Want to make creations as awesome as this one?
Register now
Report content

More creations to inspire you

Discover more incredible creations here

Transcript

3 Exemplos de tratamentos

2 Privacy by Design

1 Informativos do Frame

Ementa

Regulamenta a elaboração do Inventário de Dados Pessoais nos termos do art. 12 da Instrução Normativa nº 1/2022/CGPD.

Normativos Comitê LGPD

Dispõe sobre os requisitos para a publicação de dados pessoais em instrumentos convocatórios, classificatórios e homologatórios realizados por órgãos e entidades do Poder Executivo do Estado de Rondônia.

Regulamenta a divulgação pública da identidade e informações de contato dos encarregados pelo tratamento de dados pessoais no âmbito do Poder Executivo Estadual.

Instrução Normativa nº 6/2023/CGPD

Instrução Normativa nº 5/2023/CGPD

Instrução Normativa nº 4/2023/CGPD

Regulamentação do uso de técnicas adequadas de compartilhamento de dados pessoais entre órgãos e entidades governamentais.

Atos Normativos SETIC

Dispõe sobre treinamento, edição e publicação de manuais de uso do Sistema Eletrônico de Informações - SEI elaborados pela SETIC. Publicado em 13/06/2023

Atualização da Portaria Nº 62 DE 06 DE JULHO DE 2022 em atualização

Instrução Normativa n° 2/2023/SETIC

Portaria de Home Office

Regulamentação de técnicas de compartilhamento de dados

O programa tem como objetivo principal prevenir a ocorrência de práticas ilícitas, corrupção e outros desvios, garantindo a conformidade das ações e processos governamentais com os princípios éticos e legais.

Programa de Integridade

Privacy by Design - PbD

Para quê?
  • Contexto: evolução tecnológica - riscos de exposição - soluções confiáveis - sem fronteiras.
  • Se aplicada a tecnologias da informação, práticas organizacionais, projeto físico ou em rede de ecossistemas de informação. Sistema, projeto ou serviço.
Qual origem?
  • Ann Cavoukian - Ontário/Canadá, anos 1990.
  • Aplicável em todo ciclo de tratamento.

Fonte: https://www3.weforum.org/docs/WEF_Global_Risks_Report_2023.pdf. Acesso em: jul. 2023.

Top 8: Crime cibernético e insegurança cibernética

The Global Risks Report 2023

  • Avisos e acesso;
  • Estrutura física e material;
  • Porta;
  • Tranca;
  • Funcional etc.

Privacy by Design - Analogia

No mesmo sentido:

  • Art. 19 da Instrução Normativa nº 1/2022/CGPD, que institui a Política de Privacidade e Proteção de Dados Pessoais Estaual; e
  • Art. 17 da Portaria nº 55/2021/SETIC, que institui a Política de Privacidade da SETIC.

LGPD:Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. [...]§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Privacy by Design - Aspectos Legais

Decreto Estadual n. 26.451/2021:Art. 10. Compete à Superintendência Estadual de Tecnologia da Informação e Comunicação - SETIC: [...]II - propor padrões de desenvolvimento de novas soluções de TIC, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução.

Privacy by Design - Aspectos Legais

Sete princípios fundamentais:

  • Atuação proativa, minimização de riscos, antecipação a ameaças, ambos visando a redução de impactos e prejuizos.
Ex.: Levantamento das ameaças, vulnerabilidades e riscos inerentes ao projeto, produto ou serviço, geralmente ocorre na fase de planejamento. Uso de matriz de risco etc.

Sete princípios fundamentais:

  • Privacy by Default;
  • Produtos entregues com as configurações padrões em pleno atendimento à legislação de privacidade;
  • Titular não precisa intervir para que sua privacidade seja protegida.
Ex.: Coleta dos dados estritamente necessários, coleta do consentimento quando do compartilhamento de seus dados, do aceite dos termos de uso e da política de privacidade, descaracterização automática de dados pessoais na emissão de relatórios públicos.

Sete princípios fundamentais:

  • Privacidade incorporada na arquitetura do sistema, desde a construção de seu código-fonte;
  • Submissão do sistema a análises periódicas de vulnerabilidade;
  • No âmbito da prática da gestão de negócios, diz respeito à incorporação da privacidade na cultura organizacional.
Ex.: Qualidade do código-fonte, análises de vulnerabilidade por meio do OpenVAS, Nessus etc., documentos que evidenciem o comprometimento da organização com a privacidade (RIPD, Política de Privacidade etc.).

