PLANO DE ADEQUAÇÃO DO IFPR À

LEI GERAL DE PROTEÇÃO DE DADOS

CURITIBA - PARANÁ
2021

1
 INSTITUTO FEDERAL DO PARANÁ-IFPR
Rua Emílio Bertolini, nº 54, Cajuru | Curitiba – PR – Brasil
CEP 82920-030

Odacir Antonio Zanatta

Reitor

Nelson de Castro Neto

Diretor Executivo

Carlos Alberto Pereira do Rosário

Chefe de Gabinete

Amarildo Pinheiro Magalhães

Pró-Reitor de Ensino

Marcelo Estevam
Pró-Reitor de Extensão, Pesquisa, Pós-Graduação e Inovação

Karina Mello Bonilaure

Pró-Reitora de Gestão de Pessoas

Paulo Tetuo Yamamoto

Pró-Reitor de Planejamento e Desenvolvimento Institucional

Carlos Eduardo Fonini Zanatta

Pró-Reitor de Administração

Onivaldo Flores Junior

Diretor de Tecnologia da Informação e Comunicação

Cristiane Ribeiro da Silva

Diretora de Educação a Distância

Pierre Luís Alves

Diretor de Infraestrutura

2
ORGANIZAÇÃO
GT LGPD

DIAGRAMAÇÃO
Patrik Rangel de Melo

REVISÃO TEXTUAL
Walter Rodrigues Benigno dos Santos

COMISSÃO LGPD
SERVIDOR UNIDADE
ADILSON CLAUDIO MUZI PROENS
ROBERTO ALEXANDRE FEDECHEM PROENS
CARLOS ALBERTO PEREIRA DO ROSÁRIO GABINETE
DIOGO LUIZ CECCON EaD
JONATHAN SOUZA CRUZ BARROS EaD
LOEIDE DE JESUS BEZERRA BUENO EaD
CÉZAR FONSECA OUVIDORIA
PAULO HENRIQUE DE ALMEIDA DEX
PAULO CESAR MEDEIROS DEX
LAÍS LEOPOLDO DANTAS DEX
RICARDO CARLOS HARTMANN DEX
DIOGO MACOHIN DTIC
LARISSA LOURENÇO NUNES BENCK DTIC
KLEBER JOSÉ OLÍMPIO PROPLAN
PEDRO PAULO BOAVENTURA GREIN COM
TATIANA OLIVEIRA COUTO SILVA PROEPPI
SANDRO LUIS TOMAS BALLANDE ROMANELLI CAMPUS CASCAVEL
SIDNEI BATISTA DOS SANTOS CAMPUS CASCAVEL

DATA VERSÃO DESCRIÇÃO AUTOR

30/08/2021 1.0 Primeira versão do Plano de adequação GT-LGPD

Consulte sempre a última versão atualizada no sítio institucional da IFPR.

Menu "Acesso á Informação", seção "Lei Geral de Proteção de Dados".
LGPD

3
 SUMÁRIO

1. INTRODUÇÃO ............................................................................................................ 5
1.1. Princípios ............................................................................................................ 6
1.2. Hipóteses de tratamento ..................................................................................... 7
2. OBJETIVOS DO PLANO DE ADEQUAÇÃO............................................................... 9
2.1. Objetivo Geral ..................................................................................................... 9
2.2. Objetivos Específicos.......................................................................................... 9
2.3. Fatores considerados como importantes para cumprimento dos objetivos ....... 10
3. ETAPAS DA ADEQUAÇÃO À LGPD........................................................................ 10
4. ETAPA 1 – PREPARAÇÃO ...................................................................................... 12
4.1. Criação do Grupo de Trabalho .......................................................................... 12
4.2. Designação do Encarregado de Dados............................................................. 13
4.3. Apropriação do Conhecimento pelo GT ............................................................ 14
4.4. Grupos de Trabalho Temáticos ......................................................................... 14
5. ETAPA 2 - MOBILIZAÇÃO/ CONSCIENTIZAÇÃO E FORMAÇÃO CONTINUADA.. 15
6. ETAPA 3: MATURIDADE/ASSESSMENT (AVALIAÇÃO) ........................................ 17
7. ETAPA 4: INVENTÁRIO/MAPEAMENTO DE DADOS PESSOAIS........................... 18
8. ETAPA 5: POLÍTICA DE GOVERNANÇA DE DADOS PESSOAIS .......................... 21
8.1. Bases Legais e Práticas de Governança de Dados Pessoais ........................... 22
8.2. Instrumentos de Governança e Proteção de Dados .......................................... 24
9. ETAPA 6: MONITORAMENTO E CONFORMIDADE CONTÍNUA ............................ 26
9.1. Relatório de Impacto de Proteção de Dados – RIPD ........................................ 26
9.2. Matriz de Riscos ............................................................................................... 29
9.3. O Plano de Mitigação de Riscos ....................................................................... 36
10. CRONOGRAMA MACRO DO PLANO DE ADEQUAÇÃO ........................................ 37
11. REFERÊNCIAS ......................................................................................................... 38

4
 1. INTRODUÇÃO

A publicação da Lei 13.709/2018 - Lei Geral de Proteção de Dados (LGPD) representa

um marco nas políticas de proteção dos direitos dos titulares dos dados e criação de um
ambiente propício para a livre circulação de dados.
A Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por
pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger
os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural.
Além da LGPD, é preciso que as instituições atendam outros instrumentos normativos
que abordam o tratamento de dados pessoais e que também devem ser respeitados por
determinadas organizações, sendo este o Código de Defesa do Consumidor, a Lei do
Cadastro Positivo, a Consolidação das Leis Trabalhistas (CLT), a Lei de Acesso à Informação
e a Lei 13.787/2018 que trata da digitalização e a utilização de sistemas informatizados para
a guarda, o armazenamento e o manuseio de prontuário de usuários do sistema de saúde.
Diante desse contexto, considerando o processo no 23411.016441/2020-49 e a Lei
Geral de Proteção de Dados Pessoais no 13.709, de 14 de agosto de 2018 - LGPD, o Reitor
do IFPR deu início às ações de proteção de dados pessoais com a publicação da Portaria nº
1056, de 14 de dezembro de 2020, que criação do Grupo de Trabalho responsável pela
indicação das adequações necessárias ao atendimento da Lei Geral de Proteção de Dados
Pessoais, com as seguintes atribuições:

I. mapear processos e fluxos de trabalho para definição de um conjunto de ações para

adequações necessárias ao atendimento da LGPD;
II. determinar às diferentes unidades do Instituto Federal de Educação, Ciência e
Tecnologia do Paraná a efetivação imediata das adequações à LGPD; e
III. elaborar as diretrizes para uma política de proteção geral de dados no IFPR.

A composição do grupo teve como premissa reunir servidores das diversas unidades
com ação direta em atividades relevantes que envolvem o tratamento de dados pessoais
ligados à segurança da informação, tecnologia da informação, legislação, auditoria, ouvidoria,
relações comunitárias, governança, registro acadêmico e comunicação.

5
 Diante do exposto o GT LGPD apresenta o presente plano de adequação com o objetivo
de adotar medidas para construir um ambiente propício para o atendimento das diretrizes e
metas apresentadas na legislação. O Plano foi elaborado tendo em vista a implementação
gradativa e continuada, por meio de etapas integradas.

