Comportamentos Seguros para o Tratamento de Dados Pessoais

Introdução à
Proteção de Dados Pessoais
Módulo 3
Comportamentos Seguros para o
Tratamento dos Dados Pessoais
ROTEIRO DE
CONTEÚDO
Histórico de Versões
Data Versã Descrição Autor

o
Primeira versão do módulo 3 que apresenta
Julierme Rodrigues
20/08/2021 1.0 comportamentos seguros para o tratamento dos
da Silva
dados pessoais
SUMÁRIO
3 – Comportamentos seguros para o tratamento dos dados pessoais 4

3.1 – Responsabilidades e Responsabilização do controlador, do quadro de pessoal e dos
colaboradores 4
3.1.1 – Responsabilidades e Responsabilização do controlador 5
3.1.2 – Responsabilidades e Responsabilização do quadro de pessoal e dos colaboradores 7
3.2 – Estrutura para a gestão da Segurança da Informação na Rede Ebserh 14
3.2.1 – Composição da estrutura 15
3.3 – Boas práticas comportamentais para proteção dos dados pessoais 21
3.3.1 – Cuidado com a engenharia social 21
3.3.2 – Comportamentos seguros recomendados 25
REFERÊNCIAS BIBLIOGRÁFICAS 32
4
CURSO: INTRODUÇÃO À PROTEÇÃO DE DADOS PESSOAIS
Módulo 3 – Comportamentos seguros para o tratamento
dos dados pessoais
3 – Comportamentos seguros para o tratamento dos dados pessoais
Neste módulo abordaremos sobre:
❖ responsabilidades e responsabilização do controlador e dos
colaboradores;
❖ estrutura para a gestão da Segurança da Informação na Rede Ebserh; e
❖ boas práticas comportamentais para proteção dos dados pessoais.
Nas próximas seções são detalhados os temas abordados por este Módulo.
3.1 – Responsabilidades e Responsabilização do controlador, do quadro

de pessoal e dos colaboradores
Conforme foi apresentado no Módulo 1 deste curso, o controlador é a pessoa
natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais (LGPD, art. 5º, VI).
Esse poder de tomar as decisões referentes ao tratamento de dados pessoais
traz consigo uma série de responsabilidades para o controlador.
Parafraseando a célebre frase do livro “Pequeno Príncipe”1 (SAINT-EXUPÉRY,
1987), existirão casos em que o controlador será eternamente responsável pelo dados
pessoais que coleta.
Importante
A paráfrase acima tem por finalidade destacar que o controlador será
responsável pelo dado pessoal coletado durante o prazo que mantê-lo armazenado
sob seu poder. Em alinhamento ao que foi explicado na seção 2.1.2 do Módulo 2, no
caso de guarda permanente o controlador será eternamente responsável pelo dado
pessoal.
1
Frase célebre do livro Pequeno Príncipe: “Tu te tornas eternamente responsável por aquilo que cativas”.
5
dos dados pessoais
Esta seção também foca as responsabilidades e responsabilização dos
colaboradores da Rede Ebserh.
3.1.1 – Responsabilidades e Responsabilização do controlador
A tabela abaixo destaca lista exemplificativa de responsabilidades do
controlador constantes da LGPD.
REFERÊNCIA
RESPONSABILIDADE LEGISLATIVA
(LGPD)
Determinar as finalidades e os meios de processamento de dados Art. 5º, VI
pessoais. Art. 6º, I
Implementar medidas técnicas e administrativas apropriadas para
Art. 6º, VII
cumprir a LGPD, incluindo políticas apropriadas de proteção de dados
Art. 46
pessoais.
Provar que o consentimento foi obtido em conformidade com a LGPD, nos Art. 8º e §§
casos aplicáveis. seguintes
Informar o titular dos dados pessoais no caso de existir alteração na Art. 9º, § 2º; Art.
finalidade do tratamento dos dados pessoais. 7º, § 7º
Art. 9º
Assegurar o exercício dos direitos dos titulares dos dados pessoais.
Arts. 18 ao 21
Manter registro das operações de dados pessoais realizadas. Art. 37
Elaborar relatório de impacto à proteção de dados pessoais mediante
Art. 38
determinação da Autoridade Nacional de Proteção de Dados Pessoais.
Indicar encarregado pelo tratamento de dados pessoais. Art. 41
Responder solidariamente em conjunto com o operador, se causar
Art. 42
a terceiros danos por violação da LGPD.
Comunicar à ANPD a ocorrência de incidentes de segurança. Art. 48
Formular regras de boas práticas e de governança para o tratamento de Art. 50º e §§
dados pessoais. seguintes
Art. 6º, II
Comprovar adequação à LGPD.
Art. 38
Tabela 1 Responsabilidades do Controlador.
Importante
O Relatório de Impacto à Proteção de Dados Pessoais – RIPD representa
instrumento de comprovação e/ou demonstração de adequação do controlador em

6
dos dados pessoais
relação à LGPD. No sentido de saber mais sobre o RIPD, leia a seção 2.5 do Guia de
Boas Práticas LGPD2 (CCGD, 2020).
RESPONSABILIZAÇÃO DO CONTROLADOR.
Se porventura ocorrer qualquer tipo de infração em relação às regras previstas
pela LGPD, o controlador está sujeito às seguintes sanções administrativas aplicáveis
pela autoridade nacional (LGPD, art. 52):
• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica
de direito privado, grupo ou conglomerado no Brasil no seu último exercício,
excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta
milhões de reais) por infração;
• multa diária, observado o limite total a que se refere o item acima;
• publicização da infração após devidamente apurada e confirmada a sua
ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua
regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a
infração pelo período máximo de 6 (seis) meses, prorrogável por igual
período, até a regularização da atividade de tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados pessoais a
que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável
por igual período; e
• proibição parcial ou total do exercício de atividades relacionadas a
tratamento de dados.
2
Disponível em: < https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-
lei-geral-de-protecao-de-dados-lgpd >
7
dos dados pessoais
As sanções administrativas previstas pelo art. 52 da LGPD também se aplicam
ao operador, pois tais sanções referem-se aos agentes de tratamento (controlador e
operador).
Importante
O disposto no artigo 52 da LGPD não substitui a aplicação de sanções
administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e
em legislação específica (LGPD, art. 52, § 2º).
3.1.2 – Responsabilidades e Responsabilização do quadro de pessoal e dos

colaboradores
Ao iniciar essa seção, é necessário ressaltar o alerta a seguir.
Importante
O quadro de pessoal e os colaboradores da Rede Ebserh são responsáveis pelos
dados pessoais que têm acesso e pelas operações de tratamento que realizam no
desempenho das atividades institucionais.
Nesse momento, cabe relembrar que a LGPD considera como operações de
tratamento o previsto pelo art. 5º, X.
Art. 5º Para os fins desta Lei, considera-se:
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração;
Diante do exposto, isso significa que o quadro de pessoal e colaboradores da
Rede Ebserh ao tratarem dados pessoais devem observar:
• a LGPD;
• normas internas;
8
dos dados pessoais
• qualquer outra legislação vigente relacionada com a proteção dos dados
pessoais; e
• normativos que envolvam controle disciplinar e responsabilização
administrativa.
É fundamental que o quadro de pessoal e colaboradores da Rede Ebserh
estejam cientes quanto às responsabilidades, aos deveres e à responsabilização
descritos pelo(a):
• Regulamento de Pessoal3;
• Código de Ética e Conduta da Ebserh4; e
• Norma Operacional de Controle Disciplinar5.
Como quadro de pessoal será considerado o previsto pelo item 2.2 do
Regulamento de Pessoal.
2.2 QUADRO DE PESSOAL

