LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD), Notas de aula de Eletrônica

Baixe LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) e outras Notas de aula em PDF para Eletrônica, somente na Docsity! Guia de Elaboração de Inventário de Dados Pessoais LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) Versão 1.1 Brasília, abril de 2021 GUIA DE ELABORAÇÃO DE INVENTÁRIO DE DADOS PESSOAIS Lei Geral de Proteção de Dados Pessoais MINISTÉRIO DA ECONOMIA Paulo Roberto Nunes Guedes Ministro SECRETARIA ESPECIAL DE DESBUROCRATIZAÇÃO, GESTÃO E GOVERNO DIGITAL Caio Mario Paes de Andrade Secretário Especial de Desburocratização, Gestão e Governo Digital SECRETARIA DE GOVERNO DIGITAL Luis Felipe Salin Monteiro Secretário de Governo Digital DEPARTAMENTO DE GOVERNANÇA DE DADOS E INFORMAÇÕES Fabiana de Assunção Cruvinel Diretora do Departamento de Governança de Dados e Informações COORDENAÇÃO-GERAL DE SEGURANÇA DA INFORMAÇÃO Mauro Cesar Sobrinho Coordenador-Geral de Segurança da Informação Equipe Técnica de Elaboração Denis Marcelo Oliveira Julierme Rodrigues da Silva Loriza Andrade Vaz de Melo Luiz Henrique do Espírito Santo Andrade Tássio Correia da Silva Wellington Francisco Pinheiro de Araújo Novembro/2019 5 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS INTRODUÇÃO O Inventário de Dados Pessoais representa o documento primordial para documentar o tratamento de dados pessoais realizados pela instituição em alinhamento ao previsto pelo art. 37 da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD). Nesse sentido, este Guia tem por finalidade apresentar orientações com o intuito de auxiliar os órgãos e entidades da Administração Pública Federal, direta, autárquica e fundacional a realizar o levantamento e registro dos dados pessoais tratados no âmbito institucional. O inventário consiste em uma excelente forma de fazer um balanço do que o órgão e entidade faz com os dados pessoais, identificando quais dados pessoais são tratados, onde estão e que operações são realizadas com eles. As orientações relativas à elaboração do Inventário de Dados Pessoais foram estruturadas em três capítulos: • O Capítulo 1 destaca sua composição; • O Capítulo 2 trata sobre como elaborá-lo; e • O Capítulo 3 aborda a elaboração de uma listagem geral dos serviços/processos de negócios que tratam dados pessoais. Este documento será atualizado e ampliado permanentemente com objetivo de manter alinhamento com as diretrizes determinadas pela Autoridade Nacional de Dados Pessoais. 6 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS 1 – O INVENTÁRIO DE DADOS PESSOAIS 1.1 – O que é O Inventário de Dados Pessoais – IDP consiste no registro das operações de tratamento dos dados pessoais realizados pela instituição (LGPD. Art. 37). De uma forma geral, esse registro mantido pelo IDP envolve descrever informações em relação ao tratamento de dados pessoais realizado pelo órgão ou entidade como: • atores envolvidos (agentes de tratamento e o encarregado); • finalidade (o que a instituição faz com o dado pessoal); • hipótese (arts. 7º e 11 da LGPD); • previsão legal; • dados pessoais tratados pela instituição; • categoria dos titulares dos dados pessoais; • tempo de retenção dos dados pessoais; • instituições com as quais os dados pessoais são compartilhados; • transferência internacional de dados (art. 33 LGPD); e • medidas de segurança atualmente adotadas. O IDP representa um documento importante de governança de dados pessoais e de subsídio para avaliação de impacto à proteção de dados pessoais com vistas a verificar a conformidade da instituição no que se refere ao preconizado pela LGPD. 1.2 – Estruturação A estrutura do IDP apresentado neste documento é inspirado nos modelos propostos pelas autoridades de proteção de dados da França1, Bélgica2 e Inglaterra3. O inventário foi estruturado em formato de planilha eletrônica, disponível no link <https://www.gov.br/governodigital/pt-br/governanca-de-dados/TemplateInventariodadospessoais.xlsx>. A planilha eletrônica que representa o template do IDP é composta por 4 divisões denominadas: 1 < https://www.cnil.fr/sites/default/files/atoms/files/record-processing-activities.ods>. Acesso em 06/07/2020. 