Arquitetura

Inserir Títuloe Aqui

Inserir Título Aqui
Infraestrutura
para Nuvem
Adequação da Computação em Nuvem com a LGPD

Responsável pelo Conteúdo:

Prof. Tony Anderson dos Reis da Silva

Revisão Textual:
Prof. Me. Claudio Brites
 Adequação da Computação
em Nuvem com a LGPD

Nesta unidade, trabalharemos os seguintes tópicos:

Fonte: Getty Images

• Introdução ao Programa de
Governança em Privacidade;
• Principais Conceitos para Implementar
o Programa de Governança em Privacidade;
• Processos Aplicados para Adequação
à LGPD na Computação em Nuvem;
• Contextualização das Fases para Adequação
à LGPD na Computação em Nuvem.

Objetivo
• Entender os conceitos e as principais metodologias de implementação do Programa de Gover-
nança em Privacidade de Dados que são requisitos para adequação à Lei Geral de Proteção de
Dados (LGPD) na Computação em Nuvem.

Caro Aluno(a)!

Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.

Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.

No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões

de materiais complementares, elementos didáticos que ampliarão sua interpretação e
auxiliarão o pleno entendimento dos temas abordados.

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.

Bons Estudos!
UNIDADE
Adequação da Computação em Nuvem com a LGPD

Contextualização
Para atender à legislação de privacidade de dados, como a Lei Geral de Proteção
de Dados (LGPD), é necessário um plano estratégico para estruturar o processo de ge-
renciamento e mitigação de riscos de proteção e privacidade de dados. Nesse cenário,
faz-se necessária a elaboração e adoção do Programa de Governança em Privacidade
(PGP), o qual envolve todo o Ciclo de Vida de Dados Pessoais no ambiente corporativo,
considerando-se desde a coleta, o processamento e a eliminação de dados pessoais.
O Programa de Governança em Privacidade proposto inclui uma metodologia consoli-
dada em processos, fases, etapas, políticas, procedimentos e ferramentas técnicas.

6
Introdução ao Programa de
Governança em Privacidade
Conceito
Segundo a Lei n. 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Da-
dos Pessoais (LGPD), em sua Seção II, Das Boas Práticas e da Governança, informa,
no Art. 50 § 2º, sobre as características mínimas de um Programa de Governança em
Privacidade (PGP).

Definição
De acordo com a Lei n. 13.709 – Lei Geral de Proteção de Dados Pessoais (LGPD),
um Programa de Governança em Privacidade (PGP), deve ser composto e apresentar
características mínimas, conforme apresentado no Quadro 1.

Quadro 1
Comprometimento do controlador em adotar processos e políti-
01 cas internas que cumpram normas e boas práticas relativas à pro-
teção de dados pessoais.
Aplicável a todo o conjunto de dados pessoais sob seu controle,
02 independentemente da forma coletada.
Adaptado à estrutura, à escola e ao volume de suas operações,
03 bem como à sensibilidade dos dados tratados.
Estabelecimento de políticas e salvaguardas adequadas, baseadas em
04 processo de avaliação sistemático de impactos e riscos à privacidade.
Estabelecimento de relação de confiança com o titular, por meio de
05 atuação transparente com mecanismos de participação do titular.
Integrado a sua estrutura geral de governança e estabeleça e apli-
07 que mecanismos de supervisão internos e externos.
08 Com planos de resposta a incidentes e remediação.
Constantemente atualizado com base em informações obtidas a
09 partir de monitoramento contínuo e avaliações periódicas.
Fonte: Adaptado de gov.br

Diante das características de um Programa de Governança em Privacidade (PGP)

apresentadas pela LGPD, é necessário também destacar seus principais atores:
• Titular: no papel central, por sua importância, tem-se o titular, qual-
quer pessoa natural, protegida pelo princípio da autodeterminação in-
formativa (inciso III do art. 2º da Lei Geral de Proteção de Dados);
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a
quem competem as decisões referentes ao tratamento de dados pessoais
(inciso VI do art. 5º da Lei Geral de Proteção de Dados). O controlador
pode exercer diretamente o tratamento dos dados, mas pode, também,
designar um operador;

7
7
UNIDADE
Adequação da Computação em Nuvem com a LGPD

• Operador: é a pessoa natural ou jurídica, de direito público ou privado,

que realiza o tratamento de dados pessoais em nome do controlador
(inciso VII do art. 5º da Lei Geral de Proteção de Dados). Ambos, con-
trolador e operador, recebem a nomeação de “agentes de tratamento”
(inciso IX do art. 5º da Lei Geral de Proteção de Dados);
• Encarregado: corresponde a uma pessoa natural inequivocamente in-
vestida nessa função (que, na legislação europeia, corresponde ao Data
Protection Officer – DPO). Sua incumbência é a de fazer a intermedia-
ção entre o titular e os agentes de tratamento, mas também entre esses
agentes e a Autoridade Nacional de Proteção de Dados (ANPD) (confor-
me inciso VII do art. 5º da Lei Geral de Proteção de Dados);
• Autoridade Nacional de Proteção de Dados (ANPD): tem a missão
de regular o setor de tratamento de dados pessoais. Está autorizada,
portanto, a agir em proteção aos princípios e fundamentos da LGPD.
(BRASIL, 2018, p. XX)

