Escolar Documentos
Profissional Documentos
Cultura Documentos
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
PlanodeadequaçãodaUFCàLGPD
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
1
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
INFORMAÇÕESSOBREVERSÕESAPÓSREVISÕES
DATA DESCRIÇÃO VERSÃO AUTORES
15/04/2021 Versãoaprovada 1.0 GrupodeTrabalho
peloCPPDP LGPD
● VersãoInicialdoplanodeadequação-PodendosofreralteraçõesapósaexecuçãodoPlanoPiloto.
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
2
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
SUMÁRIO
1.APRESENTAÇÃO 4
2.INTRODUÇÃO 5
2.1.ObjetivosdoPlanodeAdequação 6
2.2.AnáliseInstitucional 6
2.3OComitêdePrivacidadeeProteçãodeDadosPessoais 7
3.PLANODEAÇÃO 8
3.1Cronograma 10
3.2Etapas 10
4.EXECUÇÃODOPROJETOPILOTO(ApósexecuçãodoPlanoPiloto)
5.REVISÃODOPLANO(ApósexecuçãodoPlanoPiloto)
ANEXOA-ListadeAçõesporGrupodeTrabalho 13
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
3
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
1.APRESENTAÇÃO
O Plano de Adequação à Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018, da
Universidade Federal do Ceará é um documento que contém as diretrizes para umaboa
governançaealinhamentoàspráticasdalegislaçãoqueentrouemvigorapartirdodia18
de setembro de 2020. Este documento tem como objetivo alicerçar e consolidar o
planejamentodasaçõeseatividadesaseremdesenvolvidas.
Ademais, é válido salientar que a UFC, como instituição de ensino superior, possui um
conjunto de dados relativos a servidores, discentes e docentes. Nesse contexto, dada a
natureza de pessoa jurídica de direito público, a UFC possui o dever de atender aos
preceitosnormativosnoqueserefereaotratamentodedadospessoais,sejamelesdigitais
ou não. Dessa forma, a fim de tornar transparente à comunidade em geral acerca da
execução das ações, torna-se relevante publicizá-las por meio deste plano. Por fim,
ressalta-se que no decorrer da adequação, poderão ocorrer modificações,
aperfeiçoamentoseatualizaçõesdestedocumento.
Este documento responde “o quê?” a UFC realizará para adequar-se à LGPD. No
documento Manual do Processo de Adequação da UFC à LGPD responde-se “Como?”
faremosasaçõesdefinidasnesteplano.
2.INTRODUÇÃO
Amaioriadospaísescriaramlegislaçõesquegarantemaproteçãodedadospessoais.Na
união européia há a GDPR (General Data Protection Regulation). Embora os Estados
Unidosnãotenhaumaleifederaldeproteçãodedadospessoais,algunsestadospossuem,
como a Califórnia com a Califórnia Consumer Privacy Act (CCPA). Na América Látina, a
Argentina foi a pioneira ao instituir a Ley de Protección de los Datos Personales no ano
2000.
O Brasilprecisavadeumaleiquegarantisseodireitodaprivacidadeeproteçãodedados
pessoais. Em 2010 ocorreu aprimeiraconsultapúblicaarespeitodotema.Nomarcocivil
(Lei12965/2014)sãoesboçadasalgumasgarantiasaostitularesdedadospessoais.Diante
da necessidade de ordenamento jurídico a respeito da privacidade, tanto parasegurança
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
4
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
jurídica dos cidadãos quanto para aproveitamento de oportunidades das empresas
brasileirasrealizaremcontratoscomempresasdepaísesqueexigemlegislaçãoespecífica
de proteção de dados. A GDPR, seja pelo seu longo processo de amadurecimento, seja
pelagrandeinfluênciaqueestatemglobalmente,influenciouaelaboraçãodaLeiGeralde
ProteçãodeDadosPessoais(L ei13709/2018).
A LGPD busca equilibrar o desenvolvimento econômico, seja em setores públicos ou
privados,comainviolabilidadededireitosconstitucionaisdoscidadãoscomoaliberdade,a
privacidade e o livre desenvolvimento da personalidade natural. Não se deve ter o
entendimento de que esta Lei tem oobjetivodeeliminarotratamentodedadospessoais,
mas sim dar transparência ao titular dos dados sobre a finalidade do tratamento desses
dados,sendoimprescindível,salvoexceções,apermissãoparausodestesdados.