1.1. Princípios
A LGPD, traz em seu artigo 6º, além da boa-fé alguns princípios que deverão ser
observados para o tratamento de dados pessoais, que sejam:
I. finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e
informados ao titular, sem possibilidade de tratamento posterior de forma incompatível
com essas finalidades;
II. adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;
III. necessidade: limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos
em relação às finalidades do tratamento de dados;
IV. livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a
duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V. qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e
atualização dos dados, de acordo com a necessidade e para o cumprimento da
finalidade de seu tratamento;
VI. transparência: garantia, aos titulares, de informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial;
VII. segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou difusão;
VIII. prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais;
IX. não discriminação: impossibilidade de realização do tratamento para fins
discriminatórios ilícitos ou abusivos;

6
 X. responsabilização e prestação de contas: demonstração, pelo agente, da adoção
de medidas eficazes e capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

1.2. Hipóteses de tratamento

A aludida norma, assenta no artigo 7º e 11º, as hipóteses que possibilitam o tratamento
dos dados pessoais no âmbito da instituição, quais sejam:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I. mediante o fornecimento de consentimento pelo titular;
II. para o cumprimento de obrigação legal ou regulatória pelo controlador;
III. pela administração pública, para o tratamento e uso compartilhado de dados
necessários à execução de políticas públicas previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou instrumentos congêneres, observadas as
disposições do Capítulo IV desta Lei;
IV. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
V. quando necessário para a execução de contrato ou de procedimentos preliminares
relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse
último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais
de saúde, serviços de saúde ou autoridade sanitária;
IX. quando necessário para atender aos interesses legítimos do controlador ou de terceiro,
exceto no caso de prevalecer direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais; ou
X. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

7
Do Tratamento de Dados Pessoais Sensíveis

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes
hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para
finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável
para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública,
de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e
arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de
Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde,
serviços de saúde ou autoridade sanitária; oug) garantia da prevenção à fraude e à
segurança do titular, nos processos de identificação e autenticação de cadastro em
sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e
exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam
a proteção dos dados pessoais.
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele
dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em
legislação específica.
§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo
pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de
consentimento, nos termos do inciso I do caput do art. 23 desta Lei.
§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores
com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de
regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder
Público, no âmbito de suas competências.

8
 § 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais
sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas
hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de
assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços
auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e
para permitir:
I - a portabilidade de dados quando solicitada pelo titular; ou
II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços
de que trata este parágrafo.
§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de
dados de saúde para a prática de seleção de riscos na contratação de qualquer
modalidade, assim como na contratação e exclusão de beneficiários.

2. OBJETIVOS DO PLANO DE ADEQUAÇÃO

2.1. Objetivo Geral

Adequar o Instituto Federal do Paraná-IFPR para que esteja em conformidade com a
LGPD.

2.2. Objetivos Específicos

I. Indicar o Encarregado pelo tratamento de Dados Pessoais;

II. Orientar/Sensibilizar servidores, estagiários, terceirizados e estudantes;
III. Promover transparência ativa sobre o uso dos dados;
IV. Criar a página da LGPD IFPR;
V. Criar e/ou atualizar a política de privacidade e termos de uso;
VI. Fomentar a Governança e Privacidade dos Dados Pessoais;
VII. Oferecer maior consistência e qualidade dos Dados Pessoais;
VIII. Dar segurança jurídica aos titulares de dados, bem como para a instituição;
IX. Produzir Relatório de Impacto de Dados Pessoais;
X. Adequar os processos à LGPD;

9
 2.3. Fatores considerados como importantes para cumprimento dos objetivos

I. Apoio da alta gestão;

II. Envolvimento de todas as unidades;
III. Levantamento de todos os atores envolvidos;
IV. Forma e qualidade na comunicação, conscientização e treinamento;
V. Readequação dos processos existentes;
VI. Conformidade com a Lei de Acesso à Informação- LAI, Lei do Habeas Data, Lei
Geral do Processo Administrativo e Marco Civil da Internet, e outras correlatas;
VII. Estrutura complexa da organização administrativa de multi Campi;
VIII. Cultura organizacional do IFPR;
IX. Segurança da informação;
X. Metodologia utilizada para a gestão de riscos e incidentes;
XI. Produtos, serviços e aplicativos existentes.

3. ETAPAS DA ADEQUAÇÃO À LGPD

O processo de adequação do IFPR à LGPD é composto de seis etapas que se

articulam, permitindo a gestão e o monitoramento das ações de implementação do Plano de
Adequação, no tempo e nos espaços institucionais, conforme mostra a figura a seguir:

10
FIGURA 01: Etapas da Implementação

Fonte: GT-LGPD, 2021

11
 4. ETAPA 1 – PREPARAÇÃO

4.1. Criação do Grupo de Trabalho

A partir da publicação da Portaria nº 1056, de 14 de dezembro de 2020, o Magnífico
Reitor do IFPR, Professor Odacir Antonio Zanatta designou o Grupo de Trabalho responsável
pela indicação das adequações necessárias ao atendimento da Lei Geral de Proteção de
Dados Pessoais, com as seguintes atribuições:
I. mapear processos e fluxos de trabalho para definição de um conjunto de ações para
adequações necessárias ao atendimento da LGPD;
II. determinar às diferentes unidades do Instituto Federal de Educação, Ciência e
Tecnologia do Paraná a efetivação imediata das adequações à LGPD; e
III. elaborar as diretrizes para uma política de proteção geral de dados no IFPR.

A composição do grupo teve como premissa reunir servidores das diversas unidades
com ação direta em atividades relevantes que envolvem o tratamento de dados pessoais
ligados à segurança da informação, tecnologia da informação, legislação, ouvidoria, relações
comunitárias, governança, pesquisa e extensão, gabinete do reitor, diretoria executiva,
comunicação, registro acadêmico tanto presencial como da educação à distância e
integrantes de Campus, conforme quadro a seguir:

SERVIDOR UNIDADE

ADILSON CLAUDIO MUZI PROENS

ROBERTO ALEXANDRE FEDECHEM PROENS

CARLOS ALBERTO PEREIRA DO ROSÁRIO GABINETE

DIOGO LUIZ CECCON EaD

JONATHAN SOUZA CRUZ BARROS EaD

LOEIDE DE JESUS BEZERRA BUENO EaD

12
 CÉZAR FONSECA OUVIDORIA

PAULO HENRIQUE DE ALMEIDA DEX

PAULO CESAR MEDEIROS DEX

LAÍS LEOPOLDO DANTAS DEX

RICARDO CARLOS HARTMANN DEX

DIOGO MACOHIN DTIC

LARISSA LOURENÇO NUNES BENCK DTIC

KLEBER JOSÉ OLÍMPIO PROPLAN

PEDRO PAULO BOAVENTURA GREIN COM

TATIANA OLIVEIRA COUTO SILVA PROEPPI

SANDRO LUIS TOMAS BALLANDE ROMANELLI CAMPUS CASCAVEL

SIDNEI BATISTA DOS SANTOS CAMPUS CASCAVEL

4.2. Designação do Encarregado de Dados

Em conformidade com a Lei Geral de Proteção de Dados, houve a designação do
encarregado pelo tratamento de dados pessoais no âmbito do IFPR; por meio da portaria nº
229, de 23 de março de 2021, sendo o titular o Ouvidor Cezar Fonseca e como suplente o
servidor da Diretoria de Comunicação - COM, Pedro Paulo Boaventura Grein.
O Encarregado pelo Tratamento de Dados Pessoais é um papel previsto na LGPD. Sua
atuação é estabelecer um canal de comunicação entre a instituição, os titulares dos dados e
a Autoridade Nacional de Proteção de Dados (ANPD). Dentre suas atividades estão:
I. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
II. Receber comunicações da autoridade nacional e adotar providências;
III. Orientar os servidores, colaboradores e os contratados da instituição sobre as práticas
a serem tomadas em relação à proteção dos dados pessoais;