Figura 1 – Atores da LGPD

Fonte: Acervo do conteudista

Introdução
Sabemos que, na administração privada, o gerenciamento da privacidade de dados
deve incluir as estratégias, habilidades, pessoas, processos e ferramentas técnicas que as
organizações precisam prover para conquistar a confiança dos colaboradores, parceiros,
clientes e, ao mesmo tempo, cumprir com as exigências apresentadas nos normativos de
privacidade. Um Programa de Governança em Privacidade (PGP) captura e consolida
os requisitos de privacidade com o intuito de ditar e influenciar como os dados pessoais
são manuseados no seu ciclo de vida como um todo.

8
 Nesse cenário da Lei Geral de Proteção de Dados Pessoais (LGPD), gerenciamento
de segurança e risco, bem como seus respectivos responsáveis, encontram, cada vez
mais, requisitos complexos e restritivos a serem cumpridos para se ter, assim, uma efe-
tiva governança de privacidade e manuseio de dados pessoais ao longo de seu ciclo de
vida. A implementação ampla e inclusiva de um Programa de Governança em Privacida-
de é necessária para gerenciar riscos, em ascensão, nas mais variadas áreas. Aumentar
a confiança de todas as partes interessadas pede para que os gestores do gerenciamento
de segurança e risco ampliem tanto a frequência quanto a amplitude da comunicação,
para assim assegurar que o uso dos dados pessoais seja granular, com finalidades espe-
cíficas, com riscos mapeados e sob controle.

O Programa de Governança em Privacidade é um documento que deve ser atua-

lizado e ampliado permanentemente, com o objetivo de manter alinhamento com as
diretrizes determinadas pela Autoridade Nacional de Dados Pessoais (ANPD). Além dis-
so, o modelo de Programa de Governança em Privacidade não é restritivo e o objetivo
buscado não é sua rigorosa adoção, pois cada organização e negócio possui caracte-
rísticas e especificidades próprias, sendo assim, o modelo deve ser adaptado para cada
caso específico.

Ao contrário de um projeto que tem início, meio e fim, um Programa de Governança

em Privacidade estabelece uma metodologia abrangente que influenciará, permanente-
mente, os processos de tomada de decisão com base em riscos e melhorias contínuas.
Deve-se criar projetos para se alcançar os objetivos do programa, selecionando a meto-
dologia mais adequada à realidade da organização.

Após a escolha da metodologia, é necessário definir:

• os objetivos, as metas e os indicadores;
• os líderes responsáveis por cada frente de atuação do projeto (interação com os
departamentos, operações de TI, segurança, jurídico, operadores, entre outros);
• canais de comunicação com os líderes, gestores, com os operadores e também com
a Autoridade Nacional de Proteção de Dados (ANPD);
• É recomendável criar modelos padronizados para obtenção de respostas que subsi-
diarão reportes para a alta administração.

Estruturação Programa de Governança em Privacidade

A estrutura do Programa de Governança em Privacidade é inspirada no ciclo PDCA
(Plan, Do, Check e Act), bem como nas normas ABNT NBR ISO/IEC 27001:2013 e
ABNT NBR ISO/IEC 27701:2019. Tecnologia da Informação – Técnicas de Segurança
– Código de Prática para controles de segurança da informação e ABNT NBR ISO/IEC
27005:2011. Tecnologia da informação – Técnicas de segurança – Gestão de riscos em
segurança da informação. O programa é estruturado em etapas, conforme a Figura 3.

PDCA é um método interativo de gestão de quatro passos, utilizado para o controle e melhoria
contínua de processos e produtos. Plan (Planejar), Do (Executar), Check (Verificar), Act (Agir).

9
9
UNIDADE
Adequação da Computação em Nuvem com a LGPD

Figura 2 – Etapas do Programa de Governança em Privacidade (PGP)

Fonte: Acervo do conteudista

Principais Conceitos para Implementar o

Programa de Governança em Privacidade
Iniciação e Planejamento
Esta etapa consiste em compreender quais são as primeiras informações e os dados
importantes que devem ser conhecidos. Baseados nesses pontos, essa etapa é constitu-
ída pelos processos apresentados na Figura 4, que serão detalhados a seguir.

