PLANILHA INVENTÁRIO DE

DADOS

A realização do inventário de dados está previsto na Portaria SCGE nº 1/2021, que

determina a execução do Inventário de Dados Pessoais, que consiste no registro das
operações de tratamento dos dados pessoais, realizados pelo órgão ou entidade.

Informar se o dado é guardado em forma física, digital (documento,

FORMA DE
planilha, pdf, etc) ou faz parte de um banco de dados estruturado
ARMAZENAMENTO
(selecionar uma das opções da lista).

DESCRIÇÃO DO Informar descrição sucinta do tipo de dado mantido pelo setor (usar
FINALIDADE
DADO DA
PESSOAL exemplos
Decrever ada lista ou descrição
finalidade da guardalivre).
e/ou utilização do dado pelo setor
GUARDA DO DADO
HIPÓTESE (usar exemplos da lista
Indicar uma das hipóteses ou descrição
prevista nalivre).
lei que autoriza a guarda e o
PESSOAL
PREVISTA NO ART
tratamento do dado pessoal (selecionar uma das opções da lista).
7º DA LGPD
 PLANILHA PLANO DE
CONTROLE

A planilha visa subsidiar a elaboração do Plano de Implantação de Controles, que consiste na

definição das medidas migadoras das vulnerabilidades e inadequações idenficadas, considerando os
níveis de riscos e o apete a risco organizacionais.

DESCRIÇÃO DO DADO
Essa informação é trazida automaticamente da planilha "Inventário
PESSOAL Nesse campo,
de dados",
Nesse nãodeve-se
alterar o avaliar
campo. a probabilidade de ocorrência do
Não preencher acessocampo, deve-se
ou utilização avaliar
indevida a impacto
da informação da ocorrência
pessoal. São de uma
eventual utilização indevida da informação pessoal.
exemplos de violação: pessoa não autorizada realiza a copia São exemplos
de
do
uma impacto
base de dedados
uma violação:
sensíveis, vazamento
pessoa não deautorizada
dados sensíveis
acessaa o
terceiros
arquivo do para cometimento
setor e subtrai oude fraudes,documento
escaneia acesso a dado sensível
contendo dados
PROBABILIDADE DE para obter vantagem sobre outro licitante e
sensíveis, etc. Deve-se utilizar os seguintes critérios: etc. Deve-se utilizar os
OCORRÊNCIA DE VIOLAÇÃO seguintes critérios:
IMPACTO DA OCORRÊNCIA DE Deve-se especificar as ações de controle a serem implentadas para
RISCO DA
DA PRIVACIDADE
VIOLAÇÃO VIOLAÇÃO
DA AÇÃO DADO Será
DODE
PRIVACIDADE BAIXO indicada a necessidade
(Ex: dados são guardados de implantação
em armários outrancados
não de açãoem delocal
REQUER mitigação
BAIXO
O risco da do
(Ex: orisco
dadode
violação é violação,
pessoal
calculado como
já está por exemplo:
disponível
automaticamente implantar
no portal
pela da
planilha, a
DO DADO controle
de acesso para mitigação
controlado) do risco de violação.
CONTROLE
(Probabilidade ?
x Impacto) controle de
trasnparência)
partir da(Ex: acesso
matriz aosde
Probabilidadearquivos; arquivar
X Impacto. Não aalterar
documentação
esse em
campo.
Conforme
MÉDIO a Declaração
dados apetite
são mantidos emde risco
armáriosestabelecida,
sem tranca, valores
mas em
Não preencher armários
MÉDIO
maiores com
(Ex: fechadura;
informações solicitar
como nº de a assinatura
CPF, data de de "Termo
nascimento, de
AÇÕES
(Valor DE
maior CONTROLE
que A
3: requer ação local comque 3 requerem
acesso a implementação de uma ação de
controlado)
responsabilidade"
etc)
controle. aos usuários dos dados; celebrar acordo de
SEREMde ESTABELECIDAS
controle) ALTO (Ex: dados mantidos em gavetas/escaninhos em local sem
cooperação
ALTO
O (Ex: técnica
dados
preenchimento para compartilhamento
ébancários)
automático, não alterar esse de campo.
informações;
Não preencher acesso controlado)
implantar
MUITO ALTO requisitos
(Ex: nome de rastreabilidade no sistema dos
e endereço de dependentes de Policiais
informações;
Penais) aprimorar gerenciamento de credenciais do
sistema; e etc.
 INVENTÁRIO DE DADOS

FORMA DE FINALIDADE DA GUARDA DO

DESCRIÇÃO DO DADO PESSOAL
ARMAZENAMENTO DADO PESSOAL

Item Informar se o dado é guardado

Decrever a finalidade da utilização
em forma física, digital Informar descrição sucinta do tipo de dado (usar exemplos
do dado (usar exemplos da lista ou
(documento, planilha, pdf, etc) da lista ou descrição livre).
descrição livre).
ou banco de dados.