2 < https://www.autoriteprotectiondonnees.be/publications/modele-de-registe-des-activites-de- traitement.xls >. Acesso em 06/07/2020. 3 < https://ico.org.uk/media/for-organisations/documents/2172937/gdpr-documentation-controller- template.xlsx >. Aceso em 06/07/2020. 7 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS • “1-Orientações” – orientações gerais sobre preenchimento do template; • “2-Lista Inventário” – lista geral dos serviços/processos de negócio institucionais que realizam o tratamento de dados pessoais; • “3-Template” – modelo de inventário de dados pessoais a ser elaborada para cada serviço/processo de negócio da instituição; e • “4-Listas” – apresenta uma sugestão de informações para preenchimento do inventário de dados com valores padronizados. A lista não é exaustiva e por isso pode ser ajustada de acordo com a realidade de cada instituição. O próximo capítulo descreve o processo de elaboração do IDP com base divisão denominada “3-Template” constante da planilha eletrônica mencionada no início desta seção. 10 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS A opção de inventariar por serviço possibilita que a instituição realize o levantamento dos dados pessoais tratados pelos serviços divulgado no portal gov.br (https://www.gov.br/pt-br/servicos). Cumpre destacar que os dados pessoais de todos os serviços devem ser inventariados, mesmo os serviços que, porventura, não são digitais. O IDP também possibilita o inventário de dados pessoais por processo de negócio. Essa opção visa contemplar processos ou rotinas internas como, por exemplo, processo interno de gestão de pessoas (servidores, empregados públicos, etc.) da instituição. Com a finalidade facilitar a identificação do serviço ou processo inventariado, o item 1.2 da Figura 2 deve ser preenchido com um número de referência ou um ID para identificação da atividade de tratamento de dados pessoais relacionada ao serviço / processo de negócio. Exemplos de número de referência: 0001, 0002, etc. Exemplo de ID adotando Sigla do Serviço informado no campo "Nome do serviço/ Processo de Negócio: AVA, CRRA e etc. Essa etapa é finalizada com o preenchimento das datas de criação e de última atualização do inventário de dados pessoais do serviço / processo de negócio. 2.2 – Identificação dos agentes de tratamento e encarregado Esta fase envolve identificar os agentes de tratamento (controlador e operador) e o encarregado no IDP (art. 5º da LGPD), destacando nome, endereço, CEP, telefone e e-mail (Figura 3). 2 - Agentes de Tratamento e Encarregado Nome Endereço CEP Telefone E-mail 2.1 - Controlador 2.2 - Encarregado 2.3 - Operador Figura 3 Seção 2 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) Explicações sobre controlador, operador e encarregado podem ser conferidas na seção 1.1 do Guia de Boas Práticas LGPD (CCGD, 2020). 11 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS 2.3 – Atuação do operador no ciclo de vida do tratamento do dado pessoal O ciclo de vida do tratamento do dado pessoal envolve as fases de: coleta, retenção, processamento, compartilhamento e eliminação. Constatar em que fase do ciclo de vida do tratamento do dado pessoal o operador atua (Figura 4) é essencial para compreensão de quais operações de tratamento são realizadas por ele e quais ativos organizacionais estão envolvidos nesse tratamento. 3 - Fases do Ciclo de Vida do Tratamento Dados Pessoais Coleta Retenção Processamento Compartilhamento Eliminação 3.1 - Em qual fase do ciclo de vida o Operador atua Figura 4 Seção 3 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) Uma vez identificados os ativos, é necessário analisá-los para verificar quais medidas técnicas de segurança estão efetivamente implementadas nesses ativos, com vistas a prover a adequada proteção aos dados pessoais de que trata a LGPD. As medidas de segurança resultantes dessa análise serão descritas na fase “Medidas de Segurança” descrita na seção 2.12 deste Guia. Orientações sobre ciclo de vida de tratamento de dados pessoais e seu relacionamento com os ativos organizacionais podem ser observadas no Capítulo 3 do Guia de Boas Práticas LGPD (CCGD, 2020). Esta fase do IDP subsidiará um dos elementos que compõem a descrição da natureza do tratamento no RIPD (CCGD, 2020), no que tange ao papel do operador em relação ao tratamento do dado pessoal. 