Orientações Iniciais

Conceitos

Dado pessoal: informação relacionada à pessoa natural identificada ou

identificável

Dado anonimizado: dado que não possa ser identificado, com meios
técnicos razoáveis e disponíveis na ocasião de seu tratamento

Dado pessoal sensível: origem racial ou étnica, convicção religiosa,

opinião política, filiação a sindicato ou à organização de caráter religioso,
filosófico ou político; saúde ou à vida sexual, genético ou biométrico.

Titular: pessoa natural a quem se referem os dados pessoais que são

objeto de tratamento
Conceitos

Tratamento: coleta, produção, recepção, classificação, utilização, acesso,

reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem

competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o

tratamento de dados pessoais em nome do controlador;

Encarregado: pessoa indicada pelo controlador e operador corporativo para

atuar como canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD);
Princípios

1 FINALIDADE Realização do tratamento para propósitos legítimos, específicos, explícitos e

informados ao titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades;

2 ADEQUAÇÃO Compatibilidade do tratamento com as finalidades informadas ao titular, de

acordo com o contexto do tratamento;

3 NECESSIDADE Limitação do tratamento ao mínimo necessário para a realização de suas

finalidades, com abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados;

4 ACESSO LIVRE Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a
duração do tratamento, bem como sobre a integralidade de seus dados
pessoais;

5 QUALIDADE Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos

DOS DADOS dados, de acordo com a necessidade e para o cumprimento da finalidade de
seu tratamento;
Princípios

TRANSPARÊNCIA Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis

6 sobre a realização do tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial;

SEGURANÇA Utilização de medidas técnicas e administrativas aptas a proteger os dados

7 pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão;

PREVENÇÃO Adoção de medidas para prevenir a ocorrência de danos em virtude do

8 tratamento de dados pessoais;

NÃO Impossibilidade de realização do tratamento para fins discriminatórios ilícitos

9 DISCRIMINAÇÃO ou abusivos;

ACCOUNTABILITY Demonstração, pelo agente, da adoção de medidas eficazes e capazes de

10 comprovar a observância e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas.
Hipóteses de Coleta de Dados Pessoais

1. Para cumprimento de obrigação legal ou regulatória;

2. Pela administração pública, para execução de políticas previstas em leis;
3. Para estudos por órgão de pesquisa, desde que mantido o anonimato;
4. Para execução de contrato do qual é parte o titular dos dados;
5. Para o exercício regular de direitos em processo judicial, administrativo ou
arbitral;
6. Para proteção da vida ou da incolumidade física do titular ou de terceiro;
7. Para a tutela da saúde, com procedimento realizado por profissionais da área da
saúde ou por entidades sanitárias;
8. Para proteção do crédito, nos termos do Código de Defesa do Consumidor;
9. Quando necessário para atender aos interesses legítimos do controlador ou de
terceiros (exceto no caso de prevalecerem direitos e liberdades fundamentais do
titular que exijam a proteção dos dados pessoais);
10.Mediante o consentimento do titular.
Decreto Estadual nº 49.265/2020
Responsabilidades (Encarregado)
Requisitos e Conhecimentos

Indicação por portaria e subordinado diretamente ao Dirigente Máximo

Equipe de Apoio (Sugestão)
Comitê Monitora e apoia o projeto de implantação
e execução da LGPD.
CONTROLADOR Privacidade

Representante Apoio
Legal ENCARREGADO jurídico

Aprova PPDPL, define prioridades, indica

Jurídico
encarregado, emite instruções e presta contas. PPDPL - Consulta e pareceres / LGPD
- Gestão do risco jurídico
- Proposições normativas
OPERADOR Compliance LGPD

Apoio
Operações Tecnologia da
Informação
Órgãos, entidades, pessoas físicas e demais Apoio Técnico Tec. da Informação
contratadas
- Gestão de aplicações
Ouvidoria e Controle Interno - Gestão da Seg. da Informação
- Transparência Ativa e Passiva - Proposições técnicas
- Gestão de Riscos
- Accountability
Política de Proteção de Dados Pessoais Local

o Plano de Governança: Legitimidade e Orientação ao trabalho;

o Forma Sugerida: Instrução Normativa;
o Apresentação: Alinhamento Estratégico;
o Conteúdo:
I. Princípios;
II. Diretrizes;
III. Objetivos;
IV. Do Controlador, Encarregado e Operadores;
V. Atribuições e Responsabilidades;
VI. Tratamento de dados pessoais.
o Exemplo disponível no site da SCGE.