Esta Lei traz uma evolução à sociedade brasileira e a Universidade Federal do Ceará
entendequeiremosobservartodosospontosquetemoscompetência.
A Universidade Federal do Ceará, sabendo da importância e urgência do tema, está
desenvolvendo instrumentos para garantir os direitos dos titulares de dados pessoaisea
adequação de seus processos e serviços à LGPD através das melhores práticas de
governança em privacidade e proteção de dados. A finalidade deste documento é
apresentar à comunidade acadêmica e à sociedade um plano composto por ações que
almejamacontinuidadedeummodelodegestãocujosfundamentostambémsejamosque
estão contidos no artigo 2º daLGPD.Entendemosacomplexidadedodesafio,diantedas
necessidades que deverão ser atendidas. No entanto, contamos com osuportedanossa
comunidade acadêmica que concentra esforços para o alcance das nossas metas e
objetivos.
2.1.ObjetivosdoPlanodeAdequação
Objetivogeral:
RealizaraadequaçãodaLGPDàUFC,emseusprocessoseserviços,dandogarantiaaos
titulares quanto à proteção e privacidade dos dados salvaguardados por esta instituição.
Assim como contribuir paraodesenvolvimentodesoluçõesdeadequaçãoàLGPDparao
desenvolvimentodoestadobemcomodopaís.
Objetivosespecíficos:
● Desenvolver tecnologias e processos que garantam os direitos dos titulares de
dadospessoais;
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
5
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
● Desenvolverplanodecapacitaçãosobreprivacidadeeproteçãodedadospessoais,
paratécnicosadministrativos,discentesedocentes;
● GarantiraçõesdesegurançadainformaçãoaosdadospessoaistratadospelaUFC;
● Realizar oinventáriodedadospessoais
● Adotarcontrolesdesegurança adequadosparaotratamentodosdados;
● Adequar osprocessoseserviçosseguindoboaspráticasdeminimizaçãodedados
pessoais,privacidadeporpadrãoeprivacidadedesdeaconcepção;
● ProduzirrelatóriosdeImpactoeProteçãodeDadosPessoais;
● Estabelecerprocessodecomunicaçãodeincidentesdesegurançaouvazamentode
dadospessoais.
2.2.AnáliseInstitucional
A Universidade Federal do Ceará possui a missão de formar profissionais da mais alta
qualificação, gerar e difundir conhecimentos, preservar e divulgar os valores éticos,
científicos, artísticos e culturais, constituindo-se em instituição estratégica para o
desenvolvimento do Ceará, do Nordeste e do Brasil. Nesse viés, é imperativoquehajao
empenho na busca por melhores resultados no que diz respeito ao uso, proteção,
conscientizaçãoedotratamentodosdadospessoaisdetodaacomunidadeacadêmica.
AorealizaroalinhamentoentreasprerrogativasdaLGPDeocenáriodaUFC,percebe-se
quetrata-sedeumalinhamentoestratégico,tendoemvistaqueenvolvetodaainstituição.
Dessa forma, o Plano de Desenvolvimento Institucional (PDI), por tratar do planejamento
global, deve ser considerado como referência para o desenvolvimento daadequaçãodos
dados.Alémdisso,éprecisoconsiderarousoeanecessidadedastecnologiasdeanálise
de dados. Por isso, a orientação e consonância de acordo com o Plano Diretor de
Tecnologia da Informação e Comunicação (PDTIC) 2018 - 2022 obedece opropósitodas
melhores práticas para informar aos usuários acerca da utilização dos seus dados.
Ademais, verifica-se a relevância e o estreito relacionamento que este plano possui com
relação aoPlanodeDadosAbertos(PDA)2020-2022,vistoqueapromoçãodeabertura
de dados produz impactos no seu tratamento, bem como na sua disponibilização à
sociedadeemgeral.E,porfim,éestabelecidoorelacionamentoeformalizaçãoburocrática
comoComitêAdministrativodeTI(CATI),jáqueestepossuicomoumadeduasfinalidades
responsabilizar-sepelaguardadedadosinstitucionaisepelasuadisponibilizaçãoparauso
pelaadministraçãosuperior,bemcomopelaadministraçãoacadêmicadauniversidade.
