsc.jus.br/web/ouvidoria/lei-geral-de-protecao-de-dados-
pessoais/politica-de-privacidade-e-protecao-de-dados-pessoais
2.3 Controlador
A Lei Geral de Proteção de Dados define como controlador, em seu Art. 5º, inciso VI, a
“pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais”.
Além disso, em seu Art. 9º, inciso III, a LGPD estabelece que o titular de dados pessoais
tem o direito de acesso facilitado às informações de identificação e contato do controlador,
que deverão ser disponibilizadas de forma clara, adequada e ostensiva.
39
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
1. identificação do controlador;
2. endereço do controlador;
3. informações de contato do controlador.
Exemplo de texto
E-mail: contato@ministerioXYZ.gov.br
Controlador
Responsável pelas decisões sobre o tratamento de dados pessoais nos serviços da Escola:
Referência: https://www.enap.gov.br/pt/termo-de-uso-e-politica-de-privacidade
2.4 Operador
A Lei Geral de Proteção de Dados define como operador, em seu Art. 5º, inciso VII, a
“pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados
pessoais em nome do controlador”.
Além disso, apresenta, em seu Art. 6º, o princípio da transparência, que assegura a
garantia aos titulares do fornecimento de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos agentes de tratamento.
40
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
2. endereço do operador.
Exemplo de texto
Operador
A depender do serviço a ser prestado pela Enap, o tratamento dos dados coletados pode
ser realizado por servidores da Escola ou pelas seguintes empresas contratadas para sua
execução:
Referência: https://www.enap.gov.br/pt/termo-de-uso-e-politica-de-privacidade
2.5 Encarregado
A Lei Geral de Proteção de Dados define como encarregado, em seu Art. 5º, inciso VIII,
a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre
o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
A LGPD também estabelece, em seu Art. 41, que o controlador deverá indicar um
encarregado pelo tratamento de dados e divulgar publicamente a identidade e as informações
de contato do encarregado (§1º).
Eventuais dúvidas com relação ao tratamento de dados pessoais poderão surgir. Dessa
forma, o canal pelo qual tais dúvidas podem ser sanadas necessita ser informado pelo órgão.
É importante que seja informado o canal de atendimento a ser utilizado (telefone para contato,
endereço de e-mail, chats, Fala BR etc.) e, quando houver, o horário disponível para
atendimento.
1. identificação do encarregado;
2. informações de contato do encarregado (e como proceder para tirar dúvidas
Exemplo de texto
E-mail: encarregado@ministerioxpto.gov.br.
42
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
7.0 ENCARREGADO
Referência: https://www.serpro.gov.br/privacidade-protecao-dados/termos-gerais-de-uso-
tgu_v3-2.pdf
Encarregado
Para atuar como canal de comunicação entre você, usuário do serviço e titular dos dados,
a Enap e a ANPD, foi designado como Encarregado Rebeca Loureiro de Brito.
E-mail: direx@enap.gov.br.
Referência: https://www.enap.gov.br/pt/termo-de-uso-e-politica-de-privacidade
O tratamento de dados pessoais deve ser feito de forma transparente e com respeito à
intimidade, à vida privada, à honra e à imagem das pessoas, bem como às liberdades e
garantias individuais.
Informações sobre o exercício dos direitos dos titulares dos dados perante a
Administração Pública podem ser consultadas na seção 1.3 do Guia de Boas Práticas LGPD
(CCGD, 2020), bem como nos artigos 9º e 18 da LGPD.
A proteção de dados pessoais tratados pela CVM alcança todos aqueles que com
ela se relacionem, independente do meio em que se encontram, se físico ou eletrônico, e
da forma de sua obtenção, se em coleta presencial ou remota.
Referência:
https://conteudo.cvm.gov.br/menu/acesso_informacao/planos/politicas/politicadeprivacida
de/politicadeprivacidade.html
44
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Com o objetivo de facilitar o acesso ao titular dos dados, todos os dados pessoais
tratados pelo serviço devem ser especificados neste tópico. O tratamento dos dados pessoais
tratados pelo serviço deve respeitar os princípios estabelecidos no Art. 6º da LGPD,
especialmente o princípio da necessidade, que estabelece a limitação do tratamento ao
mínimo necessário para a realização das finalidades previstas, de forma proporcional e não
excessiva.
Para mais informações sobre a coleta de dados pessoais, ver seção 2.2 do Guia de Boas
Práticas LGPD (CCGD, 2020).