LGPD – Material de apoio – SCGE

Exemplo SCGE

● Controlador: SCGE;
● Representação Legal: Secretária da SCGE;
● Comitê de Privacidade: Conselho Deliberativo de Gestão - CDG;
● Encarregado: Assessoria Técnica - AST;
● Equipe de apoio do encarregado: Gerência de Assuntos Jurídicos - GAJ,
Assessoria Especial de Controle Interno - AECI, a Ouvidoria da SCGE, a Diretoria
de Tecnologia e Informação do Controle Interno - DTCI e a Diretoria de
Planejamento e Gestão - DPGE.
● Gestor de Processos: todo e qualquer responsável pela unidade de execução de
um determinado processo de trabalho, inclusive sobre a gestão de riscos
Portaria SCGE nº 01/2021 - Etapas
Alinhamento Estratégico

● Nível Estratégico;
● Conceitos Gerais LGPD;
● Decreto Estadual;
● Detalhes da Política de Proteção
de Dados Pessoais Local;
● Instrução para o Diagnóstico
Preliminar;
● Apresentação dos Pontos de
Controle da Autoavaliação;
● Agenda para próximo encontro.
Avaliações – Portaria SCGE nº01/21

Avaliação
Organização de Controle

Diagnóstico
Preliminar
Processo 1 Processo 2
Pontos de
Controle
Processo 3 Processo 4
Diagnóstico Preliminar

Objetos Resultados
Atribuições Questões Existência
Legais Estruturadas Dados
Pessoais
Atribuições Critério de
Regulam. Seleção Visão
Sistêmica
Processos Processo
Ágil Pontos
Sistemas Focais
Diagnóstico Preliminar

● O processo em questão manipula dados pessoais?

● Selecione os tipos de dados pessoais a unidade utiliza em seu processo:
● Há utilização de alguma plataforma no tratamento de dados pessoais?
● Os dados pessoais estão sendo armazenados em nuvem?
● Em quais condições ocorrem a coleta dos dados?
● Qual a criticidade da coleta de dados pessoais?
● Qual a natureza do tratamento e valor da informação?
● Qual o nível de exposição dos dados pessoais coletados?
● Descreva a finalidade específica do tratamento de dados pessoais para o
processo em questão.
● Há previsão legal ou administrativa para a coleta de dados pessoais?
● Selecione a forma de como os dados foram acessados pela unidade:
Diagnóstico Preliminar

● Há garantias da limitação do tratamento dos dados pessoais à finalidade?

● A finalidade pode ser atingida de outro modo sem dados pessoais?
● Selecione, quais tipos de dados realmente são essenciais ao tratamento:
● Há prazo mínimo para conservar o dado pessoais?
● Há possibilidade de redução no uso, no menor volume possível?
● Há viabilidade de livre acesso aos dados pessoais sob sua custódia?
● Há garantias da qualidade dos dados pessoais sob sua custódia?
● Há registro dos tratamentos realizados e os agentes responsáveis?
● Há a capacidade operacional de retificação e apagamento dos dados?
● Os dados pessoais são compartilhados para outras finalidades?
● Qual a finalidade do compartilhamento?
● A nova finalidade está legitimada pela lei ou política pública ou possui
anuência do titular?
● O compartilhamento está legitimado por convênio ou outro instrumento?
Diagnóstico Preliminar – Critério de Seleção
Questão Pontos Critério
Há utilização de alguma plataforma no tratamento de dados pessoais? 10 Não
Os dados pessoais estão sendo armazenados em nuvem? 10 Sim
O volume de dados pessoais é intenso? 50 Sim
Há previsão legal ou administrativa para a coleta de dados pessoais? 50 Não
Há garantias da limitação do tratamento dos dados pessoais à finalidade? 20 Não
A finalidade pode ser atingida de outro modo sem dados pessoais? 20 Sim
Há a utilização de dados pessoais sensíveis 50 Sim
Há prazo mínimo para conservar o dado pessoais? 20 Não
Há possibilidade de redução no uso, no menor volume possível? 20 Sim
Há viabilidade de livre acesso aos dados pessoais sob sua custódia? 30 Não
Há garantias da qualidade dos dados pessoais sob sua custódia? 20 Não
Há registro dos tratamentos realizados e os agentes responsáveis? 20 Não
Há a capacidade operacional de retificação e apagamento dos dados? 20 Não
Os dados pessoais são compartilhados para outras finalidades? 30 Sim
A nova finalidade está legitimada pela lei ou política pública ou possui anuência do titular? 20 Não
O compartilhamento está legitimado por convênio ou outro instrumento? 10 Não
Prioridade Pontuação Prioridade Avaliação
Crítica [300,400] Crítica 1 ano
Moderada [100<300[ Moderada 2 anos
Baixa [0,100[ Baixa 4 anos
Exemplo