13
IV. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em
normas complementares.

4.3. Apropriação do Conhecimento pelo GT

Para apropriação do conhecimento e nivelamento pelo grupo de trabalho, houve a
propositura de algumas reuniões de estudo, por meio dos documentos e oficinas
disponibilizados pela Secretaria de Governo Digital do Ministério da Economia- SGD/ME, bem
como Webinars, palestras disponíveis na internet sobre o tema, leitura das legislações afetas
ao tema. Ademais, como capacitação do próprio GT, houve a reunião com instituições de
Ensino Público como benchmarking, buscando ganhar eficiência na atuação, além da
indicação dos cursos disponibilizados pela Escola Nacional de Administração Pública- ENAP.

4.4. Grupos de Trabalho Temáticos

Visando atender as demandas e etapas do Plano de Adequação, o GT se subdividiu
em grupos temáticos, responsáveis pela elaboração de orientações e ações a serem
implementadas em cada uma das etapas do presente Plano de Adequação, considerando os
seguintes temas e equipe:

GRUPO TEMÁTICO SERVIDORES

ETAPA 2 ADILSON CLAUDIO MUZI

MOBILIZAÇÃO/ CONSCIENTIZAÇÃO E
FORMAÇÃO CONTINUADA
PEDRO PAULO BOAVENTURA GREIN

RICARDO CARLOS HARTMANN

ROBERTO ALEXANDRE FEDECHEM

TATIANA OLIVEIRA COUTO SILVA

ETAPA 3 CÉZAR FONSECA

MATURIDADE/ASSESSMENT (AVALIAÇÃO)

14
 CARLOS ALBERTO PEREIRA DO ROSÁRIO

DIOGO MACOHIN

JONATHAN SOUZA CRUZ BARROS

ETAPA 4 KLEBER JOSÉ OLÍMPIO

INVENTÁRIO/ MAPEAMENTO DE DADOS
PESSOAIS
SANDRO LUIS TOMAS BALLANDE
ROMANELLI

LARISSA LOURENÇO NUNES BENCK

DIOGO LUIZ CECCON

ETAPA 5
POLÍTICA DE GOVERNANÇA DE DADOS
PESSOAIS DIOGO MACOHIN

LARISSA LOURENÇO NUNES BENCK

LOEIDE DE JESUS BEZERRA BUENO

SIDNEI BATISTA DOS SANTOS

ETAPA 6 LAÍS LEOPOLDO DANTAS

MONITORAMENTO E CONFORMIDADE
CONTÍNUA
PAULO HENRIQUE DE ALMEIDA

PAULO CESAR MEDEIROS

5. ETAPA 2 - MOBILIZAÇÃO/ CONSCIENTIZAÇÃO E FORMAÇÃO CONTINUADA

Este momento tem como objetivo levar ao conhecimento de toda à comunidade a Lei
Geral de Proteção de Dados, seus impactos na instituição e em cada função desempenhada.
A grande mudança de cultura é esperada. A sensibilização e capacitação são transversais a
todas as outras ações elencadas neste plano, além de ponto fundamental para a
internalização e fortalecimento do conhecimento.

15
 O Programa de Conscientização dos servidores do IFPR deverá iniciar com a
divulgação de matérias a respeito da LGPD e das ações que estão sendo executadas para
adequação da instituição perante a Lei. Na sequência, em conjunto com a Diretoria de
Capacitação da PROGEPE, deverá ser elaborado um plano de capacitação para os
servidores do IFPR com o objetivo de esclarecer e proporcionar maior conhecimento a
respeito do tema.
A capacitação deverá abranger todos os servidores, inclusive terceirizados e estagiários
e estudantes, visando proporcionar a todos o entendimento sobre o que é a LGPD e suas
responsabilidades perante os dados que estão envolvidos em suas atividades e processos.
Outra forma de conscientização e divulgação será a criação da página específica para
a LGPD. Nesta página deverá haver informações a respeito da LGPD, das ações que estão
sendo desenvolvidas no IFPR, um glossário dos termos mais específicos e um espaço para
dúvidas frequentes. Além destas informações deverá também ser divulgado o contato do
Encarregado pelo tratamento de dados pessoais no âmbito do IFPR.

Início da
Ação O quê Por quê Como
ação

1 Página de divulgação Necessidade de concentrar Mar/21 O Grupo de

da LGPD-IFPR a informação e dar Trabalho em
perguntas frequentes, publicidade aos atos sobre cooperação com a
Contato do o tema. Comunicação
Encarregado Determinação da do artigo Institucional
41, § 1º da Lei

2 Campanha de Porque é fundamental que Maio/21 Uso de peças curtas

sensibilização os servidores, terceiros e disponibilizadas;
parceiros tenham alguma Programação
familiaridade com a Lei visual;

Conteúdos voltados
aos usuários -
servidores/
estudantes/público

Eventos de
Apresentação da Lei à Maio e
3 apresentação, Palestra on-line
comunidade junho/21
sensibilização

Orientação de conduta, Ofícios;

Comunicação de
4 quanto à proteção dos Agosto/21 Folder.
orientação
dados pessoais Confecção e

16
 disponibilização de
cartilhas de boas
práticas na proteção
de dados pessoais;

Determinação do artigo 41,

§ 1º da Lei

Endereço eletrônico Necessário para contato de Grupo de Trabalho

5 Abril/21
do Encarregado interessados, quer seja, com apoio da DTIC.
Titular dos dados,
servidores do órgão e
ANPD

Grupo de Trabalho
Porque é fundamental que em cooperação com
os servidores, terceiros e a PROGEPE/DCA;
6 Curso de formação Abril/21
parceiros tenham alguma Inserção no PDP;
familiaridade com a Lei Solicitação de Curso
à ENAP.