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
6
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
2.3OComitêdePrivacidadeeProteçãodeDadosPessoais
1. EstudarasparticularidadesdaLeiparaarealidadedaUFC;
2. RealizaromapeamentodosdadospessoaistratadospelaUFC;
3. Avaliação do tratamento dos dados (coleta, produção, recepção, classificação,
utilização,acesso,reprodução,transmissão,distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação,comunicação,transferência,difusãoouextraçãodedadospessoais);
4. Monitorar e executar ações de segurança da informação e de tratamento de
incidentes;
5. Realizar ações de capacitação e de conscientizaçãonaUFCsobreprivacidadede
dadospessoais;
6. Elaboração de política/estratégia de comunicação, governança, anonimização,
higienizaçãoedescartededados,gestãodoconsentimentodedados,dentreoutras
medidasnecessáriasaotratamentodedadosnoâmbitodaInstituição.
Para a presidência do comitê foi designado o servidor Amarildo Maia Rolim, responsável
por conduzir as primeiras ações do comitê. As ações iniciais tiveram como intuito
estabelecerreuniõesregularescomosintegrantesdocomitêeacriaçãodeumportalpara
divulgação de informações sobre a LGPD na UFC. Nas agendas das reuniões foram
tratados os temas de identificação dos agentes de tratamento e a necessidade de
elaboração do Programa de Governança em Privacidade. Este último tema usou como
referência os “Guias operacionais paraadequaçãoàLGPD”daSecretariadeGovernança
Digital(SGD),vinculadaaoMinistériodaEconomia.
Entre as realizações das reuniões, tivemos acesso à Instrução Normativa 117/2020 da
SGD,quedispõesobreaindicaçãodoEncarregado.Entendendoanecessidadedeindicar
comoEncarregadoalguémcomconhecimentosmultidisciplinares(análisejurídica,proteção
dedadospessoais,gestãoderiscoseacessoàinformaçãonosetorpúblico),acessodireto
à alta administração e pronto apoio das unidades administrativas no atendimento das
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
7
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
solicitaçõesdeinformações,oProfessorSidneyGuerra,atualmenteOuvidorGeraldaUFC,
foidesignadoEncarregadodaUFCem19/01/2021,atravésdoOfício19/2021/GR/Reitoria.
Desde então, o Encarregado vem contribuindo e somando forças a este projeto de
adequação.
3.PLANODEAÇÃO
Paraaconduçãodotrabalhodeadequação,foidesenvolvidooProcessodeadequaçãoda
UFCàLGPD.EsseprocessofoiinspiradonoPDCA,queéumametodologiadegestãoque
prevê a execução de ações em iterações compostos pelas fases: Planejar (Plan), Fazer
(Do),Verificar(Check)eAgir(Act).AdecisãoporseguirumametodologiaPDCAébaseada
em queelaprevêamelhoriacontínuadoprocesso,atravésdasfasesVerificareAgir,que
tratamdaverificaçãodosresultadosobtidosearealizaçãodeajustesnoprocessoafimde
melhorá-lo.
OProcessodeadequaçãodaUFCàLGPDtambémprevêacriaçãodegruposdetrabalho
especializados, que ficarão responsáveis pela execução das ações de adequação.Esses
grupos de trabalho ficarão responsáveis por ações de diagnóstico, adequação,
monitoramento e garantia de adequação, relacionadas às suas áreas de especialização.
Estesgrupossão:
● Grupo de Trabalho responsável pela coordenação das ações de adequação:
Coordenartodososdemaisgruposdetrabalho,afimdequecolaborememproldo
sucessodainiciativadeadequaçãodaUFCàLGPD;
● Grupo de Trabalho responsável pelo eixo Comunicação: Promover a
publicidadeecomunicaçãodasaçõesdaLGPDentreosatoresdoplano(comitêde
privacidade e encarregado) e a comunidade acadêmica (docentes, discentes e
técnicosadministrativos).