Nome completo
Data de nascimento
Sexo
Filiação
Nacionalidade
Número de inscrição no CPF
Endereço de e-mail
Endereço
Número de telefone
Localização do usuário
Foto do usuário
45
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Referência: https://apps-politica-privacidade.saude.gov.br/
Além de especificar quais dados são coletados, é importante esclarecer ao titular como
os dados são obtidos. O serviço pode utilizar uma base de dados de governo que já possua os
dados necessários à prestação do serviço e pode coletá-los durante o uso do serviço em seu
sítio. Pode, ainda, coletar informações por meio de funcionalidades específicas do dispositivo
do usuário – como, por exemplo, pela câmera. Dessa forma, para cada dado pessoal utilizado
no serviço, deve-se informar ao titular como tal dado foi ou será obtido.
Para mais informações sobre identificação e avaliação de riscos, consulte a seção 2.5.2.6
do Guia de Boas Práticas LGPD (CCGD, 2020).
Referência: https://apps-politica-privacidade.saude.gov.br/
Além de informar quais os dados pessoais coletados e a forma como são coletados, a
Administração Pública deve informar ao titular qual o tratamento realizado com os dados
pessoais e para qual finalidade.
A LGPD, em seu Art. 5º, inciso X, considera tratamento “toda operação realizada com
dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação, transferência,
difusão ou extração”.
A título exemplificativo, um dado pessoal como o CPF pode ser tratado de formas
diferentes por serviços diferentes com finalidades diferentes. Um serviço pode utilizar o CPF
somente com o objetivo de cadastrar o cidadão, enquanto outro serviço pode utilizá-lo para
realizar tratamentos automatizados e cruzamento de dados para fornecer informações
facilitadas ao cidadão.
Referência: https://apps-politica-privacidade.saude.gov.br/
Referência: https://apps-politica-privacidade.saude.gov.br/
Dado Finalidade
Para estar em conformidade com a LGPD, o serviço deverá informar ao titular do dado
que utilize o serviço sobre o uso compartilhado de dados pelo controlador e a finalidade de
seu compartilhamento, conforme previsto no Art. 9º, inciso V da LGPD. Deve-se atender, além
disso, o disposto no Art. 26 da LGPD, que trata do uso compartilhado de dados pessoais pelo
Poder Público.
Investigações judiciais
Referência: https://www.enap.gov.br/pt/termo-de-uso-e-politica-de-privacidade
Alguns serviços podem envolver transferência de dados entre países – como, por
exemplo, quando há cooperação jurídica internacional entre órgãos públicos de inteligência,
de investigação e de persecução. Para esses casos, deve-se deixar claro para o titular quais os
dados serão transferidos internacionalmente, para qual finalidade, quais países estão
envolvidos e qual o grau de proteção e privacidade fornecido por eles.
1. dados transferidos;
2. finalidade da transferência internacional de dados;
3. quais os países envolvidos e o grau de proteção de dados pessoais fornecido
por eles.
54
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Referência: https://www.b3.com.br/pt_br/termos-de-uso-e-protecao-de-dados/declaracao-
de-protecao-de-dados-pessoais/
O site utiliza criptografia para que os dados sejam transmitidos de forma segura e
confidencial, de maneira que a transmissão dos dados entre o servidor e o usuário, e em
retroalimentação, ocorra de maneira totalmente cifrada ou encriptada.
Referência: https://www.gov.br/governodigital/pt-br/governanca-de-dados/conecta-
gov.br/termos-de-uso-e-de-politica-de-privacidade/termos-de-uso-versao-1.1
56
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
A B3 leva a sério a proteção dos seus dados pessoais em suas atividades com
padrões rígidos de segurança e confidencialidade, fornecendo aos nossos clientes um
ambiente seguro e confiável. Usamos ferramentas e tecnologias para manter a integridade
e confidencialidade das suas informações, além de protegê-las de acessos não
autorizados.
Referência: https://www.b3.com.br/pt_br/termos-de-uso-e-protecao-de-dados/declaracao-
de-protecao-de-dados-pessoais/
2.13 Cookies5
Cookies são pequenos arquivos de texto que os sites salvam no seu dispositivo
enquanto você navega. Trata-se de uma ferramenta importante para fornecer uma grande
quantidade de informações sobre a atividade online dos usuários.
Se, por um lado, eles oferecem facilidades para tornar a navegação mais ágil – por
exemplo, histórico de navegação, logins e senhas – de outro, são considerados em certos
aspectos invasivos. Os cookies podem armazenar uma grande quantidade de dados, sendo
alguns destes suficientes para identificar o titular de dados pessoais. Nesse cenário e
considerando o disposto na LGPD, não é indicado utilizar cookies sem hipótese legal que
considere a prévia autorização do usuário ou qualquer outra hipótese que respalde a coleta
de cookies, estando os sites obrigados a avisar sobre a utilização de cookies e informar a
respeito de quais dados pessoais são coletados, armazenados e para qual finalidade.