Início
1 6 7
Levantamento dos
Inventário de
Nomeação do Encarregado contratos relacionados
Dados Pessoais
a dados pessoais

Fim
2 5
Alinhamento de Estrutura organizacional
expectativas com a para governança e gestão da
Alta Administração proteção de dados pessoais

3 4
Análise da maturidade – Análise e adoção de madidas
Diagnóstico do atual estágio de segurança, inclusive
de adequação à LGPD diretrizes e cultura interna

Figura 3 – Marcos da Etapa de Iniciação e Planejamento

Fonte: Acervo do conteudista

O Encarregado (DPO)
Recomenda-se que o início de todo o processo seja pela nomeação do Encarregado
de Dados (DPO), pois é ele quem conduzirá a organização no processo de adequação e

10
tratamento dos dados pessoais, seguindo as diretrizes da alta administração. O Encarre-
gado de Dados tem como objetivo deliberar sobre os assuntos relativos à implementação
das ações de governança em privacidade com o uso de recursos de tecnologia da infor-
mação e comunicação.

DPO é o Data Protection Officer: Encarregado de Dados na GDPR (General Data Protection
Regulation/Europa).

O início também deve incluir a criação de uma estrutura organizacional para compor
o conhecimento de dados pessoais em toda a organização, além de supervisionar as
etapas de ação para criar e manter o Programa de Governança em Privacidade.

É importante destacar que o Encarregado de Dados deve ter independência para

determinar a aplicação de recursos e as ações necessárias para o tratamento de dados
pessoais e o atendimento das solicitações dos titulares. O apoio da alta administração
é essencial para o sucesso do trabalho do Encarregado do Dados, incluindo seu envol-
vimento nas decisões e recursos suficientes para pessoal, treinamento, entre outros.
O Encarregado também deve ter amplo acesso à estrutura organizacional, investigar
proativamente os níveis de conformidade e instruir os responsáveis pelos riscos a corri-
gir as lacunas encontradas.

Alinhamento de Expectativas com a Alta Administração

Durante a Iniciação e Planejamento, é importante alinhar as expectativas com a alta
administração, dando prioridade às ações mais urgentes. É importante destacar que o
alinhamento com a alta administração e a priorização de ações urgentes guiam o esta-
belecimento da cultura de proteção de dados na organização.

Maturidade da Organização
Conforme o Ministério da Economia (2020), na etapa de análise da maturidade da
organização, deve-se observar os fatores como a rastreabilidade de dados, estruturando-
-os e descrevendo as informações tratadas em cada sistema. É essencial a comunicação
com o titular e a transparência, elaborando, por exemplo, uma política de privacidade e
termos de uso de serviços, bem como a comunicação sobre a coleta e o uso de cookies
dos titulares. Esse processo, além de retratar o nível de adequação à LGPD, apresenta
o índice de maturidade, que também é utilizado como um índice de performance e será
apresentado na etapa de Monitoramento do Programa de Governança em Privacidade.

Medidas de Segurança
Durante a etapa de Iniciação e Planejamento, medidas de segurança devem ser ana-
lisadas e/ou adotadas, revisando e propondo aprimoramento das diretrizes e cultura
internas. Para auxiliar nesse processo, uma das ferramentas que podem auxiliar na
construção do Programa de Governança em Privacidade é um Guia de Boas Práticas
da LGPD.

11
11
UNIDADE
Adequação da Computação em Nuvem com a LGPD

O Governo Federal (2020) definiu que o Guia de Boas Práticas da LGPD tem o
objetivo de fornecer orientações de boas práticas aos colaboradores, gestores e para a
organização como um todo, conforme previsto no art. 50 da LGPD, instruindo quanto
aos processos de operações de tratamento de dados pessoais, governança e comparti-
lhamento de dados, de acordo com as diretrizes de aplicação da LGPD.

Estrutura Organizacional para Governança

e Gestão da Proteção de Dados Pessoais
Como suporte para a estrutura do Programa de Governança em Privacidade, o En-
carregado de Dados realiza as atividades provenientes de canal de comunicação entre o
Controlador, o Operador, os Titulares dos dados e a ANPD, além do estabelecimento de
uma estrutura organizacional para governança e gestão da proteção de dados pessoais
da organização.

Inventário de Dados Pessoais

Para obter um mapeamento dos dados pessoais utilizados pela organização, é im-
portante a elaboração de um inventário de dados, especialmente dos dados pessoais.
O Inventário de Dados Pessoais é primordial no sentido de documentar o tratamento de
dados pessoais realizados pela organização, em alinhamento com o previsto pelo art. 37
da Lei Geral de Proteção de Dados (LGPD).

O inventário de dados pessoais é uma excelente forma de fazer um balanço do que a

organização faz com os dados pessoais dos seus colaboradores, parceiros e clientes, iden-
tificando quais dados pessoais são tratados, onde estão armazenados e que operações são
realizadas com os dados, visando, assim, identificar as operações de tratamento de dados
pessoais realizadas pela organização no papel de controlador (LGPD, art. 5º, VI).