2.4 – Fluxo de tratamento dos dados pessoais Descrever como (de que forma) os dados pessoais são coletados, retidos/armazenados, processados/usados e eliminados (Figura 5). 4 - De que forma (como) os dados pessoais são coletados, retidos/armazenados, processados/usados, compartilhados e eliminados 4.1 - Descrição do Fluxo do tratamento dos dados pessoais Figura 5 Seção 4 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) Nessa fase, pode até ser elaborado um desenho com um fluxo de dados. 12 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS Abaixo, consta exemplificação de descrição do fluxo de tratamento de dados pessoais do programa fictício de localização de desaparecidos do Departamento de Segurança Pública - DSP. Exemplo de descrição de fluxo de dados: 1. Os dados pessoais são coletados mediante preenchimento formulário eletrônico do Sistema Nacional pelo titular dos dados pessoais. 2. Os dados são transferidos armazenados nas instalações físicas da Empresa de Processamento e Tecnologia Fictum (operador). 3. A empresa Fictum realiza processamento sobre os dados pessoais e disponibiliza para uso do Departamento de Segurança Pública – DSP (controlador). O DSP disponibiliza os dados pessoais para utilização e consumo do comunicante. 4. O DSP transfere dados de comunicantes e pessoas desaparecidas para a Secretaria de Desenvolvimento Humano desenvolver as ações de apoio psicológico para as famílias dos desaparecidos. 5. Os dados pessoais podem ser eliminados à pedido do titular. Nesse caso, o DSP encaminha essa solicitação para a empresa Fictum executar a eliminação dos dados pessoais da base de dados do Sistema Nacional de Desaparecidos. 2.5 – Escopo e Natureza dos dados pessoais Esta fase contempla identificar dois elementos relevantes do escopo e natureza dos dados pessoais tratados a serem futuramente descritos no RIPD (CCGD, 2020). Esses elementos são, respectivamente, a abrangência e a fonte de dados pessoais (Figura 6). 5 - Escopo e Natureza dos Dados Pessoais 5.1 - Abrangência da área geográfica do tratamento 5.2 - Fonte de dados utilizada para obtenção dos dados pessoais Figura 6 Seção 5 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) A abrangência representa o alcance geográfico do tratamento de dados realizado: nacional, estadual, distrital, municipal ou regional. A fonte de obtenção de dados pessoais, pode ser por exemplo: titular dos dados pessoais, XML, API, etc. A forma de obtenção dos dados pessoais tem influência direta nos 15 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS Descrição: descrever de forma específica os dados pessoais tratados (ex.: CPF, nome, etc.) de acordo com as subcategorias listadas no Anexo deste Guia. Tempo Retenção dos dados: informação sobre quanto tempo o dado pessoal será armazenado. Para definição do tempo de retenção é indicado verificar: - se existe alguma definição legal de tempo de retenção/guarda/arquivamento de documentos e/ou dos dados tratados pelo órgão e/ou entidade; e - tabela de temporalidade do CONARQ5. Fonte de Retenção: em que local o dado pessoal está armazenado/retido. Nesse campo deve ser Informado a principal fonte de retenção/armazenamento dos dados para cada categoria de dados pessoais efetivamente tratada pela instituição. Nome Base de Dados: essa coluna deverá ser preenchida, se a principal fonte de retenção / armazenamento dos dados pessoais for base de dados. Informar o mesmo nome da base de dados registrada no Sistema de Catálogo de Dados6 mantido pela Secretaria de Governo Digital - SGD. O nome e a descrição da base de dados deve ser atualizada na guia "4-Listas" apresentada na seção 1.2 deste documento. Necessário destacar que não há obrigatoriedade de se informar o nome da base de dados, caso a instituição não tenha iniciado o citado Catálogo de Dados. Se órgão não for iniciar o cadastro do Catálogo de Base de Dados – CBD antes ou concomitante ao IDP, então a instituição pode optar por definir o nome e a descrição da base de dados, conforme orientado na guia “4-Listas” mencionada acima. Posteriormente, ao iniciar o CBD, o órgão ou entidade pode aproveitar os nomes e descrições das bases de dados definidos no inventário e informá-los no sistema do CBD. Compreendido o que significa cada coluna exibida pelo Figura 8, é recomendável que seja realizada a leitura do Anexo deste documento, no qual consta uma tabela com rol não exaustivo de categorias, subcategorias e o que deve ser descrito na coluna “Descrição” constante da Figura 8 referentes aos dados pessoais tratados pela instituição. Dessa forma, ao elaborar o IDP, a instituição tem total liberdade para adaptar, remover, incluir categorias, subcategorias e descrição dos dados tratados de acordo com sua realidade institucional. 5 Disponível em: <http://siga.arquivonacional.gov.br/images/codigos_tabelas/Portaria_47_CCD_TTD_poder_executivo_feder al_2020_instrumento.pdf> 6 Para saber mais sobre a iniciativa de Catálogo de Base de Dados da SGD, acesse o link: < https://www.gov.br/governodigital/pt-br/governanca-de-dados/catalogo-de-bases-de-dados > 16 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS Diante do listado no Anexo deste Guia, para cada categoria e subcategoria dos dados pessoais tratados pelo órgão ou entidade, deve-se preencher os dados pessoais efetivamente usados. A título de exemplificação, se a instituição trata apenas dados pessoais de CPF e nome, então a coluna “Descrição” da Figura 8 serão preenchidos da seguinte forma: • na subcategoria “7.1.1 - Informações de identificação pessoal” constaria o dado pessoal “Nome”; e • na subcategoria “7.1.2 - Informações de identificação atribuídas por instituições governamentais” constaria o dado pessoal “CPF”. 2.8 – Categorias de dados pessoais sensíveis O preenchimento das colunas relativas aos dados pessoais sensíveis da Figura 9 segue a mesma forma explicada na seção 2.7 do Guia. 8 - Categorias de Dados Pessoais Sensíveis Descrição Tempo Retenção dos Dados Fonte Retenção Nome Base de Dados 8.1 - Dados que revelam origem racial ou ética 8.2 - Dados que revelam convicção religiosa 8.3 - Dados que revelam opinião política 8.4 - Dados que revelam filiação a sindicato 8.5 - Dados que revelam filiação a organização de caráter religioso 8.6 - Dados que revelam filiação ou crença filosófica 8.7 - Dados que revelam filiação ou preferências política 8.8 - Dados referentes à saúde ou à vida sexual 8.9 - Dados genéticos 8.10 - Dados biométricos Figura 9 Seção 8 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) Realizar o inventário de dados pessoais sensíveis é extremamente importante, visto que o uso indevido desses dados podem resultar em algum tipo de discriminação em relação ao titular dos dados pessoais sensíveis. A seção 2.1.3 do Guia de Boas Práticas LGPD (CCGD, 2020) trata das especificidades para o tratamento de dados pessoais sensíveis. 17 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS As categorias listadas na Figura 9 representam a lista de dados sensíveis do inciso II do art. 5º da LGPD. Art. 5º Para os fins desta Lei, considera-se: II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; 2.9 – Frequência e totalização das categorias de dados pessoais tratados Nesta fase são identificadas a frequência de tratamento dos dados pessoais e a quantidade de dados pessoais e dados pessoais sensíveis tratados pelo serviço / processo de negócio (Figura 10). A frequência e totalização das categorias de dados pessoais tratados fornecerão subsídio para o escopo do tratamento de dados pessoais a serem descritos no RIPD (CCGD, 2020). 