Escolar Documentos
Profissional Documentos
Cultura Documentos
Módulo 3
Comportamentos Seguros para o
Tratamento dos Dados Pessoais
ROTEIRO DE
CONTEÚDO
Histórico de Versões
colaboradores;
Nas próximas seções são detalhados os temas abordados por este Módulo.
1987), existirão casos em que o controlador será eternamente responsável pelo dados
Importante
responsável pelo dado pessoal coletado durante o prazo que mantê-lo armazenado
sob seu poder. Em alinhamento ao que foi explicado na seção 2.1.2 do Módulo 2, no
pessoal.
1
Frase célebre do livro Pequeno Príncipe: “Tu te tornas eternamente responsável por aquilo que cativas”.
5
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
REFERÊNCIA
RESPONSABILIDADE LEGISLATIVA
(LGPD)
Determinar as finalidades e os meios de processamento de dados Art. 5º, VI
pessoais. Art. 6º, I
Implementar medidas técnicas e administrativas apropriadas para
Art. 6º, VII
cumprir a LGPD, incluindo políticas apropriadas de proteção de dados
Art. 46
pessoais.
Provar que o consentimento foi obtido em conformidade com a LGPD, nos Art. 8º e §§
casos aplicáveis. seguintes
Informar o titular dos dados pessoais no caso de existir alteração na Art. 9º, § 2º; Art.
finalidade do tratamento dos dados pessoais. 7º, § 7º
Art. 9º
Assegurar o exercício dos direitos dos titulares dos dados pessoais.
Arts. 18 ao 21
Manter registro das operações de dados pessoais realizadas. Art. 37
Elaborar relatório de impacto à proteção de dados pessoais mediante
Art. 38
determinação da Autoridade Nacional de Proteção de Dados Pessoais.
Indicar encarregado pelo tratamento de dados pessoais. Art. 41
Responder solidariamente em conjunto com o operador, se causar
Art. 42
a terceiros danos por violação da LGPD.
Comunicar à ANPD a ocorrência de incidentes de segurança. Art. 48
Formular regras de boas práticas e de governança para o tratamento de Art. 50º e §§
dados pessoais. seguintes
Art. 6º, II
Comprovar adequação à LGPD.
Art. 38
Tabela 1 Responsabilidades do Controlador.
Importante
relação à LGPD. No sentido de saber mais sobre o RIPD, leia a seção 2.5 do Guia de
RESPONSABILIZAÇÃO DO CONTROLADOR.
ocorrência;
regularização;
tratamento de dados.
2
Disponível em: < https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-
lei-geral-de-protecao-de-dados-lgpd >
7
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
operador).
Importante
Importante
dados pessoais que têm acesso e pelas operações de tratamento que realizam no
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração;
• a LGPD;
• normas internas;
8
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
pessoais; e
administrativa.
descritos pelo(a):
• Regulamento de Pessoal3;
Regulamento de Pessoal.
Importante
colaboradores da instituição.
3
Regulamento de Pessoal, disponível em: < https://www.gov.br/ebserh/pt-br/acesso-a-informacao/agentes-
publicos/legislacao-e-normas-de-gestao-de-pessoas>
4
Código de Ética e Conduta da Ebserh, disponível em: < https://www.gov.br/ebserh/pt-br/governanca/etica-
e-integridade/sobre-etica-e-integridade >
5
Norma Operacional de Controle Disciplinar, disponível em < https://www.gov.br/ebserh/pt-br/acesso-a-
informacao/agentes-publicos/correicao >
9
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
tabela a seguir.
6
Norma Operacional de Controle Disciplinar, disponível em: < https://www.gov.br/ebserh/pt-br/acesso-a-
informacao/agentes-publicos/correicao >
12
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
Importante
No âmbito da Rede Ebserh, existem dois tipos de infração que podem levar à
Pessoal da Ebserh, pelo art. 482 da Consolidação das Leis Trabalhistas (CLT) ou em
conduta, poderá ser instaurado processo disciplinar específico nos termos da Norma
definidos no Código de Ética da Ebserh. Caso tal infração seja verificada, poderá ensejar
enfermagem.
Controle Disciplinar classifica a gradação da referida infração em: grave, média e leve.
