COMITÊ GESTOR DE PROTEÇÃO DE DADOS

(CGPD)

COMITÊ

Comitê Gestor de Proteção de Dados

  • O QUE É?
  • LEGISLAÇÕES
  • CGPD MEMBROS
  • ENCARREGADOS DE DADOS

O Comitê Gestor de Proteção de Dados (CGPD), criado pelo Decreto Nº 844, de 18 de setembro de 2020, é responsável pela avaliação dos mecanismos de tratamento e proteção dos dados pessoais existentes e pela proposição de ações voltadas ao seu aperfeiçoamento, com vistas ao cumprimento do disposto na Lei federal nº 13.709, de 14 de agosto de 2018, no âmbito do Poder Executivo Estadual de Santa Catarina.

Entre as atribuições do CGPD podemos destacar:

Avaliar os mecanismos, propor políticas, estratégias e metas;

Formular princípios e diretrizes para a gestão de dados pessoais;

Supervisionar a execução dos planos, dos projetos, das ações e prestar orientações sobre o tratamento e a proteção de dados pessoais;

Promover o intercâmbio de informações;

Coordenador

Félix Fernando da Silva

Membros
Tayse Schristine Marian Borges Krause
Jucelito Darela Mendes
Victor Martins Maeberg
Elenise Magnus Hendler
Fernanda Donadel da Silva
Carlos Renato Lauz Petiz Junior
Jéssica Machado Costa Firmiano
Lisandro José Fendrich
Alessandro de Oliveira dos Santos
Luciana Bernieri Pereira
Yalle Hugo de Souza
João Mário Martins
Luis Haroldo de Mattos

Você sabia que o Governo do Estado possui um serviço digital exclusivo para solicitação dos direitos dos titulares?

SOBRE LGPD

Lei Geral de Proteção de Dados Pessoais

  • O QUE É?
  • LEGISLAÇÕES
  • TREINAMENTO

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n° 13.709, de 14 de agosto de 2018) foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.

Em resumo a lei visa:

1) Consentimento (autorização expressa em TODA captação de dados, porém de forma SEPARADA);
2) Finalidade (porque e para o que, quer usar o dado, legítimo interesse. Está vedado a captação de QUALQUER DADO para enviar a terceiros);

3) Transparência (o que está acontecendo com os dados e estes termos estarem disponíveis para acesso, ter contratos para tudo);
4) Não discriminação (não pode o usuário sofrer qualquer prejuízo pelo seu dado coletado);
5) Opção fácil e clara de descadastrar ou excluir o dado do requerente SEM JUSTIFICATIVA;

No caso do setor público, a principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Tais políticas públicas, vale destacar, devem estar inseridas nas atribuições legais do órgão ou da entidade da administração pública que efetuar o referido tratamento. Outra finalidade corriqueira para o tratamento de dados no serviço público é o cumprimento de obrigação legal ou regulatória pelo controlador. Nessas duas situações, o consentimento do titular de dados é dispensado.

Nos casos de tratamento de dados em que a base legal não é o consentimento, é possível o compartilhamento de dados com órgãos públicos ou transferência de dados a terceiro fora do setor público. Quando isso acontecer, os agentes de tratamento devem comunicar as operações executadas, de forma clara, aos titulares dos dados, garantindo-lhes o exercício aos direitos previstos no art. 18 da LGPD, com destaque aos direitos de acesso, retificação, oposição, eliminação e informação das entidades públicas e privadas com as quais o controlador irá realizar o uso compartilhado de dados. É importante registrar que tal comunicação deve ser renovada na alteração da finalidade ou em qualquer alteração nas operações de tratamento, inclusive de novo compartilhamento ou transferência. Além disso, é necessário que a cada tratamento de dados seja feita uma análise de se os princípios da necessidade e adequação também estão sendo cumpridos pelo controlador. Já nos casos de tratamento de dados feitos com base no consentimento, cada nova operação realizada com os dados pessoais deve ser objeto de nova requisição de consentimento, inclusive para o compartilhamento dos dados com outras entidades, de dentro ou fora da administração pública federal.