9 - Frequência e totalização das categorias de dados pessoais tratados 9.1 - Frequência de tratamento dos dados pessoais 9.2 - Quantidade de dados pessoais e dados pessoais sensíveis tratados Figura 10 Seção 9 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) A frequência de tratamento de dados pessoais representa a disponibilidade e horário de funcionamento do sistema automatizado ou processo manual que trata os dados pessoais. Exemplo fictício de descrição da frequência de tratamento de dados pessoais do Sistema Nacional de Desaparecidos - SND: O SND está disponível no regime 24x7 (24 horas por dia nos 7 dias da semana) para comunicação (coleta) dos dados dos desaparecimentos e as demais fases e operações de tratamento são realizadas no horário comercial em dias úteis. Informação sobre o horário em que os dados pessoais são tratados contribui para identificar acessos ou processamentos indevidos dos dados pessoais. Considerando o exemplo acima, se operações específicas de tratamento de dados pessoais somente ocorre em horário comercial e dias úteis, 20 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS 11 - Compartilhamento de Dados Pessoais Dados pessoais compartilhados Finalidade do compartilhamento 11.1 - Nome da Instituição 1 11.2 - Nome da Instituição 2 11.3 - Nome da Instituição 3 11.4 - Nome da Instituição 4 Figura 12 Seção 11 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) O início dessa fase é marcado pela indicação do nome da instituição que recebe o dado pessoal compartilhado, deve-se substituir o subitem da seção 11 da Figura 12 pelo nome da instituição. Exemplos de registro das instituições que recebem dados pessoais por compartilhamento: Exemplo 1: Compartilhamento com o Ministério da Economia. Nesse caso, substitua "11.1 - Nome da Instituição 1" por "11.1 - Ministério da Economia". Exemplo 2: Compartilhamento com o Banco Central. Nesse caso, substitua "11.2 - Nome da Instituição 2" por "11. 2 - Banco Central". Exemplo 3: Compartilhamento com a CGU. Nesse caso, substitua "11.3 - Nome da Instituição 3" por "11.3 - CGU". Exemplo 4: Compartilhamento com o INSS. Nesse caso, substitua "11.4 - Nome da Instituição 4" por "11. 4 - INSS". Para cada instituição deve-se informar quais são os dados compartilhados e a finalidade do compartilhamento. Desse modo, a coluna “Dados pessoais compartilhados” referenciada pela Figura 12, é preenchida com os dados pessoais e dados pessoais sensíveis compartilhados com as instituições destinatárias dos dados. No preenchimento dessa coluna utilize, no que couber, as informações descritas nas seções "7 - Categorias de Dados Pessoais" e "8 - Categorias de Dados Pessoais Sensíveis" explicitadas nas seções 2.7 e 2.8 deste Guia. Se não compartilhar dados com outras instituições, preencha a coluna “Dados pessoais compartilhados” do item "11.1 - Nome da Instituição 1" destacado na Figura 12 com “Não se Aplica”. 21 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS Esta fase é finalizada com o preenchimento finalidade do compartilhamento. Nesse caso, é fundamental atentar que a finalidade do compartilhamento deve ser compatível com a finalidade que embasou o tratamento do dado pessoal discutida na seção 2.6 deste Guia. Se existir incompatibilidade, então esse é um ponto de atenção a ser tratado pela instituição no sentido de existir uma adequação da finalidade do compartilhamento ou até mesmo sua interrupção. Essa situação é um dos pontos de atenção a ser considerado na seção 2.16 deste documento. 2.12 – Medidas de Segurança/Privacidade Esta fase envolve identificar as atuais medidas de segurança, técnicas administrativas implementadas e a descrição dos controles (Figura 13) que visam assegurar a integridade dos dados pessoais, minimizando os riscos como, por exemplo, de perda ou vazamento de dados. Devem ser inseridas quantas linhas forem necessárias para registrar todas medidas de segurança/privacidade aplicadas para proteção de dados pessoais. Caso sejam implementadas menos de 3 medidas, indica-se a exclusão das linhas excedentes. As medidas de segurança implementadas dependem da sensibilidade dos dados pessoais que são tratados e dos riscos para os titulares de dados no caso de um incidente. 