● GrupodeTrabalhoresponsávelpeloeixoSegurançadaInformação:Identificar
e sugerir ações de proteção de dados e coordenar as ações de tratamento de
incidenteemprivacidade;
● Grupo de Trabalho responsável pelo eixo Capacitação: Desenvolver plano de
capacitaçãocompostoporcursosquealcancemclientesinternoseexternosdaUFC
notemadeproteçãoeprivacidadededados;
● Grupo de Trabalho responsável pelo eixo Processos de Negócio: Desenhar
processos que garantam a privacidade e proteção de dados nos serviços e
processosdocotidiano;
● Grupo de Trabalho responsável pelo eixo Jurídico: Coordenar as ações de
adequaçãodosinstrumentosconvocatórios,contratosenormativosàLGPD;
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
8
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
● GrupodeTrabalhoresponsávelpeloeixoSistemasdeInformação:Desenvolver
açõesdeadequaçãodossistemaseaplicativosàLGPD
O processo também prevê a utilização de indicadores, para acompanharaexecuçãodas
ações, bem como prevê as responsabilidades dos grupos de trabalho e do Comitê de
ProteçãodeDadosPessoaisdaUFCnoplanejamentoeexecuçãodasações.
Omodeloabaixoesquematizaesteprocesso:
Eleseráexecutadoemiterações,estruturadasnosseguintessubprocessos:
● 1. Realizar diagnóstico: tem como objetivo amadurecer o conhecimento que a
UFCpossuisobreseuníveldematuridadeemprivacidadededadospessoais,bem
comoidentificaralacunaqueháentreoníveldematuridadeatualeonívelquese
buscaalcançar;
● 2. Planejar iteração: tem como objetivo desenvolver o plano de ação a ser
executadonaiteração;
● 3.Executar:temcomoobjetivoexecutarasaçõesdoplanodeaçãodaiteração;
● 4.Revisariteração:temcomoobjetivoavaliarotrabalhodesenvolvidonaiteração,
tirardeleliçõeseformalizaraconclusãodaiteração;
O Manual do Processo de adequação da UFC à LGPD,disponívelnoportaldaLGPDda
UFC,contémmaisdetalhessobrecomooperacionalizaresseprocesso.
Comousodesseprocesso,oplanodeaçõesdesteplanejamentoéestruturadoem4
etapas:
● Etapa1:EstruturaçãodoProcessodeadequaçãodaUFCàLGPD
Paraqueasaçõesdeadequaçãosejamexecutadas,énecessárioquesejam
definidos, por exemplo, o Encarregado, os grupos de trabalho e os
indicadoresaseremutilizados;
● Etapa2:Piloto
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
9
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
Para validar na prática o processo de trabalho proposto neste plano, será
executadoumpiloto,comumaduraçãomenordoqueadeumciclonormal,
etendocomoumdosseusobjetivosidentificarpeculiaridadesdotrabalhode
adequação que não puderam ser antevistas durante a concepção do
processo;
● Etapa3:Focoemdemandasurgentesebásicas
Foco na adequação dos principais processos, contratos e sistemas.
Desenvolvimento e execução de ações básicas de capacitação para os
integrantes do comitê e dos titulares de dados (Campanhas de
conscientização, workshops e cursos de pequena carga horária ).
Implementaçãodemedidasdesegurançaemáreascríticas.ecomunicação
sobreprivacidadeesobreoiníciodasações,desenvolvimentodeprocessos
deLGPDmaisurgentes;
● Etapa4:Focoempolíticasecapacitaçãotécnica
Desenvolvimento de políticas de privacidade e termos de uso.
Desenvolvimentoeexecuçãodecapacitaçãoespecíficaparaservidoresque
atuam na modelagem/redesenho de processos, contratos e sistemas.
DesenvolvimentodenovosprocessosdeLGPD.
3.1Cronograma
Abaixoháocronogramadeexecuçãodessasetapas:
Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez Jan Fev Mar Abr Mai Jun Jul
21 21 21 21 21 21 21 21 21 21 21 22 22 22 22 22 22 22
Etapa1
Etapa2
Etapa3
Etapa4
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
10
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
Nassubseçõesaseguirosplanosdeaçõesdecadaetapasãodetalhados.
