Projeto ABNT NBR ISO IEC 29151 ConsultaNacional Cod Prtica-DP

ABNT/CB-021
PROJETO ABNT NBR ISO/IEC 29151

OUT 2020
Tecnologia da informação — Técnicas de segurança — Código de prática

para proteção de dados pessoais
APRESENTAÇÃO
Projeto em Consulta Nacional
1) Este Projeto foi elaborado pela Comissão de Estudo de Segurança da Informação,

segurança cibernética e proteção da privacidade (CE-021:000.027) do Comitê Brasileiro
de Computadores e Processamento de Dados (ABNT/CB-021), com número de
Texto-Base 021:000.027-008, nas reuniões de:
04.02.2020 15.04.2020
a) é previsto para ser idêntico ao ISO/IEC 29151:2017, que foi elaborada pelo c;
b) não tem valor normativo.
2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informação em seus comentários, com documentação comprobatória.
3) Analista ABNT – Carolina Martins.
© ABNT 2020
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.
NÃO TEM VALOR NORMATIVO

ABNT/CB-021
OUT 2020

Information technology — Security techniques — Code of practice for personally identifiable

information protection
Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização.

As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB),
dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais
(ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas
no tema objeto da normalização.
Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da

ABNT Diretiva 3.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários
e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT não
substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo precedência
sobre qualquer Documento Técnico ABNT.
Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos
Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar
as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT.
A ABNT NBR ISO/IEC 29151 foi elaborada no Comitê Brasileiro de Computadores e Processamento
de Dados (ABNT/CB-021), pela Comissão de Estudo de Segurança da Informação, segurança
cibernética e proteção da privacidade (CE-021:000.027). O Projeto circulou em Consulta Nacional
conforme Edital nº XX, de XX.XX.XXXX a XX.XX.XXXX.
A ABNT NBR ISO/IEC 29151 é uma adoção idêntica, em conteúdo técnico, estrutura e redação,
à ISO/IEC 29151:2017, que foi elaborada pelo Joint Technical Committee Information Technology
(ISO/IEC JTC 1), Subcommittee Information security, cybersecurity and privacy protection (SC 27).
O Escopo da ABNT NBR ISO/IEC 29151 em inglês é o seguinte:
Scope
This Recommendation |Standard establishes control objectives, controls and guidelines for
implementing controls, to meet the requirements identified by a risk and impact assessment related
to the protection of personally identifiable information (PII).

ABNT/CB-021
OUT 2020
In particular, this Recommendation |Standard specifies guidelines based on

ABNT NBR ISO/IEC 27002, taking into consideration the requirements for processing PII that
may be applicable within the context of an organization’s information security risk environment(s).
This Recommendation | Standard is applicable to all types and sizes of organizations acting
as PII controllers (as defined in ABNT NBR ISO/IEC 29100), including public and private
companies, government entities and not-for-profit organizations that process PII.

ABNT/CB-021
OUT 2020
Introdução
O número de organizações tratando dados pessoais (DP) está crescendo, assim como o volume de
DP com que essas organizações lidam. Ao mesmo tempo, as expectativas da sociedade em relação
à proteção de DP e à segurança de dados relacionados a indivíduos também estão aumentando.
Vários países estão incrementando suas leis para lidar com o aumento do número de significativas
violações de dados.
À medida que o número de violações de DP aumenta, as organizações que coletam ou tratam DP

precisarão cada vez mais de orientações sobre como convém protegê-los, a fim de reduzir o risco
de ocorrência de violações de privacidade e o impacto de violações na organização e às pessoas
envolvidas. Este documento fornece essas orientações.
Este documento oferece orientações aos controladores de DP em uma ampla variedade de controles
de segurança da informação e de proteção de DP que são comumente aplicados em diferentes
organizações que lidam com a proteção de DP. As demais partes da família de normas ISO/IEC,
listadas aqui, fornecem orientações ou requisitos sobre outros aspectos do processo geral de
proteção de DP:
— A ABNT NBR ISO/IEC 27001 especifica um processo de gestão de segurança da informação e os

requisitos associados, os quais podem ser usados como base para a proteção de DP.
— A ABNT NBR ISO/IEC 27002 fornece diretrizes para os padrões organizacionais de segurança
da informação e práticas de gestão da segurança da informação, incluindo a seleção,
implementação e gestão de controles, considerando o(s) ambiente(s) de risco(s) de segurança
da informação da organização.
— A ISO/IEC 27009 especifica os requisitos para o uso da ABNT NBR ISO/IEC 27001 em qualquer
setor específico (campo, área de aplicação ou setor de mercado). Explica como incluir requisitos
adicionais aos da ABNT NBR ISO/IEC 27001, como refinar qualquer um dos requisitos da
ABNT NBR ISO/IEC 27001 e como incluir controles ou conjuntos de controles além do Anexo A
da ABNT NBR ISO/IEC 27001.
— A ABNT NBR ISO/IEC 27018 oferece orientações para organizações que atuam como operadores
de DP ao oferecer recursos de tratamento por meio de serviços em nuvem.
— A ABNT NBR ISO/IEC 29134 fornece diretrizes para identificar, analisar e avaliar
riscos de privacidade, enquanto a ABNT NBR ISO/IEC 27001, juntamente com a
ABNT NBR ISO/IEC 27005, fornece uma metodologia para identificar, analisar e avaliar
riscos de segurança.
Convém que os controles sejam escolhidos com base nos riscos identificados como resultado
de uma análise de risco para desenvolver um sistema abrangente e consistente de controles.
Convém que os controles sejam adaptados ao contexto do tratamento específico de DP.
Este documento contém duas partes: 1) o corpo principal que consiste nas seções 1 a 18 e 2)
um anexo normativo. Esta estrutura reflete a prática normal para o desenvolvimento de extensões
setoriais da ABNT NBR ISO/IEC 27002.
A estrutura do corpo principal deste documento, incluindo os títulos das seções, reflete o corpo
principal da ABNT NBR ISO/IEC 27002. A introdução e as seções 1 a 4 fornecem informações
sobre o uso deste documento. Os títulos das seções 5 a 18 refletem os da NBR ISO/IEC 27002,

ABNT/CB-021
OUT 2020
refletindo o fato de que este documento se baseia nas diretrizes da ABNT NBR ISO/IEC 27002,
adicionando novos controles específicos para a proteção de DP. Muitos dos controles da
ABNT NBR ISO/IEC 27002 não precisam de extensão no contexto dos controladores de DP.
No entanto, em alguns casos, são necessárias diretrizes adicionais de implementação, que são
fornecidas no cabeçalho apropriado (e no número da seção) da ABNT NBR ISO/IEC 27002.
O anexo normativo contém um conjunto estendido de controles específicos de proteção de DP que

suplementam os dados na ABNT NBR ISO/IEC 27002. Esses novos controles de proteção de DP,
com suas diretrizes associadas, são divididos em 12 categorias, correspondentes à política de
privacidade e aos 11 princípios de privacidade da ABNT NBR ISO/IEC 29100:
— consentimento e escolha;
— especificação e legitimidade de objetivo;
— limitação de coleta;
— minimização de dados;
— limitação de uso, retenção e divulgação;
— precisão e qualidade;
— abertura, transparência e notificação;
— acesso e participação individual ;
— responsabilização;
— segurança da informação; e
— compliance com a privacidade.
A Figura 1 descreve o relacionamento entre este documento e a família de normas ISO/IEC.
ABNT NBR ISO/IEC 27001:



ITU-T X.1058 | ABNT NBR ISO/IEC 29151:
Figura 1 – Relação deste documento com a família de normas ISO/IEC

ABNT/CB-021
OUT 2020
Este documento inclui diretrizes baseadas na ABNT NBR ISO/IEC 27002 e as adapta conforme
necessário para atender aos requisitos de proteção à privacidade que surgem do tratamento de DP:
a) Em domínios diferentes de tratamento, como:
— serviços públicos de nuvem;

— aplicativos de redes sociais;
— dispositivos conectados à internet de uso doméstico;
— pesquisa, análise;
— segmentação de DP para publicidade e propósitos semelhantes;
— programas de big data analytics;
— tratamento nas relações trabalhistas;
— gestão de negócios em vendas e serviços (planejamento de recursos empresariais, gestão

de relacionamento com clientes).
b) Em diferentes locais, como:
— em uma plataforma de processamento pessoal fornecida a um indivíduo (por exemplo,

cartões inteligentes, smartphones e seus aplicativos, medidores inteligentes, dispositivos
wearables);
— nas redes de transporte e coleta de dados (por exemplo, onde os dados de localização
do celular são criados operacionalmente pelo processamento da rede, que podem ser
considerados DP em algumas jurisdições);
— dentro da própria infraestrutura de tratamento de uma organização;
— na plataforma de tratamento de terceiros.
c) Para as características de coleta, como:
— coleta única de dados (por exemplo, ao se registrar em um serviço);
— coleta de dados contínua (por exemplo, monitoramento frequente de parâmetros de saúde

por sensores no corpo ou no indivíduo, várias coletas de dados usando cartões de pagamento
sem contato para pagamento, sistemas de coleta de dados de medidores inteligentes etc.).
NOTA A coleta de dados contínua pode conter ou produzir tipos de DP comportamentais, locais e outros.
Nesses casos, o uso de controles de proteção de DP que permitam gerenciar o acesso e a coleta com base
no consentimento e que permitem que o titular de DP exerça controle apropriado sobre esse acesso e coleta,
precisa ser considerado.

ABNT/CB-021
OUT 2020

1 Escopo
Esta Recomendação | Norma estabelece objetivos de controle, controles e diretrizes para

implementar controles, para atender aos requisitos identificados por uma avaliação de risco e
impacto relacionada à proteção de dados pessoais (DP).
Em particular, esta Recomendação | Norma especifica diretrizes baseadas na

ABNT NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser
aplicáveis no contexto do(s) ambiente(s) de risco de segurança da informação de uma organização.
Esta Recomendação | Norma se aplica a todos os tipos e tamanhos de organizações que atuam como
controladores de DP (conforme estabelecido na ABNT NBR ISO/IEC 29100), incluindo empresas
públicas e privadas, entidades governamentais e organizações sem fins lucrativos que tratam DP.
2 Referências normativas
Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais,
constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições
citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento
(incluindo emendas).
ABNT NBR ISO/IEC 27002:2013, Tecnologia da informação – Técnicas de segurança – Código de

prática para controles de segurança da informação
ABNT NBR ISO/IEC 29100:2020, Tecnologia da informação – Técnicas de segurança – Estrutura de

privacidade
3 Termos, definições e abreviaturas

3.1 Termos e definições
Para os efeitos deste documento, aplicam-se os termos e definições das ISO/IEC 27000:2016 e
ABNT NBR ISO/IEC 29100, e os seguintes.
A ISO e a IEC mantêm bases de dados terminológicos para uso na padronização nos seguintes
endereços:
— ISO Plataforma de navegação online: disponível em https://www.iso.org/obp
— IEC Electropedia: disponível em http://www.electropedia.org/
3.1.1
chief privacy officer (CPO)
membro da Alta Direção, que tem responsabilização pela proteção dos dados pessoais (DP) em uma
organização
NÃO TEM VALOR NORMATIVO 1/57

ABNT/CB-021
OUT 2020
3.1.2
processo de desidentificação
processo de remoção da associação entre um conjunto de dados de identificação e o titular de DP,
usando técnicas de desidentificação
3.2 Termos abreviados

Para os efeitos deste documento são aplicadas as seguintes abreviações.
RCV Regras Corporativas Vinculantes
CCTV Closed-Circuit Television
CPO Chief Privacy Officer
PBD Privacy By Design
PDA Assistentes digitais pessoais
PET Privacy Enhancing Technology
AIP Avaliação de Impacto de Privacidade
DP Dados Pessoais
RFID Radio Frequency Identification
USB Universal Serial Bus
4 Visão geral
4.1 Objetivo da proteção de DP
Este documento fornece um conjunto de controles para proteção de DP. O objetivo da proteção de DP
é permitir que as organizações implementem um conjunto de controles como parte de seu programa
geral de proteção de DP. Estes controles podem ser usados em uma estrutura para manter e melhorar
o compliance com leis e regulamentos relacionados à privacidade, gestão de riscos de privacidade
e para atender às expectativas de titulares de DP, reguladores ou clientes de DP, de acordo com os
princípios de privacidade descritos na ABNT NBR ISO/IEC 29100.
4.2 Requisito de proteção de DP
Convém que a organização identifique seus requisitos de proteção de DP. Os princípios de privacidade
da ABNT NBR ISO/IEC 29100 se aplicam à identificação de requisitos. Existem três fontes principais
de requisitos de proteção de DP:
— requisitos legais, estatutários, regulamentares e contratuais relacionados à proteção de DP,

incluindo, por exemplo, requisitos de DP que uma organização, seus parceiros comerciais,
contratados e prestadores de serviços precisam cumprir;
— avaliação de riscos (ou seja, riscos de segurança e riscos de privacidade) para a organização
e o titular de DP, considerando a estratégia e os objetivos gerais de negócios da organização,
por meio de uma avaliação de riscos;
2/57 NÃO TEM VALOR NORMATIVO

ABNT/CB-021
OUT 2020
— políticas corporativas: uma organização também pode optar voluntariamente por ir além dos
critérios derivados de requisitos anteriores.
Também convém que as organizações considerem os princípios (ou seja, princípios de privacidade
estabelecidos na ABNT NBR ISO/IEC 29100), objetivos e requisitos de negócios para o tratamento
de DP que foram desenvolvidos para apoiar suas operações.
Convém que os controles de proteção de DP (incluindo controles de segurança) sejam selecionados

com base em uma avaliação de risco. Os resultados de uma avaliação de impacto de privacidade (AIP),
por exemplo, conforme especificado na ABNT NBR ISO/IEC 29134, ajudam a orientar e determinar
as ações e prioridades de tratamento apropriadas para gerenciar riscos à proteção de DP e para
implementar controles selecionados para proteção contra estes riscos.
Um documento de AIP como a ABNT NBR ISO/IEC 29134 pode fornecer orientações para AIP,
incluindo recomendações sobre avaliação de riscos, plano de tratamento de riscos, aceitação de risco
e análise crítica de risco.
4.3 Controles
Uma avaliação de risco de privacidade pode ajudar as organizações a identificarem os riscos

específicos de violações de privacidade resultantes de atividades de tratamento não autorizadas por
lei ou de desconsideração de direitos do titular de DP envolvido em uma operação prevista. Convém
que as organizações identifiquem e implementem controles para tratar os riscos identificados pelo
processo de impacto de risco. Convém que os controles e tratamentos então sejam documentados,
idealmente separadamente em um registro de riscos. Certos tipos de tratamento de DP podem
assegurar controles específicos para os quais a necessidade só se torna aparente uma vez que uma
operação prevista tenha sido cuidadosamente analisada.
4.4 Selecionando controles
Controles podem ser selecionados a partir deste documento (que inclui por referência os controles
da ABNT NBR ISO/IEC 27002, criando um conjunto de controles de referência combinados).
Se necessário, os controles também podem ser selecionados de outros conjuntos de controles ou
novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado.
A seleção dos controles depende de decisões organizacionais com base nos critérios para opções de
tratamento de riscos e na abordagem geral de gestão de riscos aplicada à organização e, por meio
de acordos contratuais, a seus clientes e fornecedores, e convém que também esteja sujeita a todas
às legislações e aos regulamentos nacionais e internacionais aplicáveis.
A seleção e a implementação de controles também dependem da função da organização no fornecimento

de infraestrutura ou serviços. Muitas organizações diferentes podem estar envolvidas no fornecimento
de infraestrutura ou serviços. Em algumas circunstâncias, os controles selecionados podem ser
exclusivos para uma organização específica. Em outros casos, pode haver funções compartilhadas
na implementação de controles. Convém que os acordos contratuais especifiquem claramente as
responsabilidades de proteção de DP de todas as organizações envolvidas no fornecimento ou uso
dos serviços.
Os controles neste documento podem ser usados como referência para organizações que tratam
DP e destinam-se a ser aplicáveis a todas as organizações que atuam como controladores de DP.
Convém que as organizações que atuam como operadores de DP o façam, de acordo com as instruções
do controlador de DP. Convém que os controladores de DP assegurem que seus operadores de DP