O inventário dos dados pessoais pode ser estruturado, por exemplo, em formato
de planilha eletrônica, onde o serviço e os processos do negócio, e não os dados pro-
priamente ditos, são analisados. Se atualizado, regularmente, o inventário de dados
permitirá atender tanto ao requisito de manter um registro das operações de tratamento
de dados pessoais, quanto ao de auxiliar no controle do atendimento aos princípios es-
tabelecidos pela LGPD.

Levantamento de Contratos relacionados a Dados Pessoais

Segundo descrito pelo Ministério da Economia (2020), o levantamento do inventário
dos dados, baseado nos processos de serviços que tratam dados pessoais, também viabi-
liza a realização de uma correlação com os contratos que os suportam. O mapeamento
dos contratos que coletam, transferem e processam dados pessoais contribui para pos-
síveis e necessárias adequações contratuais, tanto nos contratos existentes, quanto nos
futuros contratos.

12
Processos Aplicados para Adequação
à LGPD na Computação em Nuvem

Figura 4 – Estrutura do Programa de Governança em Privacidade

Fonte: Acervo do conteudista

Fase 1: Preparação
Nesta fase, o objetivo inicial é a consolidação de um ambiente corporativo “preparado”
para a adequação da Proteção e Privacidade dos Dados Pessoais, considerando-se o
mapeamento e a consolidação de todos os processos corporativos envolvidos direta
ou indiretamente com o processamento automatizado ou manual de dados pessoais.
A Vantix (2019) descreve que, de acordo com a especificidade de cada negócio e
organização, deve-se considerar, também, as demais necessidades, os requisitos técnicos
e operacionais que possam impactar a organização. Essa fase é composta, basicamente,
por oito etapas e dez resultados previstos:
• Etapa 1: Realizar a Análise de Privacidade;
• Etapa 2: Coletar Leis de Privacidade;
• Etapa 3: Analisar o impacto da Privacidade no negócio;
• Etapa 4: Realizar Auditorias e Avaliações dos dados iniciais;
• Etapa 5: Estabelecer a estrutura organizacional de Governança de Dados;
• Etapa 6: Estabelecer Fluxo de Dados e Inventário de Dados Pessoais;
• Etapa 7: Estabelecer programa de Proteção de Dados e Privacidade.

13
13
UNIDADE
Adequação da Computação em Nuvem com a LGPD

Fase 2: Organização
Nesta fase, considerada dentro do sistema proposto, o principal objetivo é estabelecer
as estruturas e os mecanismos organizacionais responsáveis por atender às necessidades
de privacidade de dados pessoais da empresa, considerando-se:
• desenhar e implementar o programa de proteção de dados e privacidade;
• designar um Encarregado de Dados – pessoa física;
• envolver e comprometer todas as partes envolvidas com proteção de dados e pri-
vacidade; e
• estabelecer as estruturas organizacionais adequadas para uma efetiva proteção de
dados e implementação de privacidade:
» Etapa 1: Definir e implementar o “como manter” o programa, as políticas e con-
troles de governança de privacidade de dados;
» Etapa 2: Atribuir e manter a matriz de atribuições e responsabilidades pela Proteção
de Dados e Privacidade – Matriz RACI;
» Etapa 3: Definir e implementar o “como manter” o envolvimento dos níveis táticos e
estratégicos da organização – Gerência Sênior – na Proteção de Dados e Privacidade;
» Etapa 4: Estabelecer e manter a continuidade do compromisso de todos os níveis
hierárquicos da organização com a Proteção de Dados e Privacidade;
» Etapa 5: Estabelecer e manter um plano de comunicação corporativa contínuo
para direcionamentos, questões e problemas de Proteção de Dados e Privacidade;
» Etapa 6: Estabelecer e manter processos e procedimentos que garantam o envol-
vimento das partes interessadas em questões de Proteção de Dados e Privacidade;
» Etapa 7: Implementar e operar sistemas informatizados para a sustentação da
Proteção de Dados e Privacidade corporativa.

Fase 3: Desenvolvimento e Implementação

Nesta fase, considerada dentro do sistema proposto, o principal objetivo é desen-volver
e implementar medidas e controles específicos de Proteção e Privacidade de Dados,
considerando-se:
• projetar um sistema de classificação de dados;
• desenvolver e implementar políticas, procedimentos e controles para adequação
corporativa às leis e requisitos de proteção de dados e privacidade;
» Etapa 1: Desenvolver e implementar estratégias, planos e políticas de Proteção
de Dados e Privacidade;
» Etapa 2: Implementar procedimento específico para aprovação do processamento
de dados pessoais (Ciclo de Vida);
» Etapa 3: Registrar bancos de dados que contenham dados pessoais;
» Etapa 4: Desenvolver e implementar um sistema para a transferência internacional
de dados pessoais (caso necessário);
» Etapa 5: Executar atividades de integração da gestão de Dados Pessoais e Priva-
cidade no dia a dia corporativo;

14
 » Etapa 6: Executar um plano de treinamento específico da Política Corporativa de
Dados Pessoais e Privacidade;
» Etapa 7: Implementar controles de Segurança de Dados.