Legislações Correlatas

Normas Técnicas

  • Norma ABNT NBR ISO/IEC 27701
  • Norma ABNT NBR ISO/IEC 27702
  • Norma ABNT NBR ISO/IEC 27001
  • Norma ABNT NBR ISO/IEC 27002
  • Norma ABNT NBR ISO/IEC 29100

O QUE VAMOS OFERECER?

Lei Geral de Proteção de Dados Pessoais

Programa de Governança em Privacidade

Apresenta os principais pontos da LGPD, fornecendo os subsídios para a criação de um programa institucional de gerenciamento de privacidade

Inventário de Dados Pessoais

Incentiva a adoção de inventários de todas as operações de tratamento de dados pessoais e suas respectivas avaliações, sob a ótica dos princípios da LGPD.

Termo de Uso e Política de Privacidade

Orienta a elaboração de Termos de Uso e Políticas de Privacidade vinculados à utilização de serviços públicos prestados por meio de aplicações (sites, sistemas ou aplicativos para dispositivos móveis) e fornecidos por órgãos e entidades da administração pública.

Avaliação de Riscos

Orienta a identificação e a mensuração de riscos de segurança e privacidade, mitigando-os com a utilização dos controles mais indicados.

Requisitos e Obrigações quanto à Segurança da Informação e à Privacidade

Orienta a adequação do processo de contratação para contemplar os requisitos mais importantes de segurança e privacidade dos dados, conforme a Instrução Normativa SGD nº 31, de 23 de março de 2021.

Relatório de Impacto à Proteção de Dados Pessoais

Orienta a elaboração de documento de comunicação e transparência que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como propõe medidas, salvaguardas e mecanismos de mitigação.

Guia de Segurança em Aplicações Web

Auxilia os profissionais de desenvolvimento e manutenção de sistemas a atenderem os requisitos de segurança da informação, antes e durante o desenvolvimento da aplicação.

Guia de Framework de Segurança

Fornece aos profissionais de segurança da informação uma maneira de iniciar a identificação, o acompanhamento e o preenchimento das lacunas de segurança presentes na instituição, por intermédio de um conjunto de ações priorizadas que atuam coletivamente na defesa de sistemas e infraestrutura, valendo-se das melhores práticas para mitigar os tipos mais comuns de ataques.

GUIA EM TRÊS DIMENSÕES PARA IMPLEMENTAÇÃO DA LGPD

Entenda de uma maneira clara as estratégias que deverão ser tomadas sobre o tratamento dos dados pessoais no âmbito do Poder Executvio Estadual.

FRAMEWORK

Métodos para implementação da LGPD

  • SENSIBILIZAÇÃO E CAPACITAÇÃO
  • MAPEAMENTO DE DADOS
  • INVENTARIO DE DADOS

De acordo com o Guia em Três Dimensões, o primeiro pilar a ser atacado é o de Sensibilização e Capacitação dos gestores e servidores dos órgãos. Para isto é fundamental a realização de reuniões e apresentações sobre o tema.

Afim de facilitar e consolidar as informações para os Encarregados de Dados, sugere-se a utilização das seguintes apresentações:

LGPD - Apresentação Ordenador

LGPD - Apresentação Servidor

Nesta etapa será criado um documento essencial para verificar a adequação segundo a LGPD. O caminho que o dado irá percorrer dentro da instituição, incluindo os processos e procedimentos pelos quais os dados transitam. Desde a origem, a base legal que respalda o tratamento deste dado pessoal, o nível de segurança da base de dados a qual o dado pertence, entre outras informações necessárias para a análise de vulnerabilidades técnicas e jurídicas. O mapeamento de dados dará um panorama geral de como a instituição está lidando com a questão da privacidade e segurança da informação. Os registros das operações referente aos dados pessoais devem ser tratados segundo a lei. Pontos essenciais no mapeamento de dados:
Tema Item
Tipo de Dados Categorias de dados trafegadas nesse fluxo (ex: cadastrais, transacionais, especiais, sensíveis, trabalhistas, etc.)
Volume de Dados O volume de dados trafegados nesse fluxo e a frequência desse tráfego (ex: online, diária, semanal, mensal, etc.)
Etapas do fluxo de dados Descrição das etapas de tratamento do fluxo: coleta, armazenagem, sanitização, enriquecimento, processamento, segmentação, inferências, transferências, descarte.
Tecnologias Apontar no mapeamento de dados as principais tecnologias utilizadas nesse fluxo de dados. (ex: sistemas, aplicações, bancos de dados que suportam o fluxo, etc.)
Locais de Armazenamento Indicar os locais onde o dado é coletado, armazenado, tratado ou processado. Nesse momento, deve-se indicar se é internamente ou externamente.
Origem dos Dados Indicar as principais origens dos dados (entradas) e canais de captura de dados (ex: site, aplicativos, estabelecimentos físicos, Ouvidoria, instituições ligadas, empresas terceirizadas, etc.)
Campanhas de Marketing Informar como os dados pessoais são tratados visando campanhas de marketing. Indicar também no mapeamento de dados quais os tipos de dados pessoais são utilizados.
As informações coletadas no processo do mapeamento de dados, tem-se a dimensão de todos os dados os quais se tratam, embasando documentos para diversos planos da Política de segurança da Informação – POSIN. Segue um modelo de template para auxiliar no levantamento, mapeamento e inventário:  Clique Aqui

POSIN

Política de Segurança da Informação

  • O QUE É?
  • O QUE COMPÕE
  • DOCUMENTOS

Segurança da Informação é a preservação da confidencialidade, da integridade e da disponibilidade das informações e a ISO 27001 estabelece diretrizes gerais de gestão da informação que visa proteger essas informações contra os diversos tipos de ameaças e ricos.

A segurança da informação é, então, obtida pela implantação de uma gama de controles que incluem procedimentos de rotina (como as verificações de antivírus), infraestrutura de hardware e software (como a gestão de soluções para assinatura eletrônica de documentos, além da criação de uma política devidamente documentada.

Chegamos, assim, à Política de Segurança da Informação (POSIN), definida como as regras que ditam o acesso, o controle e a transmissão da informação em uma organização.

A POSIN tem o objetivo de criar um modelo para nortear tanto gestores, quanto equipes técnicas a implementá-la de forma a mitigar ao máximo falhas na segurança de dados e tornar a instituição em conformidade com a LGPD.

Lembrando que uma política de segurança não é um documento imutável ou inquestionável. Muito pelo contrário, requer atualização constante e participação não só da alta gestão do órgão, mas também dos servidores e da equipe de TI de Segurança da Informação.

A Política de Segurança da Informação - POSIN do Governo do Estado deverá possuir minimamente:

Plano de Continuidade de Negócio (PCN)
Plano de Gestão de Ativos de Informação
Plano de Gestão de Riscos de Segurança da Informação
Plano de Gestão de Contratos
Plano de Controle de Acesso àInformação
Plano de Consentimentos de Dados
Plano de Proteção de Dados Pessoais Baseada na LGPD
Plano de Treinamento e Conscientização dos Usuários sobre Segurançada Informação

Centro Administrativo do Estado de Santa Catarina - Saco Grande, Florianópolis - SC

comitelgpd@sea.sc.gov.br

copyright © Todos direitos reservados | Desenvolvedor - SEA / DITI / GESIN

CGPD

Edit
Click here to add content.

COMITÊ GESTOR DE PROTEÇÃO DE DADOS

(CGPD)

COMITÊ

Comitê Gestor de Proteção de Dados

O Comitê Gestor de Proteção de Dados (CGPD), criado pelo Decreto Nº 844, de 18 de setembro de 2020, é responsável pela avaliação dos mecanismos de tratamento e proteção dos dados pessoais existentes e pela proposição de ações voltadas ao seu aperfeiçoamento, com vistas ao cumprimento do disposto na Lei federal nº 13.709, de 14 de agosto de 2018, no âmbito do Poder Executivo Estadual de Santa Catarina.