3.2Etapas
PlanodeaçãodaEtapa1:EstruturaçãodoProcessodeadequaçãoda
UFCàLGPD
Nesta etapa o objetivo é garantir que há uma estrutura mínima para a condução do
ProcessodeadequaçãodaUFCàLGPD.Elepressupõe,porexemplo,aexistênciadeum
Comitê de Privacidade e ProteçãodeDadosPessoais,delíderesdosgruposdetrabalho,
de um portal da LGPD da UFC. Abaixo estão elencadas as ações que compõem esse
plano:
1. NomearoEncarregado:oEncarregadoépapeldefinidonaLGPD,noArt.5º,como
“pessoa indicada pelo controlador e operador para atuar como canal de
comunicaçãoentreocontrolador,ostitularesdosdadoseaAutoridadeNacionalde
ProteçãodeDados(ANPD)”;
2. Criar o portal da LGPD da UFC: nesse portal deverão ser concentradas as
informaçõessobreLGPDemgeralesobreasaçõesexecutadaspelaUFC;
3. Criarumapágina,noportaldaLGPDdaUFC,informandosobreacomposição
atualizadadocomitêedosgruposdetrabalho;
4. Dar publicidade a quem são o Encarregado, o comitê e quais são suas
atribuições;
5. Criare-mailsparaospapéisenvolvidoscomoprocesso:
a. ParaoEncarregado;
b. Paracadagrupodetrabalho;
6. Definiroslíderesdosgruposdetrabalho;
7. Definirorepositórioondeserãoarmazenados:
a. osartefatosdesenvolvidosaolongodoprocesso;
b. os documentos que compõem a base de conhecimento da UFC sobre
privacidadededadospessoais;
8. Inicializar o repositório do item anterior e autorizar o acesso aos envolvidos
comoprocesso;
9. Definircomoserãogerenciadososbacklogs:veraseção,ArtefatosdoProcesso,
noM anualdoprocessodeadequaçãodaUFCàLGPD;
10. Inicializar os backlogs do item anterior e autorizar o acesso aos envolvidos
comcadaumdeles;
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
11
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
11. Desenvolver templates para os documentos a serem gerados: ver a seção,
ArtefatosdoProcesso,noM anualdoprocessodeadequaçãodaUFCàLGPD;
12. Definir o repositórioondeserãoregistradosasdefiniçõesevaloresapurados
dosindicadores;
13. Inicializar o repositório do item anterior e autorizar o acesso aos envolvidos
comoprocesso;
14. Definir os indicadores iniciais: o Comitê de Privacidade e Proteção de Dados
Pessoaisdeverádefinirqueindicadoresserãoinicialmenteutilizados;
PlanodeaçãodaEtapa2:Piloto
Ao identificar a unidade institucional em que será desenvolvido o piloto deve-se
considerar demandas que permitam explorar peculiaridades da UFC. Exemplo:
Demandas de unidades que não tenham participação no comitê (avaliar o
engajamento de outras unidades em colaborar); que permita exercitar ações
fundamentais, como desenvolvimento de termodeuso,adequaçãodecontrato,de
sistemas,deprocessos;
1. Planejaraçõesdodiagnóstico:
a. Desenvolver diagnóstico de maturidade(18)1: Criar o documento
DiagnósticodeMaturidadenoformatodequestionárioparamensuraronível
de maturidade em SI e Privacidade, volume de dados pessoais, tipos de
dadospessoais,serviçoseprocessosqueutilizamdadospessoaiseetc;
2. Executaraçõesdediagnóstico:
a. Submeter diagnóstico(18): Acompanhar o preenchimento do diagnóstico
pelaunidadepiloto;
3. Analisar diagnóstico: Reunião com objetivo de definir ações baseado nos
resultados
4. Consolidar diagnóstico: Consolidar os resultados no Relatório de diagnósticode
maturidade;
5. Planejar iteração: Definir a estimativa de tempo, recursos que serão utilizados,
atoresepapéisqueparticiparãodaiteração,escopo,restriçõeseetc;
6. Elaborar Proposta de plano de ação da iteração: Cada grupo de trabalho
realizaráaidentificaçãodasações,extraídasdoANEXOA, queserãoexecutadas;
7. Aprovar Plano de ação da iteração: Encarregado e responsável pela área do
pilotoaprovamasaçõesquecadaGTirárealizar;
8. Comunicar Plano de ação da iteração: Comunicar plano de iteração aos
envolvidoscomasaçõesaseremexecutadas,responsáveiseprazos;
1
Refere-seaoidentificador(id)daatividadecontidano“ANEXOA-Listadeaçõesporgrupode
trabalho.”