Conjunto de cargos, cargos em comissão e funções gratificadas necessárias à realização das
finalidades da Ebserh.
O termo “colaboradores” adotado neste treinamento abrange: empregados,
cedidos, Regimes Jurídicos Únicos (RJUs), terceirizados, estagiários, adolescente
aprendiz e residentes, inclusive o quadro de pessoal.
Importante
O Código de Ética e Conduta da Ebserh devem ser de conhecimento de todos os
colaboradores da instituição.
3
Regulamento de Pessoal, disponível em: < https://www.gov.br/ebserh/pt-br/acesso-a-informacao/agentes-
publicos/legislacao-e-normas-de-gestao-de-pessoas>
4
Código de Ética e Conduta da Ebserh, disponível em: < https://www.gov.br/ebserh/pt-br/governanca/etica-
e-integridade/sobre-etica-e-integridade >
5
Norma Operacional de Controle Disciplinar, disponível em < https://www.gov.br/ebserh/pt-br/acesso-a-
informacao/agentes-publicos/correicao >
9
dos dados pessoais
No âmbito da proteção de dados pessoais, serão exploradas nesta seção as
responsabilidades do quadro de pessoal e dos colaboradores expressas:
• pelos deveres e proibições constates do Regulamento de Pessoal; e
• pelos princípios, compromissos de conduta, responsabilidades, deveres e
vedações especificadas pelo Código de Ética e Conduta da Ebserh.
As responsabilidades mencionadas no parágrafo anterior estão sintetizadas na
tabela a seguir.
RESPONSABILIDADES A QUEM SE APLICA NORMATIVO REFERÊNCIA

Guardar sigilo sobre informações de
caráter restrito, de que tenha Regulamento
Empregado Art. 37, VIII
conhecimento em razão do cargo que de Pessoal
exerce na Ebserh.
Observar o estabelecido no Código de Regulamento
Empregado Art. 37, XXII
Ética da Ebserh. de Pessoal
Cientificar-se das obrigações e
penalidades neste regulamento,
Normas Internas, Resoluções, Regulamento
Empregado Art. 37, XXVI
Circulares, Ordens de Serviço, Avisos, de Pessoal
Comunicados e outras instruções
expedidas pela Direção da Empresa.
Empregado
Zelar pelo fiel cumprimento das
com Cargo em Regulamento
decisões emanadas pela Direção da Art. 38, II
Comissão ou Função de Pessoal
Ebserh.
Gratificada
Empregado
Fazer cumprir, nos locais de trabalho, com Cargo em Regulamento
Art. 38, V
as Normas e Instruções da Ebserh. Comissão ou Função de Pessoal
Gratificada
É proibido retirar das dependências
da Ebserh qualquer tipo de material, Regulamento
Empregado Art. 39, XIV
equipamento ou documento, sem a de Pessoal
devida autorização.
É proibido fornecer informações a
terceiros, bem como utilizar
Regulamento
documentos e papéis oficiais da Empregado Art. 39, XVII
de Pessoal
Ebserh, sem estar devidamente
autorizado.
A Ebserh observará os princípios Código de
constantes no art. 37 da Constituição Ética e
Colaborador Art. 3º
Federal, zelando pela predominância Conduta da
da probidade administrativa, da Ebserh
10
dos dados pessoais

integridade, da dignidade da pessoa
humana, da urbanidade, da
transparência, da honestidade, da
lealdade, do repúdio ao preconceito e
ao assédio, do respeito à diversidade,
da responsabilidade social e do
desenvolvimento sustentável, do
interesse público, do sigilo
profissional , e dos demais princípios
norteadores já consagrados da
Administração Pública Federal.
O acesso e o tratamento de dados
pessoais deverão ser protegidos nos
termos da Lei nº 13.709, de Código de
14/08/2018, a Lei Geral de Proteção Ética e
Colaborador Art. 5º, § 5º
de Dados, bem como dos dispositivos Conduta da
específicos das normas profissionais Ebserh
específicas que regem a proteção de
dados dos pacientes.
Código de
Manter o sigilo de informações,
Ética e
dados e conhecimentos recebidos em Colaborador Art. 10, VII
Conduta da
razão do seu cargo.
Ebserh
Código de
Preservar a confidencialidade
Ética e
profissional mesmo após o Colaborador Art. 10, VII
Conduta da
desligamento da instituição.
Ebserh
É vedado fazer uso de quaisquer
informações, dados ou Código de
conhecimentos pertinentes ao Ética e
Colaborador Art. 11, IX
trabalho realizado na Ebserh em Conduta da
benefício próprio, de parentes, de Ebserh
amigos ou de terceiros.
É vedado divulgar, sem expressa
autorização do Superintendente, nos
hospitais, ou do vice-presidente, na
Código de
Administração Central, em qualquer
Ética e
meio, informações ou imagens dos Colaborador Art. 11, X
Conduta da
bens móveis ou imóveis, de
Ebserh
profissionais e/ou de usuários dos
hospitais da Rede, sejam eles
pacientes ou acompanhantes.
É vedado manifestar-se, nos veículos Código de
de comunicação, redes sociais ou Ética e
Colaborador Art. 11, XI
grupos de trocas de mensagem, de Conduta da
forma a denegrir a imagem da Ebserh
11
dos dados pessoais

empresa ou de seus colegas de
trabalho e superiores hierárquicos,
bem como para incitar ações que vão
contra o interesse público.
É vedado prover informações ou
Código de
dados falsos com a finalidade de ser
Ética e
admitido em emprego, cargo, ou, Colaborador Art. 11, XII
Conduta da
ainda, obter promoção ou vantagem
Ebserh
pessoal ou salarial;
Tabela 2 Responsabilidades do quadro de pessoal e dos colabores previstas pelo Regulamento de Pessoal e Código de
Ética e Conduta da Ebserh aplicáveis à proteção de dados pessoais
RESPONSABILIZAÇÃO DO QUADRO DE PESSOAL E COLABORADORES DA REDE EBSERH
Cientes das responsabilidades elencadas pela Tabela 2, é essencial saber que o
descumprimento ao disposto pelo Regulamento de Pessoal e Código de Ética da Ebserh
resulta em procedimentos de análise e investigação de fato irregular, e consequente
imputação de responsabilidade disciplinar administrativa.
Os procedimentos relativos à apuração de possível irregularidade no âmbito da
Rede Ebserh estão previstos pela Norma Operacional de Controle Disciplinar6.
O escopo de aplicação da Norma Operacional de Controle Disciplinar está
disposto do artigo 2º até o artigo 4º da Norma (grifo nosso).
Art. 2º Esta norma é aplicável no âmbito da Ebserh para:

I. Empregados públicos celetistas contratados pela Ebserh na forma do art. 10 da Lei nº
12.550/2011, inclusive os que se encontrarem cedidos a outros órgãos;
II. Ex-empregados públicos celetistas da Ebserh, mas que se encontravam sob a égide de
contrato laboral na época do acontecimento do fato;
III. Servidores públicos estatutários ou empregados públicos celetistas requisitados pela Ebserh;
IV. Agentes públicos na vigência de contrato especial com a Ebserh.
Art. 3º Esta norma não se aplica a estagiários, terceirizados e voluntários.
Art. 4º A conduta dos servidores públicos estatutários ou empregados públicos celetistas
requisitados pela Ebserh, e de agentes públicos na vigência de contrato especial, somente
poderão ser objeto de Investigação Preliminar.
6
Norma Operacional de Controle Disciplinar, disponível em: < https://www.gov.br/ebserh/pt-br/acesso-a-
informacao/agentes-publicos/correicao >
12
dos dados pessoais
Importante
No âmbito da Rede Ebserh, existem dois tipos de infração que podem levar à
responsabilização administrativa, são elas: infração disciplinar e infração ética.
A infração disciplinar ocorre quando o empregado público não adequa sua
conduta aos deveres e proibições dispostos pelos arts. 37 a 39 do Regulamento de
Pessoal da Ebserh, pelo art. 482 da Consolidação das Leis Trabalhistas (CLT) ou em
outra legislação externa aplicável ao empregado público federal. Ao verificar tal
conduta, poderá ser instaurado processo disciplinar específico nos termos da Norma
Operacional de Controle Disciplinar com a devida garantia de ampla defesa ao acusado
e que poderá resultar na aplicação de penalidade de advertência, suspensão de até 30
dias ou rescisão contratual por justa causa.
A definição da penalidade a ser aplicada depende de vários fatores, como por
exemplo: a classificação da penalidade e a existência comprovada de atenuantes e/ou
agravantes; e também que a condução do processo disciplinar é realizada e/ou
acompanhada pela Corregedoria-Geral.
A infração ética é determinada pela violação de quaisquer dos mandamentos
definidos no Código de Ética da Ebserh. Caso tal infração seja verificada, poderá ensejar
a instauração de um processo ético a ser conduzido pela Comissão de Ética da Ebserh,
a qual não se confunde com a Comissão de Ética das categorias médica ou
enfermagem.
No caso de infração disciplinar, os arts. 138 a 140 da Norma Operacional de
Controle Disciplinar classifica a gradação da referida infração em: grave, média e leve.
Art. 138. Considera-se infração grave – descumprimento dos deveres listados no art. 37, incisos
XXIII e XXIV; ou verificação das ações listadas no art. 39, incisos III, V, IX, XI, XII, XV, XX e XXIV do
Regulamento de Pessoal da Ebserh.
Art. 139. Considera-se infração média – descumprimento dos deveres listados no art. 37, incisos
VIII, XVII, XX, XXI, XXV e XXX ou dos deveres listados no art. 38, incisos I a VI ou verificação das
ações listadas no art. 39, incisos XIII, XIV, XXV, VI, VII, VIII, X, XVI, XVII, XVIII; bem como verificação
das ações listadas no art. 55, § 2º e 3º do Regulamento de Pessoal da Ebserh.
13
dos dados pessoais
Art. 140. Considera-se infração leve – descumprimento dos deveres listados no art. 37, incisos I
a VII; IX; X; XI; XII; XIII; XIV; XV; XVI; XVIII; XIX; XXII; XXVI; XXVII; XXVIII; XXIX ou do dever listado no
art. 38, inciso VII ou verificação das ações listadas no art. 39, incisos I, II; IV, XIX, XXI, XXII, XXIII,
XXVI do Regulamento de Pessoal da Ebserh.
Importante
Neste Módulo, o escopo de aplicação da infração disciplinar e infração ética é a
lista de responsabilidades constantes da Tabela 2.
Exposta a gradação da infração disciplinar, serão apresentadas na Tabela 3 os
tipos de gradações aplicadas no caso de descumprimento das responsabilidades
previstas pelo Regulamento de Pessoal da Ebserh aplicáveis no âmbito da proteção de
dados pessoais.
GRADAÇÂO
RESPONSABILIDADES
A QUEM SE APLICA INFRAÇÃO
REGULAMENTO DE PESSOAL DA EBSERH
DISCIPLINAR
Guardar sigilo sobre informações de caráter
restrito, de que tenha conhecimento em razão do Empregado Leve
cargo que exerce na Ebserh (Art. 37, VIII).
Observar o estabelecido no Código de Ética da
Empregado Leve
Ebserh (Art. 37, XXII).
Cientificar-se das obrigações e penalidades neste
regulamento, Normas Internas, Resoluções,
Circulares, Ordens de Serviço, Avisos, Empregado Leve
Comunicados e outras instruções expedidas pela
Direção da Empresa (Art. 37, XXVI).
Empregado
Zelar pelo fiel cumprimento das decisões com Cargo em
Média
emanadas pela Direção da Ebserh (Art. 38, II). Comissão ou Função
Gratificada
Empregado
Fazer cumprir, nos locais de trabalho, as Normas com Cargo em
Média
e Instruções da Ebserh (Art. 38, V). Comissão ou Função
Gratificada
É proibido retirar das dependências da Ebserh
qualquer tipo de material, equipamento ou
Empregado Média
documento, sem a devida autorização (Art. 39,
XIV).
É proibido fornecer informações a terceiros, bem
Empregado Média
como utilizar documentos e papéis oficiais da
14
dos dados pessoais
GRADAÇÂO
RESPONSABILIDADES
A QUEM SE APLICA INFRAÇÃO
REGULAMENTO DE PESSOAL DA EBSERH
DISCIPLINAR
Ebserh, sem estar devidamente autorizado (Art.
39, XVII).
Tabela 3 Tipos de gradações de infrações disciplinares aplicadas no caso de descumprimento das responsabilidades
previstas pelo Regulamento de Pessoal da Ebserh aplicáveis no âmbito da proteção de dados pessoais
Ao final deste tópico, é extremamente relevante reforçar a necessidade de o
quadro de pessoal e dos colaboradores da Rede Ebserh terem ciência das
responsabilidades no tratamento dos dados pessoais destacadas pela Tabela 2 e dos
tipos de infrações, disciplinar ou ética, bem como dos seguintes normativos internos:
Regulamento de Pessoal, Código de Ética da Ebserh e Norma Operacional de Controle
Disciplinar.
3.2 – Estrutura para a gestão da Segurança da Informação na Rede Ebserh
As ações relacionadas com a Segurança da Informação na Rede Ebserh são
orientadas pelos seguintes princípios:
I. disponibilidade: propriedade pela qual se assegura que a informação esteja
acessível e utilizável sob demanda por uma pessoa física ou determinado sistema,
órgão ou entidade devidamente autorizado;
II. integridade: propriedade pela qual se assegura que a informação não foi
modificada ou destruída de maneira não autorizada ou acidental;
III. confidencialidade: propriedade pela qual se assegura que a informação não
esteja disponível ou não seja revelada a pessoa, sistema, órgão ou entidade não
autorizada nem credenciada; e
IV. autenticidade: propriedade pela qual se assegura que a informação foi
produzida, expedida, modificada ou destruída por uma determinada pessoa física,
equipamento, sistema, órgão ou entidade.