6. ETAPA 3: MATURIDADE/ASSESSMENT (AVALIAÇÃO)

A avaliação prévia de conformidade com a LGPD é essencial para a construção e

aplicação de ferramentas, e orientações de condutas com vista à proteção de dados pessoais
em momento oportuno. Esta etapa visa buscar subsídios da atual situação do órgão no que
tange a:

I. Percepção dos servidores, estagiários e terceirizados sobre a LGPD

II. Políticas de Segurança da Informação;
III. Capacitação de servidores, estagiários e terceirizados;
IV. Políticas de Privacidade de Dados;
V. Identificação das categorias de dados Tratados;
VI. Identificação e categorização dos titulares de dados;
VII. Identificação do dado pessoal tratado;
VIII. Identificação de compartilhamento de dados pessoais;
IX. Identificação de compartilhamento internacional de dados pessoais;
X. Identificação de Operadores;
XI. Conformidades junto às unidades/setores;

17
 XII. Demandas Urgentes;
XIII. Orientações técnicas/legislação;
XIV. Canal de comunicação com o titular do dado;

A maturidade, será avaliada por meio de reuniões com as áreas finalísticas, bem como
por formulários encaminhados aos atores envolvidos, com previsão de conclusão até
setembro de 2021.

7. ETAPA 4: INVENTÁRIO/MAPEAMENTO DE DADOS PESSOAIS

O mapeamento de dados, ou ainda o inventário de dados pessoais (IDP), refere-se a

um documento essencial para o processo de adequação às normas de proteção de dados. O
documento de mapeamento de dados deve refletir o caminho percorrido pelo dado pessoal
dentro da instituição, incluindo os processos e procedimentos pelos quais o dado transita.
Ou seja, qual a origem, a base legal que respalda o tratamento deste dado pessoal, o nível
de segurança da base de dados a qual o dado pertence, entre outras informações
necessárias para a análise de vulnerabilidades técnicas e jurídicas.
De uma forma geral, esse registro mantido pelo IDP envolve descrever informações em
relação ao tratamento de dados pessoais realizado pelo órgão ou entidade como:
I. atores envolvidos (agentes de tratamento e o encarregado);
II. finalidade (o que a instituição faz com o dado pessoal);
III. hipótese (arts. 7º e 11 da LGPD);
IV. previsão legal;
V. dados pessoais tratados pela instituição;
VI. categoria dos titulares dos dados pessoais;
VII. tempo de retenção dos dados pessoais;
VIII. instituições com as quais os dados pessoais são compartilhados;
IX. transferência internacional de dados (art. 33 LGPD); e
X. medidas de segurança atualmente adotadas

Esta etapa é fundamental, para documentar e dimensionar o volume de dados tratados,

bem como seu fluxo ancorado no art. 37 da Lei Geral de Proteção de Dados. O inventário

18
consiste em uma excelente forma de fazer um balanço do que o órgão e entidade faz com os
dados pessoais, identificando quais dados pessoais são tratados, onde estão e que
operações são realizadas
Nesse sentido, sabendo da importância do mapeamento dos dados para todo o
processo de adequação, será encaminhado um formulário eletrônico, buscando prospectar
as informações precisas dos processos existentes que envolvam dados pessoais.
O formulário será apresentado às unidades durante reuniões de conscientização com
os gestores do IFPR, assim, além de disponibilizar e explicar como o instrumento deverá ser
preenchido, as reuniões também servirão como pequenos eventos para conscientização
direcionados por área.
Para fim de ajustes e teste da metodologia, foram eleitas unidades-piloto e após
consolidada a ferramenta, haverá um cronograma de mapeamento das unidades restantes.

REITORIA UNIDADE NO CAMPUS PÚBLICO ALVO

PROENS/DAES SEPAE TODOS OS SERVIDORES

PROEPPI/AGIF NIT TODOS OS SERVIDORES

PROPLAN/DPCO CCLO TODOS OS SERVIDORES

PROAD/LICITAÇÕES E COORDENAÇÃO ADM/

TODOS OS SERVIDORES
CONTRATOS SEÇÃO ADM (AVANÇADO)

PROGEPE/DIAP GT PESSOAS TODOS OS SERVIDORES

CAMPUS REGIÃO DO ESTADO

CAPANEMA SUDOESTE

CURITIBA CAPITAL

19
 IRATI CENTRAL

LONDRINA NORTE

AVANÇADO DE GOIOERÊ NOROESTE

A metodologia prevê a realização de um evento de sensibilização das Unidades-Piloto,

coordenado pelo Coordenador do Grupo de Trabalho, no qual um dos integrantes do GT fará
uma apresentação de 10 a 15 minutos sobre um aspecto da LGPD que tenha relação direta
com a Unidade em questão. Após a apresentação do conteúdo pelo convidado, realiza-se
uma rodada de perguntas dos servidores da unidade envolvida, com respostas por parte dos
integrantes do GT. Após as perguntas, segue-se para o preenchimento do formulário online,
com simultânea orientação dos Servidores pelo GT, a fim de que a eficácia da coleta de dados
seja aumentada.

A seguir indica-se o calendário para o teste da metodologia:

PRÓ-REITORIA/CAMPUS UNIDADE DATA

PROENS DAES

PROEPPI AGIF

PROPLAN DPCO
13/08/2021
PROAD DLC

PROGEPE DIAP

SEPAE CAMPUS CURITIBA

NIT CAPANEMA

CCFO LONDRINA 20/08/2021

COORDENAÇÃO ADM/
GOIOERÊ
SEÇÃO ADM

20
 GT PESSOAS IRATI

Após o teste da metodologia o GT irá elaborar calendário de eventos de sensibilização

com as Unidades-alvo, associada à definição dos integrantes do GT que serão convidados a
apresentar conteúdo específicos da LGPD para o público-alvo, aumentando a economia e a
celeridade da sensibilização, partindo-se do pressuposto de que o direcionamento do
conteúdo a ser apresentado aumentaria a prontidão do público-alvo para a introjeção da
importância da adequação da Unidade-alvo à LGPD.

8. ETAPA 5: POLÍTICA DE GOVERNANÇA DE DADOS PESSOAIS

Na atualidade, a preocupação em relação à proteção de dados tem aumentado

consideravelmente. Isso se deve ao fato de hoje, todos os produtos ou serviços necessitarem
de identificação e autenticação por meio da comunicação dos dados pessoais do usuário.
Com a mudança na dinâmica econômica global, os dados pessoais tomaram posição central
na vida em sociedade (DONEDA, 2011).
Nesse contexto de proteção de dados e no volume de dados cada vez maior nas
organizações surge a necessidade de uma melhor gerência e controle desses ativos, para
Rouse (2007) a governança de dados surge como alternativa para que as organizações
enderecem quem detém os direitos de decisão e quem é o responsável pela tomada de
decisão sobre os ativos de dados.
Governança de Dados é responsável por gerir princípios de organização e controle de
dados e informações. Esta gestão envolve uma interface com diversas outras funções e
estabelece políticas e diretrizes corporativas para, além de atribuir papéis e
responsabilidades, governar os dados.
Governança de Dados, segundo consta no Inciso VI do Art. 2o da Portaria STI/MP no
58, de 23 de dezembro de 2016, é o conjunto de políticas, processos, pessoas e tecnologias
que visam estruturar e administrar os ativos de informação, com o objetivo de aprimorar a
eficiência dos processos de gestão e da qualidade dos dados, a fim de promover eficiência
operacional, bem como garantir a confiabilidade das informações que suportam a tomada de
decisão.
Os princípios para governança de dados precisam ser incorporados ao ciclo de vida

21
de gerenciamento de dados e às atividades fundamentais. Em um programa contínuo, a
governança de dados requer compromisso contínuo para garantir que uma organização
obtenha valor de seus dados e reduza os riscos relacionados a dados.