ABNT/CB-021
OUT 2020
sejam capazes de implementar todos os controles necessários incluídos no contrato de tratamento

de DP, de acordo com a finalidade do tratamento de DP. Os controladores de DP que usam serviços
em nuvem assim como operadores de DP podem analisar criticamente a ABNT NBR ISO/IEC 27018
para identificar os controles pertinentes a serem implementados.
Os controles neste documento são explicados em mais detalhes nas Seções 5 a 18, juntamente
com as diretrizes de implementação. A implementação pode ser simplificada se os requisitos para a

proteção de DP tiverem sido considerados no projeto do sistema de informações, serviços e operações
da organização. Esta consideração é um elemento do conceito que geralmente é chamado Privacy By
Design (PBD). Mais informações sobre a seleção de controles e outras opções de tratamento de risco
podem ser encontradas na ABNT NBR ISO/IEC 29134. Outras referências pertinentes estão listadas
na bibliografia.
4.5 Desenvolvendo diretrizes específicas da organização
Este documento pode ser considerado como um ponto de partida para o desenvolvimento de diretrizes
específicas da organização. Nem todos os controles e orientações neste documento são aplicáveis
a todas as organizações.
Além disso, controles e diretrizes adicionais não incluídos neste documento podem ser necessários.
Quando documentos são desenvolvidos contendo diretrizes ou controles adicionais, pode ser útil
incluir referências cruzadas às seções neste documento, quando aplicável, para facilitar a verificação
de conformidade por auditores e parceiros de negócios.
4.6 Consideração de ciclo de vida
Os DP têm um ciclo de vida natural, desde a criação ou originação, coleta, armazenamento, uso e
transferência até seu descarte eventual (por exemplo, destruição segura). O valor dos, e os riscos
para, DP podem variar durante o seu ciclo de vida, mas a proteção de DP permanece importante em
certa medida em todos os estágios e em todos os contextos do seu ciclo de vida.
Os sistemas de informação também têm ciclos de vida dentro dos quais são concebidos, especificados,
projetados, desenvolvidos, testados, implementados, usados, mantidos e eventualmente retirados de
serviço e descartados. Convém que a proteção de DP também seja considerada em cada um desses
estágios. Novos desenvolvimentos de sistema e alterações nos sistemas existentes apresentam
oportunidades para as organizações atualizarem e melhorarem os controles de segurança, bem como
os controles para a proteção de DP, considerando os incidentes reais e, os atuais e projetados riscos
de segurança da informação e privacidade.
4.7 Estrutura deste documento
O restante deste documento contém duas partes normativas principais.
A primeira parte deste documento, composta das Seções 5 a 18, contém diretrizes adicionais de
implementação e outras informações para determinados controles existentes pertinentes descritos na
ABNT NBR ISO/IEC 27002. O formato desta Parte usa os títulos de seção e numeração pertinentes
da ABNT NBR ISO/IEC 27002 para permitir referência cruzada a esta Norma.
A segunda parte contém um conjunto de controles específicos para proteção de DP especificado no

Anexo A. Ele usa o mesmo formato da ABNT NBR ISO/IEC 27002, que especifica os objetivos do
controle (texto dentro de uma caixa), seguidos por um ou mais controles que podem ser aplicados.
As descrições de controle estão estruturadas da seguinte maneira.

ABNT/CB-021
OUT 2020
Controle
O texto sob este cabeçalho estabelece a declaração de controle específica para cumprir o objetivo
de controle.
Diretrizes de implementação para a proteção de DP

O texto sob este cabeçalho fornece informações mais detalhadas para apoiar a implementação do
controle e atender aos objetivos do controle. As orientações fornecidas neste documento podem
não ser inteiramente adequadas ou suficientes em todas as situações e podem não atender aos
requisitos de controle específicos da organização. Controles alternativos ou adicionais, ou outras
formas de tratamento de riscos (evitar ou transferir riscos), podem, portanto, ser apropriados.
Outras informações para a proteção de DP
O texto deste cabeçalho fornece informações adicionais que podem precisar ser consideradas,
como considerações legais e referências a outras normas.
5 Políticas de segurança da informação

5.1 Orientação da Direção para segurança da informação
5.1.1 Introdução
O objetivo especificado na ABNT NBR ISO/IEC 27002:2013, 5.1, se aplica.
5.1.2 Políticas para segurança da informação
O controle em 5.1.1 e as diretrizes de implementação associadas e outras informações especificadas

na ABNT NBR ISO/IEC 27002 se aplicam. As seguintes diretrizes adicionais também se aplicam.
Convém que as políticas de segurança da informação incluam declarações apropriadas de medidas

de segurança para a proteção de DP. Os detalhes sobre a proteção de DP estão disponíveis na
ABNT NBR ISO/IEC 27002:2013, 18.1.4.
Ao determinar, implementar e analisar criticamente a política de segurança da informação,

convém que as organizações considerem os requisitos de proteção à privacidade descritos na
ABNT NBR ISO/IEC 29100.
Convém que as organizações especifiquem os elementos de proteção de DP não relacionados

à segurança como uma política de privacidade separada. Ver as orientações na Seção A.2.
5.1.3 Análise crítica das políticas para segurança da informação
O controle 5.1.2 e as diretrizes de implementação associadas especificadas na

ABNT NBR ISO/IEC 27002 se aplicam.

ABNT/CB-021
OUT 2020
6 Organização da segurança da informação

6.1 Organização interna
6.1.1 Introdução
O objetivo especificado na ABNT NBR ISO/IEC 27002, 6.1, se aplica.
6.1.2 Responsabilidades e papéis da segurança da informação
O controle 6.1.1 e as diretrizes de implementação associadas e outras informações especificadas

Os papéis e responsabilidades para a proteção de DP precisam ser claramente definidos,

apropriadamente documentados e adequadamente comunicados. Especificamente:
a) convém que um indivíduo sênior claramente identificado [às vezes referido como chief privacy
officer (CPO)] dentro da organização receba a responsabilização pela proteção de DP;
b) convém que um indivíduo ou indivíduos claramente identificados (por exemplo, função de proteção
de DP) receba(m) a responsabilidade por coordenar as funções de segurança da informação
dentro da organização; e
c) convém que todas as pessoas envolvidas no tratamento de DP (incluindo usuários e equipe de

suporte) tenham os requisitos de proteção de DP apropriados incluídos em suas especificações
de trabalho.
Convém que o cargo de proteção de DP estabelecido trabalhe em estreita colaboração com outros
cargos que tratem DP, o cargo de segurança da informação, que implementa os requisitos de segurança
que incluem aqueles decorrentes das leis de proteção de DP, assim como o cargo jurídico, que auxilia
na interpretação de leis, regulamentos e termos de contrato, e no tratamento de violações de dados.
Convém que a organização examine a necessidade e estabeleça, conforme apropriado, um conselho

ou comitê interfuncional composto por membros seniores dos cargos que tratam DP. Como a proteção
de DP é uma função multidisciplinar, esse grupo pode ajudar a identificar proativamente oportunidades
de melhorias, identificar novos riscos e áreas para a realização de AIP, planejar ações de prevenção,
medidas de detecção e reação para quaisquer violações etc. É recomendado que este grupo se reúna
periodicamente e seja presidido pela pessoa responsável pela proteção de DP, conforme identificado
em a).
Convém que o controlador de DP exija que seu(s) operador(es) de DP assinale(m) um ponto

de contato para direcionar questões relacionadas ao tratamento de DP sob o contrato de tratamento
de DP.
Convém que os indivíduos responsáveis pelas funções de proteção de DP se reportem a um CPO

para assegurar que tenham autoridade suficiente para cumprir suas responsabilidades.
6.1.3 Segregação de funções
O controle 6.1.2 e as diretrizes de implementação associadas especificadas na

ABNT NBR ISO/IEC 27002 se aplicam. As seguintes diretrizes adicionais também se aplicam.

ABNT/CB-021
OUT 2020
Convém que os deveres e a área de responsabilidades pela proteção de DP sejam independentes

daqueles de segurança da informação. Embora reconheça a importância da segurança da informação
para a proteção de DP, é importante que os deveres e a área de responsabilidades da segurança
e da proteção de DP sejam o mais independentes possível uma da outra. Se necessário ou útil,
no interesse da proteção de DP, convém que seja facilitada a coordenação e cooperação entre os
responsáveis pela segurança da informação e pela proteção de DP.
Convém que as organizações adotem o princípio de segregação de funções ao atribuir direitos de

acesso ao tratamento de DP, especialmente qualquer tratamento identificado como de alto risco.
Convém que o acesso aos DP que estejam sendo tratados e o acesso aos arquivos de log concernentes
a esses tratamentos sejam funções separadas.
Convém que o acesso às informações relacionadas à coleta de DP para responder a solicitações de

titulares de DP seja segregado de todas as outras formas de acesso aos DP. Convém que o acesso
seja limitado àqueles cujas funções incluam responder às solicitações de titulares de DP.
6.1.4 Contato com autoridades

na ABNT NBR ISO/IEC 27002 se aplicam. As seguintes orientações adicionais também se aplicam.
Onde aplicável, convém que as organizações tenham procedimentos para especificar quando
e quais autoridades (incluindo autoridades de proteção de dados) convém que sejam contatadas,
por exemplo, para reportar violações de privacidade ou para reportar detalhes de tratamento.
6.1.5 Contato com grupos especiais

na ABNT NBR ISO/IEC 27002 se aplicam.
6.1.6 Segurança da informação no gerenciamento de projetos

Convém que qualquer nova iniciação de projeto acione pelo menos uma análise preliminar para
determinar se uma AIP precisa ser conduzida. Observar que o termo projeto abrange todos os
incidentes em que uma organização implementa ou modifica tecnologia, produto, serviço, programa,
sistema de informação, processo ou projeto novo ou existente.
Mais orientações podem ser encontradas na AIP especificada na ABNT NBR ISO/IEC 29134.
6.2 Dispositivos móveis e trabalho remoto

6.2.1 Introdução

ABNT/CB-021
OUT 2020
6.2.2 Política para uso de dispositivo móvel


Convém que as organizações limitem estritamente o acesso a DP em dispositivos portáteis e móveis,

como laptops, telefones celulares, dispositivos universal serial bus (USB) e assistentes digitais
pessoais (PDA) que podem estar geralmente expostos a um risco maior que os dispositivos não
portáteis (por exemplo, computadores de mesa nas instalações da organização), dependendo da
avaliação de risco.
Convém que as organizações limitem estritamente o acesso remoto aos DP e, nos casos em
que o acesso remoto for inevitável, assegurar que as comunicações para acesso remoto sejam
criptografadas, tenham mensagens autenticadas e integridade protegida.
6.2.3 Trabalho remoto

7 Segurança em recursos humanos

7.1 Antes da contratação
7.1.1 Introdução
7.1.2 Seleção

7.1.3 Termos e condições de contratação

7.2 Durante a contratação
7.2.1 Introdução
O objetivo especificado na ABNT NBR ISO/IEC 27002: 2013, 7.2, se aplica.
7.2.2 Responsabilidades da Direção


ABNT/CB-021
OUT 2020
7.2.3 Conscientização, educação e treinamento em segurança da informação


Convém que sejam tomadas medidas para conscientizar a equipe pertinente das possíveis
consequências para o controlador de DP (por exemplo, consequências legais, perda de negócios ou
danos à marca ou à reputação), para o membro da equipe (por exemplo, consequências disciplinares)
e para o titular de DP (por exemplo, consequências físicas, materiais e emocionais) em violar regras e
procedimentos de privacidade ou segurança, especialmente aqueles referentes ao tratamento de DP.
Assim como ocorre com a conscientização, educação e treinamento em segurança da informação,

convém que as organizações forneçam treinamento, educação e conscientização adequados sobre
a proteção e tratamento de DP.
7.2.4 Processo disciplinar

na ABNT NBR ISO/IEC 27002 se aplicam. As seguintes orientações adicionais também se aplicam.
Convém que as organizações estabeleçam uma política disciplinar formal. Convém que esta política,
em caso de violações de privacidade, seja claramente comunicada às pessoas afetadas. Convém que
as organizações façam cumprir essa política em todos os casos de violação de privacidade.
7.3 Encerramento e mudança da contratação
7.3.1 Introdução
7.3.2 Responsabilidades pelo encerramento ou mudança da contratação

8 Gestão de ativos
8.1 Responsabilidade pelos ativos
8.1.1 Introdução
8.1.2 Inventário dos ativos


ABNT/CB-021
OUT 2020
Convém que as organizações estabeleçam, mantenham e atualizem um inventário de ativos usando,

por exemplo, as informações fornecidas no relatório AIP, se houver, conforme especificado na
ABNT NBR ISO/IEC 29134. Convém que isso inclua os ativos de DP e todos os sistemas que tratam DP.
Ao desenvolver e manter o inventário, convém que as organizações extraiam da AIP os seguintes

elementos de informações sobre sistemas de informações que tratem DP. A lista a seguir é dada
como exemplo – pode haver adições ou subtrações nas listas finais implementadas:
a) nome e acrônimo de cada sistema identificado;
b) tipos de DP tratados por esses sistemas;
c) classificação (ver 8.2.2) de todos os tipos de DP, tanto como elementos de informação individuais
quanto combinados nesses sistemas de informação;
d) nível de impacto potencial, para o titular de DP e para a organização, de qualquer violação de DP;
e) finalidade(s) de coletar DP;
f) se o tratamento de DP será terceirizado para um operador de DP;
g) se DP serão transmitidos a outros controladores de DP e, em caso afirmativo, a quem (ou a qual

grupo de destinatários);
h) período de retenção de DP;
i) área geográfica onde os DP foram coletados ou tratados; e
j) se a transferência transfronteiriça de dados está envolvida.
Convém que as organizações forneçam atualizações regulares do inventário de DP à pessoa

responsabilizada pela proteção de DP para apoiar o estabelecimento de controles de segurança
apropriados para todos os sistemas de informação novos ou atualizados que tratem DP.
8.1.3 Proprietário dos ativos

8.1.4 Uso aceitável dos ativos

Convém que as organizações protejam os ativos que oferecem suporte a DP contra acesso não
autorizado, modificação não autorizada, remoção não autorizada, perda ou destruição ou tratamento
incorreto e não autorizado por lei e assim por diante.