15
dos dados pessoais
Importante
Os princípios de Segurança da Informação contribuem para a proteção dos
dados pessoais tratados no âmbito da Rede Ebserh.
A seguir, são expostas considerações concernentes à composição da estrutura
da gestão da Segurança da Informação na Rede Ebserh.
3.2.1 – Composição da estrutura
A estrutura para a gestão da Segurança da Informação na Rede Ebserh tem a
seguinte composição:
• Gestor de Segurança da Informação;
• Comitê de Segurança da Informação; e
• Equipe de Tratamento e Resposta a Incidentes Cibernéticos (ETIR).
São responsáveis pela Gestão da Segurança da Informação no âmbito da Rede
Ebserh:
• Gestor da Segurança da Informação da Administração Central;
• Gestor de Segurança da Informação de cada Hospital Universitário Federal
(HUF) da Rede;
• Comitê de Segurança da Informação da Administração Central;
• Comitê de Segurança da Informação de cada HUF; e
• Equipe de Tratamento e Resposta a Incidentes Cibernéticos da Empresa.
Neste tópico, são destacados aspectos principais de cada componente da citada
estrutura, bem como da Política de Proteção de Dados Pessoais.

16
dos dados pessoais
Gestor de Segurança da Informação na Rede Ebserh
O Gestor de Segurança da Informação é parte responsável fundamental na
condução das ações de Segurança da Informação.
Essa condução é realizada por duas categorias de gestores:
• Gestor da Segurança da Informação da Administração Central; e
• Gestor de Segurança da Informação de cada Hospital Universitário Federal
(HUF) da Rede.
No âmbito da Administração Central, o Gestor de Segurança da Informação
deve ser designado por meio de ato do Presidente da Ebserh, com mandato de 1 (um)
ano, podendo ser reconduzido.
No âmbito dos HUFs, o Gestor de Segurança da Informação deve ser designado
por meio de ato do Superintendente do respectivo Hospital, com mandato de 1 (um)
ano, podendo ser reconduzido.
Como será visto adiante, o(s) Gestor(s) de Segurança é(são) responsável(is) pela
coordenação do(s) Comitê(s) de Segurança da Informação.
Comitê Gestor de Segurança da Informação na Rede Ebserh
O Comitê de Segurança da Informação é de natureza permanente, deliberativa,
consultiva, estratégica e normativa.
Existem dois tipos de Comitê de Segurança:
• Comitê de Segurança da Informação da Administração Central; e
• Comitê de Segurança da Informação de cada HUF.
O Comitê de Segurança da Informação, no âmbito da Administração Central,
tem a seguinte composição:
I. Gestor de Segurança da Informação da Administração Central, que o
coordenará;
II. representantes, titular e suplente, da Vice-Presidência;

17
dos dados pessoais
III. representantes, titular e suplente, da Diretoria de Tecnologia da Informação;
IV. representantes, titular e suplente, das demais Diretorias;
V. representantes, titular e suplente, da Assessoria de Conformidade, Controle
Interno e Gerenciamento
de Riscos;
VI. Ouvidor-Geral e respectivo suplente; e
VII. representantes, titular e suplente, da Consultoria Jurídica.
O Comitê de Segurança da Informação, no âmbito dos HUFs, tem a seguinte
composição:
I. Gestor de Segurança da Informação da respectiva unidade, que o coordenará;
II. representantes, titular e suplente, da Superintendência;
III. representantes, titular e suplente, do Setor de Serviços de Gestão de
Processos e Tecnologia da
Informação e seu suplente;
IV. representantes, titular e suplente, de cada uma das Gerências;
V. representante da Ouvidoria e respectivo suplente; e
VI. representantes, titular e suplente, do Setor Jurídico.
Importante
Cada HUF deve instituir o respectivo Comitê de Segurança da Informação, órgão
de natureza deliberativa, consultiva, observando as orientações da Administração
Central, dimensionando-o adequadamente e considerando a coordenação do Gestor
de Segurança da Informação do HUF.