8.1. Bases Legais e Práticas de Governança de Dados Pessoais

Para a construção das políticas então necessita-se primeiramente analisar normas,
regulamentos externos e modelos de outras instituições públicas que já tenham uma política
de governança mais madura.
As Legislações a serem analisadas foram indicadas pelo Curso de Governança de
Dados do Enap voltado à elaboração das Políticas, sendo estas às seguintes:

LEGISLAÇÃO DETERMINAÇÕES

Regula o acesso a informações previsto no inciso XXXIII do art.

Lei nº 12.527, de 18 de 5º,no inciso II do § 3º do art. 37 e no § 2º do art. 216 da
novembro de 2011 Constituição Federal.

Definiu que os cidadãos brasileiros não precisam mais apresentar

a órgãos públicos documentos, atestados ou certidões que já
estejam de posse da Administração Pública Federal. São os
órgãos que devem integrar as bases de dados e compartilhar
Lei nº 13.460, de 26 de junho
essas informações. Esse compartilhamento pode ser feito de
de 2017
forma automatizada, sem intervenção humana, por meio de uma
API – Application Programming Interface, uma forma padronizada
de conexão e troca de informações entre diferentes sistemas de
diferentes órgãos.

Lei nº 13.709, de 14 de
Lei Geral de Proteção de Dados Pessoais (LGPD).
agosto de 2018

Institui a Política de Governança Digital no âmbito dos órgãos e

Decreto nº 8.638, de 15 de
das entidades da Administração Pública Federal direta, autárquica
janeiro de 2016
e fundacional.

22
 Decreto nº 8.777, de 11 de
Institui a Política de Dados Abertos do Poder Executivo Federal.
maio de 2016

Dispõe sobre o compartilhamento de dados no âmbito da

Decreto nº 10.046, de 9 de
Administração Pública Federal e institui o Cadastro base do
outubro de 2019
Cidadão e o Comitê Central de Governança de Dados.

Institui a Plataforma de Cidadania Digital e dispõe sobre a oferta

Decreto nº 8.936, de 19 de dos serviços públicos digitais no âmbito dos órgãos e das
dezembro de 2016 entidades da Administração Pública Federal direta, autárquica e
fundacional.

Dispõe sobre a simplificação do atendimento prestado aos

usuários dos serviços públicos. Institui o Cadastro de Pessoas
Físicas - CPF como instrumento suficiente e substitutivo para a
Decreto nº 9.094, de 17 de
apresentação de dados do cidadão no exercício de obrigações e
julho de 2017
direitos e na obtenção de benefícios. Ratifica a dispensa do
reconhecimento de firma e da autenticação em documentos
produzidos no país. Institui a Carta de Serviços ao Usuário.

Decreto nº 9.203, de 22 de Dispõe sobre a política de governança da Administração Pública

novembro de 2017 Federal direta, autárquica e fundacional.

Altera o Decreto nº 9.094, de 17 de julho de 2017, o Decreto nº

8.936, de 19 de dezembro de 2016, e o Decreto nº 9.492, de 5
setembro de 2018, para instituir o Cadastro de Pessoas Físicas -
Decreto nº 9.723, de 11 de
CPF como instrumento suficiente e substitutivo da apresentação
março de 2019
de outros documentos do cidadão no exercício de obrigações e
direitos ou na obtenção de benefícios e regulamentar dispositivos
da Lei nº 13.460, de 26 de junho de 2017.

Após essa análise, serão discutidos pontos para criar uma política de governança de
dados que estará em conformidade com a LGPD, porém para colocar em ação esse
planejamento devemos considerar alguns aspectos:

● Ter um programa sólido de governança de dados com uma equipe ou conselho

responsável que atua na manutenção da gestão;
● Inserção do mapeamento de riscos.

23
 ● Monitoração do sistema para manutenção da conformidade.
● Divulgação/Conscientização das Políticas.

8.2. Instrumentos de Governança e Proteção de Dados

Neste ponto, o IFPR desenvolverá suas Políticas de Governança de Dados e Proteção
de Dados compreendida em Política de Segurança da Informação, Política de Aviso de
Privacidade dos Dados, Política de Proteção dos Dados Pessoais, Termo de Uso, cabe
ressaltar que algumas políticas que constam elencadas irão depender de ações integradas
com outros setores da instituição.
Nessas políticas estarão estabelecidas as regras internas que definem os padrões para
o tratamento de dados pessoais no contexto das suas atividades, assim conseguindo manter
efetiva governança sobre os seus processos internos e atender aos requisitos legais
aplicáveis.
A publicação e o cumprimento desta política será uma medida tomada pelo IFPR para
cumprimentos do art. 50 da LGPD:

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo

tratamento de dados pessoais, individualmente ou por meio de associações,
poderão formular regras de boas práticas e de governança que estabeleçam
as condições de organização, o regime de funcionamento, os procedimentos,
incluindo reclamações e petições de titulares, as normas de segurança, os
padrões técnicos, as obrigações específicas para os diversos envolvidos no
tratamento, as ações educativas, os mecanismos internos de supervisão e de
mitigação de riscos e outros aspectos relacionados ao tratamento de dados
pessoais.

Em concordância com a lei, o IFPR poderá formular as regras, normas de segurança,

padrões e medidas que estejam relacionadas ao tratamento dos dados pessoais.
As políticas específicas a serem formuladas são apresentadas no quadro a seguir:

POLÍTICAS APLICAÇÕES

Política de Segurança da Tem por objetivo estabelecer direcionamentos, regras, objetivos e

Informação valores a serem adotados para a gestão de segurança da
informação e tratamento de dados pessoais no âmbito do IFPR, de
acordo com sua missão e com a LGPD atendendo às seguintes
orientações: 1. Revisar as diretrizes de segurança da informação a
intervalos planejados ou quando mudanças significativas
ocorrerem, para assegurar a sua contínua pertinência, adequação
e eficácia. 2. Estabelecer uma política clara e alinhada com a

24
 missão do IFPR. 3.Obter apoio e comprometimento com a
segurança da informação por meio da publicação, atualização e
manutenção da Política de Segurança da Informação.

Política de aviso de Tem por objetivo fornecer orientações sobre como ocorre a coleta,
Privacidade dos Dados uso dentre outros tratamentos, das informações e dados pessoais
daqueles que visitam e utilizam as funcionalidades disponíveis nos
portais do IFPR, criando obrigações para que o IFPR implemente e
sustente os requisitos de segurança da informação e
comunicação, e a privacidade das informações e transações dos
usuários, bem como aos seus usuários em termos de uso legítimo,
em conformidade com as leis e regulamentações vigentes.

Política de Proteção dos Tem como objetivo fornecer orientações sobre como gerenciar as
Dados Pessoais diversas atividades e operações de tratamento de dados pessoais
existentes no IFPR. Estabelecendo diretrizes para o resguardo e
uso dos dados pessoais que venham ser tratados em suas
atividades.

Termo de Uso Descreve as regras e confirma que o usuário concorda em

respeitar para usar os serviços disponíveis. Estabelecendo as
condições da contratação, as obrigações e os limites de
responsabilidades dos usuários e do IFPR em relação aos serviços
ou produtos ofertados, de forma clara e pré-determinada. Trata-se
de um documento jurídico contendo as regras que guiarão a
relação das partes no âmbito da contratação.