Art. 138. Considera-se infração grave – descumprimento dos deveres listados no art. 37, incisos
XXIII e XXIV; ou verificação das ações listadas no art. 39, incisos III, V, IX, XI, XII, XV, XX e XXIV do
Regulamento de Pessoal da Ebserh.
Art. 139. Considera-se infração média – descumprimento dos deveres listados no art. 37, incisos
VIII, XVII, XX, XXI, XXV e XXX ou dos deveres listados no art. 38, incisos I a VI ou verificação das
ações listadas no art. 39, incisos XIII, XIV, XXV, VI, VII, VIII, X, XVI, XVII, XVIII; bem como verificação
das ações listadas no art. 55, § 2º e 3º do Regulamento de Pessoal da Ebserh.
13
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
Art. 140. Considera-se infração leve – descumprimento dos deveres listados no art. 37, incisos I
a VII; IX; X; XI; XII; XIII; XIV; XV; XVI; XVIII; XIX; XXII; XXVI; XXVII; XXVIII; XXIX ou do dever listado no
art. 38, inciso VII ou verificação das ações listadas no art. 39, incisos I, II; IV, XIX, XXI, XXII, XXIII,
XXVI do Regulamento de Pessoal da Ebserh.
Importante
dados pessoais.
GRADAÇÂO
RESPONSABILIDADES
A QUEM SE APLICA INFRAÇÃO
REGULAMENTO DE PESSOAL DA EBSERH
DISCIPLINAR
Guardar sigilo sobre informações de caráter
restrito, de que tenha conhecimento em razão do Empregado Leve
cargo que exerce na Ebserh (Art. 37, VIII).
Observar o estabelecido no Código de Ética da
Empregado Leve
Ebserh (Art. 37, XXII).
Cientificar-se das obrigações e penalidades neste
regulamento, Normas Internas, Resoluções,
Circulares, Ordens de Serviço, Avisos, Empregado Leve
Comunicados e outras instruções expedidas pela
Direção da Empresa (Art. 37, XXVI).
Empregado
Zelar pelo fiel cumprimento das decisões com Cargo em
Média
emanadas pela Direção da Ebserh (Art. 38, II). Comissão ou Função
Gratificada
Empregado
Fazer cumprir, nos locais de trabalho, as Normas com Cargo em
Média
e Instruções da Ebserh (Art. 38, V). Comissão ou Função
Gratificada
É proibido retirar das dependências da Ebserh
qualquer tipo de material, equipamento ou
Empregado Média
documento, sem a devida autorização (Art. 39,
XIV).
É proibido fornecer informações a terceiros, bem
Empregado Média
como utilizar documentos e papéis oficiais da
14
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
GRADAÇÂO
RESPONSABILIDADES
A QUEM SE APLICA INFRAÇÃO
REGULAMENTO DE PESSOAL DA EBSERH
DISCIPLINAR
Ebserh, sem estar devidamente autorizado (Art.
39, XVII).
Tabela 3 Tipos de gradações de infrações disciplinares aplicadas no caso de descumprimento das responsabilidades
previstas pelo Regulamento de Pessoal da Ebserh aplicáveis no âmbito da proteção de dados pessoais
tipos de infrações, disciplinar ou ética, bem como dos seguintes normativos internos:
Disciplinar.
acessível e utilizável sob demanda por uma pessoa física ou determinado sistema,
II. integridade: propriedade pela qual se assegura que a informação não foi
esteja disponível ou não seja revelada a pessoa, sistema, órgão ou entidade não
Importante
seguinte composição:
Ebserh:
(HUF) da Rede;
(HUF) da Rede.
deve ser designado por meio de ato do Presidente da Ebserh, com mandato de 1 (um)
Como será visto adiante, o(s) Gestor(s) de Segurança é(são) responsável(is) pela
coordenará;
Interno e Gerenciamento
de Riscos;
composição:
Processos e Tecnologia da
Importante
(DTI).
Processos e Tecnologia.
Equipes Distribuídas, pela comunicação formal para os níveis internos da Ebserh e para
organizações externas.
executando as estratégias definidas pela Equipe Central, bem como na execução dos
Importante
Pessoais da Ebserh.
19
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
diretrizes e deveres dos integrantes da Rede Ebserh para a proteção de dados pessoais
Política.
Importante
pessoais em seu nome devem observar as diretrizes indicadas pela Política de Proteção
de Dados Pessoais, que visam à conformidade com a Lei Geral de Proteção de Dados
Pessoais (LGPD).