ABNT/CB-021
OUT 2020
8.1.5 Devolução de ativos

8.2 Classificação da Informação

8.2.1 Introdução
8.2.2 Classificação da informação

Convém que as organizações classifiquem todas as informações contendo DP, usando uma categoria
de classificação existente (denominada grupo de informação na ABNT NBR ISO/IEC 27002) ou
categorias de classificação recém-criadas. Convém que novas categorias de classificação incluam,
não estando limitadas a, categorias gerais, como DP sensíveis e não sensíveis. Um esquema de
classificação também pode incluir categorias mais específicas, como dados pessoais de saúde
(DPS), dados pessoais financeiros (DPF). Se as organizações criarem categorias de classificação,
convém que os níveis de proteção para elas também sejam definidos. Convém que as categorias
reais usadas também dependam, por exemplo, dos requisitos estabelecidos na legislação e
regulamentos pertinentes de proteção de dados, outras obrigações legais (por exemplo, contratuais),
a natureza das informações, quão sensíveis são e, o risco de danos que possam surgir na eventualidade
de uma violação.
Alguns DP que podem ser classificados como não sensíveis em um país podem ser tratados como
sensíveis em outros lugares, dependendo das leis de proteção de dados aplicáveis.
A classificação para um elemento de DP pode precisar de reavaliação e modificação quando

associada a um ou mais atributos adicionais. Convém que diretrizes e procedimentos apropriados
sejam implementados.
NOTA BRASILEIRA O motivo para a tradução dos termos “personal health information (PHI)” e
“personal financial information (PFI)” respectivamente por “dados pessoais de saúde (DPS)” e “dados
pessoais financeiros (DPF)” é o uso corrente da expressão “dados pessoais” no Brasil e sua adoção
pela lei brasileira que trata de privacidade e proteção de dados pessoais (Lei 13.709/2018 – Lei Geral de
Proteção de Dados Pessoais – LGPD).
8.2.3 Rótulos e tratamento da informação

Nos casos em que uma organização não classifique DP em uma categoria de classificação, convém
que a organização assegure que as pessoas sob seu controle estejam cientes da definição de DP e
de como reconhecer se as informações são DP.

ABNT/CB-021
OUT 2020
8.2.4 Tratamento dos ativos


Se as organizações permitirem que as pessoas sob seu controle possam omitir a rotulagem de
informações da categoria de classificação relacionada a DP, convém que as organizações façam
com que as pessoas sob seu controle tratem todas as informações contendo DP como a informação
da categoria de classificação atribuída.
8.3 Tratamento de mídias
8.3.1 Introdução
O objetivo especificado na ABNT NBR ISO/IEC 27002:2013, 8.3 se aplica.
8.3.2 Gerenciamento de mídias removíveis

Algumas jurisdições podem exigir que a mídia removível que contém DP seja criptografada. Seja ou
não exigido por lei, a criptografia é recomendada para reduzir o risco de divulgação não autorizada
de DP.
Se a confidencialidade ou integridade de dados forem considerações importantes, convém que sejam

usadas técnicas criptográficas para proteger DP em mídias removíveis. Convém que uma avaliação
de risco seja realizada para identificar o nível de proteção necessário, o que, por sua vez, ajudará
a determinar o tipo, a robustez e a qualidade necessários do algoritmo criptográfico a ser usado.
Orientações adicionais sobre o uso de controles criptográficos são fornecidas em 10.1.
8.3.3 Descarte de mídias

Convém que os procedimentos para descarte seguro de mídia contendo DP sejam proporcionais à
sensibilidade das informações, bem como ao nível de impacto do tratamento inadequado dessas
informações. Algumas jurisdições podem impor critérios aos procedimentos usados para descartar
mídia contendo DP ou tipos específicos de DP (por exemplo, dados de saúde, dados financeiros).
8.3.4 Transferência física de mídias


ABNT/CB-021
OUT 2020
Sempre que a mídia física for usada para transferência de informações, convém que uma medida
seja adotada para registrar a mídia física de entrada e saída contendo DP, incluindo o tipo de mídia
física, quaisquer números de identificação (por exemplo, números de série ou números de etiqueta
de inventário), o remetente e os destinatários autorizados, a data e hora, o número de mídias físicas
e os tipos de DP que elas contêm e para detectar a perda de mídias físicas. Convém que a finalidade
e a extensão da transferência, a pessoa responsável por sua autorização e a base legal/contratual
para a transferência também sejam documentados. Convém que seja considerado, adicionalmente,
referências explícitas ao princípio de minimização de dados.
9 Controle de acesso
9.1 Requisitos do negócio para controle de acesso
9.1.1 Introdução
9.1.2 Política de controle de acesso

9.1.3 Acesso às redes e aos serviços de rede

9.2 Gerenciamento de acesso do usuário
9.2.1 Introdução
9.2.2 Registro e cancelamento de usuário

Convém que os procedimentos para registro e cancelamento de registro do usuário, bem como o
gerenciamento do ciclo de vida do usuário, forneçam medidas para solucionar um comprometimento
do controle de acesso do usuário, como alteração indevida ou comprometimento de senhas ou
outros dados de registro do usuário (por exemplo, como resultado de divulgação inadvertida).
9.2.3 Provisionamento para acesso de usuário


ABNT/CB-021
OUT 2020
Convém que as organizações forneçam aos usuários um direito de acesso adequado aos sistemas
de informações que tratam DP, de acordo com o princípio de minimização de dados descrito na
Convém que as organizações restrinjam o acesso aos sistemas de informações que tratam DP ao
número mínimo de indivíduos necessários para realizar as finalidades especificadas para aquele
tratamento, de acordo com o princípio de minimização de dados descrito na ABNT NBR ISO/IEC 29100.
Convém que as organizações adotem métodos robustos de autenticação para DP específicos e

tratamentos de DP específicos (por exemplo, dados de saúde).
9.2.4 Gerenciamento de direitos de acesso privilegiados

O tratamento em larga escala de DP (por exemplo, consultas em lote, modificação em lote, exportação
em lote, exclusão em lote) aumenta o risco de uma violação em grande escala. Convém que as
organizações tenham cuidado especial ao atribuir direitos de acesso a essas operações privilegiadas.
Para evitar o abuso de DP, os direitos de acesso privilegiado ao tratamento de DP (especialmente
o tratamento de DP de alto risco) sejam atribuídos de modo estritamente limitado. Convém também
que eles sejam assinalados de maneira a ajudar a reduzir o risco de conluio entre dois ou mais
indivíduos. Convém que a concessão e o uso destes direitos sejam registrados nos arquivos de
log pertinentes. Convém que todas as aprovações de acesso sejam por um período específico.
Convém que as organizações analisem criticamente todas essas aprovações regularmente e,
apropriadamente, renovem, revoguem ou expirem as aprovações, conforme apropriado.
9.2.5 Gerenciamento da informação de autenticação secreta de usuários

9.2.6 Análise crítica dos direitos de acesso do usuário

9.2.7 Retirada ou ajuste dos direitos de acesso

9.3 Responsabilidades dos usuários
9.3.1 Introdução

ABNT/CB-021
OUT 2020
9.3.2 Uso da informação de autenticação secreta

9.4 Controle de acesso ao sistema e à aplicação

9.4.1 Introdução
9.4.2 Restrição de acesso à informação

Antes de permitir que indivíduos como operadores e administradores usem linguagens de consulta
que permitam recuperação massiva automatizada de DP de bancos de dados que contêm DP,
convém que as organizações analisem criticamente a necessidade de usar essas linguagens ao tratar DP.
Onde o uso de linguagens de consulta for consistente com o requisito de proteção, convém que as
organizações forneçam medidas técnicas para limitar o uso destas linguagens ao mínimo necessário
para cumprir a(s) finalidade(s) especificada(s).
Isso pode, por exemplo, significar que as restrições de acesso limitem o uso da linguagem de consulta
a poucos campos sensíveis predefinidos dos registros.
Onde os indivíduos exigem acesso a áreas para as quais normalmente não são autorizados
(por exemplo, a área operacional), convém que mecanismos robustos de aprovação sejam
implementados. Convém que as organizações mantenham um registro de todas essas aprovações.
9.4.3 Procedimentos seguros de entrada no sistema (log-on)

Nos casos em que os titulares DP possam solicitar contas de um controlador de DP, convém que
o controlador de DP forneça procedimentos seguros de log-on para essas contas, dependendo
dos resultados de uma análise de risco.
9.4.4 Sistema de gerenciamento de senha

9.4.5 Uso de programas utilitários privilegiados


ABNT/CB-021
OUT 2020
9.4.6 Controle de acesso ao código-fonte de programas

10 Criptografia
10.1 Controles criptográficos
10.1.1 Introdução
10.1.2 Política para uso de controles criptográficos

10.1.3 Gerenciamento de chaves

11 Segurança física e do ambiente

11.1 Áreas seguras
11.1.1 Introdução
11.1.2 Perímetro de segurança física

11.1.3 Controles de entrada física

11.1.4 Segurança em escritórios, salas e instalações

11.1.5 Proteção contra ameaças externas e do meio ambiente


ABNT/CB-021
OUT 2020
11.1.6 Trabalhando em áreas seguras

11.1.7 Áreas de entrega e de carregamento


11.2 Equipamento
11.2.1 Introdução
11.2.2 Localização e proteção do equipamento

11.2.3 Utilidades

11.2.4 Segurança do cabeamento

11.2.5 Manutenção dos equipamentos

11.2.6 Remoção de ativos

11.2.7 Segurança de equipamentos e ativos fora das dependências da organização

11.2.8 Reutilização ou descarte seguro de equipamentos


ABNT/CB-021
OUT 2020
Para fins de descarte ou reutilização segura, convém que o equipamento que contenha mídia de
armazenamento que possa conter DP seja fisicamente destruído ou os DP sejam destruídos,
excluídos ou sobrescritos por técnicas aprovadas, de acordo com procedimentos bem definidos e
documentados, para tornar os DP originais irrecuperáveis em vez de simplesmente usar a função
padrão de excluir ou formatar. Para equipamentos que contenham mídia de armazenamento que
possa conter DP criptografado, a destruição controlada de chaves de descriptografia ou porta-chaves
(como cartões inteligentes) pode ser suficiente.
11.2.9 Equipamento de usuário sem monitoração

na ABNT NBR ISO/IEC se aplicam.
11.2.10 Política de mesa limpa e tela limpa

na ABNT NBR ISO/IEC se aplicam.
12 Segurança nas operações

12.1 Responsabilidades e procedimentos operacionais
12.1.1 Introdução
12.1.2 Documentação dos procedimentos de operação

12.1.3 Gestão de mudanças

12.1.4 Gestão de capacidade

12.1.5 Separação dos ambientes de desenvolvimento, teste e produção


ABNT/CB-021
OUT 2020
Convém que os ambientes de desenvolvimento, teste e produção sejam ambientes logicamente e,

sempre que possível, fisicamente separados. Convém que controles de acesso apropriados sejam
implementados para assegurar que o acesso seja limitado a indivíduos devidamente autorizados.
Se redes ou dispositivos de teste ou desenvolvimento exigirem acesso à rede operacional,
convém que robustos controles de acesso sejam implementados.
Convém que a organização avalie o risco de usar mídia removível e dispositivos contendo DP
com recursos sem fio, independentemente do ambiente em que serão usados.
Onde não for permitido por lei ou por consentimento explícito do titular, convém que o DP não seja
usado para fins de desenvolvimento e teste sem prévia anonimização.
12.2 Proteção contra códigos maliciosos
12.2.1 Introdução
O objetivo especificado em 12.2 da ABNT NBR ISO/IEC 27002:2013 se aplica.
12.2.2 Controles contra códigos maliciosos

12.3 Cópias de segurança
12.3.1 Introdução
12.3.2 Cópias de segurança das informações

Convém que os sistemas de informação que tratam DP introduzam mecanismos adicionais ou

alternativos, como cópias de segurança externas para proteção contra perda de DP, assegurando
a continuidade das operações de tratamento de DP e fornecendo a capacidade de restauração das
operações de tratamento de DP após um evento perturbador, se apenas estritamente necessário.
NOTA Passa algum tempo entre as operações de cópia de segurança e recuperação. Os DP armazenados
em uma cópia de segurança podem não estar mais atualizados quando acessados para serem restaurados.
Quaisquer operações baseadas em DP desatualizados podem levar a resultados incorretos e representar
um risco de privacidade.
12.4 Registros e monitoramento
12.4.1 Introdução

ABNT/CB-021
OUT 2020
12.4.2 Registros de eventos (logs)


Sempre que possível, convém que o registro de eventos (log) registre quais DP foram acessados,
o que foi feito quanto aos DP (por exemplo, ler, imprimir, adicionar, modificar, excluir), quando e por
quem, especialmente para certos tipos de DP (por exemplo, dados de saúde). Onde vários prestadores
de serviços estiverem envolvidos na prestação de um serviço, pode haver funções variadas ou
compartilhadas na implementação desta diretriz.
Convém que um processo seja implementado para analisar criticamente o registro de eventos (log)
com uma periodicidade especificada e documentada para identificar irregularidades e propor esforços
de correção.
Convém que o controlador de DP defina procedimentos sobre se, quando e como as informações de
log podem ser disponibilizadas ou utilizadas pelo administrador para fins tais como monitoramento
de segurança e diagnóstico operacional.
12.4.3 Proteção das informações dos registros de eventos (logs)

As informações de log registradas para fins como monitoramento de segurança e diagnóstico

operacional podem conter DP. Convém que medidas, como controle de acesso (ver 9.2.3),
sejam implementadas para assegurar que as informações registradas sejam usadas apenas para
os fins pretendidos. Convém que medidas sejam implementadas para assegurar a integridade do
arquivo de log.
12.4.4 Registros de eventos (log) de administrador e operador

Convém que as organizações monitorem o acesso privilegiado (por exemplo, pelos administradores
e operadores do sistema) aos DP e qualquer tratamento subsequente destes. Convém que esse
monitoramento faça parte do monitoramento geral dos sistemas de informações que tratam DP.
Convém que as organizações especifiquem o que consideram uma atividade anômala e convém
que sejam implementados procedimentos automatizados para relatar essa atividade aos indivíduos
pertinentes dentro da organização.
12.4.5 Sincronização dos relógios


ABNT/CB-021
OUT 2020
12.5 Controle de software operacional
12.5.1 Introdução
12.5.2 Instalação de software nos sistemas operacionais


12.6 Gestão de vulnerabilidades técnicas
12.6.1 Introdução
12.6.2 Gestão de vulnerabilidades técnicas

12.6.3 Restrições quanto à instalação de software

12.7 Considerações quanto à auditoria de sistemas de informação
12.7.1 Introdução
12.7.2 Controles de auditoria de sistemas de informação

13 Segurança nas comunicações

13.1 Gerenciamento da segurança em redes
13.1.1 Introdução
13.1.2 Controles de redes

na ABNT NBR ISO/IEC27002 se aplicam.

ABNT/CB-021
OUT 2020
13.1.3 Segurança dos serviços de rede

13.1.4 Segregação de redes


13.2 Transferência de informação
13.2.1 Introdução
13.2.2 Políticas e procedimentos para transferência de informações

Convém que medidas apropriadas sejam adotadas para reduzir o risco de divulgação não autorizada
de DP durante a transferência de informações. Isso geralmente é resolvido com a implementação
da criptografia e outras medidas preliminares podem incluir a desidentificação, mascaramento ou
ofuscação.
13.2.3 Acordos para transferência de informações

13.2.4 Mensagens eletrônicas

13.2.5 Acordos de confidencialidade e não divulgação

Convém que as organizações especifiquem as condições sob as quais o tratamento externo de DP

pode ocorrer. Convém que essas condições façam parte de um contrato apropriado (por exemplo,
contrato, acordo de confidencialidade ou de não divulgação).