Para iniciar as ações foram elencadas em curto , médio e longo prazo de acordo com
as dependências entre elas e as atividades prioritárias. Abaixo as ações estão definidas:

Curto Prazo (até 08/2021) Médio Prazo (até 08/2022) Longo Prazo (até 08/2023)

Sistema para o registro de

Construção de Termo de Uso
Plano de Resposta de
incidentes de segurança da
Incidentes
informação que envolvem
violação de dados pessoais

Sistema para registro das

Construção do Aviso de
Privacidade
Monitorar proativamente a
ocorrência de eventos que
podem ser associados à
violação de dados pessoais
ações adotadas para
solucionar incidentes de
segurança da informação que
envolvem violação de dados
pessoais

Estabelecer procedimentos Comprovar que adotou

para comunicar à Autoridade
Construção da Política de
Nacional de Proteção de
Segurança da Informação
Dados e ao titular a ocorrência
de incidente de segurança que
medidas de segurança,
técnicas e administrativas,
aptas a proteger os dados
pessoais

25
 possa acarretar risco ou dano
relevante aos titulares

Implementar processo
para registro, cancelamento e
Construção da Política de provisionamento de usuários
Proteção de Dados Pessoais
em sistemas que realizam
tratamento de dados pessoais

Registrar eventos das

Readequação de Processos atividades de tratamento de

dados pessoais

Conformidade nos Contratos

9. ETAPA 6: MONITORAMENTO E CONFORMIDADE CONTÍNUA

Esta etapa consiste na ação de acompanhamento do Plano de Adequação, a partir de

um conjunto de instrumentos diagnósticos de impactos e riscos, planos de ação e busca de
conformidade contínua da proteção de dados, considerando os seguintes:
● Relatório de Impacto à Proteção dos Dados
● Ajustes e adequações Contínuas
● Programa de Conscientização
● Ranking Das Principais Áreas De Risco
● Matriz De Risco
● Plano De Mitigação De Riscos

9.1. Relatório de Impacto de Proteção de Dados – RIPD

O Relatório de Impacto de Proteção dos Dados - RIPD, considerando o Art. 5º, item
XVII - relatório de impacto à proteção de dados pessoais - é a documentação do controlador
que contém a descrição dos processos de tratamento de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e
mecanismos de mitigação de risco.

26
 De acordo com o Art. 38, parágrafo único, o relatório deverá conter, no mínimo, a
descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a
garantia da segurança das informações e a análise do controlador com relação a medidas,
salvaguardas e mecanismos de mitigação de risco adotados. A figura a seguir apresenta as
etapas de elaboração.

Figura 2: Etapas de Elaboração do RIPD

Fonte: Brasil (2020) – Oficina Dirigida RIPD

Etapa 1 - a primeira etapa do RIPD (art. 5º da LGPD) consiste em identificar os agentes

de tratamento (controlador e operador) e o encarregado no RIPD.

27
 Etapa 2 - consiste na identificação da necessidade de elaboração do RIPD. Neste caso
a elaboração de um único RIPD para todas as operações de tratamento de dados pessoais
ou de um RIPD para cada projeto, sistema, ou serviço deve ser avaliado pelo IFPR de acordo
com os processos internos de trabalho. Se o IFPR realizar tratamento de quantidade reduzida
de dados pessoais, com poucos processos e serviços, pode optar por um RIPD único. Já se
o IFPR implementa vários processos, projetos, sistemas e serviços que envolvam o
tratamento de expressiva quantidade e diversidade de dados pessoais pode considerar que
a elaboração de um único RIPD não seja a opção mais indicada, optando por elaborar RIPDs
segregados por ser mais adequado à sua realidade.
Etapa 3 - se refere à descrição do tratamento, considerando a natureza que representa
como a instituição pretende tratar ou trata o dado pessoal; o escopo que representa a
abrangência do tratamento de dados; o contexto que envolve destacar fatores internos e
externos que podem afetar as expectativas do titular dos dados pessoais ou o impacto sobre
o tratamento dos dados; e a finalidade que é a razão/motivo pelo qual se deseja tratar os
dados pessoais (neste caso estabelecer claramente a finalidade, pois ela justifica o
tratamento e fornece os elementos para informar o titular dos dados) destacando os
resultados e benefícios.
Etapa 4 - se refere ao registro das partes interessadas relevantes, internas e externas,
consultadas a fim de obter opiniões legais, técnicas ou administrativas sobre os dados
pessoais que são objeto do tratamento.
Etapa 5 - se refere à demonstração de que as operações realizadas sobre os dados
pessoais limitam o tratamento ao mínimo necessário para a realização de suas finalidades,
com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados (LGPD, art. 6º, III)
Etapa 6 - consiste na identificação e avaliação dos riscos sobre os dados tratados nas
diversas unidades e no conjunto da governança.
Etapa 7 - Identificar as medidas para tratar os riscos, se referem a necessidade de
identificar os riscos que geram impacto potencial sobre o titular dos dados pessoais e de
adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais
de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (LGPD, art.
46).

28
 Etapa 8 - Aprovação do RIPD visa formalizar o RIPD por meio da obtenção das
assinaturas das partes indicadas como responsáveis pela aprovação do Relatório
(Responsável pela elaboração do RIPD; Encarregado; Autoridade Representante do
Controlador e Autoridade Representante do Operador).
Etapa 9 - se refere a Revisão do relatório o qual deve ser revisto e atualizado
anualmente ou sempre que existir qualquer tipo de mudança que afete o tratamento dos
dados pessoais realizados pela instituição.
Cabe ressaltar que a elaboração dessas etapas deverá ser realizada a partir do relatório
extraído do Sistema Ágatha.

9.2. Matriz de Riscos

Inicialmente cabe ressaltar que o IFPR realizará as ações de mitigação de riscos voltada
ao atendimento da LGPD, alinhado à POLÍTICA DE GOVERNANÇA, GESTÃO DE RISCOS
E CONTROLES INTERNOS DO IFPR em conformidade com o PDI 2019-2023, aprovada
pelo CONSUP por meio da Resolução Nr. 61/2017 e atualizada pela Resolução Nr. 21/2020,
na qual estabelece seus critérios de Governança e avaliação e gestão de risco, se
comprometendo com o fortalecimento da Gestão, apoiando-se em um sistema de Controle
Interno, manual ou automatizado, que gere garantias para o cumprimento de seus objetivos
institucionais, e que permita que a Instituição opere com um nível aceitável de risco.
Para que os riscos à conformidade sejam levantados, pode-se, inicialmente, analisar a
LGPD quanto aos seus propósitos:

I. Proteger os dados pessoais e privacidade das pessoas;

II. Impedir abusos, solicitando dados desnecessários visando benefícios de mercado ou,
no pior caso, ações discriminatórias.