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
12
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
9. Executar ações: Executar as ações que foram escolhidas pelos GT’s no
planejamento
10. Comunicar o andamento das ações: Os líderes dos grupos de trabalho
comunicamasaçõesqueestãosendoexecutadas,semanalmente;
11. Compilar o andamento das ações: O líder do GT_LGPD sumariza todos os
progressosdasaçõesdosdemaisgrupos,mensalmente;
12. Realizar reunião de liçõesaprendidascomosGT:OlíderdoGT_LGPDconduz
uma reunião para extrair as lições aprendidas dos líderes dosdemaisGT’s.Estas
informaçõessãocompiladasnodocumento“Relatóriodeliçõesaprendidas”
13. Compilarrelatóriosobreaiteraçãoecomunicarocomitê:OlíderdoGT_LGPD
compila as informações sobre a iteraçãonoRelatóriofinaldeiteração.Nestedeve
constar as ações que foram planejadas, os resultados alcançados, lições
aprendidas.
14. Compilarresultadosnosdocumentosdeadequação:A tualizarosdocumentos
deadequação(ManualePlano)conformeasnecessidadesdealteraçãodefinidas
narevisãodosresultados
ANEXOA-ListadeAçõesporGrupodeTrabalho
%DATAREFA
ID Descriçãodaação Prioridade Pontos Fase
CONCLUÍDA
1 GT_LGPD
Estudar,desenvolverapresentaçãoo
1 guiadeboaspráticaseapresentarao 0%
comitê
2 Nomearoencarregado 0%
3 CriaroportaldaLGPDnaUFC 0%
Adicionarinformaçõessobreo
4 encarregadonoportaldaLGPDda 0%
UFC
Definironde(drive,portaldaLGPD
etc)serãoarmazenadosos
5 arquivos/linksquecompõemabase 0%
deconhecimento,coletaroconteúdo
inicial(lei,decreto,guias
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
13
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
operacionais,pautas/atas,relatórios
internosetc)einicializarabase
ElaborarotemplatedeRIPDaser
6 0%
utilizado
Definirqueferramentaseráutilizada
paragerenciarbacklogs(lembrarque
7 tudogiraemtornodetratamentode 0%
dados/processos-interessanteeles
seremconectados)
Elaborarotemplatedeinventáriode
8 0%
dados/tratamentodedados
Criarobacklogdeprocessospara
análisederiscoseelaboraçãodo
RIPDeparainventariar
dados/tratamentodedados,
definindoqueinformaçõesserão
9 0%
gerenciadas(ex:responsávelpelo
processo,legislação,ondeosdados
sãoarmazenadosetc),eatribuiras
devidaspermissõesaos
responsáveisporgerenciá-lo
Criarobacklogdecontratose
instrumentosconvocatóriospara
adequação,definindoque
10 0%
informaçõesserãogerenciadas,e
atribuirasdevidaspermissõesaos
responsáveisporgerenciá-lo
Criarobacklogde
11 softwares/funcionalidadespara 0%
adequação,definindoque
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
14
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
informaçõesserãogerenciadas,e
atribuirasdevidaspermissõesaos
responsáveisporgerenciá-lo
Definircomoserãoregistradosos
12 0%
indicadoresevaloresapurados
Criarartefatopararegistraros
indicadoresevaloresapurados,e
13 0%
atribuirasdevidaspermissõesaos
responsáveisporgerenciá-lo
Elaborarotemplateaserutilizado
14 paraosrelatóriosaseremenviados 0%
aocomitê(9.1,9.2,9.3)
Definiroprocessodetrabalhodo
comitê(issoqueestásendofeito,
estruturadotrabalho,gruposde
trabalho,responsabilidades,ações
iniciaisetc),proporaocomitê,definir
15 0%
gruposdetrabalhoelíderes
(importanteanalisarquededicaçãoe
capacitaçãoseránecessária,para
atribuirliderançaaservidores
capacitadosedisponíveis)eaprovar;
Inicializarosbacklogseindicadores
afimdeexecutarpiloto,comduração
menorqueumciclonormal(2meses,
paraumciclonormalde6meses);o
16 pilototeráafinalidadedeteruma 0%
experiênciainicialcomoprocessode
trabalhodocomitê,apartirdaqualse
iniciarãoosciclosregulares,apósos
ajustesaoprocessoinicial
Analisaraestruturaorganizacionalda
UFCedefinirqueunidadesserão
17 0%
trabalhadas(ex:HUWCserá
incluído?!)
