Escolar Documentos
Profissional Documentos
Cultura Documentos
PROGRAMA DE
GOVERNANÇA EM
PRIVACIDADE
Brasília – DF
2022
MINISTÉRIO DA SAÚDE
Assessoria Especial de Proteção de Dados
PROGRAMA DE
GOVERNANÇA EM
PRIVACIDADE
Brasília – DF
2022
2022 Ministério da Saúde.
Esta obra é disponibilizada nos termos da Licença Creative Commons – Atribuição – Não Comercial – Compartilhamento pela
mesma licença 4.0 Internacional. É permitida a reprodução parcial ou total desta obra, desde que citada a fonte.
A coleção institucional do Ministério da Saúde pode ser acessada, na íntegra, na Biblioteca Virtual em Saúde do Ministério da
Saúde: http://bvsms.saude.gov.br.
Tiragem: 1ª edição – 2022 – versão eletrônica
Elaboração, distribuição e informações:
MINISTÉRIO DA SAÚDE
Assessoria Especial de Proteção de Dados
Esplanada dos Ministérios, bloco G,
5º andar, sala 521-b
CEP: 70058-900 – Brasília/DF
Tel.: (61) 3315-2862
Departamento de Informática do Sistema Único de Saúde
Esplanada dos Ministérios, Bloco G, Ed. Anexo A,
1º andar, Sala 107
CEP: 70058-900 - Brasília/DF
Tel: (61) 3315-2166
Elaboração de texto:
Daniela Barros do Nascimento
Germano José Avendaño Celin
Graziella Cervo Santana
Juliana de Oliveira Moreira
Letícia de Oliveira Fraga de Aguiar
Marcelo Dias de Sá
Márcio Neves Arbach
Nilton Moreira dos Santos
Victor Alex Begnini
Waldyr Lima Júnior
Editora responsável:
MINISTÉRIO DA SAÚDE
Secretaria-Executiva
Subsecretaria de Assuntos Administrativos
Coordenação-Geral de Documentação e Informação
Coordenação de Gestão Editorial
Esplanada dos Ministérios, bloco G, Edifício Anexo, 3ª andar, sala 374-A
CEP: 70058-900-040 – Brasília/DF
Tels.: (61) 3315-7790 / 3315-7791
E-mail: editora.ms@saude.gov.br
Equipe editorial:
Normalização: Valéria Gameleira da Mota
Revisão textual: Khamila Silva e Tatiane Souza
Design editorial: Marcos Melquíades
Ficha Catalográfica
Brasil. Ministério da Saúde. Assessoria Especial de Proteção de Dados.
Programa de Governança em Privacidade [recurso eletrônico] / Ministério da Saúde, Assessoria Especial de Proteção de Dados. – Brasília : Ministério
da Saúde, 2022.
24 p. : il.
Modo de acesso: World Wide Web: http://bvsms.saude.gov.br/bvs/publicacoes/programa_governanca_privacidade.pdf