Capítulo IV
Art. 6º A Administração Central e as filiais devem proteger, mapear e registrar o tratamento de
dados pessoais realizados no âmbito de suas atuações.
Art. 7ª Os contratos que envolvam tratamento de dados pessoais em nome do controlador
devem conter cláusulas que estabeleçam instruções, deveres e obrigações referentes ao tema
e o compromisso dos contratados em adotar medidas para adequação de suas operações e
cumprimento das legislações de proteção de dados pessoais aplicáveis, bem como desta Política
e demais normas e orientações da Ebserh.
Art. 8º Todos os integrantes da Rede Ebserh devem implementar meios para conferir a
transparência necessária aos titulares em relação ao uso de seus dados pessoais, à finalidade,
forma e duração do tratamento, identificação e informações de contato do controlador e do
encarregado, informações acerca do uso compartilhado de dados, responsabilidades dos
agentes envolvidos e direitos dos titulares de dados pessoais.
Art. 9º A Administração Central e as filiais devem implementar mecanismos efetivos para
atendimento dos direitos dos titulares previstos em lei, como informação, acesso, retificação,
portabilidade, eliminação, bloqueio, revogação de consentimento.
Art. 10. Quando a base legal do tratamento for o consentimento, a Rede Ebserh deve
implementar mecanismos adequados para a efetiva coleta da autorização dada pelo titular dos
dados pessoais e, assim, evidenciar a regularidade do tratamento.
20
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
Art. 11. O relatório de impacto à proteção de dados pessoais deve ser elaborado sempre que o
tratamento de dados pessoais for capaz de gerar riscos às liberdades civis e aos direitos
fundamentais dos titulares de dados pessoais ou quando solicitado pela Autoridade Nacional
de Proteção de Dados.
Art. 12. A Administração Central e as filiais devem divulgar e manter atualizadas, em seu sítio
eletrônico, a identidade e as informações de contato do encarregado pelo tratamento de dados
pessoais.
Art. 13. A Administração Central e as filiais devem criar planos de resposta a incidentes que
envolvam dados pessoais observado o disposto no Plano de Gestão de Incidentes Cibernéticos
da Ebserh.
Art. 14. A Administração Central e as filiais devem atender à obrigação de comunicar a
autoridade nacional e aos titulares dos dados pessoais ante a ocorrência de incidentes de
segurança.
§ 1º Devem ser estabelecidos prazos de comunicação e resposta, com o fornecimento de
subsídios pelas filiais envolvidas, bem como pela Administração Central.
§ 2º O encarregado deverá comunicar à Autoridade Nacional de Proteção de Dados e ao titular
a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos
titulares.
§ 3º As filiais, quando da necessidade de comunicação com a Autoridade Nacional de Proteção
de Dados, deverão fazê-la em alinhamento com a Administração Central.
Art. 15. A Administração Central deve ser sempre comunicada nos casos de incidentes de
segurança que envolvam dados pessoais, sejam eles sensíveis ou não.
Art. 16. Toda operação que envolva transferência internacional de dados pessoais deve possuir
salvaguardas, considerando o nível de proteção de dados do país estrangeiro ou organismo
internacional do qual o país seja membro, previstas na Lei Geral de Proteção de Dados Pessoais.
Art. 17. A Rede Ebserh deve promover a conscientização dos colaboradores acerca das diretrizes
e procedimentos de proteção de dados pessoais implementados.
Capítulo VI
Art. 21. No tratamento de dados pessoais, os integrantes da Rede Ebserh devem observar,
dentre outros, os seguintes deveres:
I - não disponibilizar nem garantir acesso aos dados pessoais mantidos pela Ebserh para
pessoas não autorizadas ou competentes de acordo com as normas da Empresa;
II - obter o consentimento, quando necessário, para o tratamento de dados pessoais;
III - cumprir as normas, recomendações, orientações de segurança da informação e prevenção
de incidentes de segurança da informação publicadas pela Ebserh; e
21
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
em: <https://www.gov.br/ebserh/pt-br/acesso-a-informacao/tratamento-de-dados-
pessoais/politica_protecao_dados_pessoais-ebserh.pdf>.