18
dos dados pessoais
Equipe de Tratamento e Resposta a Incidentes Cibernéticos (ETIR) na Rede Ebserh
A ETIR é um grupo técnico especializado com a responsabilidade de receber,
analisar e responder às notificações e atividades relacionadas a incidentes de
segurança em redes de computadores na Rede Ebserh.
A ETIR é composta pela Equipe Central e Equipe Distribuída.
A Equipe Central é constituída:
a) pelo gestor da ETIR, sendo o Coordenador de Infraestrutura e Segurança de
TI (CISTI) ou Chefe de Serviço subordinado a ele; e
b) por equipe técnica designada pela Diretoria de Tecnologia da Informação
(DTI).
A Equipe Distribuída é composta pelos Chefes de Serviço de Gestão de
Processos e Tecnologia.
O modelo organizacional da ETIR da Ebserh é composto por uma Equipe Central,
na Administração Central, e pelas Equipes Distribuídas em cada HUF.
A Equipe Central é responsável pela organização das atividades da ETIR junto às
Equipes Distribuídas, pela comunicação formal para os níveis internos da Ebserh e para
organizações externas.
As Equipes Distribuídas devem atuar localmente no respectivo HUF,
executando as estratégias definidas pela Equipe Central, bem como na execução dos
procedimentos de tratamento dos incidentes de segurança cibernéticos.
Importante
A ETIR é composta por empregados públicos ocupantes de cargo efetivo, com
capacitação técnica compatível com as atividades sob sua responsabilidade.
Compreendida a estrutura de gestão de Segurança da Informação, neste
momento, é extremamente necessário conhecer a Política de Proteção de Dados
Pessoais da Ebserh.
19
dos dados pessoais
Política de Proteção de Dados Pessoais da Ebserh
A Política de Proteção de Dados Pessoais da Ebserh dispõe sobre definições,
diretrizes e deveres dos integrantes da Rede Ebserh para a proteção de dados pessoais
no âmbito da Empresa Brasileira de Serviços Hospitalares (Ebserh).
Serão destacados nessa seção, as diretrizes e os deveres previstos pela referida
Política.
Importante
Todos que integrem a Rede Ebserh ou que realizem tratamento de dados
pessoais em seu nome devem observar as diretrizes indicadas pela Política de Proteção
de Dados Pessoais, que visam à conformidade com a Lei Geral de Proteção de Dados
Pessoais (LGPD).
As diretrizes para a proteção de dados pessoais constam do art. 6º ao art. 16 do
Capítulo IV da Política de Proteção de Dados Pessoais.
Capítulo IV
Art. 6º A Administração Central e as filiais devem proteger, mapear e registrar o tratamento de
dados pessoais realizados no âmbito de suas atuações.
Art. 7ª Os contratos que envolvam tratamento de dados pessoais em nome do controlador
devem conter cláusulas que estabeleçam instruções, deveres e obrigações referentes ao tema
e o compromisso dos contratados em adotar medidas para adequação de suas operações e
cumprimento das legislações de proteção de dados pessoais aplicáveis, bem como desta Política
e demais normas e orientações da Ebserh.
Art. 8º Todos os integrantes da Rede Ebserh devem implementar meios para conferir a
transparência necessária aos titulares em relação ao uso de seus dados pessoais, à finalidade,
forma e duração do tratamento, identificação e informações de contato do controlador e do
encarregado, informações acerca do uso compartilhado de dados, responsabilidades dos
agentes envolvidos e direitos dos titulares de dados pessoais.
Art. 9º A Administração Central e as filiais devem implementar mecanismos efetivos para
atendimento dos direitos dos titulares previstos em lei, como informação, acesso, retificação,
portabilidade, eliminação, bloqueio, revogação de consentimento.
Art. 10. Quando a base legal do tratamento for o consentimento, a Rede Ebserh deve
implementar mecanismos adequados para a efetiva coleta da autorização dada pelo titular dos
dados pessoais e, assim, evidenciar a regularidade do tratamento.
20
dos dados pessoais
Art. 11. O relatório de impacto à proteção de dados pessoais deve ser elaborado sempre que o
tratamento de dados pessoais for capaz de gerar riscos às liberdades civis e aos direitos
fundamentais dos titulares de dados pessoais ou quando solicitado pela Autoridade Nacional
de Proteção de Dados.
Art. 12. A Administração Central e as filiais devem divulgar e manter atualizadas, em seu sítio
eletrônico, a identidade e as informações de contato do encarregado pelo tratamento de dados
pessoais.
Art. 13. A Administração Central e as filiais devem criar planos de resposta a incidentes que
envolvam dados pessoais observado o disposto no Plano de Gestão de Incidentes Cibernéticos
da Ebserh.
Art. 14. A Administração Central e as filiais devem atender à obrigação de comunicar a
autoridade nacional e aos titulares dos dados pessoais ante a ocorrência de incidentes de
segurança.
§ 1º Devem ser estabelecidos prazos de comunicação e resposta, com o fornecimento de
subsídios pelas filiais envolvidas, bem como pela Administração Central.
§ 2º O encarregado deverá comunicar à Autoridade Nacional de Proteção de Dados e ao titular
a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos
titulares.
§ 3º As filiais, quando da necessidade de comunicação com a Autoridade Nacional de Proteção
de Dados, deverão fazê-la em alinhamento com a Administração Central.
Art. 15. A Administração Central deve ser sempre comunicada nos casos de incidentes de
segurança que envolvam dados pessoais, sejam eles sensíveis ou não.
Art. 16. Toda operação que envolva transferência internacional de dados pessoais deve possuir
salvaguardas, considerando o nível de proteção de dados do país estrangeiro ou organismo
internacional do qual o país seja membro, previstas na Lei Geral de Proteção de Dados Pessoais.
Art. 17. A Rede Ebserh deve promover a conscientização dos colaboradores acerca das diretrizes
e procedimentos de proteção de dados pessoais implementados.
Os deveres para a proteção de dados pessoais constam dos arts. 21 e 22 do
Capítulo VI da Política de Proteção de Dados Pessoais.
Capítulo VI
Art. 21. No tratamento de dados pessoais, os integrantes da Rede Ebserh devem observar,
dentre outros, os seguintes deveres:
I - não disponibilizar nem garantir acesso aos dados pessoais mantidos pela Ebserh para
pessoas não autorizadas ou competentes de acordo com as normas da Empresa;
II - obter o consentimento, quando necessário, para o tratamento de dados pessoais;
III - cumprir as normas, recomendações, orientações de segurança da informação e prevenção
de incidentes de segurança da informação publicadas pela Ebserh; e
21
dos dados pessoais
IV - comunicar ao encarregado do tratamento de dados pessoais qualquer evento que possa

colocar em risco os dados pessoais tratados pela Rede Ebserh.
Art. 22. Os integrantes da Rede Ebserh que não observarem as diretrizes dispostas nesta Política
estão sujeitos às regras de responsabilização previstas em normativos internos e legislação
aplicável.
Devido a extrema relevância do tema de proteção de dados, recomenda-se a
leitura da publicação completa da Política de Proteção de Dados Pessoais, disponível
em: <https://www.gov.br/ebserh/pt-br/acesso-a-informacao/tratamento-de-dados-
pessoais/politica_protecao_dados_pessoais-ebserh.pdf>.
3.3 – Boas práticas comportamentais para proteção dos dados pessoais
Esta seção indica boas práticas comportamentais a serem adotadas pelos
colaboradores no tratamento de dados pessoais realizados no âmbito da Rede Ebserh.
A adoção de tais práticas contribuem para a preservação da privacidade e segurança
dos dados pessoais utilizados na instituição.
3.3.1 – Cuidado com a engenharia social
A Engenharia Social é uma prática realizada por indivíduos que estudam como
o comportamento humano pode ser utilizado para induzir uma outra pessoa a atuar
segundo seu desejo, por meio de métodos e técnicas que exploram a confiança para a
obtenção de informações sigilosas ou importantes como dados pessoais.
Em síntese a Engenharia Social visa tirar proveito das fraquezas humanas a fim
de enganar alguém a divulgar informações ou permitir o acesso a redes de dados. Os
cibercriminosos geralmente utilizam as informações obtidas para realizar fraudes ou
conseguir acesso de forma ilegal aos computadores das vítimas.
Este tópico apresenta por objetivo ressaltar tipos de ataques mais comuns de
Engenharia Social que podem ser utilizados para obtenção de dados pessoais tratados
22
dos dados pessoais
pela instituição e indicar orientações de prevenção a serem adotadas pelos
colaboradores a fim de mitigar ou evitar o ataque.
Os ataques de Engenharia Social mais comumente utilizados envolvem:
phishing e suas variações, bem como o ataque conhecido como baiting.
As variações de phishing abordadas neste Módulo são: phishing (e-mail), vishing
(voz) e Smishing (SMS). Esses tipos de ataque serão detalhados nos tópicos abaixo.
Engenharia Social – Tipo de Ataque: Phishing (e-mail)
O termo phishing tem origem na palavra fishing do idioma inglês que significa
pescaria. Essa tipo de ataque consiste em mensagens falsas enviadas por
cibercriminosos que se passam por instituições ou pessoas confiáveis. Eles lançam a
“isca” e com frequência as vítimas são “fisgadas”.
Forma de ataque phishing.
O modo mais comumente utilizado de ataque phishing é por meio de e-mail.
Na maioria das vezes, os cibercriminosos utilizam domínios parecidos com os e-mails
verdadeiros ou até mesmo domínios comuns como gmail, hotmail e similares. Se
algum colaborador se tornou vítima de um ataque de phishing, os cibercriminosos
podem ter acesso à conta institucional dessa pessoa e disparar e-mails se passando
por ele.
Orientações de prevenção contra ataque phishing.
• Verificar sempre o endereço de e-mail do remetente.
• Observar as informações de contato e assinatura do e-mail.
• Clicar em links somente se tiver certeza que o remetente é confiável.
• Baixar anexos de e-mail somente de remetente confiável.
• Se receber algum pedido incomum de um conhecido, chefia ou colega de
trabalho para transferir arquivos ou dinheiro, confirme com a pessoa se a
solicitação é verdadeira.
23
dos dados pessoais
• Em nenhuma hipótese escreva dados pessoais e senhas de acesso em
formulários ou páginas enviadas por e-mail de fonte desconhecida ou falsa.
Engenharia Social – Tipo de Ataque: Vishing (voz)
Vishing é um tipo de phishing realizado por meio de chamadas telefônicas (Voice
Phishing). Utilizando técnicas de engenharia social, os atacantes buscam convencer as
vítimas a entregar dados pessoais ou outros dados que sejam interessantes de serem
obtidos.
Forma de ataque vishing.
Chamadas telefônicas realizadas diretamente por uma pessoa, gravações
ou vozes automatizadas. É comum que o golpista finja que precisa confirmar dados
pessoais para atualizar o cadastro no banco, autorizar uma compra no cartão de
crédito, ceder algum crédito ou para despachar alguma entrega.
Orientações de prevenção contra ataque vishing.
• Evitar fornecer dados pessoais por telefone.
• Desconfiar de telefonemas de operadoras de cartão de crédito, bancos, lojas,
empresas de logísticas que solicitam dados pessoais. Nesse caso é recomendável
encerrar a ligação e telefonar para os contatos oficiais dessas instituições com a
finalidade de confirmar a procedência da solicitação.
• Fornecer dados pessoais ou dados pessoais sensíveis de pacientes somente
para pessoas autorizadas a ter acesso a esses dados.
• Ao fornecer os dados citados acima, verifique se você tem autorização para
informar os dados pessoais e confirme a identificação da pessoa a fim de
certificar que ela é autorizada a receber tal informação.