ISBN 978-65-5993-389-1
1. Governança. 2. Privacidade. 3. Leis sobre a Privacidade. I. Título.
CDU 342.721
Catalogação na fonte – Coordenação-Geral de Documentação e Informação – Editora MS – OS 2022/0542
Título para indexação:
Privacy Governance Program (PGP)
SUMÁRIO
1 PROGRAMA DE 2.2.5 Medidas e Política de Segurança da
Informação e Política de Privacidade 16
GOVERNANÇA EM
2.2.6 Adequação Cláusulas Contratuais 17
PRIVACIDADE 4
2.2.7 Termo de Uso 19
1.1 O que é 4
2.3 Monitoramento 20
1.2 Objetivo 5
2.3.1 Indicadores de Performance 20
2 ETAPAS DO PROGRAMA 2.3.2 Plano de Resposta a Incidentes de
DE GOVERNANÇA EM Privacidade e Segurança 21
PRIVACIDADE 6 REFERÊNCIAS 22
2.1 Iniciação e Planejamento 6
BIBLIOGRAFIAS 23
2.1.1 O Encarregado 6
2.1.2 Alinhamento de Expectativas com
a Alta Administração 7
2.1.3 Maturidade da Organização 7
2.1.4 Medidas de Segurança 10
2.1.5 Estrutura Organizacional para
Governança e Gestão da Proteção
de Dados Pessoais 10
2.1.6 Inventário de Dados Pessoais 12
2.2 Construção e Execução 13
2.2.1 Políticas e práticas para proteção
da privacidade do cidadão 13
2.2.2 Cultura de segurança e proteção
de dados 14
2.2.3 Privacidade desde a Concepção –
privacy by design 15
2.2.4 Relatório de Impacto à Proteção de
Dados Pessoais – Ripd 15
MINISTÉRIO
4 DA SAÚDE
1 PROGRAMA DE GOVERNANÇA
EM PRIVACIDADE
1.1 O que é
A Lei n.° 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais
(LGPD), vigente desde setembro de 2020, dispõe sobre o tratamento de dados pessoais,
inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público
ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de
privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural.
A lei estabelece, em seu art. 50, que os controladores, no âmbito de suas
competências, pelo tratamento de dados pessoais, poderão formular regras de boas
práticas e de governança que estabeleçam as condições de organização e funcionamento,
assim como demais procedimentos relacionados ao tratamento de dados pessoais.
Diante disso, o Ministério da Saúde (MS), em consonância com seu papel de
controlador, por intermédio da Assessoria Especial de Proteção de Dados (AEPD),
elaborou este Programa de Governança em Privacidade (PGP/MS). O Programa é um
primeiro esforço em busca da adequação do MS aos principais ditames da LGPD.
O acompanhamento das ações do PGP/MS será realizado no âmbito de quatro
estruturas de governança do MS: inicialmente pela AEPD, que fará o monitoramento
contínuo das ações previstas no Programa, pelo Comitê Executivo de TIC (Cetic/MS) e
pelo Comitê de Governança Digital (CGD/MS) e, no que couber, pelo Comitê Interno
de Governança (CIG/MS).
O Programa foi elaborado em consonância com o Guia de Elaboração de Programa
de Governança em Privacidade da Secretaria de Governo Digital do Ministério da Economia
(SGD/ME) e está organizado em três tópicos principais, que correspondem às etapas
“Iniciação e Planejamento”; “Construção e Execução” e “Monitoramento”. As etapas, por
sua vez, estão estruturadas em subtópicos que correspondem aos marcos do PGP/MS.
PROGRAMA DE GOVERNANÇA EM PRIVACIDADE 5
1.2 Objetivo
O PGP/MS tem como objetivo orientar a implementação da proteção de dados
pessoais e privacidade no MS, em conformidade com os requisitos da LGPD, levando
em consideração os aspectos elencados no art. 50, inciso I, da Lei n.° 13.709/2018.
MINISTÉRIO
6 DA SAÚDE
2 ETAPAS DO PROGRAMA
DE GOVERNANÇA EM
PRIVACIDADE
2.1.1 O Encarregado
Responsável por atuar como canal de comunicação entre o controlador, os
titulares dos dados e a ANPD, o encarregado pelo tratamento de dados pessoais tem
as seguintes atribuições:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em
normas complementares (BRASIL, 2018, art. 41).
Dimensão Índice
Governança 0,2
Conformidade legal e respeito aos princípios 0,29
Transparência e direitos do titular 0,14
Rastreabilidade 0,46
Adequação de contratos e de relações com parceiros 1
Segurança da informação 0,4
Violações de dados 0,1
Índice de Adequação à LGPD (inicial) 0,44 (Básico)
Fonte: SGD/ME.