ABNT/CB-021
OUT 2020
14 Aquisição, desenvolvimento e manutenção de sistemas

14.1 Requisitos de segurança de sistemas de informação
14.1.1 Introdução
14.1.2 Análise e especificação dos requisitos de segurança da informação

Ao desenvolver ou fazer alterações significativas nos sistemas de informação que tratam DP,
convém que uma AIP seja conduzida. As orientações sobre a condução das AIP podem ser encontradas
na ABNT NBR ISO/IEC 29134. Convém que os resultados da AIP sejam usados para determinar
os controles para tratar os riscos identificados durante o processo da AIP.
14.1.3 Serviços de aplicação seguros em redes públicas

14.1.4 Protegendo as transações nos aplicativos de serviços

14.2 Segurança em processos de desenvolvimento e de suporte
14.2.1 Introdução
14.2.2 Política de desenvolvimento seguro

14.2.3 Procedimentos para controle de mudanças de sistemas

14.2.4 Análise crítica técnica das aplicações após mudanças nas plataformas operacionais


ABNT/CB-021
OUT 2020
14.2.5 Restrições sobre mudanças em pacotes de software
O controle em14.2.4 e as diretrizes de implementação associadas e outras informações especificadas

14.2.6 Princípios para projetar sistemas seguros


14.2.7 Ambiente seguro para desenvolvimento

14.2.8 Desenvolvimento terceirizado

14.2.9 Teste de segurança do sistema

14.2.10 Teste de aceitação de sistemas

Convém que o teste de aceitação de sistemas também inclua o teste de requisitos de salvaguarda
de privacidade.
14.3 Dados para teste
14.3.1 Introdução
O objetivo especificado em 14.3 da ABNT NBR ISO/IEC 27002:2013, 14.3, se aplica.
14.3.2 Proteção dos dados para teste

Convém que os dados operacionais contendo DP normalmente não sejam usados para
desenvolvimento e teste. O uso de DP reais nesses ambientes aumenta o risco de comprometimento
das informações. Em vez disso, convém que as organizações usem dados sintéticos ou tomem
medidas para ‘’ ocultar ‘’ (por exemplo, mascarar, ofuscar, desidentificar) quaisquer DP reais em uso.

ABNT/CB-021
OUT 2020
15 Relacionamento na cadeia de suprimento

15.1 Segurança da informação na cadeia de suprimento
15.1.1 Introdução
15.1.2 Política de segurança da informação no relacionamento com os fornecedores

No caso de uma organização precisar fazer uso dos serviços de um operador de DP, convém que
os operadores de DP sejam avaliados com base na experiência, confiabilidade e capacidade de atender
aos requisitos de proteção de DP, conforme estipulado pela legislação aplicável, regulamentação
ou nos contratos ou outros acordos legais.
Convém que a organização que atua como controlador de DP tenha um contrato por escrito com
qualquer fornecedor que atue como operador de DP. Convém que o contrato distribua claramente
funções e responsabilidades entre o controlador de DP e o operador de DP, e convém que contenha
seções apropriadas relacionadas à proteção de DP, a fim de responsabilizar o operador de DP
pelo tratamento realizado.
Convém que o contrato do controlador forneça pelo menos:
— uma declaração adequada sobre a escala, natureza e finalidade do tratamento contratado;
— suporte as funções do operador de DP em fornecer aos titulares de DP a capacidade de acessar

e analisar criticamente seus DP, e lidar com quaisquer reclamações levantadas pelos titulares
de DP (ver a Seção A.10);
— outras medidas organizacionais a serem adotadas para atender aos requisitos legais ou
regulamentares;
— autorização do controlador de DP para realizar auditorias nas instalações do operador de DP;
— obrigações de reporte em casos de violação de dados, tratamento não autorizado ou outro não
cumprimento de termos e condições contratuais, incluindo a identificação dos pontos de contato
de ambas as partes;
— método de instrução do controlador de DP para o operador de DP;
— medidas aplicáveis na rescisão do contrato, especialmente em relação à exclusão segura de DP

nas instalações ou no retorno de DP e mídia física.
Convém que o controlador de DP assegure que seus operadores DP não realizem nenhuma
subcontratação adicional de tratamento (isto é, faça uso de suboperadores) sem a aprovação prévia
do controlador de DP. Convém que o controlador de DP cumpra toda a legislação e regulamentação
pertinentes sobre isto.

ABNT/CB-021
OUT 2020
Convém que o controlador de DP assegure que seus operadores de DP não tratem os DP para
quaisquer outros fins que não aqueles especificados no contrato ou em outro contrato legal.
Convém que o controlador de DP assegure que seus operadores de DP descartem com segurança
os DP, de acordo com as políticas do controlador de DP ou outros requisitos (por exemplo, requisitos
específicos da agência).
15.1.3 Identificando segurança da informação nos acordos com fornecedores

15.1.4 Cadeia de suprimento de tecnologia da informação e comunicação

15.2 Gerenciamento da entrega do serviço do fornecedor
15.2.1 Introdução
15.2.2 Monitoramento e análise crítica de serviços com fornecedores

15.2.3 Gerenciamento de mudanças para serviços com fornecedores

16 Gestão de incidentes de segurança da informação

16.1 Gestão de incidentes de segurança da informação e melhorias
16.1.1 Introdução
16.1.2 Responsabilidades e procedimentos

Convém que as organizações sejam capazes de fornecer (e estejam preparadas para fornecer)
uma resposta organizada e eficaz a um incidente de privacidade. Convém que as organizações,
portanto, desenvolvam e implementem um plano de resposta a incidentes de privacidade.

ABNT/CB-021
OUT 2020
Convém que um plano organizacional de resposta a incidentes de privacidade inclua:
a) a definição de incidente de privacidade e o escopo da resposta aos incidentes de privacidade;
b) o estabelecimento de uma equipe interfuncional de resposta aos incidentes de privacidade que

desenvolva, implemente, teste, execute e analise criticamente o plano de resposta a incidentes
de privacidade (convém que a aprovação do plano pertença à gerência sênior da organização);
c) funções, responsabilidades e autoridades claramente definidas para todos os membros da equipe

de resposta a incidentes de privacidade;
d) procedimentos para esclarecer os fundamentos legais da cooperação com organizações externas

(nacionais e internacionais) em caso de incidente transfronteiriço;
e) procedimentos para assegurar a pronta notificação por todos os indivíduos sujeitos à política de
privacidade interna (por exemplo, funcionários, contratados) de qualquer incidente de privacidade
aos funcionários de segurança da informação e ao indivíduo responsabilizado pela proteção de DP
(às vezes referido como CPO), de acordo com a direção de gestão de incidentes organizacionais;
f) uma avaliação de impacto de incidentes (tarefas) para determinar a natureza e extensão de

qualquer dano potencial ou real aos indivíduos afetados (por exemplo, constrangimento,
inconveniência ou injustiça) ou à organização;
g) um processo para identificar medidas que precisam ser tomadas para mitigar os danos identificados
acima e reduzir a probabilidade de sua recorrência; e
h) procedimentos para determinar se um aviso para indivíduos afetados e outras entidades

designadas (por exemplo, órgãos reguladores) é necessário, o momento para esse aviso e a
forma desse aviso e, quando apropriado, para fornecer esse aviso.
As organizações podem optar por integrar seus planos de resposta a incidentes de privacidade
com seus planos de resposta a incidentes de segurança ou mantê-los separados. Convém que
um incidente de segurança da informação desencadeie uma análise crítica pelo controlador de DP,
como parte de seu processo de gestão de incidentes de segurança da informação, para determinar
se ocorreu uma violação de dados envolvendo DP.
Um evento de segurança da informação pode não desencadear essa análise crítica. Um evento de
segurança da informação pode incluir, sem limitação, pings e outros ataques de broadcast em firewalls
ou servidores de borda, verificações de portas, tentativas malsucedidas de logon, ataques de negação
de serviço e captura de pacotes. Um evento de segurança da informação não resulta necessariamente
em comprometimento provável ou real de DP ou equipamento ou instalações tratando DP.
16.1.3 Notificação de eventos de segurança da informação

Quando os DP são comprometidos, não é possível proteger os direitos e interesses do titular de DP

sem medidas imediatas.

ABNT/CB-021
OUT 2020
As jurisdições podem impor requisitos específicos (por exemplo, na legislação ou nos regulamentos)
relacionados ao reporte ou notificação de incidentes de segurança envolvendo DP (por exemplo,
tratamento não autorizado, violação). Quando ocorre um incidente de segurança relacionado
aos DP, convém que os detalhes do incidente, incluindo a resposta proposta pelas organizações
(cuja divulgação pode estar sujeita a certas limitações), sejam notificados o mais rápido possível
às autoridades pertinentes. Isso pode incluir autoridades de proteção de dados, órgãos policiais e
indivíduos afetados pelo incidente.
Convém que as organizações forneçam aos titulares de DP afetados acesso às soluções apropriadas
e eficazes, como correção ou exclusão de informações incorretas, se ocorrer uma violação de
privacidade.
16.1.4 Notificando fragilidades de segurança da informação

16.1.5 Avaliação e decisão dos eventos de segurança da informação

16.1.6 Resposta aos incidentes de segurança da informação

16.1.7 Aprendendo com incidentes de segurança da informação

16.1.8 Coleta de evidências

17 Aspectos de segurança da informação na gestão da continuidade de negócios

17.1 Continuidade da segurança da informação
17.1.1 Introdução
17.1.2 Planejando a continuidade da segurança da informação


ABNT/CB-021
OUT 2020
17.1.3 Implementando a continuidade da segurança da informação

17.1.4 Verificação, análise crítica e avaliação da continuidade da segurança da informação


17.2 Redundâncias
17.2.1 Introdução
O objetivo especificado em 17.2 da ABNT NBR ISO/IEC 27002:2013, 17.2, se aplica.
17.2.2 Disponibilidade dos recursos de processamento da informação

18 Compliance
18.1 Compliance com requisitos legais e contratuais
18.1.1 Introdução
O objetivo especificado naABNT NBR ISO/IEC 27002:2013, 18.1 se aplica.
18.1.2 Identificação da legislação aplicável e de requisitos contratuais

Convém que as organizações identifiquem as leis e os regulamentos relacionados à proteção de

DP às quais estão sujeitos. Se estes forem identificados, convém que as organizações tomem
as medidas necessárias para esses requisitos. Os seguintes casos são exemplos destes requisitos.
a) Quando for necessária proteção adicional para determinadas categorias de DP (por exemplo,
identificador nacional, número do passaporte ou número do cartão de crédito), convém que sejam
utilizadas técnicas criptográficas, como criptografia. Convém que o tipo, robustez e qualidade
do algoritmo criptográfico necessário sejam adotados. Convém que os algoritmos criptográficos
só sejam selecionados a partir de listas de algoritmos aprovados.
O controle de segurança relacionado a este requisito é especificado em 10.1.2.
b) As jurisdições podem impor uma frequência mínima de cópias de segurança de dados

para informações incluindo DP, bem como uma frequência mínima de análises críticas do
procedimentos de cópia de segurança e recuperação.
O controle de segurança relacionado a esse requisito é especificado em 12.3.2.

ABNT/CB-021
OUT 2020
Convém que as organizações desenvolvam AIP e implementem os planos de tratamento de

privacidade resultantes para ajudar a assegurar que os programas e serviços relacionados ao
tratamento de DP cumpram os requisitos de proteção de privacidade. Diretrizes adicionais podem
ser encontradas na ABNT NBR ISO/IEC 29134.
Convém que as organizações estabeleçam um programa de auditoria para ajudar a verificar se o

tratamento de DP está em conformidade com os requisitos pertinentes de proteção da privacidade.

Convém que o programa especifique a frequência com as quais as auditorias serão conduzidas.
As auditorias podem ser conduzidas pela organização (por exemplo, através de um componente
da auditoria interna) ou podem ser realizadas por um terceiro independente qualificado.
Embora em muitas jurisdições seja o controlador de DP quem é responsável por assegurar o

compliance, convém que todos os atores envolvidos no tratamento de DP adotem uma abordagem
proativa na identificação de requisitos pertinentes de proteção à privacidade decorrentes de fatores
legais ou outros.
Um mecanismo para assegurar que o operador de DP suporte e gerencie o compliance é fornecido

pelo contrato entre o controlador de DP e o operador de DP. Convém que o contrato exija conformidade
auditada de forma independente, aceitável para o operador de DP, por exemplo, por meio da
implementação dos controles pertinentes neste documento e nas ABNT NBR ISO/IEC 27002 e
18.1.3 Direitos de propriedade intelectual

18.1.4 Proteção de registros

18.1.5 Proteção e privacidade de DP

18.1.6 Regulamentação de controles de criptografia

18.2 Análise crítica de segurança da informação
18.2.1 Introdução

ABNT/CB-021
OUT 2020
18.2.2 Análise crítica independente da segurança da informação


Se as auditorias de partes interessadas individuais forem impraticáveis ou aumentarem os riscos

à segurança, convém que as organizações disponibilizem às partes interessadas em potencial,
antes da celebração de um contrato, evidência independente de que a segurança da informação
é implementada e operada de acordo com as políticas e procedimentos do controlador de DP.
Convém que uma auditoria independente pertinente selecionada pelo controlador de DP
normalmente seja um método aceitável para atender ao interesse das partes interessadas em
analisar criticamente as operações de tratamento do controlador de DP, desde que seja fornecida
transparência suficiente.
18.2.3 Compliance com as políticas e normas de segurança da informação

18.2.4 Análise crítica técnica do compliance


ABNT/CB-021
OUT 2020
Anexo A
Conjunto estendido de controles para proteção de DP

(Este anexo faz parte integrante deste documento)
A.1 Geral
Este Anexo fornece definições para novos objetivos, novos controles e novas orientações de
implementação que compõem um conjunto de controles estendidos para atender aos requisitos
específicos para a proteção de DP.
As orientações neste documento se baseiam nas fornecidas na ABNT NBR ISO/IEC 29100:2020
e pressupõem que as orientações na ABNT NBR ISO/IEC 29100:2020 foram implementadas.
A Seção A.2 descreve políticas gerais para a proteção de DP, enquanto as seções subsequentes
refletem os princípios de privacidade descritos na ABNT NBR ISO/IEC 29100:2020.
A.2 Políticas gerais para o uso e proteção de DP

Objetivo: Fornecer orientação de gestão e suporte à proteção de DP de acordo com os requisitos
de negócios e as leis e os regulamentos pertinentes.
A.2.1 Controle
Convém que as organizações envolvidas no tratamento de DP estabeleçam uma política para o uso
e proteção de DP.
Convém que a política de privacidade inclua declarações apropriadas (em políticas de privacidade
separadas ou como adições às políticas existentes) sobre suporte e compromisso com a gestão do
compliance com a legislação de proteção de DP aplicável, requisitos contratuais e outras políticas
internas.
As políticas de privacidade e segurança podem não abranger os mesmos tópicos, embora estejam
intimamente relacionados. Convém que as políticas de segurança da informação e as políticas
de privacidade abordem a confidencialidade, a integridade e a disponibilidade das informações e,
além disso, convém que as políticas de privacidade abordem tópicos como consentimento e acesso
individual.
A ABNT NBR ISO/IEC 29100:2020 fornece orientações sobre a implementação de uma estrutura
de privacidade. Convém que a política de proteção de DP:
— seja apropriada ao(s) objetivo(s) da organização;
— seja transparente em relação à coleta e tratamento de DP da organização;
— forneça uma estrutura para o estabelecimento de objetivos para a proteção de DP;

ABNT/CB-021
OUT 2020
— estabeleça regras para a tomada de decisões em questões de proteção de DP;
— estabeleça critérios de aceitação de riscos de privacidade (ver também

ABNT NBR ISO/IEC 29134, 6.3.1);
— inclua um comprometimento de satisfazer aos requisitos aplicáveis de proteção da privacidade;