24
dos dados pessoais
Engenharia Social – Tipo de Ataque: Smishing (SMS)
Smishing é um tipo de phishing realizado por SMS e mensagens de texto
enviadas para o celular. Geralmente, essas mensagens solicitam para que você clique
em um link e preencha um formulário ou responda à mensagem.
A mensagem pode ser sobre, por exemplo, uma necessidade de atualização de
cadastro ou a oportunidade de resgatar um prêmio imperdível.
Forma de ataque smishing.
Ao clicar ou responder à mensagem, pode ocorrer o direcionamento a sites
maliciosos, no qual digitados os dados pessoais, eles vão parar nas mãos dos
cibercriminosos. Os alvos geralmente são informações pessoais, como: endereço;
CPF; dados de cartão de crédito; e senhas de acesso da conta bancária, de redes
sociais e de contas de e-mails.
Orientações de prevenção contra ataque smishing.
• Não clicar em links enviados por mensagens de celular antes de confirmar se
a mensagem é confiável e se realmente o remetente confiável enviou a
mensagem em questão.
• Não forneça dados pessoais em formulários ou sites desconhecidos.
• Ao realizar compras ou transações em sites considerados confiáveis que
demandam a digitação dos seus dados, verifique se a URL começa com https
(protocolo de segurança) em vez de http.
Engenharia Social – Tipo de Ataque: Baiting
O termo baiting vem do inglês “bait”, que é traduzido por “isca”. Semelhante ao
phishing, a prática oferece algo vantajoso e estimulante para o usuário em troca de
informações de login ou dados pessoais.

25
dos dados pessoais
Forma de ataque baiting.
A “isca” pode ser de muitas formas, tanto digital quanto física, como por
exemplo, um download gratuito de filme ou música, ou ainda um pen drive deixado
sobre a mesa para que um usuário o encontre e conecte na estação de trabalho para
saber o que tem dentro do dispositivo.
Orientações de prevenção contra ataque baiting.
• Observar as orientações dos normativos de Segurança da Informação da Rede
Ebserh sobre download e uso de dispositivos de armazenamento externo, como
por exemplo: pen drive7 ou Hard Disk (HD) externo portátil8.
3.3.2 – Comportamentos seguros recomendados
Algumas práticas comportamentais simples ao serem incorporadas no trabalho
cotidiano desenvolvido na Rede Ebserh são bastantes efetivas no sentido de contribuir
com a segurança e a proteção dos dados pessoais.
Nesse sentido, são apresentadas recomendações relativas aos seguintes temas:
• Uso seguro de senha;
• Uso do e-mail; e
• Mesa limpa e tela limpa.
As recomendações desses três temas apesar de serem em sua essência
elementares produzem resultados bem efetivos se aplicados diariamente.
7
Pen Drive ou Memória USB Flash Drive é um dispositivo de armazenamento de dados que inclui memória
flash e possui uma interface USB integrada, permitindo por exemplo, conexão a uma porta USB de um
computador
8
Hard Disk externo ou mais comumente conhecido como HD externo, é um disco rígido portátil de alta
capacidade de armazenamento. Atualmente, a maior parte dos modelos de HDs portáteis são conectados
nos computadores via porta USB.
26
dos dados pessoais
Uso Seguro de Senha
A senha é pessoal e intransferível. O aviso dessa frase é bastante utilizado,
especialmente por instituições bancárias, no sentido de alertar sobre a necessidade de
manter a confidencialidade da senha usada para realização de transações comerciais.
Manter o sigilo da(s) senha(s) utilizada(s) no desempenho das atividades da
Rede Ebserh é extremamente necessário a fim de evitar fraudes ou ação indevida
realizada por outra pessoa que se apropria indevidamente de uma senha de algum
colaborador.
Importante
A seguir, são apresentadas algumas recomendações essenciais sobre uso
seguro de senha9.
Recomendações sobre o uso seguro de senha.
• Ao elaborar senhas evite usar:
o dados pessoais: nome, sobrenome, contas de usuário, datas e números
como de documentos pessoais, telefones ou placas de carro;
o dados disponíveis em redes sociais e páginas Web;
o sequências de teclado: “1qaz2wsx”, “QwerTAsdfG”; e
o palavras presentes em listas publicamente conhecidas: músicas, times de
futebol, personagens de filmes e dicionários de diferentes idiomas.
• Ao elaborar senhas use:
o números aleatórios (quanto mais ao acaso forem os números melhor,
principalmente em sistemas que aceitem exclusivamente caracteres
numéricos);
o grande quantidade de caracteres (quanto mais longa for a sua senha
melhor); e
9
Cartilha de Segurança para Internet, FASCÍCULO SENHAS, disponível em: <https://cartilha.cert.br/fasciculos/#senhas>
27
dos dados pessoais
o diferentes tipos de caracteres (quanto mais “bagunçada” for a sua senha
melhor. Exemplo: “?OCbcaRddus78”).
• Quando utilizar a senha:
o não exponha suas senhas:
➢ certifique-se de não estar sendo observado ao digitá-las; e
➢ não as deixe anotadas em locais onde outros possam ver. Exemplo:
um papel sobre sua mesa ou colado em seu monitor; e
➢ sempre que possível, evite digitá-las em computadores e
dispositivos móveis de terceiros.
o não forneça suas senhas para outras pessoas (cuidado com e-
mails/telefonemas pedindo dados pessoais); e
o use conexões seguras quando o acesso envolver senhas.
• Evitar no uso da senha:
o salvar as suas senhas no navegador Web;
o usar opções, como: “Lembre-se de mim” ou “Continuar conectado”; e
o usar a mesma senha para todos os serviços que acessa, basta ao
cibercriminoso conseguir uma senha para ser capaz de acessar as demais
contas nas quais tal senha seja usada.
• Altere suas senhas:
o imediatamente, se desconfiar que elas tenham sido descobertas ou
usadas em computadores ou dispositivos móveis invadidos ou infectados;
o rapidamente se:
➢ perder um computador ou disposto móvel no qual elas estejam
gravadas; e
➢ usar uma mesma senha em mais de um lugar e desconfiar que ela
tenha sido descoberta em algum deles.
o regularmente nos demais casos.
• Recuperação de senhas:
o Ao usar dicas de segurança, escolha aquelas que sejam:

28
dos dados pessoais
➢ vagas o suficiente para que ninguém consiga descobri-las; e
➢ claras o bastante para que você consiga entendê-las.
o Ao solicitar o envio de suas senhas por e-mail:
➢ procure alterá-las o mais rápido possível; e
➢ cadastre um e-mail que você acesse regularmente.
Importante
É recomendável não usar senhas de acesso profissional para acessar assuntos
pessoais e vice-versa. Respeite os contextos.
Uso de e-mail
O e-mail institucional é uma ferramenta de trabalho amplamente utilizada pela
Rede Ebserh. O uso do correio eletrônico deve ser realizado segundo o previsto pela
Norma Operacional de Uso de e-mail10.
Importante
A conta de correio eletrônico pertence à Ebserh e por ela é disponibilizada em
função da necessidade de prover instrumentos capazes de agilizar a comunicação, a
fluidez e as informações para as tomadas de decisão no âmbito da Empresa.
Neste tópico, serão ressaltadas as responsabilidades e vedações a serem
observadas no uso do correio eletrônico da Ebserh de acordo com a Norma
Operacional citada no início deste tópico.
10
Norma Operacional de Uso de e-mail, disponível no link abaixo:
<http://www2.ebserh.gov.br/documents/695105/3844185/04-NO-CGSIC+-
+Normal+Operacional+de+Uso+de+E-mail.pdf/e6252a01-1d8d-41ea-9128-1e61d187e27b >
29
dos dados pessoais
As responsabilidades relativas ao uso de e-mail constam do art. 9º da Norma
Operacional de Uso de e-mail (grifo nosso).
Art.9º. São de responsabilidade do usuário:

I. A proteção do sigilo de sua senha de acesso a fim de evitar a utilização da conta de correio
eletrônico por outrem, cabendo a responsabilização civil e/ou criminal do mesmo pelos danos
cometidos através da má utilização do recurso.
II. O conteúdo de mensagens enviadas, sob sua identificação.
III. O acautelamento quanto aos anexos enviados nas mensagens sob sua identificação.
IV. O acautelamento quanto a origem das mensagens recebidas a fim de evitar danos.
V. A utilização do serviço de correio eletrônico fornecido pela Ebserh para assuntos exclusivos
da organização.
VI. A comunicação ao Comitê Gestor de Segurança da Informação (CGSIC) sobre qualquer
ocorrência estranha a utilização institucional do correio eletrônico, ocorrida em seu e-mail, ou
em sua área.
As vedações relativas ao uso de e-mail constam do art. 13 da Norma Operacional
de Uso de e-mail (grifo nosso).
Art.13. É vedado ao usuário o uso do serviço de correio eletrônico corporativo com o objetivo
de:
I. Executar ações nocivas contra outros recursos computacionais da Ebserh ou de redes

externas;
II. Distribuir material obsceno, pornográfico, ofensivo, preconceituoso, discriminatório, ou de

qualquer forma contrário à lei e aos bons costumes;
III. Disseminar anúncios publicitários, mensagens de entretenimento e mensagens do tipo

"corrente", vírus ou qualquer outro tipo de programa de computador que não seja destinado
ao desempenho de suas funções ou que possam ser considerados nocivos ao ambiente de rede
da Ebserh;
IV. Emitir comunicados gerais com caráter eminentemente político-partidário;
V. Enviar arquivos de áudio, vídeo ou animações, salvo os que tenham relação com as funções
institucionais desempenhadas pela Ebserh;
30
dos dados pessoais
VI. Executar outras atividades lesivas, tendentes a comprometer a intimidade de usuários, a

segurança e a disponibilidade do sistema, ou a imagem institucional da Ebserh.
Importante
Lembrando que o descumprimento dos normativos da Ebserh resulta em
responsabilização do quadro de pessoal e dos colaboradores conforme o explicitado
pela seção 3.1.2 deste Módulo.
Mesa Limpa e Tela Limpa
O comportamento seguro de mesa limpa e tela limpa é extremamente
recomendável de ser adotado no desempenho, presencial ou remoto, das atividades
diárias dos colaboradores da Rede Ebserh.
A prática de manter a mesa limpa visa não expor documentos ou informações
de trabalho, inclusive dados pessoais, sobre mesas, estações de trabalho e demais
ambientes da empresa ou do home office (trabalho remoto) a fim de evitar o acesso de
terceiros não autorizados.
Documentos e papéis que não forem utilizados posteriormente devem ser
descartados, após sua utilização. Se aplicável, utilize máquina picotadora.
Importante
Atenção no momento de utilizar a impressora.
Recomenda-se que documentos não devam ser impressos
desnecessariamente, e documentos impressos que contenham informações sensíveis
e/ou confidenciais devem ser imediatamente removidos da impressora.
No que couber, considerar o uso de impressoras com função de código PIN,
permitindo dessa forma que os requerentes sejam os únicos que podem pegar suas
impressões, e apenas quando estiverem próximas às impressoras.

31
dos dados pessoais
Adotar o uso de tela limpa significa bloquear a tela da estação de trabalho
quando o colaborador não estiver na mesa na qual executa suas atividades laborais.
Dependendo da situação é até recomendável bloquear a tela quando terceiros
estiverem próximos.
Concluímos o conteúdo do curso de Introdução à Proteção de Dados
Pessoais.
A expectativa é que você tenha compreendido os conceitos e os aspectos
fundamentais envolvidos na proteção dos dados pessoais.
Esperamos ainda que, por meio dessas novas informações, você
desempenhe suas atividades respeitando a privacidade dos titulares dos dados
pessoais, sensíveis ou não.

32
dos dados pessoais
REFERÊNCIAS BIBLIOGRÁFICAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2013.

Tecnologia da Informação - Técnicas de Segurança – Código de Prática para controles
de segurança da informação.
ALLEASY. O que é Phishing, Smishing e Vishing? Conheça as diferenças!. 2018.

Disponível em: < https://www.alleasy.com.br/2018/03/14/o-que-e-phishing/ >. Acesso
em: 22 ago. 2021.
ARQUIVO NACIONAL. Dicionário Brasileiro de Terminologia Arquivística. 2005.
Disponível em: <http://www.arquivonacional.gov.br/images/pdf/Dicion_Term_Arquiv.pdf>.
Acesso em: 15 ago. 2021.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei nº
13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível
em: < http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm >.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Portaria Nº 93, de 26 de setembro de
2019. Brasília, DF, GSI/PR, 2019. Aprova o Glossário de Segurança da Informação.
Disponível em: <http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-
setembrode-2019-219115663>. Último acesso em: 25 ago. 2021.
BRASIL. Tribunal de Justiça do Distrito Federal e dos Territórios. Gabinete da
Presidência. Portaria GPR 2.289 de 5 de outubro de 2017. Regulamenta a política de
mesa limpa e tela protegida no Tribunal de Justiça do Distrito Federal e dos Territórios
- TJDFT. Disponível em: < http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13709.htm >. Acesso em: 23 ago. 2021.
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO
BRASIL – CERT.br. Cartilha de Segurança para Internet - Fascículo Senhas. [s. d.].
Disponível em: < https://cartilha.cert.br/fasciculos/#senhas >. Acesso em: 23 ago. 2021.