Dimensão Índice
Governança 0,57
Conformidade legal e respeito aos princípios 0,28
Transparência e direitos do titular 0,53
Rastreabilidade 0,5
Adequação de contratos e de relações com parceiros 0,2
Segurança da informação 0,38
Violações de dados 0,48
Índice de Adequação à LGPD 0,42 (Básico)
Fonte: SGD/ME.
O art. 32 da LGPD preconiza que a ANPD poderá solicitar aos agentes do Poder
Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir
a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo
Poder Público.
Ao elaborar o Ripd, o Ministério realiza avaliação da conformidade de suas
operações de tratamento de dados em relação ao previsto pela LGPD, propiciando
que sejam tomadas as medidas necessárias para a proteção dos dados pessoais e para
assegurar os direitos dos titulares desses dados.
Além disso, evidencia que o MS está aderente ao princípio da responsabilização
e à prestação de contas (LGPD art. 6º, X), ao demonstrar a adoção de medidas eficazes
e capazes de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais.
A orientação da SGD é para que o Ripd seja publicado em versão resumida,
contemplando o fornecimento das informações sobre a previsão legal, a finalidade, os
procedimentos e as práticas utilizadas para a execução dos tratamentos de dados pessoais.
De acordo com a SGD/ME, o Ripd deve ser elaborado antes do órgão iniciar o
tratamento de dados pessoais, preferencialmente, na fase inicial do programa, projeto
ou serviço que tem o propósito de usar esses dados.
Conforme o art. 38, parágrafo único (LGPD):
(...) o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a
metodologia utilizada para a coleta e para a garantia da segurança das informações e a
análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação
de risco adotados.
foram traçadas algumas diretrizes que orientam a adequação contratual aos moldes
legais exigidos.
O Parecer n.º 00004/2022/CNMLC/CGU/AGU, elaborado no âmbito da Câmara
Nacional de Modelos de Licitações e Contratos Administrativos, da Consultoria-Geral da
União aborda a aplicação da Lei Geral de Proteção de Dados em Licitações e Contratos
e tem a seguinte conclusão:
A contratação do serviço de armazenamento de dados em nuvem é lícita, prevista
de forma expressa no ordenamento vigente e se encontra incorporada à prática
de gestão de TIC do governo federal.
No que se refere à transferência internacional de dados pessoais, a contratação
é possível nas hipóteses do art. 33 da LGPD, atentando-se para o fato de que
pontuais incisos ainda aguardam regulamentação por parte da ANPD e de que
a transferência para empresas privadas necessita observar o art. 26 da LGPD.
Enquanto não é editada essa regulamentação, em especial no que se refere às
contratações públicas, recomenda-se inserção de cláusula genérica nas minutas
contratuais que eventualmente possam exigir transferência internacional nos
termos sugeridos na fundamentação anterior.
Caso a própria Administração necessite efetuar transferência internacional de
dados, também deverá observar essas hipóteses restritas do art. 33 da LGPD,
bem como o art. 26 dessa lei.
A contratação de suboperador de dados é, em princípio, lícita, pois não há
vedação na legislação vigente.
Respondem, de forma solidária, todos os agentes de tratamento pelos danos
eventualmente causados.
Recomenda-se que haja inclusão de cláusula para tratar do tema dos impactos
da LGPD nas subcontratações.
Pode ser exigida declaração da contratada de que seu pessoal cumpre
adequadamente a LGPD.
Entende-se possível a exigência de uma declaração que dê conta da adaptação
da licitante ou contratada aos termos da LGPD, inclusive no que se refere ao
conhecimento necessário dos empregados para o cumprimento dos deveres da lei.
É possível que a Administração realize diligências para aferir o cumprimento da
LGPD pela licitante ou pela contratada.
É recomendável inclusão de disposições específicas no termo de referência
ou no projeto básico para abordar as questões tratadas, podendo-se adotar,
como sugestão.