Fase 4: Governança de Proteção de Dados e Privacidade

Nesta fase, considerada dentro do sistema proposto, o principal objetivo é desenvol-
ver e implementar medidas e controles específicos de Proteção e Privacidade de Dados,
considerando-se:
• Estruturas de organizacionais específicas através de um programa de Proteção de
Dados e Privacidade, com a nomeação de um Responsável (pessoa física) e um
Comitê de Proteção e Privacidade;
• Contínuo envolvimento e comprometimento todas as partes envolvidas com a Pro-
teção de Dados e Privacidade, e:
» Relatar continuamente todos os problemas de privacidade e proteção de dados;
» Projetar um sistema de classificação de dados;
» Desenvolver e implementar políticas, procedimentos e controles para adequação
corporativa às leis e requisitos de proteção de dados e privacidade.
» Etapa 1: Implementar práticas de Gerenciamento do Uso de Dados Pessoais;
» Etapa 2: Manter devidamente atualizados todos os avisos de Privacidade de Dados;
» Etapa 3: Executar um Plano de Solicitações, Reclamações e Retificação;
» Etapa 4: Executar uma Avaliação de Risco sobre a Proteção de Dados (AIPD);
» Etapa 5: Emitir Relatórios (Internos e Externos) de Proteção de Dados e Privacidade;
» Etapa 6: Manter a documentação de Privacidade de Dados devidamente atualizada;
» Etapa 7: Estabelecer e manter um plano de resposta à violação de privacidade
de dados.

Fase 5: Avaliação e melhoria

Nesta fase, considerada dentro do sistema proposto, o objetivo principal é avaliar, moni-
torar e melhorar continuamente todos os aspectos específicos de Proteção de Dados e Priva-
cidade da Organização (controles, políticas, procedimentos, práticas etc.), considerando-se:
• Monitorar a operação e a resolução de todas as questões relacionadas à Privacidade;
• Avaliar regularmente a conformidade dos processos e das políticas internas;
• Melhorar a Proteção de Dados e as medidas de Privacidade.
» Etapa 1: Realizar auditoria interna de PD & P;
» Etapa 2: Envolver uma parte externa para avaliações de PD & P;
» Etapa 3: Realizar avaliações e estabelecer “benchmarkes” (comparações);
» Etapa 4: Executar avaliações de riscos de Proteção de Dados;
» Etapa 5: Resolver riscos de PD & P;
» Etapa 6: Relatar análise de riscos de PD & P e resultados;
» Etapa 7: Monitorar as leis e regulamentos de PD.

15
15
UNIDADE
Adequação da Computação em Nuvem com a LGPD

Contextualização das Fases para Adequação

à LGPD na Computação em Nuvem
Um Programa de Governança em Privacidade (PGP) deve ser projetado para prote-
ger os direitos do titular em relação à privacidade da informação e deve ser desenvolvido
e implementado seguindo as diretrizes da LGPD e normas relativas. Assim, na etapa
de construção de um Programa de Governança em Privacidade, deve-se considerar os
pontos de atenção listados no Quadro 2.

Quadro 2 – Considerações para adequação à LGPD

O gerenciamento de direitos individuais de privacidade de dados é

essencial para a LGPD, como o direito de acessar os dados que uma
Gerencimento de organização mantém sobre os indivíduos, bem como o direito de os
direitos individuais atualizar. As organizações devem estar preparadas para receber,
realizar e triagem e responder consultas e reclamações, podendo
sofrer penalidades por não responder de maneira oportuna.

Os cidadãos querem saber se as suas preferências estão sendo

Consentimento honradas. A organização, deve estar posicionada para capturar
consentimento e rastrear solicitações de preferências tanto dos ti-
e rastreamento tulares de dados, quanto dos agentes de tratamento, isso ajudará
de preferências a reduzir a probabilidade de problemas e aumenta a confiança do
titular dos dados.

Redução de A redução da exposição pode ser feita por meio de medidas como,
por exemplo, criptografia e anonimização de dados. Os dados
responsabilidade devem ser mantidos apenas enquanto para sua finalidade, caso
por violação contrário, deverão ser apagados do armazenamento.

Fonte: Adaptado de gov.br

Processo de Adequação à LGPD

Para estar em conformidade com a LGPD, os marcos a serem alcançados na etapa
de adequação são os apresentados e descritos na Figura 5.