1 FÍSICO Dados relativos à condição de saúde e bem estar Gestão em saúde da população priva
2 DIGITAL Dados bancários ou patrimoniais: banco, conta corrente, deGestão da folha de pagamento
3 BANCO DE DADOS Informações de contato da pessoa privada de liberdade Segurança Pública (inciso III do art

BAIXO (Ex: dados são REQUER

BAIXO (Ex: o dado pessoal
guardados em armários
PLANO DE CONTROLE trancados em local DE
de
já está disponível no portal RISCO DA
AÇÃO DE
PROBABILIDADE daIMPACTO DA
trasnparência) CONTROLE ?
acesso controlado)
OCORRÊNCIA DE OCORRÊNCIA DE VIOLAÇÃO
DESCRIÇÃO DO DADO MÉDIO (Ex: informações
MÉDIO (Ex: dados
VIOLAÇÃO DAsão
Item PESSOAL comoVIOLAÇÃO
nº de CPF, DAdata de (Probabilidade x (Valor maior
mantidos em armários
PRIVACIDADE DO DADO sem PRIVACIDADE
Não preencher nascimento,DO DADO
etc) Impacto)
que 3: requer
1 tranca, mas em local com
ALTO ALTO (Ex:MÉDIO 6
dados bancários) Não preencher SIMde
ação
2 acesso controlado)
MÉDIO ALTO 6 SIM
controle)
MUITO ALTO (Ex: nome e
3 ALTO (Ex:BAIXO
dados mantidos ALTO 3 NÃO
Não preencher
endereço de dependentes
em gavetas/escaninhos em
dos Policiais Penais)
local sem acesso controlado)
 HIPÓTESE PREVISTA NO ART 7º DA LGPD

Indicar a hipótese prevista na lei que autoriza a guarda e o

tratamento do dado pessoal.

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei n
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respal
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respal

EX:AÇÕES DE controle
implantar CONTROLE A SEREM
de acesso aosESTABELECIDAS
arquivos, implantar
requisitos de rastreabilidade no sistema de informações,
aprimorar gerenciamento
Providenciar de credenciais
espaço adequado, do sistema,
de acesso restrito, etc) dos documentos.
para guarda
Proteger a planilha com senha de acesso, restrita aos servidores da unidade
dação dada pela Lei nº 13.853, de 2019) Vigência
gulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
gulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
 VÍNCULO
SETOR
FORMA
Informar se oDE
dado é DESCRIÇÃO DO DADO PESSOAL
Item ARMAZENAMENTO
guardado em forma física, Informar descrição sucinta do tipo de dado (usar
digital (documento, planilha, exemplos da lista ou descrição livre).
1 pdf, etc) ou banco de dados.
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
 FINALIDADE DA GUARDA DO DADO PESSOAL HIPÓTESE PREVISTA NO ART 7º DA LGPD
Decrever a finalidade da utilização do dado (usar exemplos da lista Indicar a hipótese prevista na lei que autoriza a guarda e o
ou descrição livre). tratamento do dado pessoal.
 VÍNCULO
SETOR
PROBABILIDADE DE
OCORRÊNCIA DE VIOLAÇÃO DA
PRIVACIDADE DO DADO

BAIXO (Ex: dados são guardados

DESCRIÇÃO DO DADO PESSOAL em armários trancados em local de
Item acesso controlado)
Não preencher
MÉDIO (Ex: dados são mantidos em
armários sem tranca, mas em local
com acesso controlado)
ALTO (Ex: dados mantidos em
gavetas/escaninhos em local sem
acesso controlado)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
 IMPACTO DA OCORRÊNCIA DE
VIOLAÇÃO DA PRIVACIDADE DO
DADO
REQUER AÇÃO
RISCO DA
DE
VIOLAÇÃO
CONTROLE ?
BAIXO (Ex: o dado pessoal já está
disponível no portal da trasnparência) (Probabilidad (Valor maior que
MÉDIO (Ex: informações como nº de e x Impacto)
3: requer ação
CPF, data de nascimento, etc) Não
de controle)
ALTO (Ex: dados bancários) preencher
Não preencher
MUITO ALTO (Ex: nome e endereço de
dependentes dos Policiais Penais)
 AÇÕES DE CONTROLE A SEREM ESTABELECIDAS

EX: implantar controle de acesso aos arquivos, implantar

requisitos de rastreabilidade no sistema de informações,
aprimorar gerenciamento de credenciais do sistema, etc)