Cabe ressaltar que, as etapas 02 - MOBILIZAÇÃO/ CONSCIENTIZAÇÃO E

FORMAÇÃO CONTINUADA; 03 - DIAGNÓSTICO DE CONFORMIDADE DO IFPR e,
principalmente o início da etapa 4 - INVENTÁRIO DE DADOS deste Plano de Adequação,
serão fundamentais e necessárias para identificação e gestão dos riscos quanto a privacidade
dos dados pessoais, pois darão condições para entender onde estão as maiores criticidades.
Nesse contexto, destaca-se o fragmento abaixo do § 2º do Art. 50 da LGPD:

29
 [...] o controlador, observados a estrutura, a escala e o volume de suas
operações, bem como a sensibilidade dos dados tratados e a probabilidade e
a gravidade dos danos para os titulares dos dados, poderão: I - Implementar
programa de governança em privacidade [...] (Lei nº 13.709, de 14 de agosto
de 2018, art. 50).

Além disso, o item VII, do art. 6º da LGPD expõe indiretamente os riscos que devemos
analisar e avaliar – “proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”. Bem como o
art. 44 da LGPD apresenta que “o tratamento de dados pessoais será irregular quando deixar
de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar,
consideradas as circunstâncias relevantes, entre as quais”:

I. o modo pelo qual é realizado;

II. o resultado e os riscos que razoavelmente dele se esperam;
III. as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Para utilização da Gestão Riscos, os responsáveis pelas análises deverão observar os

seguintes princípios:

I. gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao

interesse público;
II. estabelecimento de níveis de exposição a riscos adequados;
III. estabelecimento de procedimentos de controle interno, proporcionais ao risco,
observada a relação custo-benefício, e destinados a agregar valor à organização;
IV. utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do
planejamento estratégico; e
V. utilização da gestão de riscos para apoio à melhoria contínua dos processos
organizacionais.

Em relação à Estrutura do Modelo de Gestão de Riscos a alta administração, bem como

seus servidores ou funcionários, deverá observar os seguintes componentes da estrutura de
gestão de riscos:

30
 I. ambiente interno: incluem, entre outros elementos, integridade, valores éticos e
competência das pessoas, maneira pela qual a gestão delega autoridade e
responsabilidades, estrutura de governança organizacional e políticas e práticas de
recursos humanos. O ambiente interno é a base para todos os outros componentes da
estrutura de gestão de riscos, provendo disciplina e prontidão para a gestão de riscos;
II. fixação de objetivos: todos os níveis da organização (diretorias, coordenadorias,
seções, processos e atividades) devem ter objetivos fixados e comunicados. A
explicitação de objetivos, alinhados à missão e à visão da organização, é necessária
para permitir a identificação de eventos que potencialmente impeçam sua consecução;
III. identificação de eventos: devem ser identificados e relacionados os riscos inerentes à
própria atividade da organização, em seus diversos níveis;
IV. avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de probabilidade
e impacto de sua ocorrência. A avaliação de riscos deve ser feita por meio de análises
qualitativas, quantitativas ou da combinação de ambas. Os riscos devem ser avaliados
quanto à sua condição de inerentes e residuais;
V. resposta a riscos: o órgão/entidade deve identificar qual estratégia seguir (evitar,
transferir, aceitar ou tratar) em relação aos riscos mapeados e avaliados. A escolha da
estratégia dependerá do nível de exposição a riscos previamente estabelecido pela
organização em confronto com a avaliação que se fez do risco;
VI. atividades de controles internos: são as políticas e os procedimentos estabelecidos e
executados para mitigar os riscos que a organização tenha optado por tratar. Também
denominadas de procedimentos de controle, devem estar distribuídas por toda a
organização, em todos os níveis e em todas as funções. Incluem uma gama de
controles internos da gestão preventivos e detectivos, bem como a preparação prévia
de planos de contingência e resposta à materialização dos riscos;
VII. informação e comunicação: informações relevantes devem ser identificadas, coletadas
e comunicadas, a tempo de permitir que as pessoas cumpram suas responsabilidades,
não apenas com dados produzidos internamente, mas, também, com informações
sobre eventos, atividades e condições externas, que possibilitem o gerenciamento de
riscos e a tomada de decisão. A comunicação das informações produzidas deve atingir
todos os níveis, por meio de canais claros e abertos que permitam que a informação
flua em todos os sentidos; e

31
VIII. monitoramento: tem como objetivo avaliar a qualidade da gestão de riscos e dos
controles internos da gestão, por meio de atividades gerenciais contínuas e/ou
avaliações independentes, buscando assegurar que estes funcionem como previsto e
que sejam modificados apropriadamente, de acordo com mudanças nas condições que
alterem o nível de exposição a riscos.

Os gestores e analistas de risco são os responsáveis pela avaliação dos riscos no

âmbito das unidades, processos e atividades que lhes são afetos. A alta administração deve
avaliar os riscos no âmbito da organização, desenvolvendo uma visão de riscos de forma
consolidada. O IFPR utilizará como ferramenta de apoio o seu Sistema de Gestão de Risco
– Sistema Ágatha, providenciando as adequações necessárias ao cumprimento das etapas
previstas na metodologia COSO.
O risco será avaliado em duas dimensões – a probabilidade que um determinado evento
adverso ocorra, e a consequência (ou impacto) do evento sobre as operações, relatórios
financeiros e estratégia. A avaliação de riscos requer uma combinação de metodologias
qualitativas e quantitativas.
Para apuração da probabilidade de ocorrência do risco, será considerada uma
pontuação baseada nas avaliações dos seguintes critérios, conforme demonstrado abaixo:

32
Tabela 1 – Situação das consequências (impactos)

Tabela 2 – Situação das probabilidades

33
 O próximo passo é uma avaliação qualitativa sobre a relevância dos riscos identificados.
A quantidade de risco ao qual o IFPR é capaz de ser exposto será calculada e definida em
conjunto com a Alta Administração e classificados considerando a sua criticidade.
A priorização dos riscos leva em consideração a combinação entre avaliação
quantitativa, segundo critérios de consequência (impacto) e probabilidade (frequência), e
avaliação qualitativa, de acordo com o entendimento sobre a relevância dos riscos
identificados.

34
 Tabela 3 – Matriz de Risco do IFPR

Assim o risco será calculado através do produto de Probabilidade e Impacto, este risco
será classificado em quatro níveis e a ameaça será ordenada de modo decrescente: baixo
(valores de 1 até 2), moderado (valores de 3 até 6), alto (valores de 8 até 12) e crítico (valores
de 15 até 25). Os quadros a seguir demonstram os resultados possíveis dos cálculos a serem
executados.

35
 A matriz de risco apresentada faz parte da metodologia de gestão de riscos do IFPR
e sua utilização para gerenciamento de riscos da privacidade de dados, auxiliará todos os
envolvidos a fazerem sua gestão de forma mais clara e menos arriscada.