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
15
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
Desenvolverquestionárioaser
submetidoàsunidadesdaUFCpara
realizarumdiagnósticosobreonível
18 dematuridadedaUFCemrelaçãoà 0%
LGPD;definirprazodecoleta,como
seráanalisado,comoequandoserá
divulgadoorelatóriocomaanálise
Desenvolvercomunicaçãodo
questionário,esclarecendopontos
quenãosejamdeconhecimento
comum,comoadefiniçãodedado
19 pessoalsensível;informandosobrea 0%
finalidade,importância,prazode
coletaedivulgaçãodosresultados;
comunicaràsunidades,
disponibilizandooquestionário
Elaboraroplanodoprogramade
privacidadededadosdaUFC;
submeteraocomitêparaapreciação
(comunicar~2semanasantesdo
envioqueoplanoestáem
elaboração,submeter1semana
20 antesdareuniãoparadiscussão), 0%
conduzirdiscussões,consolidar
ajusteseelaborarversãofinal;
submeterversãofinalaoCATIpara
aprovação;adicionaraoportalda
LGPD;darpublicidade,internae
externa
Desenvolverpolíticadeclassificação
dainformação(verLei13.709/2018,
21 art.46;art.50,§2º,incisoI,alíneas 0%
“a”e“d”.ABNTNBRISO/IEC
27.701/2019,item6.5.2)
2 GT_COMUNICACAO
Desenvolverumplanode
22 comunicaçãointernadoPrograma 0%
InstitucionaldePrivacidadedeDados
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
16
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
Desenvolverumplanode
23 comunicaçãoexternadoPrograma 0%
InstitucionaldePrivacidadedeDados
Realizarcomunicaçãoparaa
comunidadeinternaeexternasobre
comoaUFCestálidandocoma
24 0%
LGPD,emespecialsobreaestrutura
organizacionalcriadaesobreo
encarregado
3 GT_SEGINF
Revisarapolíticadesegurançada
25 informaçãodaUFCafimde 0%
adequá-laàLGPD
Definircomoserárealizadoo
monitoramentodesegurançada
26 informação,relativaaprivacidadede 0%
dados-asaídaseráoprocessode
monitoramento,quedeveráser
AcompanharasaçõesdeGestãode
riscos,Inventáriodedados
27 0%
(Identificaçãodecontroles)eRIPD
(Identificaçãoderiscos)
Coordenarasaçõesde
implementaçãodoscontrolesde
28 0%
segurançaidentificadosnoRIPDe
GestãodeRiscos
Planejariniciativasdemonitoramento
dosativos,identificaçãode
vulnerabilidades,desenvolvimentode
29 0%
softwareseguro,gerenciamentode
alertas(SIEM)esegurançade
perímetro(firewall,IDS,IPS)
Desenvolvertemplatepararegistro
30 deevidênciasdeimplementaçãode 0%
controles
Definirpolíticas,práticase
treinamentosparacriaçãode
31 0%
serviçosfundamentadosem"security
bydesign"e"privacybydesign"
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
17
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
Elaborarprocessodecomunicação
deviolaçãodedadospessoais
32 0%
baseadonasrecomendaçõesda
ANPD
Inserirnapolíticadeprivacidadeeno
planodecomunicaçãooprocessode
33 0%
comuniçãodeviolaçãodedados
pessoais(IN/OUT)
Orientaracriaçãoepublicizaçãode
34 canalespecíficopararegistrode 0%
incidentesdeprivacidade
4 GT_PROCESSO
Desenvolverprocessodesolicitação
deinformaçõesportitulardedados
pessoais(desenho,submissãoao
35 comitê,discussão,ajustes, 0%
aprovação);implantaroprocesso;
realizaracomunicaçãointernae
externasobreoprocesso
Desenvolverprocessode
recebimentodedenúnciasobre
violaçõesdedireitossobredados
pessoais(desenho,submissãoao
comitê,discussão,ajustes,
aprovação);implantaroprocesso;
36 realizaracomunicaçãointernae 0%
externasobreoprocesso
https://www.linkedin.com/posts/maz
zucco-e-mello-advogados_enquanto-
n%C3%A3o-h%C3%A1-a-devida-regula
menta%C3%A7%C3%A3o-sobre-activi
ty-6777647350488801280-j-oh/
Desenvolverprocessoderetificação