— inclua um comprometimento com a melhoria contínua;
— seja comunicada dentro da organização; e
— esteja disponível para as partes interessadas, conforme apropriado.
A.3 Consentimento e escolha
A.3.1 Consentimento
Objetivo: Tornar os titulares de DP participantes ativos no processo de tomada de decisão sobre o

tratamento de seus DP, exceto quando limitado por legislação e regulamentos, através do exercício
de consentimento significativo, informado e dado livremente.
Controle
Convém que as organizações forneçam os meios necessários para que os titulares de DP exerçam
consentimento significativo, informado, inequívoco e dado livremente, exceto quando não for possível
que o titular de DP recuse livremente o consentimento ou quando a lei aplicável permitir especificamente
o tratamento de DP sem o consentimento do titular.
Convém que as organizações:
a) determinem os meios práticos a serem implementados para obter o consentimento dos titulares
de DP e analisem os casos em que os meios práticos escolhidos não estão mais operacionais,
e determinem soluções alternativas, se necessário, para assegurar que o consentimento seja
obtido antes do início de qualquer tratamento;
b) forneçam meios, quando possível e apropriado ou quando legalmente exigido, para que os
titulares de DP forneçam consentimento, a fim de assegurar que o consentimento seja obtido
antes do início de qualquer tratamento - o tratamento inclui coleta, armazenamento, alteração,
recuperação, consulta, divulgação, desidentificação, anonimização, disseminação ou disponibilização,
exclusão ou destruição de DP;
c) quando o consentimento estiver sendo fornecido por um agente legal (por exemplo, em nome
de crianças ou pessoas incapacitadas por lei), armazenem o registro do consentimento;
d) quando necessário, informem os titulares de DP de todas as instâncias de transferência de DP

a terceiros e forneçam meios adequados para que os titulares de DP deem seu consentimento
a essas transferências;
e) obtenham o consentimento, quando possível e apropriado ou legalmente exigido, dos titulares

de DP antes de qualquer novo uso ou divulgação de DP coletados anteriormente, e assegurem
que o consentimento seja obtido antes do início de qualquer outro tratamento;

ABNT/CB-021
OUT 2020
f) assegurem que o consentimento seja obtido de maneira informada e transparente em termos

dos objetivos do tratamento e assegurem que o consentimento seja obtido para um fim específico;
g) alcancem conscientização e consentimento, por exemplo, por meio de avisos públicos atualizados;
h) forneçam um mecanismo para que os titulares de DP modifiquem o escopo de seu consentimento –

convém que qualquer modificação do consentimento seja realizada em tempo hábil e convém que
o tratamento seja modificado ou cessado, de acordo com o consentimento revisado;
i) assegurem que o consentimento cumpra todos os requisitos legais aplicáveis, incluindo,

quando apropriado, o requisito de consentimento explícito para DP sensíveis;
j) quando apropriado, permitam consentimento implícito, quando os titulares de DP tenham sido

claramente informados do tratamento e não tenham se oposto, pois esse comportamento
pode indicar concordância;
k) notifiquem previamente todas as operações de tratamento anteriores à sua implementação; e
l) confirmem, quando necessário, a identidade do titular de DP ou do agente autorizado de um titular

de DP, enviando consentimento ao tratamento – convém que as informações solicitadas para
verificação sejam mantidas no mínimo essencial para esse fim, convém que apenas sejam retidos
pelo tempo que for necessário para esse fim e convém que sejam descartados com segurança
quando não forem mais necessários.
Sujeitas à lei aplicável, convém que as organizações obtenham consentimento por meios de
consentimento explícito ou implícito. O consentimento de aceitação (opt-in) é o método preferido,
mas nem sempre é viável. A aceitação requer que os titulares de DP adotem ações afirmativas para
permitir que as organizações coletem ou usem DP. Se o consentimento for coletado usando mídia
eletrônica, convém que organização determine se a aceitação simples é adequada ou se a aceitação
dupla é necessária.
Com mecanismos de exclusão, as organizações podem assumir que o titular de DP consentiu

implicitamente com o tratamento de seus DP, a menos que o titular de DP tome uma ação afirmativa
para sinalizar o contrário.
O consentimento implícito é geralmente inferido pelas ações de um indivíduo ou sua falta, ou suas
circunstâncias particulares. Exemplo de consentimento implícito: o cliente fornece o endereço de
entrega ao varejista on-line e o varejista usa as informações estritamente para fins de entrega das
mercadorias que o cliente comprou.
Convém que as organizações forneçam meios práticos a serem implementados para obter o
consentimento separado dos titulares de DP quando forem coletados números de identificação nacional
(por exemplo, número de seguro social, número de registro de residente, número de passaporte).
As organizações podem fornecer, por exemplo, as escolhas detalhadas dos titulares de DP sobre se
desejam ser contatadas para diversos fins. Nessa situação, as organizações constroem mecanismos
de consentimento para assegurar que as operações organizacionais cumpram as escolhas do titular
de DP, tanto quanto possível.
O consentimento pode ser eletrônico ou impresso, dependendo dos requisitos regulamentares

aplicáveis e de considerações práticas.

ABNT/CB-021
OUT 2020
Se os DP forem transferidos para ou de outra organização, convém que as organizações estabeleçam

um processo para atualizar seus registros para espelhar atualizações de conteúdo e alterações
de consentimento (por exemplo, modificação, revogação) feitas pelos titulares de DP e assegurar
que essas atualizações/ alterações sejam repassadas para as organizações com as quais os DP
foram compartilhados. Convém que somente a quantidade mínima de informações necessárias para
assegurar que os registros corretos sejam atualizados seja coletada do titular de DP e compartilhada
com outras organizações. Convém que as organizações analisem criticamente, periodicamente, seus
processos para assegurar que nenhum DP desnecessário esteja sendo tratado.
A.3.2 Escolha
Objetivo: Apresentar aos titulares de DP, quando apropriado e viável, a opção de não permitir o
tratamento de seus DP, recusar ou retirar o consentimento ou se opor a um tipo específico de
tratamento, e explicar aos titulares de DP as implicações da concessão ou recusa do consentimento.
Controle
Convém que as organizações forneçam aos titulares de DP mecanismos claros, proeminentes,

facilmente compreensíveis, acessíveis e baratos para exercer a escolha em relação ao tratamento
de seus DP, exceto quando não for possível que o titular de DP negue livremente o consentimento ou
quando a lei aplicável permitir especificamente o tratamento de DP sem consentimento do titular de DP.
a) assegurem que os titulares de DP que exercem uma escolha em relação ao tratamento de seus
DP possam fazê-lo antes de qualquer tratamento;
b) não retenham o serviço de um titular de DP que se recuse a fornecer DP que não seja relevante
para esse serviço;
c) quando previsto pela legislação ou regulamentação pertinente, determinem os meios práticos

que serão implementados para permitir que os titulares de DP exerçam seu direito de se opor
ao tratamento de seus DP - convém que titulares de DP tenham vários meios pelos quais
exercer esse direito (por exemplo, por correio, e-mail, telefone);
d) reconheçam a declaração de objeção dentro dos prazos especificados na lei aplicável ou conforme
estabelecido na política organizacional;
e) analisem os casos em que os meios práticos escolhidos não estão mais operacionais e identifiquem
soluções de backup, se necessário, para permitir que os titulares de DP continuem a exercer
seu direito de rejeitar em tempo hábil;
f) assegurem que os DP sejam classificados, rotulados e armazenados de uma maneira que facilite
o exercício do direito de rejeitar e assegurem que os titulares de DP possam exercer seu direito
de rejeitar em tempo hábil e sem custo;
g) confirmem a identidade do titular de DP ou do agente autorizado de um titular de DP, submetendo

uma objeção ao tratamento – convém que as informações solicitadas para verificação sejam
mantidas no mínimo essencial para esse fim, convém que apenas sejam mantidas pelo tempo
necessário para esse fim e convém que sejam descartadas com segurança quando não forem
mais necessárias;

ABNT/CB-021
OUT 2020
h) assegurem que, se for exigido fundamento legal para exercer o direito de objeção, os titulares
de DP que exercem seu direito de objeção forneçam motivos razoáveis para a objeção –
convém que qualquer recusa em cumpri-la detalhe as razões pelas quais o controlador de DP
não considera essas objeções motivos legítimos;
i) assegurem que todas as organizações com as quais os DP foram compartilhados estejam cientes
de quaisquer objeções apresentadas pelo titular de DP e que respeitem quaisquer objeções

válidas; e
j) sempre que possível, forneçam aos titulares de DP a capacidade de se opor a aspectos

selecionados do tratamento de DP, em vez de ter que aceitar ou se opor ao tratamento em sua
totalidade.
Em muitas situações, dependendo das leis aplicáveis, pode não ser necessário ou praticável
fornecer um mecanismo para exercer a escolha ao coletar informações publicamente disponíveis.
Por exemplo, não seria necessário fornecer um mecanismo para oferecer uma opção aos titulares
de DP ao coletar seu nome e endereço em um registro público ou jornal.
A.4 Especificação de legitimidade de objetivo
A.4.1 Legitimidade do objetivo
Objetivo: Assegurar que o(s) objetivo(s) de tratamento de DP esteja(m) em conformidade com a

legislação aplicável e com uma base jurídica permitida.
Controle
Convém que as organizações implementem medidas apropriadas para assegurar que o tratamento de
DP cumpra a lei aplicável e se baseie em um fundamento legal permitido.
a) determinem se o tratamento proposto pode ser realizado com base em um fundamento legal
que não seja o consentimento (por exemplo, aplicação da lei, segurança pública, obrigação legal
ou interesse legítimo do controlador de DP);
b) determinem se o tratamento proposto é regido por um fundamento legal (por exemplo, aplicação
da lei, segurança pública ou obrigação legal) que proíbe que os titulares de DP exerçam sua
escolha em relação ao tratamento de suas DP;
NOTA Se a coleta ou o tratamento de DP for executado internacionalmente, a necessidade de

consentimento e a maneira correta de tratá-los podem diferir nas diferentes estruturas legais aplicáveis.
c) determinem a autoridade legal (local) que permite o tratamento de DP, geralmente ou em apoio
a um programa ou sistema de informação específico; e

ABNT/CB-021
OUT 2020
d) incorporem procedimentos que assegurem que o tratamento esteja em conformidade com toda
a regulamentação aplicável e sua interpretação pelas autoridades competentes. Convém que o
contexto geral do tratamento seja considerado ao determinar a legitimidade de sua finalidade.
Isso incluirá a natureza do relacionamento subjacente entre o controlador de DP e os titulares
de DP, desenvolvimentos científicos e tecnológicos e mudanças nas atitudes sociais e culturais.
Convém que as organizações desenvolvam procedimentos que assegurem que o tratamento de

DP não seja realizado de maneira a violar ou potencialmente violar quaisquer obrigações legais,
incluindo disposições estatutárias, lei comum ou termos contratuais.
Se a organização tiver um conselho de empresa ou sindicato, as leis aplicáveis podem exigir consulta
a esses órgãos ao estabelecer a legitimidade de um objetivo no caso de funcionários.
Convém que os funcionários do programa consultem o indivíduo responsável pela proteção de DP

(às vezes chamado de CPO) ou equivalente e assessoria jurídica sobre a autoridade de qualquer
programa ou atividade para coletar DP. Convém que a autoridade para coletar DP seja documentada.
A.4.2 Especificação do objetivo
Objetivo: Especificar os objetivos para os quais DP são coletados o mais tardar no momento da
coleta e limitar o uso subsequente ao cumprimento das finalidades originais.
Controle
Convém que as organizações se comuniquem com o titular de DP de quem os DP serão coletados,

as finalidades para as quais os DP estão sendo coletados e as finalidades para as quais os DP
serão tratados. Convém que tal comunicação ocorra no momento ou antes da coleta de DP e antes
de ser processada para qualquer finalidade não comunicada anteriormente ao titular de DP.
Convém que as organizações comuniquem o(s) objetivo(s) ao titular de DP antes que as informações
sejam coletadas ou usadas pela primeira vez para um novo objetivo, usem linguagem para esta
especificação que seja clara e adequadamente adaptada às circunstâncias e forneçam explicações
suficientes para a necessidade de tratar DP sensíveis.
Frequentemente, a linguagem estatutária autoriza expressamente coletas e usos específicos de

DP. Quando a linguagem estatutária é escrita de maneira ampla e, portanto, sujeita a interpretação,
convém que as organizações assegurem, em consulta com o CPO e o consultor jurídico,
que haja uma conexão clara entre a autorização geral e qualquer coleta específica de DP.
Depois que os objetivos específicos forem identificados, convém que eles sejam claramente descritos
na documentação de compliance de privacidade relacionada ou nos formulários que as organizações
usam para coletar DP. Além disso, para evitar coleções ou usos não autorizados de DP, convém que
o pessoal que lida com DP receba treinamento das autoridades organizacionais para coleta.
a) identifiquem os DP úteis apenas para cada processo de negócios;
b) separem os DP úteis para cada processo de maneira lógica;

ABNT/CB-021
OUT 2020
c) gerenciem os diferentes direitos de acesso de acordo com os processos de negócios (incluindo

gerenciamento de folha de pagamento, gerenciamento de solicitações de férias e progressão
na carreira) e estabeleçam um ambiente de TI dedicado para sistemas que tratam os DP mais
sensíveis; e
a) confirmem regularmente se os DP são separados de forma eficaz e se destinatários e interconexões

não foram adicionados.
A.5 Limitação de coleta

Objetivo: Limitar a coleta de DP àquilo que está dentro dos limites da lei aplicável e estritamente
necessário para o(s) objetivos(s) especificado(s).
Controle
Convém que as organizações implementem medidas apropriadas para limitar a coleta do tipo e
quantidade de DP aos elementos mínimos para os objetivos descritos no aviso (ver A.9.1) e aqueles
dentro dos limites das leis e regulamentos aplicáveis.
d) limitem a coleta de DP aos elementos mínimos identificados para os objetivos descritos no aviso
(ver A.9.1) e para os quais o titular de DP tenha dado consentimento;
e) não coletem DP sensível, a menos que a coleta de DP sensível seja legalmente autorizada
ou seja obtido consentimento; e
f) limitem a quantidade de informações que eles coletam indiretamente ou sobre um titular de DP

(por exemplo, por meio de logs da web, logs do sistema).
Convém que as organizações estabeleçam o(s) objetivo(s) do tratamento de DP, identifiquem os DP

necessários para atingir esse objetivo, identifiquem informações que não precisam ser coletadas e
confirmem que apenas informações essenciais estão sendo coletadas.
Convém que as organizações considerem cuidadosamente quais DP precisam ser coletados para
atingir um objetivo específico antes de prosseguir com a coleta. Convém que as organizações
não coletem DP indiscriminadamente.
Convém que as organizações analisem criticamente regularmente o(s) objetivo(s) para o qual(ais)
estão coletando DP para assegurar que ainda sejam válidos. Convém também que eles analisem
criticamente regularmente os DP que estão coletando para assegurar que ainda seja apenas o mínimo
essencial para o(s) objetivo(s).
Não convém que as organizações coletem DP sensíveis, por exemplo, número de identificação
nacional, a menos que a coleta dessas informações seja legalmente autorizada ou seja obtido
consentimento explícito.