5
Referência: https://gdpr.eu/cookies/
58
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Cookies
É sempre bom lembrar que você pode gerenciar ou desabilitar os cookies nas
configurações do seu navegador. No entanto, lembramos que, como alguns deles são
necessários para possibilitar a utilização do nosso site, ao desabilitar todos os cookies
pode ser que não consiga acessar integralmente nosso site.
Para te deixar mais por dentro, vamos dar um exemplo de como nós usamos os
cookies. Nosso site, por meio dos cookies, realiza a contagem de quantos visitantes
acessaram a página. Ele também filtra algumas informações de acordo com quem acessa
o site, tipo assim: se na primeira vez que você acessou o nosso site, resolveu que gostaria
de ver as informações em inglês, então os cookies vão possibilitar que da próxima vez
que você acessar o site todas as informações já estejam nesse idioma. Isso possibilita
para você uma navegação descomplicada e do seu jeitinho! Esse é só um exemplo, se
quiser saber mais, procura a gente, que podemos conversar.
Referência: https://www.picpay.com/app_webviews/privacy/
objetivo;
duração;
origem.
o Esses cookies permitem que um site se lembre de escolhas que você fez
a senha.
Cookies de estatísticas
o Esses cookies coletam informações sobre como o usuário utiliza um site,
quais páginas ele visitou e quais links ele clicou. Nenhuma dessas
informações poderá ser usada para identificar o titular de dados
pessoais. Seu único objetivo é melhorar as funções do site baseado nas
estatísticas coletadas.
Cookies de marketing
o Esses cookies rastreiam a atividade online do usuário para ajudar os
anunciantes a fornecer publicidade mais relevante para quem usa o site,
podendo estas informações serem compartilhadas com outras
organizações. São cookies persistentes e quase sempre de proveniência
de terceiros.
Cookies de sessão
o São temporários e expiram quando usuário fecha o navegador ou
quando a sessão termina.
60
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Cookies persistentes
o Esta categoria de cookie permanece no disco rígido do usuário até que
ele o apague ou o navegador faça esse procedimento baseado no
tempo de duração do cookie, pois todos os cookies persistentes têm uma
Proveniência
Cookies primários
o Como o nome indica, os cookies primários são colocados no dispositivo
do usuário diretamente pelo site que ele está visitando.
Cookies de terceiros
o Esses são os cookies que são colocados no dispositivo do usuário – não
pelo site que ele está visitando, mas por um terceiro, como um
Determinados dados pessoais podem ser utilizados para outras finalidades além
daquelas relacionadas ao serviço. Informações sobre os dispositivos como modelo do
hardware, tipo de sistema operacional, navegador utilizado para o acesso, localização, dentre
outros, podem ser utilizados para melhoria contínua dos serviços e aprimoramento da
experiência do usuário.
Desde que anonimizados, esses dados também podem ser utilizados para fins de
pesquisa por órgãos de pesquisa, podem ser utilizados de maneira agregada para divulgação
de informações via meios de comunicação, e em publicações científicas e educacionais.
Assim, qualquer tratamento posterior dos dados pessoais para outras finalidades deve
ser comunicado ao titular do dado.
A comunicação pode ser feita enviando uma mensagem para caixa de e-mail ou
diretamente na aplicação, quando o usuário acessa o serviço. Pode ser destacado também
nesse tópico que o usuário deve acessar a Política de Privacidade com frequência para verificar
se existem atualizações.
Deverá ser informado também nesse tópico qual a versão da Política de Privacidade e
a data da última atualização do documento.
Exemplo de texto
Atualização
Podemos atualizar a nossa Política de Privacidade com certa frequência. Mas não
se preocupe! Se alterarmos a finalidade de algum tratamento que precise do seu
consentimento, você pode retirar essa permissão, através da nossa Central de Ajuda. Nós
convidamos você a sempre rever este documento para se manter informado sobre nossas
práticas de tratamento de dados pessoais.
Referência: https://www.picpay.com/app_webviews/privacy/
63
GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS
Versão 1.2
operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd
REFERÊNCIAS BIBLIOGRÁFICAS
ALL ABOUT COOKIES. 2020. Disponível em:
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei nº
13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível
em: < http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm >.
Acesso em: 04 set. 2020.
https://www.gov.uk/government/publications/data-protection-act-dpa-informationhm-revenue-
and-customs-hold-about-you/data-protection-act-dpa-information-hmrevenue-and-customs-
hold-about-you>. Acesso em: 03 de set. de 2020.
ANEXO I
Este anexo tem a finalidade de fornecer os destaques das mudanças inseridas nesta
versão do Guia de Elaboração do Termo de Uso e Política de Privacidade em comparação com
o documento publicado em junho de 2022.