Figura 5 – Marcos do processo de adequação à LGPD

Fonte: Acervo do conteudista

16
 Políticas e práticas para proteção da privacidade do titular dos dados
Nesta etapa, devem ser especificadas políticas e práticas para proteger a privacidade
do titular, garantindo que todos os usos dos dados pessoais são conhecidos e adequados
de acordo com a LGPD, bem como sua proteção contra mau uso ou revelação inadverti-
da ou deliberada. Nas organizações, os papéis específicos dos colaboradores envolvidos
na coleta, retenção, processamento, compartilhamento e eliminação de dados pessoais
devem ser colocados em prática, assim como a educação em relação às políticas e
práticas de proteção de privacidade dos titulares em relação aos seus direitos quanto à
privacidade da informação.

Informações como a finalidade da coleta e a base legal para tratamento de dados,

obtidas nos inventários dos dados pessoais, realizado na fase de Iniciação e Planejamen-
to, os quais são úteis na construção das operações de tratamento. Essas informações
auxiliam no detalhamento do ciclo de vida dos dados pessoais, por exemplo, a finalidade
do tratamento, como, onde e por quanto tempo será o armazenamento dos dados (pro-
teção como padrão/Security by Default).

Cultura de segurança e proteção de dados (Privacy by Design)

O conceito de Privacidade, desde a Concepção (Privacy by Design), significa que a
privacidade e a proteção de dados devem ser consideradas desde a concepção e durante
todo o ciclo de vida do projeto: sistemas, serviços, produtos e processos.

O Ministério da Economia (2020) descreve que a promoção de uma cultura de segu-

rança e proteção de dados deve ser tratada na etapa de construção e execução de um
Programa de Governança em Privacidade e aplicada através de treinamentos coletivos
com o intuito de comunicar os objetivos, as metas e os indicadores utilizados, além de
divulgar o papel do Encarregado de dados e da organização como custodiante dos dados
de seus clientes, além da responsabilidade ao tratar dos dados pessoais. As informações
do Programa de Governança em Privacidade devem ser disponibilizadas de forma clara
e eficiente, além de estarem facilmente acessíveis. A capacitação e o treinamento devem
ser oferecidos para que uma cultura de Proteção e Privacidade de dados seja instituída
desde a Concepção (Privacy by Design).

Relatório de Impacto à Proteção de Dados Pessoais (RIPD ou DPIA)

Nesta etapa, o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) ou, como
é conhecido na GDPR/Europa, o Data Protection Impact Assessment (DPIA), já deve
ter sido, no mínimo, projetado. O Relatório de Impacto à Proteção de Dados Pessoais
representa um instrumento importante de verificação e demonstração da conformidade
do tratamento de dados pessoais realizado pela organização e serve tanto para a análise
quanto para a documentação do tratamento dos dados pessoais.

O Relatório de Impacto à Proteção de Dados Pessoais visa descrever os processos de

tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos
fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco
da organização.

17
17
UNIDADE
Adequação da Computação em Nuvem com a LGPD

Política de Privacidade e Política de Segurança da Informação

Nesta etapa, tem-se o desenvolvimento e/ou a atualização das diretrizes internas
de proteção de dados pessoais. Deve ser analisado se existe tratamento excessivo de
dados, se os controles de segurança são suficientes para os dados tratados, se é neces-
sário a retenção de determinados dados tratados e se é necessário revisar os contratos
relacionados ao tratamento de dados. Desse modo, torna-se fundamental a elaboração
de uma política de segurança da informação, caso ainda não exista, bem como de uma
política de privacidade de dados. Também é necessário a elaboração de um Termo de
Uso para serviços.

A Política de Privacidade é um documento informativo pelo qual o prestador de serviço

transparece ao usuário (titular de dados) a forma como o serviço realiza o tratamento dos
dados pessoais e como ele fornece privacidade. A Política de Privacidade, que faz parte do
Termo de Uso, é de responsabilidade dos agentes de tratamento de dados, os quais devem
ser transparentes com o titular de dados e informarem como as atividades de tratamento
de dados atendem aos princípios dispostos no artigo 6º LGPD. Portanto, tais documentos
são, ao mesmo tempo, um dever do controlador/operador e um direito do titular.

Adequação Cláusulas Contratuais

Nesta etapa, é importante rever os documentos vigentes e os dados já mapeados
pelo Inventário para adaptar os contratos, convênios e outros instrumentos que impli-
quem no tratamento de dados pessoais. Nos contratos administrativos, pode ser neces-
sário que a organização revisite as cláusulas contratuais econômicas firmadas, pois pode
ser preciso incluir novas cláusulas, conforme os princípios dispostos no art. 6º da LGPD.
Como um dos princípios listados é a transparência, é essencial que o contrato apresente
informações claras e objetivas.

Termo de Uso
O Termo de Uso é um documento que fornece uma descrição detalhada do servi-
ço, das condições e das regras aplicáveis a ele. O Termo de Uso, como a Política de
Privacidade, advém da consciência do controlador e operador em ser transparente
com o titular de dados pessoais e comunicar como as atividades de tratamento desses
dados observam os princípios dispostos no art. 6º da LGPD. Conforme o Ministério
da Economia (2020), em cumprimento aos princípios da publicidade e da transparên-
cia, e a fim de assegurar aos cidadãos amplo acesso às informações, os termos devem
ser regularmente atualizados com a intenção de refletir, de modo claro e preciso, as
finalidades de coleta, uso, armazenamento, tratamento e proteção dos dados pessoais
dos titulares, que comumente serão utilizados pela organização no exercício de suas
atividades legais.