Entre as atribuições do CGPD podemos destacar:

Avaliar os mecanismos, propor políticas, estratégias e metas;

Formular princípios e diretrizes para a gestão de dados pessoais;

Supervisionar a execução dos planos, dos projetos, das ações e prestar orientações sobre o tratamento e a proteção de dados pessoais;

Promover o intercâmbio de informações;

Coordenador

Félix Fernando da Silva
Tayse Schristine Marian Borges Krause
Jucelito Darela Mendes
Victor Martins Maeberg
Elenise Magnus Hendler
Fernanda Donadel da Silva
Carlos Renato Lauz Petiz Junior
Jéssica Machado Costa Firmiano
Lisandro José Fendrich
Alessandro de Oliveira dos Santos
Luciana Bernieri Pereira
Yalle Hugo de Souza
João Mário Martins
Luis Haroldo de Mattos

Você sabia que o Governo do Estado possui um serviço digital exclusivo para solicitação dos direitos dos titulares?

SOBRE LGPD

Lei Geral de Proteção de Dados Pessoais

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n° 13.709, de 14 de agosto de 2018) foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.

Em resumo a lei visa:

1) Consentimento (autorização expressa em TODA captação de dados, porém de forma SEPARADA);
2) Finalidade (porque e para o que, quer usar o dado, legítimo interesse. Está vedado a captação de QUALQUER DADO para enviar a terceiros);

3) Transparência (o que está acontecendo com os dados e estes termos estarem disponíveis para acesso, ter contratos para tudo);
4) Não discriminação (não pode o usuário sofrer qualquer prejuízo pelo seu dado coletado);
5) Opção fácil e clara de descadastrar ou excluir o dado do requerente SEM JUSTIFICATIVA;

No caso do setor público, a principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Tais políticas públicas, vale destacar, devem estar inseridas nas atribuições legais do órgão ou da entidade da administração pública que efetuar o referido tratamento. Outra finalidade corriqueira para o tratamento de dados no serviço público é o cumprimento de obrigação legal ou regulatória pelo controlador. Nessas duas situações, o consentimento do titular de dados é dispensado.

Nos casos de tratamento de dados em que a base legal não é o consentimento, é possível o compartilhamento de dados com órgãos públicos ou transferência de dados a terceiro fora do setor público. Quando isso acontecer, os agentes de tratamento devem comunicar as operações executadas, de forma clara, aos titulares dos dados, garantindo-lhes o exercício aos direitos previstos no art. 18 da LGPD, com destaque aos direitos de acesso, retificação, oposição, eliminação e informação das entidades públicas e privadas com as quais o controlador irá realizar o uso compartilhado de dados. É importante registrar que tal comunicação deve ser renovada na alteração da finalidade ou em qualquer alteração nas operações de tratamento, inclusive de novo compartilhamento ou transferência. Além disso, é necessário que a cada tratamento de dados seja feita uma análise de se os princípios da necessidade e adequação também estão sendo cumpridos pelo controlador. Já nos casos de tratamento de dados feitos com base no consentimento, cada nova operação realizada com os dados pessoais deve ser objeto de nova requisição de consentimento, inclusive para o compartilhamento dos dados com outras entidades, de dentro ou fora da administração pública federal.

GUIA EM TRÊS DIMENSÕES PARA IMPLEMENTAÇÃO DA LGPD

Entenda de uma maneira clara as estratégias que deverão ser tomadas sobre o tratamento dos dados pessoais no âmbito do Poder Executvio Estadual.

FRAMEWORK

Métodos para implementação da LGPD

De acordo com o Guia em Três Dimensões, o primeiro pilar a ser atacado é o de Sensibilização e Capacitação dos gestores e servidores dos órgãos. Para isto é fundamental a realização de reuniões e apresentações sobre o tema.