A Engenharia Social é uma prática realizada por indivíduos que estudam como
o comportamento humano pode ser utilizado para induzir uma outra pessoa a atuar
segundo seu desejo, por meio de métodos e técnicas que exploram a confiança para a
Em síntese a Engenharia Social visa tirar proveito das fraquezas humanas a fim
Este tópico apresenta por objetivo ressaltar tipos de ataques mais comuns de
Engenharia Social que podem ser utilizados para obtenção de dados pessoais tratados
22
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
(voz) e Smishing (SMS). Esses tipos de ataque serão detalhados nos tópicos abaixo.
O termo phishing tem origem na palavra fishing do idioma inglês que significa
podem ter acesso à conta institucional dessa pessoa e disparar e-mails se passando
por ele.
solicitação é verdadeira.
23
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
vítimas a entregar dados pessoais ou outros dados que sejam interessantes de serem
obtidos.
ou vozes automatizadas. É comum que o golpista finja que precisa confirmar dados
enviadas para o celular. Geralmente, essas mensagens solicitam para que você clique
maliciosos, no qual digitados os dados pessoais, eles vão parar nas mãos dos
mensagem em questão.
demandam a digitação dos seus dados, verifique se a URL começa com https
O termo baiting vem do inglês “bait”, que é traduzido por “isca”. Semelhante ao
A “isca” pode ser de muitas formas, tanto digital quanto física, como por
sobre a mesa para que um usuário o encontre e conecte na estação de trabalho para
• Uso do e-mail; e
7
Pen Drive ou Memória USB Flash Drive é um dispositivo de armazenamento de dados que inclui memória
flash e possui uma interface USB integrada, permitindo por exemplo, conexão a uma porta USB de um
computador
8
Hard Disk externo ou mais comumente conhecido como HD externo, é um disco rígido portátil de alta
capacidade de armazenamento. Atualmente, a maior parte dos modelos de HDs portáteis são conectados
nos computadores via porta USB.
26
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
realizada por outra pessoa que se apropria indevidamente de uma senha de algum
colaborador.
Importante
seguro de senha9.
numéricos);
melhor); e
9
Cartilha de Segurança para Internet, FASCÍCULO SENHAS, disponível em: <https://cartilha.cert.br/fasciculos/#senhas>
27
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
o rapidamente se:
gravadas; e
• Recuperação de senhas:
Importante
Uso de e-mail
Rede Ebserh. O uso do correio eletrônico deve ser realizado segundo o previsto pela
Importante
10
Norma Operacional de Uso de e-mail, disponível no link abaixo:
<http://www2.ebserh.gov.br/documents/695105/3844185/04-NO-CGSIC+-
+Normal+Operacional+de+Uso+de+E-mail.pdf/e6252a01-1d8d-41ea-9128-1e61d187e27b >
29
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
Art.13. É vedado ao usuário o uso do serviço de correio eletrônico corporativo com o objetivo
de:
V. Enviar arquivos de áudio, vídeo ou animações, salvo os que tenham relação com as funções
institucionais desempenhadas pela Ebserh;
30
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
Importante
Importante
permitindo dessa forma que os requerentes sejam os únicos que podem pegar suas
quando o colaborador não estiver na mesa na qual executa suas atividades laborais.
estiverem próximos.
Pessoais.
REFERÊNCIAS BIBLIOGRÁFICAS
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei nº
mesa limpa e tela protegida no Tribunal de Justiça do Distrito Federal e dos Territórios
BRASIL – CERT.br. Cartilha de Segurança para Internet - Fascículo Senhas. [s. d.].
ago. 2021.
NO-CGSIC+-+Normal+Operacional+de+Uso+de+E-mail.pdf/e6252a01-1d8d-
https://www.gov.br/ebserh/pt-br/acesso-a-informacao/agentes-publicos/legislacao-e-
informacao/boletim-de-servico/sede/2021/boletim_servico_1025_17_03_2021.pdf >.
SAINT-EXUPÉRY, Antoine de. O pequeno príncipe. 31.ed. Rio de Janeiro: Editora Agir,
1987.98 p.
34
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
______. Política de Proteção de Dados Pessoais da Ebserh. Julho 2021. Disponível em: <
https://www.gov.br/ebserh/pt-br/acesso-a-informacao/tratamento-de-dados-
SAINT-EXUPÉRY, Antoine de. O pequeno príncipe. 31.ed. Rio de Janeiro: Editora Agir,
1987.98 p.