Monitoramento
É extremamente importante monitorar a conformidade à LGPD, além de ser uma
atividade contínua e necessária para as organizações manterem o Programa de Gover-
nança em Privacidade a longo prazo. Sendo assim, nessa última etapa do Programa de

18
Governança em Privacidade, são abordados os aspectos que incluem, em grande parte, a
coleta e a análise de informações, bem como a elaboração de relatórios e apresentações
de resultados.

A Figura 6 apresenta os marcos da Etapa de Monitoramento, que serão apresentados

a seguir.

Figura 6 – Marcos da Etapa de Monitoramento

Fonte: Acervo do conteudista

Indicadores de Performance
Os Indicadores de Performance (Key Performance Indicator – KPI) incluem a análise
regular dos principais indicadores de desempenho para verificar lacunas no Programa
de Governança em Privacidade, assim como o status de outras iniciativas de privacidade.

É recomendável o uso dos seguintes indicadores:

• Monitoramento e acompanhamento do número de incidentes de violação de dados
pessoais e/ou vazamento de dados pessoais;
• Resultados do Diagnóstico de Adequação à LGPD – índice de adequação;
• Índice de quantidade de serviços com dados pessoais inventariados;
• Índice de quantidade de serviços com termo de uso elaborado;
• Índice de quantidade de serviços com RIPD/DPIA elaborado;
• Índice de quantidade de treinamentos realizados/previstos;
• Índice de quantidade de controles de segurança e privacidade implementados para
um determinado serviço/quantidade total.

Gestão de Incidentes
Nesta etapa do Programa de Governança em Privacidade, é importante incluir um
processo de Gestão de Incidentes, que registre e armazene informações sobre os inci-
dentes de segurança da informação e de privacidade ocorridos, tais como:
• A descrição dos incidentes ou eventos;
• As informações e sistemas envolvidos;
• As medidas técnicas e de segurança utilizadas para a proteção das informações;
• Os riscos relacionados ao incidente e às medidas tomadas para mitigá-los a fim de
evitar reincidências.

É válido também implementar e manter controles e procedimentos específicos para

detecção, tratamento, coleta/preservação de evidências e resposta a incidentes de segu-
rança da informação e privacidade, de forma a reduzir o nível de risco ao qual a organi-
zação e seus departamentos estão expostos, considerando os critérios de aceitabilidade
de riscos definidos pela alta administração.

19
19
UNIDADE
Adequação da Computação em Nuvem com a LGPD

É importante que a Gestão de Incidentes possua um Plano de Comunicação orien-

tando à forma como os incidentes de segurança ocorreram e quais foram os danos
ocasionados à organização e aos seus clientes. Essa comunicação deve ser reportada à
ANPD e ao titular de dado, à ocorrência de incidente de segurança que possa acarretar
risco ou dano relevante aos titulares.

Análise de Resultados
Nesta etapa, a análise de resultados também é utilizada para demonstrar o valor do
Programa de Governança em Privacidade para a alta administração. Nos dizeres do
Ministério da Economia (2020), mostrar a evolução das ações e os resultados obtidos,
assim como o papel da privacidade para a organização, reforçam e fortalecem a cultura
de privacidade dos dados.

Reporte de Resultados
O encarregado de dados (DPO), dado seu papel de articulação, exerce função funda-
mental nessa etapa, executando, principalmente, as seguintes atividades:
• Gerenciamento do estabelecimento de métricas para auxiliar no acompanhamento
das ações do Programa de Governança em Privacidade;
• Divulgação e reporte dos resultados entre as diversas áreas da organização e a alta
administração. Além da Autoridade Nacional de Proteção de Dados (ANPD) e o
titular de dado, caso haja ocorrência de incidente de segurança aos titulares.

Ainda segundo dizeres do Ministério da Economia (2020), a apresentação no Pro-

grama de Governança em Privacidade de todos os passos listados na Figura 7 ajudará
a garantir que o programa abordará os regulamentos de privacidade de dados e aju-
dará a criar e conquistar a confiança dos titulares de dados (colaboradores, parceiros,
usuários e clientes) por meio da demonstração do cuidado com seus dados pessoais e
sua privacidade.