9.3. O Plano de Mitigação de Riscos

A Resposta ao Risco é o processo de desenvolvimento de opções estratégicas e
definição de ações para aumentar as oportunidades e reduzir as ameaças aos objetivos da
entidade. A Alta Administração será responsável por definir a resposta mais apropriada para
cada risco. Desta forma, o IFPR deverá avaliar e monitorar os impactos positivos e negativos
da ocorrência de eventos, considerando:
– Risco Inerente: risco natural, sem qualquer ação que possa ser realizada para alterar
a probabilidade de ocorrência ou impacto.
– Risco Residual: resulta de um processo de tomada de ações e aplicação de melhores
práticas de controles internos ou de resposta do IFPR ao risco.
Neste contexto a Alta Administração poderá adotar as seguintes estratégias de resposta
ao risco:
Reduzir/Tratar – A mitigação de riscos reduz a probabilidade e/ou o impacto de um
evento de risco adverso para um limite aceitável. Agir cedo para reduzir a probabilidade e/ou
o impacto de um risco é muitas vezes mais eficaz do que tentar reparar os danos depois de
ocorrido. A mitigação do risco pode tomar a forma de implementação de um novo curso de
ação que reduzirá o problema, por exemplo: adotando processos menos complexos,
conduzindo mais testes ou escolhendo um fornecedor mais estável. Uma vez que a mitigação
dos riscos pode exigir recursos ou tempo, deve apresentar um equilíbrio entre não fazer nada
versus o custo de mitigar o risco.
Compartilhar/Transferir – Transferência ou compartilhamento de risco envolve
encontrar uma outra parte que esteja disposta a assumir ou dividir a responsabilidade pela
gestão e que arcará com a responsabilidade do risco, caso ocorra. Transferindo o risco
simplesmente daremos a outra parte a responsabilidade para gerenciar; isto não o elimina.
Compartilhando o risco iremos assumir a uma parte da responsabilidade do risco e
repassando a outra parte da responsabilidade para outra área/setor. O objetivo é garantir que
o risco é gerenciado pela parte capaz de lidar com ele da forma mais eficaz.
Aceitar/Tolerar – Esta estratégia é adotada quando não é possível ou prático
responder ao risco utilizando as outras estratégias, ou uma resposta não se justifica pela

36
importância do risco. Quando a Alta Administração decide por aceitar ou tolerar o risco,
significa que estão concordando em enfrentar o risco, se e quando ele ocorrer. Um plano de
contingência, plano de solução e/ou reserva de contingência podem ser desenvolvidos para
essa eventualidade.
Evitar/Eliminar – O risco pode ser evitado através da remoção da causa do risco ou
ao executar a operação de uma forma diferente, porém ainda assim em linha com o alcance
dos objetivos do IFPR. Nem todos os riscos podem ser evitados ou eliminados, e para outros,
esta abordagem pode ser muito custosa ou demorada. No entanto, esta deve ser a primeira
estratégia considerada nos casos de risco extremo ou crítico. Ao se considerar esta estratégia
a não execução do processo ou atividade é a opção.
Ressalta-se que, em razão do apetite de risco assumido pela Alta Gestão como
conservador, apresentado na Declaração de Apetite a Risco do IFPR, somente os riscos
considerados baixos (com resultado de 1 a 2) poderão ser aceitos. Os demais resultados
(médio – de 4 a 6 – alto – de 8 a 12 e crítico – de 15 a 25) deverão possuir planos de ações
para mitigação dos riscos avaliados e monitorados continuamente.

10. CRONOGRAMA MACRO DO PLANO DE ADEQUAÇÃO

O cronograma poderá sofrer alterações em virtude das restrições do projeto,

especialmente a disponibilidade de recursos orçamentários, a capacidade de conciliação das

37
tarefas da equipe do projeto com seus processos diários, além do nível de complexidade
técnica na implementação de mudanças nos sistemas integrados da instituição e no nível de
maturidade na mudança de comportamento organizacional pela comunidade de servidores e
colaboradores da instituição.

11. REFERÊNCIAS

BRASIL. Instrução Normativa Conjunta CGU/MP Nº 1, de 10 de maio de 2016, dispõe sobre

controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal,
2016.

BRASIL. Decreto Nº 9.203 de 22 de novembro de 2017. Casa Civil, Min. Transparência e do

Planejamento – Política de governança, 2017.

BRASIL. Portaria CGU Nº 1.089 de 25 de abril de 2018. Programa de Integridade, 2018.

BRASIL. Portaria Nº 57/2019 de 04 de janeiro de 2019 da CGU. Altera a Portaria CGU nº

1.089/2018, 2019.

BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto

no inciso XXXIII do art. 5o , no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição
Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111, de 5 de
maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras
providências. Diário Oficial [da] República Federativa do Brasil, Brasília, DF, 18 dez.2011

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais
e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Brasília, DF:
Presidência da República; 2018. Disponível em <
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. > Acesso em
30.jul.2021

BRASIL. Decreto nº 8.638, de 15 de janeiro de 2016. Institui a Política de Governança Digital

no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e
fundacional. Diário Oficial da União, Brasília, 2016c. Disponível em: <
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8638.htm >. Acesso em
30 jul. 2021.

BRASIL. Decreto nº 8.777, de 11 de maio de 2016. Institui a Política de Dados Abertos do

Poder Executivo federal. Diário Oficial da União, Brasília, 2016a. Disponível em <
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2016/Decreto/D8777.htm. > Acesso em
30.jul.2021

BRASIL. Decreto nº 8.936, de 19 de dezembro de 2016. Institui a Plataforma de Cidadania

Digital e dispõe sobre a oferta dos serviços públicos digitais, no âmbito dos órgãos e das
entidades da administração pública federal direta, autárquica e fundacional. Diário Oficial da

38
União, Brasília, 2016b. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2016/decreto/D8936.htm. Acesso em: 20 abr. 2020.

BRASIL. Decreto nº 9.094, de 17 de julho de 2017. Regulamenta dispositivos da Lei nº

13.460, de 26 de junho de 2017, dispõe sobre a simplificação do atendimento prestado aos
usuários dos serviços públicos, institui o Cadastro de Pessoas Físicas - CPF como
instrumento suficiente e substitutivo para a apresentação de dados do cidadão no exercício
de obrigações e direitos e na obtenção de benefícios, ratifica a dispensa do reconhecimento
de firma e da autenticação em documentos produzidos no País e institui a Carta de Serviços
ao Usuário (Redação dada pelo Decreto nº 9.723, de 2019). Diário Oficial da União, Brasília,
2017b. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2017/Decreto/D9094.htm. Acesso em: 30 abr. 2020.

BRASIL. Decreto nº 10.046, de 9 de outubro de 2019.. Disponível em :<

http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D10046.htm>. Acesso em:
16 jun. 2021.

BRASIL. Decreto nº 9.723, de 11 de Março De 2019. Altera o Decreto nº 9.094, de 17 de julho

de 2017, o Decreto nº 8.936, de 19 de dezembro de 2016, e o Decreto nº 9.492, de 5 setembro
de 2018, para instituir o Cadastro de Pessoas Físicas - CPF como instrumento suficiente e
substitutivo da apresentação de outros documentos do cidadão no exercício de obrigações e
direitos ou na obtenção de benefícios e regulamentar dispositivos da Lei nº 13.460, de 26 de
junho de 2017.

DONEDA, Danilo. A Proteção Dos Dados Pessoais Como Um Direito Fundamental. Joaçaba,
v. 12, n. 2, p. 91-108, jul./dez. 2011

MIRANDA, R. F. A. Implementando a gestão de riscos no setor público;; Ed. Fórum; 2ª

Reimpressão. 2017.

ROUSE, M. Data Governance. Disponível em:

http://searchdatamanagement.techtarget.com/definition/data-governance. Acesso em: 17 jul
2021.

39