Afim de facilitar e consolidar as informações para os Encarregados de Dados, sugere-se a utilização das seguintes apresentações:

LGPD - Apresentação Ordenador

LGPD - Apresentação Servidor

Nesta etapa será criado um documento essencial para verificar a adequação segundo a LGPD. O caminho que o dado irá percorrer dentro da instituição, incluindo os processos e procedimentos pelos quais os dados transitam. Desde a origem, a base legal que respalda o tratamento deste dado pessoal, o nível de segurança da base de dados a qual o dado pertence, entre outras informações necessárias para a análise de vulnerabilidades técnicas e jurídicas. O mapeamento de dados dará um panorama geral de como a instituição está lidando com a questão da privacidade e segurança da informação. Os registros das operações referente aos dados pessoais devem ser tratados segundo a lei. Pontos essenciais no mapeamento de dados:

Tema Item
Tipo de Dados Categorias de dados trafegadas nesse fluxo (ex: cadastrais, transacionais, especiais, sensíveis, trabalhistas, etc.)
Volume de Dados O volume de dados trafegados nesse fluxo e a frequência desse tráfego (ex: online, diária, semanal, mensal, etc.)
Etapas do fluxo de dados Descrição das etapas de tratamento do fluxo: coleta, armazenagem, sanitização, enriquecimento, processamento, segmentação, inferências, transferências, descarte.
Tecnologias Apontar no mapeamento de dados as principais tecnologias utilizadas nesse fluxo de dados. (ex: sistemas, aplicações, bancos de dados que suportam o fluxo, etc.)
Locais de Armazenamento Indicar os locais onde o dado é coletado, armazenado, tratado ou processado. Nesse momento, deve-se indicar se é internamente ou externamente.
Origem dos Dados Indicar as principais origens dos dados (entradas) e canais de captura de dados (ex: site, aplicativos, estabelecimentos físicos, Ouvidoria, instituições ligadas, empresas terceirizadas, etc.)
Campanhas de Marketing Informar como os dados pessoais são tratados visando campanhas de marketing. Indicar também no mapeamento de dados quais os tipos de dados pessoais são utilizados.

As informações coletadas no processo do mapeamento de dados, tem-se a dimensão de todos os dados os quais se tratam, embasando documentos para diversos planos da Política de segurança da Informação – POSIN. Segue um modelo de template para auxiliar no levantamento, mapeamento e inventário:  Clique Aqui

POSIN

Política de Segurança da Informação

Segurança da Informação é a preservação da confidencialidade, da integridade e da disponibilidade das informações e a ISO 27001 estabelece diretrizes gerais de gestão da informação que visa proteger essas informações contra os diversos tipos de ameaças e ricos.

A segurança da informação é, então, obtida pela implantação de uma gama de controles que incluem procedimentos de rotina (como as verificações de antivírus), infraestrutura de hardware e software (como a gestão de soluções para assinatura eletrônica de documentos), além da criação de uma política devidamente documentada.

Chegamos, assim, à Política de Segurança da Informação (POSIN), definida como as regras que ditam o acesso, o controle e a transmissão da informação em uma organização.

A POSIN tem o objetivo de criar um modelo para nortear tanto gestores, quanto equipes técnicas a implementá-la de forma a mitigar ao máximo falhas na segurança de dados e tornar a instituição em conformidade com a LGPD.

Lembrando que uma política de segurança não é um documento imutável ou inquestionável. Muito pelo contrário, requer atualização constante e participação não só da alta gestão do órgão, mas também dos servidores e da equipe de TI de Segurança da Informação.

A Política de Segurança da Informação - POSIN do Governo do Estado deverá possuir minimamente:

Plano de Continuidade de Negócio (PCN)
Plano de Gestão de Ativos de Informação
Plano de Gestão de Riscos de Segurança da Informação
Plano de Gestão de Contratos 4 Plano de Controle de Acesso àInformação
Plano de Consentimentos de Dados
Plano de Proteção de Dados Pessoais Baseada na LGPD
Plano de Treinamento e Conscientização dos Usuários sobre Segurançada Informação

CGPD

Comitê Geral de
Porteção de Dados

Centro Administrativo do Estado de Santa Catarina - Saco Grande, Florianópolis - SC

copyright © Todos direitos reservados | Desenvolvedor - SEA / DITI / GESIN