Alinhamento de Análise da maturidade – Análise e adoção de medidas

INÍCIO

Nomeação do
1 Encarregado
2 expectativas com a 3 Diagnóstico do atual estágio 47de segurança, inclusive
Alta Administração de adequação à LGPD diretrizes e cultura interna

Políticas e práticas para Levantamento dos Alinhamento de Estrutura organizacional

8 a proteção da privacidade 7 contratos relacionados 6 expectativas com a 5 para governança e gestão
do titular dos dados a dados pessoais Alta Administração de proteção de dados pessoais

Cultura de segurança Relatório de Impacto Política de Privacidade

Adequação de cláusulas
9 e proteção de dados 10 à proteção de dados 11 e Política de Segurança 12 contratuais
Privacy by Design pessoais (RIPD ou DPIA) da Informação

Reporte de Análise de Gestão de

17 16 15 14 Indicadores de
13 Termo de uso
FIM

resultados resultados incidentes performance

Figura 7 – Etapas para adequação à LGPD

Fonte: Acervo do conteudista

20
As organizações devem se preocupar em implementar um Programa de Governança em
Privacidade e se adequarem à Lei Geral de Proteção de Dados, pois a LGPD se aplica a todas
as pessoas físicas ou jurídicas, privadas ou públicas, que realizam operação de tratamento
de dados pessoais que forem coletados em território nacional para fins comerciais e/ou
econômicos. Nesse sentido, não importa se a sede da organização ou seu centro de arma-
zenamento de dados estão localizados no Brasil ou no exterior; havendo a coleta de dados
no Brasil, a LGPD deve ser observada e atendida para evitar e/ou mitigar possíveis sanções.
Por meio da realização de um efetivo Programa de Governança em Privacidade, as organi-
zações, privadas ou públicas, que tratam dados pessoais no território nacional, conseguirão
identificar os riscos aos quais estão sujeitas, sendo possível direcionar seus esforços na apli-
cação de ações imediatas aos riscos com maior probabilidade de ocorrência e alto impacto.
O processo de planejamento é necessário à prévia implantação, não apenas por ser menos
oneroso sob o aspecto financeiro, pois permite mensurar, além dos investimentos finan-
ceiros, os recursos tecnológicos, a mão-de-obra e o tempo necessário para a implantação
do Programa de Governança em Privacidade, projeto que também exigirá esforços relacio-
nados à mudança na cultura organizacional.
É fundamental elaborar um Programa de Governança em Privacidade e Proteção de Dados
e estabelecer um cronograma de implantação, cujo sucesso está diretamente relacionado
à qualidade do mapeamento dos riscos avaliados e ao cumprimento das diretrizes da Lei
Geral de Proteção de Dados (LGPD).

21
21
UNIDADE
Adequação da Computação em Nuvem com a LGPD

Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Livros
Cloud Computing: Nova Arquitetura de TI
VERAS, M. Cloud Computing: Nova Arquitetura de TI. São Paulo: Brasport, 2012.
Cloud Computing
SRINIVASAN, A. Cloud Computing. Delhi: Pearson India, 2014.
Cloud Computing – Computação em Nuvem
TAURION, C. Cloud Computing – Computação em Nuvem. São Paulo: Bras-
port. 2012.
Distributed and Cloud Computing: From Parallel Processing to the Internet of Things
HWANG, K.; DONGARRA, J.; FOX, G. C. Distributed and Cloud Computing:
From Parallel Processing to the Internet of Things. São Paulo: Elsevier, 2013.

Leitura
O Modelo de Computação em Nuvem e sua Aplicabilidade
https://bit.ly/31DXO7O
Os desafios e oportunidades da integração e migração de empresas com cloud computing
https://bit.ly/2Ppv6ow

22
Referências
BRASIL. PRESIDÊNCIA DA REPÚBLICA. Secretaria-Geral. Lei nº 13.709 – Lei Ge-
ral de Proteção de Dados Pessoais (LGPD), 14 ago. 2018. Disponivel em: <http://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em:
01/03/2021.

GOVERNO FEDERAL. Governo Digital. Guia de Boas Práticas – Lei Geral de Pro-
teção de Dados (LGPD), 16 dez. 2020. Disponivel em: <https://www.gov.br/governo-
digital/pt-br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-
-lgpd>. Acesso em: 02/03/2021.

MINISTÉRIO DA ECONOMIA. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília:

Secretaria Especial de Desburocratização, Gestão e Governo Digital, v. 1.0, 2020. 30 p.
Disponivel em: <https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaPro-
gramaGovernanaemPrivacidade.pdf>. Acesso em: 01/03/2021.

Sites Visitados
COMO implantar um projeto de adequação à LGPD?. Serpro. 24 set. 2020. Disponivel
em: <https://www.serpro.gov.br/lgpd/noticias/2020/como-implantar-projeto-adequacao-
-lgpd>. Acesso em: 03/03/2021.

LGPD: Preparação | Jornada de Adequação | SGPD | Sistema de Gestão de Prote-

ção de Dados. Vantix, 27 dez. 2019. Disponivel em: <https://www.vantix.com.br/lgpd-
-visao-geral/>. Acesso em: 06/03/2021.

23
23