ABNT/CB-021
OUT 2020
Algumas jurisdições podem definir determinadas categorias de DP (por exemplo, origem racial,
opiniões políticas ou crenças religiosas ou outras crenças, dados pessoais sobre saúde, vida sexual ou
condenações criminais etc.) como sensíveis. Essas jurisdições podem impor restrições ou condições
à coleta desse tipo de DP e convém que as organizações considerem essas restrições e condições
ao decidir quais DP coletar.
A.6 Minimização de dados

Objetivo: Minimizar os DP tratados até o estritamente necessário para os interesses legítimos
do controlador de DP e limitar a divulgação de DP a um número mínimo de partes interessadas
na privacidade.
Controle
Convém que as organizações implementem medidas apropriadas para minimizar a quantidade de

DP sendo tratada àquela estritamente necessária para os interesses legítimos do controlador de DP
(por exemplo, uma organização pode procurar aumentar ou estender suas operações comerciais
de uma maneira que legitimamente aumente a quantidade de DP que ela trata e armazena).
a) assegurem a adoção de um princípio de ‘necessidade de conhecer’, ou seja, convém que se

tenha acesso apenas aos DP necessários para o desempenho de suas funções oficiais no âmbito
do objetivo legítimo do tratamento de DP;
b) usem ou ofereçam como opções-padrão, sempre que possível, interações e transações que
não envolvam a identificação de titulares de DP;
c) limitem a vinculação dos DP coletados;
d) realizem uma avaliação inicial dos DP retidos pela organização e, estabeleçam e sigam um
cronograma para analisa-los criticamente regularmente, para assegurar que apenas os DP
identificados no aviso sejam coletados e que os DP continuem sendo necessários para cumprir
os objetivos comerciais atuais;
e) restrinjam a transmissão de documentos eletrônicos contendo DP a um mínimo de partes

interessadas que precisam deles em conexão com seu trabalho;
f) determinem quais DP convém que sejam anonimizados ou desidentificados com base no contexto,
a forma na qual o DP é armazenado (por exemplo, campos do banco de dados ou trechos de
textos) e os riscos identificados;
g) desidentifiquem os dados que exigem essa desidentificação com base na forma dos dados a serem
desidentificados (por exemplo, bancos de dados e registros textuais) e os riscos identificados;
h) excluam e descartem DP sempre que o objetivo do tratamento de DP expirar, quando não houver
requisitos legais para mantê-los ou sempre que for praticável; e
i) considerem se, e quais, tecnologias de aprimoramento da privacidade (TAP) podem ser usadas.

ABNT/CB-021
OUT 2020
O conjunto mínimo de elementos de DP necessário para suportar um processo de negócios da

organização específico pode ser um subconjunto dos DP que a organização está autorizada a coletar.
Convém que os DP sejam classificados em DP obrigatórios e DP opcionais para coleta. Convém

que as organizações coletem apenas os DP obrigatórios necessários para a prestação do serviço
e obtenham o consentimento de aceitação apropriado dos titulares de DP ao coletar DP opcionais.
Convém que as organizações não se recusem a prestar serviço quando os titulares de DP se recusam
a fornecer DP opcionais.
Convém que o CPO e o consultor jurídico contestem os funcionários do programa para justificarem o
tratamento de DP proposto para assegurar que seja o mínimo necessário para o sistema de informação
ou atividade atingir o objetivo legalmente autorizado.
NOTA 1 A anonimização, conforme definido na ABNT NBR ISO/IEC 29100, é um processo pelo qual
os DP são irreversivelmente alterados de tal maneira que não é mais possível que um titular de DP seja
identificado direta ou indiretamente, seja apenas pelo controlador de DP ou em colaboração com qualquer
outra parte. Esse processo envolve necessariamente uma perda (irreversível) de informações. Em alguns
casos, simplesmente excluir parte dos dados pode atingir o objetivo desejado.
NOTA 2 Uma descrição das técnicas de desidentificação de dados que aumentam a privacidade, a serem
usadas para descrever e projetar medidas de desidentificação, de acordo com os princípios de privacidade
da ABNT NBR ISO/IEC 29100, está planejada para formar o assunto de uma futura norma internacional.
Como regra geral, para concluir que um processo de desidentificação está em conformidade com a lei,
a desidentificação é realizada por, por exemplo, exclusão ou generalização de atributos, juntamente com
robustas medidas organizacionais e técnicas.
NOTA 3 Quando DP são tratados para uma finalidade, a extensão de DP tratados é minimizada de modo
a servir apenas à finalidade pretendida, sem revelar informações excessivas sobre o titular, por exemplo,
se a área geográfica de um respondente a um tráfego relacionado a pesquisa for necessária, considere
coletar apenas pontos de referência próximos em vez de um endereço preciso.
NOTA 4 Frequentemente, durante a análise de dados anonimizados, quando a saída for um pequeno conjunto
de dados, a identidade dos titulares de DP pode ser revelada. Portanto, é uma boa prática impedir a saída
quando o número de registros for menor que um número limite – digamos dez registros. O limite precisa ser
cuidadosamente definido, com base em um padrão de distribuição de dados.
Convém que as organizações reduzam seus riscos de privacidade e segurança, reduzindo também
seu inventário de DP, quando apropriado. Convém que as organizações realizem uma análise inicial
e análises subsequentes de suas propriedades de DP para assegurar, na extensão máxima possível,
que essas pilhas de dados sejam precisas, pertinentes, oportunas e completas.
Convém que as organizações também sejam orientadas a reduzir suas participações de DP ao mínimo
necessário para o desempenho adequado de um objetivo comercial documentado da organização.
Convém que as organizações desenvolvam e divulguem um cronograma para análises críticas
periódicas de sua pilha de dados para complementar a análise crítica inicial.
Ao realizar avaliações periódicas, as organizações reduzem o risco, asseguram que estão coletando
apenas os dados especificados no aviso e asseguram que os dados coletados ainda sejam relevantes
e necessários.

ABNT/CB-021
OUT 2020
A.7 Limitação de uso, retenção e divulgação
A.7.1 Limitação de uso, retenção e divulgação
Objetivo: Limiar o uso e a divulgação de DP para fins específicos, explícitos e legítimos e manter
DP não mais do que o necessário para cumprir os fins declarados ou para cumprir as leis aplicáveis
Controle
Convém que as organizações implementem medidas apropriadas para limitar o tratamento de DP para
objetivos legítimos e pretendidos e retê-los apenas pelo tempo necessário para cumprir os objetivos
declarados ou para cumprir as leis aplicáveis.
a) limitem o uso, a retenção e a divulgação (incluindo transferência) de DP ao necessário para

cumprir objetivos específicos, explícitos e legítimos; e
b) configurem seus sistemas de informação para registrar a data em que os DP são coletados,
criados ou atualizados e quando convém que os DP sejam excluídos ou arquivados sob um
cronograma aprovado de retenção de registros.
Diretrizes de implementação sobre o uso para a proteção de DP
a) bloqueiem (ou seja, arquivem, protejam e isentem de tratamento adicional) qualquer DP quando
os objetivos declarados expirarem, mas a retenção for exigida pelas leis aplicáveis;
b) usem técnicas ou métodos apropriados para assegurar a exclusão ou destruição segura de DP

(incluindo originais, cópias e registros arquivados);
c) usem DP apenas para os fins acordados ou divulgados ao titular de DP antes ou no momento

da coleta e obtenha consentimento, quando necessário, antes de qualquer tratamento para
qualquer nova finalidade;
d) limitem o acesso da parte externa aos sistemas organizacionais e DP ao estritamente necessário

e que tenha sido formalmente autorizado - se o acesso for realmente necessário para os negócios,
convém que sejam seguidos os procedimentos de aprovação adequados;
e) confirmem que os sistemas externos que têm permissão para se conectar aos sistemas
organizacionais implementem salvaguardas apropriadas antes de poderem se conectar;
f) analisem criticamente, de forma periódica, as salvaguardas implementadas por terceiros para

assegurar que eles continuem a atender aos requisitos de segurança da organização – se,
como resultado dessa revisão, as salvaguardas forem consideradas inadequadas, convém
que terceiros sejam desconectados até o momento em que demonstrem que salvaguardas
adequadas foram restauradas;
g) implementem mecanismo de autenticação de acesso apropriado quando DP forem acessados

por meio de interfaces remotas – registros de acesso aos DP precisam ser registrados; e

ABNT/CB-021
OUT 2020
h) forneçam aviso para informar o público sobre quaisquer alterações nas propriedades de DP
coletadas durante o processo de monitoramento de segurança.
Diretrizes de implementação sobre retenção para proteção de DP
Pode haver circunstâncias em que um requisito legal para reter DP resulte na retenção de DP além
do exigido para fins comerciais especificados.
a) retenham os DP apenas por um período autorizado para cumprir os objetivos identificados no

aviso ou conforme exigido por lei e organizações e, excluam os DP imediatamente quando
o período de retenção expirar;
b) quando necessário para reter DP por mais tempo do que o necessário para fins comerciais
especificados, implementem medidas como a desidentificação para proteger os DP;
c) definam períodos de retenção de DP limitados no tempo e adequados ao objetivo do tratamento;
d) confirmem que o sistema de informação pode detectar a expiração do período de retenção;
e) assegurem que os períodos de retenção acordados sejam implementados e DP sejam descartados

de acordo com os períodos de retenção;
f) desenvolvam uma funcionalidade automatizada que exclua DP quando o período de retenção

expirar – convém que essa exclusão ocorra imediatamente ou assim que for prático;
g) determinem o que convém que seja desidentificado com base no contexto, na forma em que os
DP são armazenados (incluindo campos do banco de dados ou trechos de textos) e os riscos
identificados;
h) desidentifiquem os dados que exigem essa desidentificação com base na forma dos dados a
serem desidentificados (incluindo bancos de dados e registros textuais) e os riscos identificados;
e
i) escolham ferramentas (incluindo exclusão parcial, hash, hash de chave e índice) para a proteção
de DP se não for possível desidentificar esses dados.
Diretrizes de implementação sobre divulgação para a proteção de DP
a) não divulguem DP a partes externas, sem o conhecimento e consentimento prévio do titular de

DP, a menos que esta divulgação seja permitida pela legislação pertinente – o conhecimento
e o consentimento do titular de DP podem não ser necessários quando a divulgação for para
partes internas (por exemplo, funcionários) que precisam saber; e
b) forneçam fortes mecanismos de proteção quando os DP forem transferidos, incluindo criptografia

de dados e proteção de integridade.
Convém que os DP dos funcionários sejam descartados (ou seja, excluídos ou arquivados com
segurança) de acordo com a legislação e os regulamentos aplicáveis, bem como de acordo com as
políticas de descarte organizacional e, quando apropriado, com o consentimento dos funcionários.

ABNT/CB-021
OUT 2020
A.7.2 Descarte seguro de arquivos temporários
Objetivo: Fornecer medidas técnicas para que arquivos temporários sejam excluídos dentro do
período específico.
Controle
Convém que arquivos e documentos temporários que possam conter DP sejam descartados dentro
de um período especificado e documentado.
Os sistemas de informação podem criar arquivos temporários que contenham DP no curso normal
de sua operação. Esses arquivos são específicos do sistema e do aplicativo, mas podem incluir um
sistema de arquivos com capacidade de reversão e arquivos temporários associados à atualização dos
bancos de dados e à operação de outro software de aplicativo. Os arquivos temporários geralmente
não são necessários após a conclusão da tarefa de tratamento de informações relacionadas, mas
há circunstâncias em que não é possível que eles sejam excluídos automaticamente. O período
de tempo em que esses arquivos permanecem em uso nem sempre é determinístico, mas convém
que um procedimento de ‘liberação de espaço ocioso (garbage collection)’ indentifique os arquivos
temporários relevantes e determine quanto tempo desde que foram usados pela última vez.
Convém que os sistemas de informações de tratamento de DP implementem uma verificação

periódica para assegurar que os arquivos temporários não utilizados acima de uma idade
especificada sejam excluídos.
A.7.3 Notificação de divulgação de DP
Objetivo: Assegurar que o operador de DP notifique o controlador de DP de qualquer solicitação

legalmente obrigatória de divulgação de DP.
Controle
Convém que o contrato entre o controlador de DP e o operador de DP exija que o operador de

DP notifique o controlador de DP, de acordo com qualquer procedimento e períodos acordados
no contrato, de qualquer solicitação legalmente obrigatória de divulgação de DP por autoridades
policiais ou outra autoridade, a menos que esta divulgação seja proibida por lei.
Convém que as organizações implementem medidas (por exemplo, obrigações contratuais) para
assegurar que:
a) os operadores de DP consultem o controlador de DP pertinente antes de aceitar qualquer

solicitação juridicamente vinculativa de divulgação de DP, a menos que de outra forma proibido
por lei; e
b) os operadores de DP aceitem quaisquer solicitações acordadas contratualmente de

divulgações de DP, conforme autorizadas pelo controlador de DP pertinente, a menos que seja
proibido por lei.

ABNT/CB-021
OUT 2020
A.7.4 Registro de divulgações de DP
Objetivo: Assegurar que as divulgações de DP a terceiros sejam registradas.
Controle
Convém que as divulgações de DP a terceiros sejam registradas, incluindo quais DP foram divulgados,
a quem, a que horas e com que finalidade.
Os DP podem ser divulgados durante o curso das operações normais. Convém que essas divulgações
sejam registradas. Quaisquer divulgações adicionais a terceiros, como as decorrentes de investigações
legais ou auditorias externas, convém que também sejam registradas. Convém que os registros
incluam a fonte da divulgação e a fonte da autoridade para fazer a divulgação.
A.7.5 Divulgação do tratamento de DP subcontratado
Objetivo: Assegurar que os operadores de DP divulguem qualquer uso de subcontratados ao

controlador de DP.
Controle
Convém que o uso de subcontratados pelo operador de DP para tratar DP seja divulgado ao controlador
de DP antes de qualquer uso.
Convém que as disposições para o uso de subcontratados para tratar DP sejam especificadas no
contrato entre o operador de DP e o controlador de DP. Convém que o contrato especifique que os
subcontratados só podem ser contratados com a autorização prévia do controlador de DP. Convém que
o operador de DP informe o controlador de DP em tempo hábil sobre quaisquer alterações pretendidas
sobre isso, para que o controlador de DP tenha a capacidade de se opor a essas alterações ou de
rescindir o consentimento.
Convém que as informações divulgadas abranjam o fato de que a subcontratação é usada e os nomes
dos subcontratados são pertinentes, mas não os detalhes específicos de negócios. Convém que as
informações divulgadas também incluam os países nos quais os subcontratados podem tratar dados
e os meios pelos quais os subcontratados são obrigados a cumprir ou exceder as obrigações do
operador de DP.
Quando a divulgação pública de informações do subcontratado é avaliada como aumento do risco

de segurança além dos limites aceitáveis, convém que a divulgação seja feita sob um contrato de
confidencialidade ou a pedido do controlador de DP. Convém que o controlador de DP esteja ciente
de que estão disponíveis informações sobre subcontratados em uso.
A.8 Precisão e qualidade

Objetivo: Assegurar que os DP tratados sejam precisos, completos, atualizados, adequados e
pertinentes para o objetivo de uso.

ABNT/CB-021
OUT 2020
Controle
Convém que as organizações implementem medidas apropriadas para assegurar que os DP

coletados de um titular de DP, direta ou indiretamente, sejam de qualidade adequada.