33
dos dados pessoais
COMITÊ CENTRAL DE GOVERNANÇA DE DADOS - CCGD. Guia de Boas Práticas LGPD.
Agosto 2020. Disponível em: < https://www.gov.br/governodigital/pt-br/governanca-
de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd >. Acesso em: 14
ago. 2021.
EMPRESA BRASILEIRA DE SERVIÇOS HOSPITALARES - EBSERH. Norma Operacional de
Controle Disciplinar. Agosto 2017. Disponível em: < https://www.gov.br/ebserh/pt-
br/acesso-a-informacao/agentes-publicos/correicao >. Acesso em: 23 ago. 2021.
______. Norma Operacional de Uso de E-mail Versão 1.0. Novembro 2018.
Disponível em: <http://www2.ebserh.gov.br/documents/695105/3844185/04-
NO-CGSIC+-+Normal+Operacional+de+Uso+de+E-mail.pdf/e6252a01-1d8d-
41ea-9128-1e61d187e27b >. Acesso em: 24 ago. 2021.
______. Regulamento de Pessoal. Dezembro 2020. Disponível em: <
https://www.gov.br/ebserh/pt-br/acesso-a-informacao/agentes-publicos/legislacao-e-
normas-de-gestao-de-pessoas >. Acesso em: 23 ago. 2021.
______. Código de Ética e Conduta da Ebserh- Princípios Éticos e Compromissos
de Conduta 2º edição (2020). 2020. Disponível em: < https://www.gov.br/ebserh/pt-
br/governanca/etica-e-integridade/sobre-etica-e-integridade >. Acesso em: 23 ago. 2021.
______. Portaria-SEI nº 44, de 16 de março de 2021. Gestão da Segurança da Informação.
Março 2021. Disponível em: < https://www.gov.br/ebserh/pt-br/acesso-a-
informacao/boletim-de-servico/sede/2021/boletim_servico_1025_17_03_2021.pdf >.
SAINT-EXUPÉRY, Antoine de. O pequeno príncipe. 31.ed. Rio de Janeiro: Editora Agir,
1987.98 p.
34
dos dados pessoais
______. Política de Proteção de Dados Pessoais da Ebserh. Julho 2021. Disponível em: <
https://www.gov.br/ebserh/pt-br/acesso-a-informacao/tratamento-de-dados-
pessoais/politica_protecao_dados_pessoais-ebserh.pdf >. Acesso em: 23 ago. 2021.
SAINT-EXUPÉRY, Antoine de. O pequeno príncipe. 31.ed. Rio de Janeiro: Editora Agir,
1987.98 p.

Comportamentos Seguros para o Tratamento de Dados Pessoais

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Comportamentos Seguros para o Tratamento de Dados Pessoais

Enviado por

Direitos autorais:

Formatos disponíveis

Introdução à

Proteção de Dados Pessoais

Data Versã Descrição Autor

3 – Comportamentos seguros para o tratamento dos dados pessoais 4

3 – Comportamentos seguros para o tratamento dos dados pessoais

Neste módulo abordaremos sobre:

❖ responsabilidades e responsabilização do controlador e dos

❖ estrutura para a gestão da Segurança da Informação na Rede Ebserh; e

❖ boas práticas comportamentais para proteção dos dados pessoais.

3.1 – Responsabilidades e Responsabilização do controlador, do quadro

Conforme foi apresentado no Módulo 1 deste curso, o controlador é a pessoa

natural ou jurídica, de direito público ou privado, a quem competem as decisões

referentes ao tratamento de dados pessoais (LGPD, art. 5º, VI).

Esse poder de tomar as decisões referentes ao tratamento de dados pessoais

traz consigo uma série de responsabilidades para o controlador.

Parafraseando a célebre frase do livro “Pequeno Príncipe”1 (SAINT-EXUPÉRY,

pessoais que coleta.

A paráfrase acima tem por finalidade destacar que o controlador será

caso de guarda permanente o controlador será eternamente responsável pelo dado

Esta seção também foca as responsabilidades e responsabilização dos

colaboradores da Rede Ebserh.

3.1.1 – Responsabilidades e Responsabilização do controlador

A tabela abaixo destaca lista exemplificativa de responsabilidades do

controlador constantes da LGPD.

O Relatório de Impacto à Proteção de Dados Pessoais – RIPD representa

instrumento de comprovação e/ou demonstração de adequação do controlador em

Boas Práticas LGPD2 (CCGD, 2020).

Se porventura ocorrer qualquer tipo de infração em relação às regras previstas

pela LGPD, o controlador está sujeito às seguintes sanções administrativas aplicáveis

pela autoridade nacional (LGPD, art. 52):

• advertência, com indicação de prazo para adoção de medidas corretivas;

• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica

de direito privado, grupo ou conglomerado no Brasil no seu último exercício,

excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta

milhões de reais) por infração;

• multa diária, observado o limite total a que se refere o item acima;

• publicização da infração após devidamente apurada e confirmada a sua

• bloqueio dos dados pessoais a que se refere a infração até a sua

• eliminação dos dados pessoais a que se refere a infração;

• suspensão parcial do funcionamento do banco de dados a que se refere a

infração pelo período máximo de 6 (seis) meses, prorrogável por igual

período, até a regularização da atividade de tratamento pelo controlador;

• suspensão do exercício da atividade de tratamento dos dados pessoais a

que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável

por igual período; e

• proibição parcial ou total do exercício de atividades relacionadas a

As sanções administrativas previstas pelo art. 52 da LGPD também se aplicam

ao operador, pois tais sanções referem-se aos agentes de tratamento (controlador e

O disposto no artigo 52 da LGPD não substitui a aplicação de sanções

administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e

em legislação específica (LGPD, art. 52, § 2º).

3.1.2 – Responsabilidades e Responsabilização do quadro de pessoal e dos

Ao iniciar essa seção, é necessário ressaltar o alerta a seguir.

O quadro de pessoal e os colaboradores da Rede Ebserh são responsáveis pelos

desempenho das atividades institucionais.

Nesse momento, cabe relembrar que a LGPD considera como operações de

tratamento o previsto pelo art. 5º, X.

Art. 5º Para os fins desta Lei, considera-se:

Diante do exposto, isso significa que o quadro de pessoal e colaboradores da

Rede Ebserh ao tratarem dados pessoais devem observar:

• qualquer outra legislação vigente relacionada com a proteção dos dados

• normativos que envolvam controle disciplinar e responsabilização

É fundamental que o quadro de pessoal e colaboradores da Rede Ebserh

estejam cientes quanto às responsabilidades, aos deveres e à responsabilização