Auditoria de Obras
SECRETARIA DA CONTROLADORIA-GERAL DO

Auditoria
....
Auditoria de Pessoal
ESTADO

....
Tomada de Contas
Especial

Correição ....

Orientação Comissões
Monitoramento – Portaria SCGE nº01/21
Níveis de Conformidade – Portaria SCGE nº01/21
Pontos de Controle – Portaria SCGE nº01/21

• Semestralmente,
• SCGE consolidará os resultados.
• Ranking comparativo entre as unidades
do Estado.
• Cada encarregado só conseguirá
visualizar a sua própria posição e a
posição dos 3 primeiros colocados.
Pontos de Controle – Portaria SCGE nº01/21
Indicadores Desempenho – Portaria SCGE nº01/21
Avaliação de Controles

Avaliar os principais Incluir no Plano de

riscos Implantação de Controle

ETAPA 1 ETAPA 3

ETAPA 2 ETAPA 4

Propor medidas de Inserir no ciclo de

controle de interno monitoramento de riscos
organizacionais
Termo de Uso e Política de Privacidade
Termo de Uso ou contrato de Termo de Uso é um documento que estabelece as regras e condições de uso de
determinado serviço

Política de Privacidade é um documento informativo pelo qual o prestador de serviço transparece ao usuário a
forma como o serviço realiza o tratamento dos dados pessoais e como ele fornece privacidade ao usuário

Modelos disponíveis no
site da SCGE

LGPD – Material de apoio – SCGE

Adequações Contratuais (Sugestões Contratante)
1. Tratamento dos dados pessoais em conformidade com as instruções do Controlador;
2. Adotar medidas de SI para evitar acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito,
segundo padrões mínimos do Controlador;
3. Recursos de SI e de TI de qualidade, eficiência e eficácia reconhecidas, seguras e atualizadas;
4. Registros de tratamento de dados pessoais que realizar, assim como aqueles compartilhados, com
rastreabilidade e de prova eletrônica a qualquer tempo;
5. Facultar acesso ao pessoal autorizado e com compromisso formal, ou ao próprio Titular dos dados, em
caráter permanente;
6. Permitir a realização de auditorias;
7. Anuência prévia do Controlador/Contratante sobre a utilização de serviços de terceiros;
8. Informação e documentação que comprovem a implementação dos requisitos de segurança;
9. Providência de obrigações perante Titulares de dados pessoais e autoridades;
10. Comunicação formal e de imediata da ocorrência de qualquer risco, ameaça ou incidente de
segurança;
11. Revogação de privilégios de acesso, em caso de desligamento de funcionário;
12. Obter, quando necessário, o consentimento;
13. Não utilização de dados pessoais tratados para finalidade diversa;
14. planos de resposta a incidentes de segurança;
15. Responsabilidade por prejuízos causados e danos;
Encaminhamento PGE nº 0373/2020
16. Procedimento de descarte seguro dos dados pessoais.
Próximos Passos

• Publicação Pontos de Controles;

• Modelo de Avaliação de Controles;
• Modelo de Relatório de Impacto de
Proteção de Dados Pessoais;
• Plano Quadrienal Estratégico de
Proteção de Dados Pessoais.