Atingir a qualidade dos dados significa que os DP que estão sendo tratados são corretos, de precisão
adequada, completos, atualizados, adequados e pertinentes para o objetivo de uso.
a) estabeleçam procedimentos de coleta de DP para ajudar a assegurar precisão e qualidade;
b) coletem DP de uma maneira que quaisquer modificações sejam detectáveis após a saída da fonte
autorizada;
c) confirmem, na medida do possível, após a coleta ou criação de DP, a precisão, relevância,

pontualidade e integridade dos DP;
d) assegurem a confiabilidade dos DP coletados de uma fonte que não seja o titular de DP antes
de serem tratados;
e) verifiquem, por meios apropriados, a validade e a correção dos pedidos de correção feitos pelo
titular de DP antes de fazer alterações nos DP, onde for apropriado;
f) verifiquem periodicamente e corrijam, conforme necessário, quaisquer DP imprecisos ou

desatualizados usados por seus programas ou sistemas; e
g) emitam diretrizes que assegurem e maximizem a precisão, integridade, adequação e pertinência

das informações divulgadas. Convém que as organizações tomem medidas razoáveis para
confirmar a precisão dos DP. Estas etapas podem incluir, por exemplo, editar e validar endereços
à medida que são coletados ou inseridos em sistemas de informação usando interfaces de
programação de aplicativos (API) de pesquisa de verificação de endereço automatizada.
Quando os DP são de natureza suficientemente sensível (por exemplo, quando são usados para
reconfirmação anual da renda de um contribuinte para um benefício recorrente), convém que as
organizações incorporem mecanismos nos sistemas de informação e desenvolvam procedimentos
correspondentes para a frequência e o método de como as informações serão atualizadas.
Para minimizar o escopo da imprecisão dos dados, na medida do possível, convém que os DP sejam
inseridos nos sistemas de informação diretamente pelo titular de DP, sem a necessidade de outra
pessoa para transcrever os dados. No entanto, no caso de a transcrição dos DP ser inevitável, convém
que as organizações considerem permitir que o titular de DP valide os DP transcritos. Isso ajuda
a corrigir erros antes que qualquer dano consequente resulte do tratamento de DP imprecisos.
Os tipos de medidas adotadas para proteger a qualidade dos dados podem ser baseados na natureza e
contexto dos DP, como eles devem ser usados e como foram obtidos. Convém que as medidas tomadas
para validar a precisão de qualquer DP sensível sejam mais abrangentes do que aquelas usadas para
validar DP menos sensíveis. Podem ser necessárias etapas adicionais para validar os DP obtidos de
outras fontes que não os titulares de DP ou os representantes autorizados dos titulares de DP.

ABNT/CB-021
OUT 2020
A.9 Abertura, transparência e notificação
A.9.1 Aviso de privacidade
Objetivo: Assegurar que os avisos de privacidade contenham o nível apropriado de detalhes,

sejam escritos em linguagem simples e sejam facilmente acessíveis.
Controle
Convém que as organizações implementem medidas apropriadas para fornecer aos titulares de DP
notificações apropriadas dos objetivos do tratamento dos DP.
a) notifiquem efetivamente os titulares de DP sobre:
1) suas atividades que impactam a privacidade, incluindo, mas não se limitando à sua coleta,
uso, compartilhamento, salvaguarda e descarte seguro de DP,
2) autoridade para coletar DP,
3) as escolhas, se houver, que os titulares de DP podem ter em relação ao modo como a

organização os utiliza e as consequências de exercer ou não essas escolhas, e
4) a capacidade de se opor ao tratamento;
b) forneçam mecanismos de notificação e consentimento adaptados para atender às necessidades

operacionais;
c) revisem suas notificações para refletir mudanças na prática ou política que afetam os DP ou
mudanças em suas atividades que afetam a privacidade, antes ou assim que possível após
a mudança;
d) assegurem que a notificação seja completa e apropriada ao público-alvo com base na natureza
dos DP, nos meios práticos escolhidos para fornecer a notificação e na natureza do relacionamento
entre o controlador de DP e o titular de DP;
e) apresentem as informações de maneira clara que possa ser entendida por uma pessoa que não
esteja familiarizada com as tecnologias da informação, a Internet ou o jargão jurídico;
f) assegurem que a notificação seja fornecida antes ou no momento da coleta de DP;
g) assegurem que não seja possível que as DP sejam coletadas sem aviso prévio;
h) determinem soluções alternativas caso os meios práticos não estejam mais operacionais;
i) forneçam meios para demonstrar que a notificação foi fornecida, se possível;
j) quando uma notificação de privacidade for fornecida por meios físicos, publiquem essas
informações em um sinal de que convém que os titulares de DP vejam ou exijam que uma
notificação ou documento seja assinado ou rubricado; e

ABNT/CB-021
OUT 2020
k) forneçam uma política para o fornecimento de etiquetas e sinais necessários para informar aos
titulares de DP sobre o uso pertinente da tecnologia [isto é, sistemas de televisão em circuito
fechado (CCTV), WiFi e identificação por radiofrequência (RFID)].
Na medida do possível, convém que a notificação seja exibida com destaque no ponto de coleta
(por exemplo, no site da organização ou em um local físico), sem a necessidade do titular de DP
solicitá-lo especificamente.
A.9.2 Abertura e transparência
Objetivo: Proporcionar aos titulares de DP informações claras e de fácil acesso sobre políticas,
procedimentos e práticas do controlador de DP relacionados ao manuseio de DP.
Controle
Convém que as organizações implementem medidas apropriadas para fornecer aos titulares de
DP informações apropriadas sobre suas políticas, procedimentos e práticas de tratamento de DP
relacionados ao manuseio de DP.
a) forneçam aos titulares de DP informações claras e facilmente acessíveis sobre as políticas,

procedimentos e práticas do controlador de DP em relação ao tratamento de DP;
b) divulguem as escolhas e os meios oferecidos pelo controlador de DP aos titulares de DP com

o objetivo de limitar o tratamento e acessar, corrigir e remover suas informações.
Além disso, convém que as organizações descrevam:
a) os DP que a organização coleta e o(s) objetivo(s) para o qual coleta essas informações;
b) como a organização usa DP internamente;
c) se a organização compartilha DP com entidades externas, as categorias dessas entidades e os

objetivos desse compartilhamento;
d) se os titulares de DP têm a capacidade de consentir com usos ou compartilhamentos específicos

de DP e como exercer este consentimento;
e) quanto tempo os DP serão retidos;
f) se a organização vende ou encaminha dados para tratamento por organizações de análise de

dados e os detalhes aplicáveis aos riscos de DP;
g) como os titulares de DP podem obter acesso aos DP com o objetivo de alterá-los ou corrigi-los,
quando apropriado;
h) informações apropriadas sobre como os DP serão protegidos;
i) garantia de que o titular de DP tenha acesso a informações sobre suas atividades de privacidade
e seja capaz de se comunicar com seu CPO;

ABNT/CB-021
OUT 2020
j) fornecimento, quando solicitado, informações relacionadas a violações da privacidade que tenham

ou possam ter resultado em uma violação da privacidade dos DP dos solicitantes, juntamente
com quaisquer ações associadas que o solicitante possa adotar para mitigar os riscos adicionais
decorrentes da violação.
Convém que as organizações também empreguem mecanismos diferentes para informar o público
sobre suas práticas de privacidade, incluindo, entre outros, relatórios da PIA, relatórios de privacidade,
páginas da web publicamente disponíveis, distribuições de e-mail, blogs e publicações periódicas
(por exemplo, boletins trimestrais). Convém que as organizações também empreguem endereços
de e-mail ou linhas telefônicas voltadas ao público que permitam ao público fornecer feedback ou
direcionar perguntas aos escritórios de privacidade sobre práticas de privacidade.
A.10 Acesso e participação dos titulares de DP
A.10.1 Acesso do titular de DP
Objetivo: Proporcionar aos titulares de DP a capacidade de acessar e analisar criticamente seus

DP e contestar sua precisão e integridade.
Controle
Convém que medidas apropriadas sejam implementadas pelas organizações para fornecer aos
titulares de DP a capacidade de ter acesso aos seus DP e obter retificação ou exclusão de DP.
a) determinem os meios práticos que serão implementados para permitir que os titulares de DP
exerçam seu direito de acesso (quando permitido pela legislação aplicável). Convém que os
indivíduos sejam capazes de exercer esse direito em tempo hábil, de forma compreensível
e acessível ao titular de DP e similar aos meios usados para coletar os DP originalmente
(por exemplo, por correio normal ou por e-mail);
b) analisem os casos em que os meios práticos escolhidos não estão mais operacionais e identifiquem
soluções de backup, se necessário;
c) forneçam aos titulares de DP a capacidade de acessar seus DP mantidos pela organização,

a fim de avaliar sua precisão e solicitar correções conforme necessário;
d) na medida do possível, as respostas sejam fornecidas de forma equivalente àquela em que a

solicitação foi feita (por exemplo, se a solicitação for feita por correio normal, convém que a
resposta seja fornecida por correio normal);
e) publiquem regras e regulamentos que administrem como os titulares de DP podem solicitar

acesso aos registros mantidos em seu sistema;
f) permitam aos titulares de DP contestar a precisão e a integridade dos DP direta ou indiretamente

e alterá-los, corrigi-los ou removê-los conforme apropriado e possível no contexto específico;

ABNT/CB-021
OUT 2020
g) estabeleçam procedimentos para permitir que os titulares de DP exerçam esses direitos de

maneira simples, rápida e eficiente, o que não implica atraso indevido (por exemplo, convém
que respostas sejam fornecidas de acordo com a legislação ou regulamentação aplicável ou
conforme especificado na política organizacional) ou custo;
h) estabeleçam um processo para informar aos titulares de DP que enviam solicitações sobre o
status de sua solicitação e o processamento necessário (por exemplo, por correio ou e-mail,
observando que a solicitação foi recebida e a data em que eles esperam receber uma resposta) –
no caso de arquivos armazenados, pode haver alguma margem de manobra em relação à
data de resposta se o controlador de DP informar ao titular de DP responsável pela solicitação
do prazo para o processamento da solicitação e tenha fornecido um tempo de resposta razoável;
i) na medida permitida por lei, assegurem que o direito de acesso sempre possa ser exercido;
j) assegurem que os DP sejam acessados apenas pelo indivíduo a quem essas informações se
relacionam ou por um agente autorizado dessa pessoa - isso pode exigir que os indivíduos que
solicitam acesso se identifiquem e se autentiquem de maneira satisfatória – os requisitos para
essa identificação e autenticação podem ser definidos na legislação aplicável ou regulamento;
k) onde a identificação e a autenticação dos solicitantes forem necessárias e, a menos que de outra
forma prescrito por legislação ou regulamento, determinem a forma apropriada de identificação e
autenticação – convém que as organizações solicitem apenas as informações mínimas necessárias
para assegurar a identificação correta – convém que essas informações sejam adequadamente
protegidas e convém que sejam retidas somente pelo tempo que for necessário;
l) assegurem que os DP sejam enviados apenas ao titular de DP pertinente e que sejam enviados
de maneira segura;
m) assegurem que todas as informações solicitadas pelos titulares de DP possam ser fornecidas,
enquanto ainda esses DP são protegidos de outros titulares;
n) comuniquem em avisos de privacidade se pretenderem cobrar taxas pelo acesso, conforme

permitido por lei em algumas jurisdições; e
o) exijam que qualquer operador de DP suporte o controlador de DP, facilitando o exercício dos
direitos do titular de DP de acessar, corrigir ou excluir seus dados.
O acesso oferece aos titulares de DP a capacidade de analisar criticamente os DP quanto a como

são mantidos em sistemas organizacionais de registros. O acesso inclui acesso oportuno, simplificado
e barato aos dados. Os processos organizacionais para permitir o acesso aos registros podem
diferir com base em recursos, requisitos legais ou outros fatores.
A.10.2 Reparação e participação
Objetivo: Fornecer qualquer alteração, correção ou remoção para operadores de DP e terceiros

a quem os dados pessoais tenham sido divulgados
Controle
A menos que proibido pela legislação ou regulamentação pertinente, convém que as organizações
implementem medidas apropriadas para fornecer aos titulares de DP a capacidade de corrigir, alterar
ou excluir os DP mantidos pelas organizações. Convém também que a organização estabeleça um
mecanismo pelo qual quaisquer correções, alterações ou exclusões são notificadas aos operadores
de DP e, na medida do possível, a terceiros a quem os DP tenham sido divulgados.

ABNT/CB-021
OUT 2020
a) assegurem que o titular sempre possa exercer o direito de corrigir;
b) analisem os casos em que os meios práticos escolhidos não estão mais operacionais e identifiquem
soluções de backup, se necessário;
c) na medida do permitido pela legislação ou regulamentação pertinente, assegurem que os titulares

de DP possam exercer seu direito à correção;
d) assegurem a precisão das correções solicitadas;
e) assegurem que os titulares de DP que enviam solicitações recebam confirmação;
f) assegurem que os terceiros a quem os DP possam ter sido enviados sejam informados das
correções efetuadas; e
g) forneçam aos titulares de DP acesso apenas aos DP necessários para corrigir, alterar e excluir.
A.10.3 Gestão de reclamações
Objetivo: Estabelecer procedimentos internos eficientes de tratamento de reclamações e correção

para uso pelos titulares de DP
Controle
Convém que as organizações implementem medidas apropriadas para lidar eficientemente com
as reclamações recebidas dos titulares de DP.
Convém que as organizações implementem um processo de gestão de reclamações e mantenham um

ponto de contato para receber e responder a reclamações, preocupações ou perguntas dos titulares
de DP sobre práticas de privacidade organizacional.
Convém que as organizações forneçam mecanismos de reclamação que: sejam prontamente

acessíveis pelos titulares de DP, incluam todas as informações necessárias para o registro
bem-sucedido de reclamações (incluindo informações de contato do CPO ou outro funcionário
designado para receber reclamações) e sejam fáceis de usar.
Convém que os processos organizacionais de gestão de reclamações incluam mecanismos de

rastreamento para assegurar que todas as reclamações recebidas sejam analisadas e adequadamente
abordadas em tempo hábil. Convém que a gestão de reclamações também inclua ações corretivas
desencadeadas a partir da reclamação.
Reclamações, preocupações e perguntas dos titulares de DP podem servir como uma fonte valiosa
de informações externas que, em última análise, aprimora modelos operacionais, usos da tecnologia,
práticas de tratamento de dados e salvaguardas de privacidade e segurança.

ABNT/CB-021
OUT 2020
A.11 Responsabilização
A.11.1 Governança
Objetivo: Estabelecer governança eficiente para tratamento de DP.

Controle
Convém que as organizações implementem medidas apropriadas para estabelecer uma governança
eficiente relacionada ao tratamento de DP.
a) nomeiem uma pessoa responsabilizada pelo desenvolvimento, implementação e manutenção de

um programa de governança e privacidade em toda a organização para assegurar a conformidade
com todas as leis e regulamentos aplicáveis ao tratamento de DP por programas e sistemas de
informação - a pessoa nomeada pode ser designada como CPO – como outra opção, um membro
dedicado do conselho de administração pode assumir a responsabilização, com o apoio de um
membro dedicado da equipe que pode ser subcontratado;
b) assegurem que a pessoa nomeada possua os conhecimentos necessários para supervisionar o

tratamento de DP;
c) assegurem que o indivíduo nomeado esteja envolvido em todos os problemas relacionados à

proteção de DP e possa se reportar diretamente à Alta Direção em tempo hábil;
d) forneçam ao indivíduo designado pessoal, instalações, equipamentos e outros recursos

necessários para realizar suas tarefas;
e) forneçam um processo para monitorar leis e políticas de privacidade quanto a alterações que
afetem o programa de proteção de DP;
f) desenvolvam, disseminem e implementem políticas e procedimentos operacionais de proteção

de DP que governem os controles de proteção e segurança de DP para programas, sistemas de
informação ou tecnologias envolvendo DP;
g) atualizem planos, políticas e procedimentos de proteção de DP periodicamente; e
h) monitorem periodicamente o desempenho da organização na proteção de DP – convém que um

representante da Alta Direção ou membro do conselho a governe com visibilidade de aspectos
como métricas quantitativas, riscos e violações – embora essa análise crítica possa ser necessária,
convém que ela também seja periódica sem a necessidade de qualquer gatilho.
A.11.2 Avaliação de impacto de privacidade
Objetivo: Estabelecer um processo de avaliação de impacto de privacidade e realizar uma avaliação

do impacto de privacidade, conforme necessário.