Sete princípios fundamentais:

  • privacidade vs segurança - 🚫
  • privacidade vs desenvolvimento - 🚫
  • privabidade vs inovação - 🚫
  • Soma positiva;
  • Entendimento de que a privacidade deve ser somada às discussões associadas, e não ser entendida como obstáculo.
Ex.: Sistemas, processos, ambientes e tecnologias devem ser adaptados de maneira que suas funcionalidades atendam à necessidade:

Sete princípios fundamentais:

  • privacidade & segurança - ✅
  • privacidade & desenvolvimento - ✅
  • privabidade & inovação - ✅
  • Soma positiva;
  • Entendimento de que a privacidade deve ser somada às discussões associadas, e não ser entendida como obstáculo.
Ex.: Sistemas, processos, ambientes e tecnologias devem ser adaptados de maneira que suas funcionalidades atendam à necessidade:

Sete princípios fundamentais:

  • Proteção em todo o ciclo de vida do tratamento, desde a coleta até o descarte;
  • A aplicação dos controles dependerá da criticidade dos dados tratados.
Ex.: Logs, trilhas de auditoria, duplo fator de autenticação, backups, inventário de dados pessoais, encritação de dados, uso de Data Loss Prevention - DLP.

Sete princípios fundamentais:

  • Considera que a gestão da segurança das informações deverá ser clara e transparente;
  • Obejetiva garantir responsabilidade e confiança.
Ex.: Esquemas de auditoria, informações contidas em termos de uso, publicização do inventário de dados pessoais e dos principais controles aplicáveis, monitoramento e avaliação de conformidade etc.

Sete princípios fundamentais:

  • Possibilita ao usuário/titular o exercício de seus direitos e controle sobre o tratamento de seus dados.
Ex.: Acesso a seus dados, informações sobre tratamento, portabilidade, correção dos dados, meios para manifestação, interfaces amigáveis.

Sete princípios fundamentais:

  • Art. 3º, § 5º
É altamente recomendado o uso do IDP e do questionário de conformidade pelo agente de tratamento objetivando a autorregulação de sistema, serviço ou produto.
  • Questionário de conformidade: https://docs.google.com/document/d/1MSgKPK5nhHPcIsI0VibhKGm8oR8gmZYXHcQhfwo84Yc/edit
  • CODE incorporou o uso do questionário no fluxo de desenvolvimento de softwares.

Privacy by Design - Portaria n. 70/2022/SETIC

Tratamento de dados inadequados

Aplicar à empresa TELEKALL INFOSERVICE as sanções de:1.1. ADVERTÊNCIA, sem imposição de medidas corretivas, por infração ao art. 41 da LGPD; e1.2. MULTA SIMPLES, nos valores de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 7º da LGPD e de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 5º do Regulamento de Fiscalização, totalizando R$ 14.400,00 (catorze mil e quatrocentos reais).

Processos encontrados no Sei

BLUM, Renato Opice; VAINZOF, Rony, MORAES, Henrique Fabretti (coord). Data Protection Officer (Encarregado): teoria e prática de acordo com a LGPD e do GDPR. São Paulo: Thomson Reuters Brasil, 2020.BRASIL. Guia de boas práticas: Lei Geral de Proteção de Dados Pessoais (LGPD). Comitê Central de Governança Digital. Versão 2. Brasília: ago. 2020.MALDONADO, Viviane Nóbrega. LGPD: Lei Geral de Proteção de Dados Pessoais: manual de implementação. São Paulo: Thomson Reuters Brasil, 2019.

Referências

Mesa do Encarregado: SETIC-LGPDMesa da Assessoria de Conformidade: SETIC-ASCFE-mail Encarregado: setic@lgpd.ro.gov.brPortal institucional: lgpd.setic.ro.gov.br

Obrigado

Em relação ao descumprimento da LGPD:1. advertência - ausência de encarregado de dados pessoais (art. 41); 2. multa simples - ausência de comprovação de hipótese legal (art. 7º);3. ausência de registro de operações; 4. não envio de Relatório de Impacto de Proteção de Dados; 5. não atendimento à requisição da ANPD.