LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD), Notas de aula de Eletrônica

Baixe LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) e outras Notas de aula em PDF para Eletrônica, somente na Docsity!

Guia de Elaboração de

Inventário de Dados Pessoais

LEI GERAL DE PROTEÇÃO DE

DADOS PESSOAIS (LGPD)

Versão 1. 1 Brasília, abril de 2021

GUIA DE ELABORAÇÃO DE INVENTÁRIO DE DADOS PESSOAIS

Lei Geral de Proteção de Dados Pessoais MINISTÉRIO DA ECONOMIA Paulo Roberto Nunes Guedes Ministro SECRETARIA ESPECIAL DE DESBUROCRATIZAÇÃO, GESTÃO E GOVERNO DIGITAL Caio Mario Paes de Andrade Secretário Especial de Desburocratização, Gestão e Governo Digital SECRETARIA DE GOVERNO DIGITAL Luis Felipe Salin Monteiro Secretário de Governo Digital DEPARTAMENTO DE GOVERNANÇA DE DADOS E INFORMAÇÕES Fabiana de Assunção Cruvinel Diretora do Departamento de Governança de Dados e Informações COORDENAÇÃO-GERAL DE SEGURANÇA DA INFORMAÇÃO Mauro Cesar Sobrinho Coordenador-Geral de Segurança da Informação Equipe Técnica de Elaboração Denis Marcelo Oliveira Julierme Rodrigues da Silva Loriza Andrade Vaz de Melo Luiz Henrique do Espírito Santo Andrade Tássio Correia da Silva Wellington Francisco Pinheiro de Araújo

Novembro/

SUMÁRIO

• INTRODUÇÃO
• 1 – O INVENTÁRIO DE DADOS PESSOAIS
  • 1.1 – O que é
  • 1.2 – Estruturação
• 2 – COMO ELABORAR O INVENTÁRIO DE DADOS PESSOAIS
  • 2.1 – Identificação do serviço/processo
  • 2.2 – Identificação dos agentes de tratamento e encarregado
  • 2.3 – Atuação do operador no ciclo de vida do tratamento do dado pessoal
  • 2.4 – Fluxo de tratamento dos dados pessoais
  • 2.5 – Escopo e Natureza dos dados pessoais
  • 2.6 – Finalidade do Tratamento dos dados pessoais
  • 2.7 – Categorias de dados pessoais
  • 2.8 – Categorias de dados pessoais sensíveis
  • 2.9 – Frequência e totalização das categorias de dados pessoais tratados
  • 2.10 – Categorias de titulares de dados pessoais
  • 2.11 – Compartilhamento de dados pessoais
  • 2.12 – Medidas de Segurança/Privacidade
  • 2.13 – Transferência internacional de dados pessoais
  • 2.14 – Contrato(s)
  • 2.15 – Manter Atualização
  • 2.16 – Inventário de Dados Pessoais, RIPD e Conformidade
• NÉGOCIO QUE TRATAM DADOS PESSOAIS 3 – LISTAGEM GERAL DO INVENTÁRIO DOS SERVIÇOS / PROCESSOS DE
  • 3.1 – Identificação do Controlador e Encarregado
  • 3.2 – Listagem geral dos serviços e processos de negócio
• REFERÊNCIAS BIBLIOGRÁFICAS
• ANEXO

GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS

INTRODUÇÃO O Inventário de Dados Pessoais representa o documento primordial para documentar o tratamento de dados pessoais realizados pela instituição em alinhamento ao previsto pelo art. 37 da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD). Nesse sentido, este Guia tem por finalidade apresentar orientações com o intuito de auxiliar os órgãos e entidades da Administração Pública Federal, direta, autárquica e fundacional a realizar o levantamento e registro dos dados pessoais tratados no âmbito institucional. O inventário consiste em uma excelente forma de fazer um balanço do que o órgão e entidade faz com os dados pessoais, identificando quais dados pessoais são tratados, onde estão e que operações são realizadas com eles. As orientações relativas à elaboração do Inventário de Dados Pessoais foram estruturadas em três capítulos:

• O Capítulo 1 destaca sua composição;
• O Capítulo 2 trata sobre como elaborá-lo; e
• O Capítulo 3 aborda a elaboração de uma listagem geral dos serviços/processos de negócios que tratam dados pessoais. Este documento será atualizado e ampliado permanentemente com objetivo de manter alinhamento com as diretrizes determinadas pela Autoridade Nacional de Dados Pessoais.

GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS

• “ 1 - Orientações” – orientações gerais sobre preenchimento do template;
• “2-Lista Inventário” – lista geral dos serviços/processos de negócio institucionais que realizam o tratamento de dados pessoais;
• “ 3 - Template” – modelo de inventário de dados pessoais a ser elaborada para cada serviço/processo de negócio da instituição; e
• “4-Listas” – apresenta uma sugestão de informações para preenchimento do inventário de dados com valores padronizados. A lista não é exaustiva e por isso pode ser ajustada de acordo com a realidade de cada instituição. O próximo capítulo descreve o processo de elaboração do IDP com base divisão denominada “3-Template” constante da planilha eletrônica mencionada no início desta seção.

GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS

2 – COMO ELABORAR O INVENTÁRIO DE DADOS PESSOAIS De acordo com o art. 37 da LGPD, o “controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem (...)”. O inventário de dados pessoais vem atender precisamente essa determinação da Lei 13.709/2018 no que se refere à manutenção de registro do levantamento do tratamento de dados pessoais realizados pela instituição. O formulário de IDP apresentado neste documento constitui uma sugestão para auxiliar os órgãos e entidades, que exercem papel de controlador de dados pessoais, na elaboração de inventário de dados pessoais. Dessa forma, e caso seja considerado pertinente pela instituição, o modelo de IDP pode ser adaptado para se adequar a cada contexto particular. A figura a seguir destaca as fases de elaboração do inventário. Figura 1 Fases de elaboração do Inventário de Dados Pessoais As fases acima destacadas em azul representam os elementos mínimos para o IDP, as destacadas em laranja representam levantamento complementar no inventário de informações que auxiliarão a elaboração do Relatório de Impacto de Proteção de Dados Pessoais - RIPD^4 (CCGD, 2020) e a destacada em verde corresponde à identificação inicial (^4) Informações sobre o RIPD podem ser obtidas na seção 2.5 do Guia de Boas Práticas LGPD, disponível em: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-lgpd.pdf

GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS

A opção de inventariar por serviço possibilita que a instituição realize o levantamento dos dados pessoais tratados pelos serviços divulgado no portal gov.br (https://www.gov.br/pt-br/servicos). Cumpre destacar que os dados pessoais de todos os serviços devem ser inventariados, mesmo os serviços que, porventura, não são digitais. O IDP também possibilita o inventário de dados pessoais por processo de negócio. Essa opção visa contemplar processos ou rotinas internas como, por exemplo, processo interno de gestão de pessoas (servidores, empregados públicos, etc.) da instituição. Com a finalidade facilitar a identificação do serviço ou processo inventariado, o item 1.2 da Figura 2 deve ser preenchido com um número de referência ou um ID para identificação da atividade de tratamento de dados pessoais relacionada ao serviço / processo de negócio. Exemplos de número de referência: 0001, 0002, etc. Exemplo de ID adotando Sigla do Serviço informado no campo "Nome do serviço/ Processo de Negócio: AVA, CRRA e etc. Essa etapa é finalizada com o preenchimento das datas de criação e de última atualização do inventário de dados pessoais do serviço / processo de negócio. 2.2 – Identificação dos agentes de tratamento e encarregado Esta fase envolve identificar os agentes de tratamento (controlador e operador) e o encarregado no IDP (art. 5º da LGPD), destacando nome, endereço, CEP, telefone e e-mail (Figura 3). 2 - Agentes de Tratamento e Encarregado Nome Endereço CEP Telefone E-mail 2.1 - Controlador 2.2 - Encarregado 2.3 - Operador Figura 3 Seção 2 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) Explicações sobre controlador, operador e encarregado podem ser conferidas na seção 1.1 do Guia de Boas Práticas LGPD (CCGD, 2020).

GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS

2.3 – Atuação do operador no ciclo de vida do tratamento do dado pessoal O ciclo de vida do tratamento do dado pessoal envolve as fases de: coleta, retenção, processamento, compartilhamento e eliminação. Constatar em que fase do ciclo de vida do tratamento do dado pessoal o operador atua (Figura 4) é essencial para compreensão de quais operações de tratamento são realizadas por ele e quais ativos organizacionais estão envolvidos nesse tratamento. 3 - Fases do Ciclo de Vida do Tratamento Dados Pessoais Coleta Retenção Processamento Compartilhamento Eliminação 3.1 - Em qual fase do ciclo de vida o Operador atua Figura 4 Seção 3 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) Uma vez identificados os ativos, é necessário analisá-los para verificar quais medidas técnicas de segurança estão efetivamente implementadas nesses ativos, com vistas a prover a adequada proteção aos dados pessoais de que trata a LGPD. As medidas de segurança resultantes dessa análise serão descritas na fase “Medidas de Segurança” descrita na seção 2.12 deste Guia. Orientações sobre ciclo de vida de tratamento de dados pessoais e seu relacionamento com os ativos organizacionais podem ser observadas no Capítulo 3 do Guia de Boas Práticas LGPD (CCGD, 2020). Esta fase do IDP subsidiará um dos elementos que compõem a descrição da natureza do tratamento no RIPD (CCGD, 2020), no que tange ao papel do operador em relação ao tratamento do dado pessoal. 2.4 – Fluxo de tratamento dos dados pessoais Descrever como (de que forma) os dados pessoais são coletados, retidos/armazenados, processados/usados e eliminados (Figura 5). 4 - De que forma (como) os dados pessoais são coletados, retidos/armazenados, processados/usados, compartilhados e eliminados 4.1 - Descrição do Fluxo do tratamento dos dados pessoais Figura 5 Seção 4 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) Nessa fase, pode até ser elaborado um desenho com um fluxo de dados.

GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS

mecanismos que devem ser implementadas para assegurar os princípios da qualidade dos dados (LGPD, art. 6º, V) e segurança (LGPD, art. 6º, VII). Exemplo 1: Se os dados pessoais são obtidos por meio de preenchimento de formulário eletrônico, então a fonte de dados é o titular dos dados pessoais. Exemplo 2: Fonte de dados que não seja o titular de dados, é importante detalhar a fonte, como por exemplo, API CONSULTA CPF.

2. 6 – Finalidade do Tratamento dos dados pessoais Esta fase aborda a identificação de três aspectos fundamentais para respaldar o tratamento dos dados pessoais: a hipótese (arts. 7º e 11) da LGPD, a especificação da finalidade e a previsão legal (Figura 7). 6 - Finalidade do Tratamento de Dados Pessoais 6.1 - Hipótese de Tratamento 6.2 - Finalidade 6.3 - Previsão legal 6.4 - Resultados pretendidos para o titular de dados 6.5 - Benefícios esperados para o órgão, entidade ou para a sociedade como um todo Figura 7 Seção 6 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) Orientações sobre base legal (Figura 7, item 6.3) e hipóteses de tratamento (Figura 7, item 6.1) podem ser conferidas, respectivamente, nas seções 1.1 e 2.1 do Guia de Boas Práticas LGPD (CCGD, 2020). A previsão legal representa informar no item 6.3 da Figura 7 qual Lei, Decreto, normativo ou regulamento que respalda a finalidade do tratamento de dados pessoais realizado. Exemplo fictício de previsão legal considerando o Programa de Localização de Desaparecidos: - Decreto nº 8. 956 , de 25 de janeiro de 2 218 , institui o Programa de Localização de Desaparecidos. Nesse momento, cabe ressaltar que os órgãos e entidades da administração pública tem a prerrogativa de tratar os dados pessoais para o

GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS

exercício de suas competências legais ou execução de políticas públicas sem a necessidade de obter consentimento do titular dos dados pessoais (CCGD, 2020). A finalidade (Figura 7, item 6.2) é a razão ou motivo pela qual se deseja tratar os dados pessoais. É fundamental estabelecer claramente a finalidade, pois é ela que apresenta a justificativa do tratamento de dados pessoais e fornece os elementos para informar o titular dos dados pessoais (CCGD, 2020). A conclusão dessa fase compreende descrever em relação à finalidade do tratamento:

• os resultados pretendidos para o titular dos dados pessoais; e
• benefícios esperados para o órgão, entidade ou para a sociedade como um todo. 2. 7 – Categorias de dados pessoais Identificar quais são os dados pessoais tratados pelo órgão ou entidade representa o objetivo central do IDP. Inventariar os dados pessoais utilizados pela instituição possibilitará avaliar se todos os dados pessoais usados são realmente necessários e adequados para realização de suas finalidades (LGPD, art. 6º, III). A fim de facilitar a identificação dos dados pessoais tradados, o modelo de IDP elenca uma lista exemplificativa e não exaustiva de 1 5 categorias de dados pessoais com suas respectivas subcategorias, para as quais devem ser especificamente descritos os dados pessoais tratados. A Figura 8 destaca o primeiro tipo de categoria de dados pessoais,”7.1 Dados de Identificação Pessoal”, e as colunas a serem preenchidas explicadas a seguir. 7 - Categoria de Dados Pessoais 7.1 - Dados de Identificação Pessoal Descrição Tempo Retenção dos Dados (^) RetençãoFonte Nome Base de Dados 7.1.1 - Informações de identificação pessoal 7.1.2 - Informações de identificação atribuídas por instituições governamentais 7.1.3 - Dados de identificação eletrônica 7.1.4 - Dados de localização eletrônica Figura 8 Seção 7 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia)

GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS

Diante do listado no Anexo deste Guia, para cada categoria e subcategoria dos dados pessoais tratados pelo órgão ou entidade, deve-se preencher os dados pessoais efetivamente usados. A título de exemplificação , se a instituição trata apenas dados pessoais de CPF e nome, então a coluna “Descrição” da Figura 8 serão preenchidos da seguinte forma:

• na subcategoria “7.1.1 - Informações de identificação pessoal” constaria o dado pessoal “Nome”; e
• na subcategoria “7.1.2 - Informações de identificação atribuídas por instituições governamentais” constaria o dado pessoal “CPF”. 2. 8 – Categorias de dados pessoais sensíveis O preenchimento das colunas relativas aos dados pessoais sensíveis da Figura 9 segue a mesma forma explicada na seção 2.7 do Guia. 8 - Categorias de Dados Pessoais Sensíveis Descrição^ Tempo Retenção dos Dados^ Fonte Retenção Nome Base de Dados 8.1 - Dados que revelam origem racial ou ética 8.2 - Dados que revelam convicção religiosa 8.3 - Dados que revelam opinião política 8.4 - Dados que revelam filiação a sindicato 8.5 - Dados que revelam filiação a organização de caráter religioso 8.6 - Dados que revelam filiação ou crença filosófica 8.7 - Dados que revelam filiação ou preferências política 8.8 - Dados referentes à saúde ou à vida sexual 8.9 - Dados genéticos 8.10 - Dados biométricos Figura 9 Seção 8 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) Realizar o inventário de dados pessoais sensíveis é extremamente importante, visto que o uso indevido desses dados podem resultar em algum tipo de discriminação em relação ao titular dos dados pessoais sensíveis. A seção 2.1.3 do Guia de Boas Práticas LGPD (CCGD,

2020. trata das especificidades para o tratamento de dados pessoais sensíveis.

GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS

As categorias listadas na Figura 9 representam a lista de dados sensíveis do inciso II do art. 5º da LGPD. Art. 5º Para os fins desta Lei, considera-se: II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

2. 9 – Frequência e totalização das categorias de dados pessoais tratados Nesta fase são identificadas a frequência de tratamento dos dados pessoais e a quantidade de dados pessoais e dados pessoais sensíveis tratados pelo serviço / processo de negócio (Figura 10). A frequência e totalização das categorias de dados pessoais tratados fornecerão subsídio para o escopo do tratamento de dados pessoais a serem descritos no RIPD (CCGD, 2 020). 9 - Frequência e totalização das categorias de dados pessoais tratados 9.1 - Frequência de tratamento dos dados pessoais 9.2 - Quantidade de dados pessoais e dados pessoais sensíveis tratados Figura 10 Seção 9 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) A frequência de tratamento de dados pessoais representa a disponibilidade e horário de funcionamento do sistema automatizado ou processo manual que trata os dados pessoais. Exemplo fictício de descrição da frequência de tratamento de dados pessoais do Sistema Nacional de Desaparecidos - SND: O SND está disponível no regime 24x7 (24 horas por dia nos 7 dias da semana) para comunicação (coleta) dos dados dos desaparecimentos e as demais fases e operações de tratamento são realizadas no horário comercial em dias úteis. Informação sobre o horário em que os dados pessoais são tratados contribui para identificar acessos ou processamentos indevidos dos dados pessoais. Considerando o exemplo acima, se operações específicas de tratamento de dados pessoais somente ocorre em horário comercial e dias úteis,

GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS

A coluna “Descrição” constante da Figura 11, deve ser preenchida se for necessário descrever informações complementares, detalhando a categoria do titular dos dados pessoais. Exemplo 1: Categoria de titular = Pessoas. Nesse caso, a coluna "Descrição" poderia ser preenchida com "Pessoas com deficiência", "Pessoas de baixa renda", etc. Exemplo 2: Categoria de titular = Dependentes. Nesse caso, a coluna "Descrição" poderia ser preenchida com "Dependentes para fins de IRRF", "Dependentes de para fins de Plano de Saúde", etc. No item 10.3 mostrado pela Figura 11, o IDP propicia constatar se são tratados dados de crianças e adolescentes. Tal constatação é fundamental no sentido de o órgão ou entidade analisar se são atendidas as determinações do art. 14 da LGPD. Considerações sobre esse tema podem ser conferidas na seção 2.1.4 do Guia de Boas Práticas LGPD (CCGD, 2020). O item 10.4 destacado pela Figura 11, permite identificar se é tratado dado pessoal de algum outro grupo vulnerável como, por exemplo: idosos, população em condição de rua, pessoas com deficiência física ou sofrimento mental etc. A identificação do tratamento de dados pessoais propiciada pelos itens 10.3 e 10. da Figura 11 fornecerão elementos para descrição do contexto de tratamento no RIPD (CCGD, 2020) subsidiando a composição do cenário de riscos para avaliar quais medidas de segurança devem ser tomadas para proteção dos dados de crianças, adolescentes e outros grupos vulneráveis em alinhamento à legislação vigente que os protegem.

2. 11 – Compartilhamento de dados pessoais Informar com quais instituições os dados pessoais são compartilhados e para qual finalidade (Figura 12). Devem ser inseridas quantas linhas forem necessárias para registrar todas as instituições que têm acesso ao dado pessoal via compartilhamento. Caso sejam compartilhados dados pessoais com menos de 4 instituições, indica-se a exclusão das linhas excedentes.

GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS

11 - Compartilhamento de Dados Pessoais Dados pessoais compartilhados Finalidade do compartilhamento 11.1 - Nome da Instituição 1 11.2 - Nome da Instituição 2 11.3 - Nome da Instituição 3 11.4 - Nome da Instituição 4 Figura 12 Seção 11 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) O início dessa fase é marcado pela indicação do nome da instituição que recebe o dado pessoal compartilhado, deve-se substituir o subitem da seção 11 da Figura 12 pelo nome da instituição. Exemplos de registro das instituições que recebem dados pessoais por compartilhamento: Exemplo 1: Compartilhamento com o Ministério da Economia. Nesse caso, substitua "11.1 - Nome da Instituição 1" por "11.1 - Ministério da Economia". Exemplo 2 : Compartilhamento com o Banco Central. Nesse caso, substitua "11.

• Nome da Instituição 2" por "11. 2 - Banco Central". Exemplo 3 : Compartilhamento com a CGU. Nesse caso, substitua "11.3 - Nome da Instituição 3" por "11.3 - CGU". Exemplo 4 : Compartilhamento com o INSS. Nesse caso, substitua "11.4 - Nome da Instituição 4 " por "11. 4 - INSS". Para cada instituição deve-se informar quais são os dados compartilhados e a finalidade do compartilhamento. Desse modo, a coluna “Dados pessoais compartilhados” referenciada pela Figura 12, é preenchida com os dados pessoais e dados pessoais sensíveis compartilhados com as instituições destinatárias dos dados. No preenchimento dessa coluna utilize, no que couber, as informações descritas nas seções "7 - Categorias de Dados Pessoais" e "8 - Categorias de Dados Pessoais Sensíveis" explicitadas nas seções 2.7 e 2.8 deste Guia. Se não compartilhar dados com outras instituições, preencha a coluna “Dados pessoais compartilhados” do item "11.1 - Nome da Instituição 1" destacado na Figura 12 com “Não se Aplica”.