ABNT/CB-021
OUT 2020
Controle
Se uma organização estiver tratando DP, convém que ela estabeleça os procedimentos necessários
para realizar uma AIP.

Uma avaliação de risco de privacidade geralmente é conduzida por uma organização que
leva a sério sua responsabilidade e trata adequadamente os titulares de DP. Em algumas
jurisdições, uma AIP pode ser necessária para atender aos requisitos legais e regulamentares.
A ABNT NBR ISO/IEC 29134 pode ser usada como orientação para a AIP.
Convém que as organizações considerem ativos, ameaças, vulnerabilidades e salvaguardas

(existentes e propostas) ao realizar a avaliação de riscos de privacidade. Convém que as organizações
documentem:
a) os resultados de uma AIP incluindo, mas não limitado aos, DP sendo tratados;
b) os riscos de privacidade identificados; e
c) as medidas de mitigação propostas.
A.11.3 Requisitos de privacidade para contratados e operadores de DP
Objetivo: Assegurar, por meios contratuais ou outros, como políticas internas obrigatórias, que o
destinatários terceiros forneçam pelo menos níveis equivalentes de proteção de DP.
Controle
Convém que as organizações implementem medidas apropriadas para assegurar que contratados e
operadores de DP implementem níveis adequados de proteção de DP.
a) documentem no acordo de nível de serviço os requisitos de proteção de DP que é requerido que

os operadores de DP atendam;
b) monitorem e auditem a implementação desses requisitos por contratados;
c) estabeleçam papéis e responsabilidades de proteção de DP para contratados e operadores

de DP;
d) determinem por contrato o objeto e o prazo do serviço a ser fornecido, a extensão, a maneira e a
finalidade do tratamento de DP pelo operador de DP, bem como os tipos de DP tratados;
e) especifiquem as condições sob as quais convém que um operador de DP retorne ou descarte DP

com segurança após a conclusão do serviço, rescisão de qualquer contrato em vigor ou de outra
forma mediante solicitação do controlador de DP;
f) incluam uma cláusula de confidencialidade, vinculando o provedor e qualquer um de seus

funcionários que possam acessar os DP;

ABNT/CB-021
OUT 2020
g) assegurem que o provedor de serviços não comunique os DP a terceiros, mesmo para fins de
preservação, a menos que seja especificamente permitido no contrato;
h) esclareçam as responsabilidades do provedor de serviços de notificar o controlador de DP no

caso de qualquer violação de dados que afete os DP;
i) fixem por contrato que convém que o provedor de serviços notifique o controlador de DP de
quaisquer alterações relevantes relacionadas ao serviço, como a implementação de funções
adicionais; e
j) documentem e comuniquem, conforme apropriado, todas as políticas, procedimentos e práticas

relacionadas à proteção de DP.
Convém que as organizações consultem o consultor jurídico, o CPO e os diretores contratantes

sobre leis, diretrizes, políticas ou regulamentos aplicáveis que possam impactar a implementação
desse controle.
NOTA Diretrizes adicionais de implementação de 15.1.2 também são implementadas.
Contratados e operadores de DP podem incluir, entre outros, agências de serviços, provedores de

informações, operadores de informações e outras organizações que fornecem desenvolvimento
de sistemas de informação, serviços de tecnologia da informação e outros aplicativos terceirizados.
A.11.4 Monitoramento e auditoria de privacidade
Objetivo: Monitorar e auditar os controles de proteção de DP e a eficácia da política interna de

proteção de DP.
Controle
Convém que as organizações implementem medidas apropriadas para monitorar e auditar

periodicamente os controles de privacidade e a eficácia da política de privacidade interna.
a) monitorem e auditem regularmente as operações de tratamento de DP, especialmente aquelas

que envolvem DP sensíveis, para assegurar que estejam em conformidade com as leis,
regulamentos e termos contratuais aplicáveis;
b) monitorem e auditem regularmente controles e políticas de proteção de DP para assegurar

que estejam em conformidade com as leis, regulamentos e termos contratuais aplicáveis;
c) assegurem que as auditorias sejam conduzidas por partes qualificadas e independentes

(internas ou externas à organização); e
d) se estiverem realizando auditorias usando recursos internos, periodicamente peçam a uma parte
externa para realizar uma auditoria para uma avaliação independente.

ABNT/CB-021
OUT 2020
A.11.5 Conscientização e treinamento em proteção de DP
Objetivo: Fornecer treinamento e conscientização adequados sobre a proteção de DP para o

pessoal do controlador de DP que terá acesso aos DP.
Controle
Convém que as organizações implementem medidas apropriadas para fornecer treinamento adequado
ao pessoal do controlador de DP.
a) implementem e mantenham uma estratégia abrangente de treinamento e conscientização,

destinada a assegurar que o pessoal entenda suas responsabilidades e procedimentos de
proteção de DP;
b) criem mecanismos para manter o pessoal com responsabilidades de proteção de DP atualizado

sobre os desenvolvimentos no ambiente regulatório, contratual e tecnológico que possam afetar
o compliance de privacidade da organização;
c) ministrem treinamento básico e direcionado de proteção de DP com frequência regular

(por exemplo, anual) ou conforme necessário (por exemplo, após um incidente) – isso é
particularmente importante para atividades que apenas tratam DP com pouca frequência; e
d) assegurem que o pessoal ateste (manualmente ou eletronicamente) a aceitação das

responsabilidades pelos requisitos de proteção de DP periodicamente.
A.11.6 Reportando proteção de DP
Objetivo: Desenvolver, disseminar e atualizar relatórios de proteção de DP.
Controle
Convém que as organizações desenvolvam, disseminem conforme apropriado e atualizem relatórios

(por exemplo, relatórios de violações, investigações, auditorias) para a gerência sênior e outro
pessoal responsável pelo monitoramento da proteção de DP, a fim de demonstrar responsabilização
com os encargos estatutários e regulamentares específicos do programa de proteção de DP.
Por meio de relatórios de proteção de DP externos e internos, convém que as organizações promovam
responsabilização e transparência nas operações de proteção de DP da organização. Os relatórios
também ajudam as organizações a determinar o progresso no cumprimento dos requisitos de
compliance de proteção de DP e dos controles de proteção de DP, comparar o desempenho em toda
a organização, identificar vulnerabilidades e lacunas na política e na implementação, e identificar
modelos de sucesso.

ABNT/CB-021
OUT 2020
A.12 Segurança da informação

Objetivo: Assegurar que DP sejam adequadamente protegidos de acordo com os resultados de
uma avaliação de risco.
Controle
Convém que DP sob cuidado e custódia da organização sejam protegidos por controles apropriados,
de acordo com os resultados de uma avaliação de risco de ameaça ou AIP.
a) protejam os DP com controles apropriados nos níveis operacional, funcional e estratégico para
assegurar a integridade, confidencialidade e disponibilidade dos DP e protegê-los contra riscos
como acesso não autorizado, destruição, uso, modificação, divulgação ou perda durante todo
o seu ciclo de vida;
b) escolham operadores de DP e contratos adequados que forneçam garantias suficientes em

relação aos controles organizacionais, físicos e técnicos para o tratamento de DP e assegurem
a conformidade com esses controles;
c) baseiem os controles de segurança nos requisitos legais aplicáveis, nas normas de segurança,
nos resultados de avaliações sistemáticas de riscos à segurança, conforme descrito na
ABNT NBR ISO 31000, e nos resultados de uma análise de custo-benefício;
d) limitem o acesso aos DP às pessoas que necessitam desse acesso para desempenhar suas
funções e limitem o acesso desses indivíduos apenas aos DP aos quais precisam acessar para
desempenhar suas funções;
e) resolvam riscos e vulnerabilidades descobertos por meio de avaliações de risco de privacidade

e processos de auditoria; e
f) sujeitem os controles a análises críticas e reavaliações periódicas em um processo contínuo

de gestão de riscos à segurança.
Às vezes, os requisitos de segurança são prescritos por certas leis de privacidade de dados. Nesse
caso, convém que elas sejam comunicadas à função de segurança de dados para implementação.
Convém que a due diligence seja adotada ao projetar e implementar controles de segurança.
A.13 Compliance com a privacidade
A.13.1 Compliance
Objetivo: Evitar violações das obrigações legais, estatutárias, regulamentares, de privacidade ou

contratuais relacionadas à privacidade e a quaisquer requisitos de privacidade.

ABNT/CB-021
OUT 2020
Controle
Convém que as organizações implementem medidas apropriadas para assegurar que o tratamento
de DP atenda aos requisitos de compliance.

a) elaborem um relatório anual detalhando os riscos existentes, declarando a posição de compliance

e incluindo um resumo das ações pendentes; e
b) sigam processos bem definidos de resposta a violações que podem, em algumas jurisdições,
incluir o requisito de notificar os titulares de DP e outras autoridades (por exemplo, autoridades
de proteção de dados).
A.13.2 Restrições de transferência de dados transfronteiriças em certas jurisdições
Objetivo: Proteger DP quando estão sendo transferidas através das fronteiras.
Controle
Convém que a organização implemente medidas apropriadas para assegurar que qualquer
transferência transfronteiriça de DP atenda aos requisitos de compliance pertinentes.
Quando DP precisam ser transferidos para um país que não seja o território em que os DP atualmente
residem, os regulamentos de privacidade de dados de certas jurisdições podem impor restrições,
que normalmente podem ser um ou mais dos seguintes:
a) notificação à autoridade de proteção de dados;
b) aprovação da autoridade de proteção de dados, principalmente se os dados forem sensíveis;
c) realizar a due diligence para assegurar que DP transferidos através de uma fronteira recebam
proteção equivalente à exigida no país de origem; e
d) implementação de instrumentos específicos de transferência de dados, como cláusulas contratuais

padrão ou regras corporativas vinculantes (RCV).
Convém que as organizações implementem medidas para verificar se restrições específicas se

aplicam a qualquer transferência planejada e se cumprem antes de realizá-la.

ABNT/CB-021
OUT 2020
Bibliografia
[1] BSI 10012, Specification for a personal information management system

[2] European Commission, Evaluation report on the data retention directive (Directive 2006/24/EC),
2011
[3] ISO/IEC 27000:2016, Information technology – Security techniques – Information security

management systems – Overview and vocabulary
[4] ABNT NBR ISO/IEC 27001, Tecnologia da informação – Técnicas de segurança – Sistemas de
gestão da segurança da informação – Requisitos
[5] ABNT NBR ISO/IEC 27005, Tecnologia da informação – Técnicas de segurança – Gestão de
riscos de segurança da informação
[6] ISO/IEC 27009, Information technology – Security techniques – Sector-specific application of

ISO/IEC 27001 – Requirements
[7] ABNT NBR ISO/IEC 27018, Tecnologia da informação – Técnicas de segurança – Código de
prática para proteção de informações de identificação pessoal (PII) em nuvens públicas que
atuam como processadores de PII
[8] Projeto ABNT NBR ISO/IEC 29134, Tecnologia da informação – Técnicas de segurança –
Diretrizes para avaliação do impacto da privacidade
[9] IEC Electropedia. Available (viewed 2017-07-06) at: http://www.electropedia.org/
[10] ISO Online browsing platform. Available (viewed 2017-07-06) at: http://www.iso.org/obp
[11] ITU Terms and definitions. Available (viewed 2017-07-07) at:

http://www.itu.int/ITU-R/go/terminology- database
[12] KCS, Personal information management system, December, 2011.
[13] NIST Special Publication 800-53 Appendix J, Security and privacy controls for federal information
systems and organizations, July, 2011
[14] NIST Special Publication 800-122, Guide to protecting the confidentiality of personally identifiable
information (PII), April 2010

Projeto ABNT NBR ISO IEC 29151 ConsultaNacional Cod Prtica-DP

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Projeto ABNT NBR ISO IEC 29151 ConsultaNacional Cod Prtica-DP

Enviado por

Direitos autorais:

Formatos disponíveis

ABNT/CB-021

PROJETO ABNT NBR ISO/IEC 29151

Tecnologia da informação — Técnicas de segurança — Código de prática

1) Este Projeto foi elaborado pela Comissão de Estudo de Segurança da Informação,

b) não tem valor normativo.

3) Analista ABNT – Carolina Martins.

NÃO TEM VALOR NORMATIVO

Tecnologia da informação — Técnicas de segurança — Código de prática

Information technology — Security techniques — Code of practice for personally identifiable

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização.

Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da

O Escopo da ABNT NBR ISO/IEC 29151 em inglês é o seguinte:

NÃO TEM VALOR NORMATIVO

In particular, this Recommendation |Standard specifies guidelines based on

companies, government entities and not-for-profit organizations that process PII.

NÃO TEM VALOR NORMATIVO

À medida que o número de violações de DP aumenta, as organizações que coletam ou tratam DP

— A ABNT NBR ISO/IEC 27001 especifica um processo de gestão de segurança da informação e os

NÃO TEM VALOR NORMATIVO

O anexo normativo contém um conjunto estendido de controles específicos de proteção de DP que

— especificação e legitimidade de objetivo;

— limitação de uso, retenção e divulgação;

— abertura, transparência e notificação;

— acesso e participação individual ;

— compliance com a privacidade.

A Figura 1 descreve o relacionamento entre este documento e a família de normas ISO/IEC.

ABNT NBR ISO/IEC 27001:

ABNT NBR ISO/IEC 27002:

ABNT NBR ISO/IEC 29134:

Figura 1 – Relação deste documento com a família de normas ISO/IEC

NÃO TEM VALOR NORMATIVO

a) Em domínios diferentes de tratamento, como:

— serviços públicos de nuvem;

— aplicativos de redes sociais;

— dispositivos conectados à internet de uso doméstico;

— segmentação de DP para publicidade e propósitos semelhantes;

— programas de big data analytics;

— tratamento nas relações trabalhistas;

— gestão de negócios em vendas e serviços (planejamento de recursos empresariais, gestão

b) Em diferentes locais, como:

— em uma plataforma de processamento pessoal fornecida a um indivíduo (por exemplo,

— dentro da própria infraestrutura de tratamento de uma organização;

— na plataforma de tratamento de terceiros.

c) Para as características de coleta, como:

— coleta única de dados (por exemplo, ao se registrar em um serviço);

— coleta de dados contínua (por exemplo, monitoramento frequente de parâmetros de saúde

NÃO TEM VALOR NORMATIVO

Tecnologia da informação — Técnicas de segurança — Código de prática

Esta Recomendação | Norma estabelece objetivos de controle, controles e diretrizes para

Em particular, esta Recomendação | Norma especifica diretrizes baseadas na

ABNT NBR ISO/IEC 27002:2013, Tecnologia da informação – Técnicas de segurança – Código de

ABNT NBR ISO/IEC 29100:2020, Tecnologia da informação – Técnicas de segurança – Estrutura de

3 Termos, definições e abreviaturas

— ISO Plataforma de navegação online: disponível em https://www.iso.org/obp

— IEC Electropedia: disponível em http://www.electropedia.org/

NÃO TEM VALOR NORMATIVO 1/57

3.2 Termos abreviados

Para os efeitos deste documento são aplicadas as seguintes abreviações.

RCV Regras Corporativas Vinculantes

CCTV Closed-Circuit Television

CPO Chief Privacy Officer

PBD Privacy By Design

PDA Assistentes digitais pessoais

PET Privacy Enhancing Technology