PROGRAMA DE GOVERNANÇA EM PRIVACIDADE 19
2.3 Monitoramento
O monitoramento será implementado após a consolidação do Programa
de Governança em Privacidade no âmbito da saúde, visando mensurar o grau de
conformidade com a LGPD e garantir o aprimoramento do Programa, com base nos
seguintes marcos: Indicadores de Performance e Plano de Resposta a Incidentes de
Privacidade e Segurança.
REFERÊNCIAS
BRASIL. Decreto n.º 11.098, de 20 de junho 28 de 2022. Aprova a Estrutura
Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de
Confiança do Ministério da Saúde e remaneja e transforma cargos em comissão e
funções de confiança. Brasília, DF: Imprensa Nacional, 2022. Disponível em: https://
www.in.gov.br/web/dou/-/decreto-n-11.098-de-20-de-junho-de-2022-408904817.
Acesso em: 3 nov. 2022.
BRASIL. Ministério da Economia. Secretaria de Governo Digital. Guia de Elaboração
de Programa de Governança em Privacidade - Lei Geral de Proteção de Dados
(LGPD). Brasília, DF: ME, 2020. Disponivel em: https://www.gov.br/governodigital/pt-
br/seguranca-e-protecao-de-dados/guias/guia_governanca_privacidade.pdf. Acesso
em: 1 nov. 2022.
BRASIL. Presidência da República. Secretaria-Geral. Lei n.° 13.709, de 14 de agosto
de 2018. Brasília, DF: PR, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_
ato2015-2018/2018/lei/L13709.htm. Acesso em: 1 nov. 2022.
PROGRAMA DE GOVERNANÇA EM PRIVACIDADE 23
BIBLIOGRAFIAS
BRASIL. Ministério da Economia. Secretaria de Governo Digital. Instrução
Normativa n.º 1, de 4 de abril de 2019. Dispõe sobre o processo de contratação
de soluções de Tecnologia da Informação e Comunicação - TIC pelos órgãos e
entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da
Informação - SISP do Poder Executivo Federal. Brasília, DF: ME, 2019. Disponível em:
https://www.gov.br/governodigital/pt-br/contratacoes/instrucao-normativa-sgd-me-
no-1-de-4-de-abril-de-2019. Acesso em: 1 nov. 2022.
BRASIL. Ministério da Economia. Secretaria de Governo Digital. Portaria n.º 778,
de 4 de abril de 2019. Dispõe sobre a implantação da Governança de Tecnologia
da Informação e Comunicação nos órgãos e entidades pertencentes ao Sistema
de Administração dos Recursos de Tecnologia da Informação do Poder Executivo
Federal. Brasília, DF: ME, 2019. Disponível em: https://www.in.gov.br/materia/-/asset_
publisher/Kujrw0TZC2Mb/content/id/70268218. Acesso em: 2 nov. 2022.
BRASIL. Ministério da Saúde. Portaria GM/MS n.º 3.295, de 17 de agosto
de 2022. Institui o Comitê de Governança Digital no âmbito do Ministério da
Saúde. Brasília, DF: MS, 2022. Disponível em: https://brasilsus.com.br/wp-content/
uploads/2022/08/portaria3295.pdf. Acesso em: 1 nov. 2022.
BRASIL. Ministério da Saúde. Portaria GM/MS n.º 307, de 22 de fevereiro de
2021. Aprova o Planejamento Estratégico do Ministério da Saúde para o período de
2020-2023, e dá outras providências. Brasilia, DF: MS, 2021. Disponível em: https://
bvsms.saude.gov.br/bvs/saudelegis/gm/2021/prt0307_23_02_2021.html. Acesso em:
1 nov. 2022.
BRASIL. Ministério da Saúde. Portaria GM/MS n.º 870, de 3 de maio de 2021.
Institui o Comitê Interno de Governança do Ministério da Saúde – CIG. 2022.-MS.
Brasília, DF: MS,2021. Disponível em: https://brasilsus.com.br/wp-content/
uploads/2021/05/portaria870.pdf. Acesso em: 9 nov.
MINISTÉRIO
24 DA SAÚDE