dedadospessoais(desenho,
submissãoaocomitê,discussão,
37 0%
ajustes,aprovação);implantaro
processo;realizaracomunicação
internaeexternasobreoprocesso
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
18
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
Desenvolverprocessodetratamento
deincidentesrelacionadosadados
pessoais(desenho,submissãoao
38 comitê,discussão,ajustes, 0%
aprovação);implantaroprocesso;
realizaracomunicaçãointernae
externasobreoprocesso
Analisarosprocessosrelativosa
geraçãodecontratoseinstrumentos
convocatórios,afimdepropor
soluções(políticas,redesenhode
39 0%
processo,capacitaçãoetc)para
garantirquenovoscontratose
instrumentosconvocatóriossejam
desenvolvidosjáalinhadosàLGPD
Analisarosprocessosrelativosa
gestãodeprocessosdenegócio,a
fimdeproporsoluções(políticas,
40 redesenhodeprocesso,capacitação 0%
etc)paragarantirquenovos
processosdenegóciosejam
desenvolvidosjáalinhadosàLGPD
Analisarosprocessosrelativosa
desenvolvimentodesoftwarenaUFC,
afimdeproporsoluções(políticas,
41 redesenhodeprocesso,capacitação 0%
etc)paragarantirquenovos
softwaressejamdesenvolvidosjá
alinhadosàLGPD
Analisarosprocessosrelativosa
contrataçãodesoluçõesdeTI,afim
deproporsoluções(políticas,
42 redesenhodeprocesso,capacitação 0%
etc)paragarantirquenovas
contrataçõesdesoluçõesdeTI
sejamrealizadasjáalinhadasàLGPD
Apartirdasinformaçõeslevantadas
noquestionáriosubmetidoàUFC,
43 bemcomoemoutrasfontesde 0%
informações,inicializarosbacklogs
deprocessos
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
19
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
5 GT_CAPACITACAO
Desenvolver,paraservidorese
titularesdedadostratadospelaUFC,
planodecapacitaçãoemprivacidade
44 dedados,incluindoodiagnósticodo 0%
níveldecapacitaçãoeaçõesde
capacitaçãoaseremdesenvolvidase
executadas
Conduzirodesenvolvimento,
atualizaçãoeimplantaçãode
45 0%
capacitaçãoparaoprocessode
integraçãodenovosservidores
6 GT_JURIDICO
Levantarquaiscontratose
instrumentosconvocatóriosestão
46 vigenteseinicializarobacklogde 0%
contratoseinstrumentos
convocatóriosparaadequação
Levantarcontratoseinstrumentos
convocatóriosvigentesrelativosa
47 0%
aquisição/contrataçãodesoluções
deTI
48 Desenvolverpolíticasdeprivacidade 0%
Fazerumlevantamentoemantê-lo
49 0%
atualizadodenormativosrelevantes
ProjetocomaSSPDS,segurança
50 pública->abarcado????controlador 0%
conjunto???
7 GT_SISTEMA
Levantarquaissoftwaresestãoem
usoeinicializarobacklogde
51 0%
softwares/funcionalidadespara
adequação
REFERÊNCIAS
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
20
ComitêdePrivacidadeeProteçãodeDadosPessoais-CPPDP
PlanodeadequaçãodaUFCà
L
GPD
Versão1.0
UNIVERSIDADEFEDERALDOCEARÁ.P lanodeDesenvolvimentoTecnologiada
Informação(PDTIC)2018-2022.Disponívelem:
https://sti.ufc.br/wp-content/uploads/2018/11/pdti-ufc-2018-2022.pdf
Acessoem:16deabrilde2021
UNIVERSIDADEFEDERALDOCEARÁ.P lanodeDesenvolvimentoInstitucional
2018-2022.Disponívelem:
http://www.ufc.br/images/_files/a_universidade/plano_desenvolvimento_institucional/pdi_201
8_2022_pub_2018_05_17.pdf
Acessoem:16deabrilde2021
UNIVERSIDADEFEDERALDOCEARÁ.P lanodeDadosAbertosbiênio2020a2022.
Disponívelem:
https://sti.ufc.br/wp-content/uploads/2020/07/plano-dados-abertos-2020-2022.pdf
Acessoem:26deabrilde2021
*VersãoInicialdoplanodeadequação-ApósaexecuçãodoPlanoPilotoserãoincluídasasseções EXECUÇÃODO
PROJETOPILOTOea REVISÃODOPLANO.SendosubmetidoentãoaAPROVAÇÃOdaAdministraçãoSuperior
21