12 - Medidas de Segurança/Privacidade Tipo de medida de segurança e privacidade Descrição do(s) Controle(s) 12.1 - Medida de Segurança/Privacidade 1 12.2 - Medida de Segurança/Privacidade 2 12.3 - Medida de Segurança/Privacidade 3 Figura 13 Seção 12 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) Na planilha eletrônica que automatiza o IDP, podem ser inseridas quantas medidas de segurança que forem necessárias para o fiel registro dos tipos de titulares de dados pessoais que estão envolvidos pelo tratamento de dados realizado pelo serviço / processo de negócio. Os tipos de medidas de segurança da coluna “Tipos de medida de segurança e privacidade” já estão previamente definidas na divisão “4-Listas” citada na seção 1.2, mas podem ser alterados e ajustados de acordo com o contexto da instituição. 22 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS A coluna “Descrição dos Controles” exibida na Figura 13 deve ser preenchida com a descrição do(s) controle(s) específico(s) adotado(s) para a medida de segurança/privacidade. Exemplos de medidas de segurança/privacidade e descrição de controles: Exemplo 1: Tipo de medida de segurança/privacidade = Controles Criptográficos. Descrição do(s) Controle(s) = Utilização de criptografia para a proteção de dados pessoais armazenados em dispositivos móveis, mídias removíveis e banco de dados. Exemplo 2: Tipo de medida de segurança/privacidade = Controles de Acessos Lógicos. Descrição do(s) Controle(s) = Política de senha; Análise crítica de direitos de acesso em período de tempo previamente definido ou a qualquer momento depois de qualquer mudança nos direitos de usuários. 2.13 – Transferência internacional de dados pessoais Esta fase do IDP envolve destacar as organizações internacionais que recebem dados pessoais por meio de qualquer tipo de transferência ou meio compartilhamento (Figura 14). Devem ser inseridas quantas linhas forem necessárias para registrar todas as organizações que têm acesso ao dado pessoal por transferência internacional. Caso exista transferência internacional de dados pessoais com menos de 3 organizações, indica-se a exclusão das linhas excedentes. 13 - Transferência Internacional de Dados Pessoais País Dados pessoais transferidos Tipo de garantia para transferência 13.1 - Organização 1 13.2 - Organização 2 13.3 - Organização 3 Figura 14 Seção 13 da guia "3-Templates" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) 25 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS Exemplo 1: Contrato identificado pelo nº 15/2020. Nesse caso, substitua "Contrato nº 1" por "Contrato nº 15/2020". Exemplo 2: Contrato identificado pelo nº 30/2020. Nesse caso, substitua "Contrato nº 2" por "Contrato nº 30/2020". Caso não exista contrato de serviço ou solução de TI que realize operação de tratamento com os dados pessoais elencados no inventário, preencha a coluna “Nº Processo de Contratação” do item “14.1 – Contrato nº 1” destacada na Figura 15 com “Não há contrato de serviço ou solução de TI que realize operação de tratamento com os dados pessoais elencados neste inventário”. Após identificar os contratos, é necessário informar o objeto contrato e o e-mail de contato do gestor do contrato. Dessa forma, a coluna “Objeto do Contrato” referenciada pela Figura 15, é preenchida com a especificação do objeto descrita no contrato. A coluna “E-mail do Gestor do Contrato” deve ser preenchida com o e-mail institucional do gestor responsável pelo contrato. A identificação dos gestores de contratos viabiliza a discussão dos possíveis ajustes contratuais no momento de a instituição realizar a atividade de análise da adequação dos contratos em relação ao preconizado pela LGPD. A atividade de adequação contratual é abordada no “Guia de Boas Práticas para Especificação de Requisitos de Segurança da Informação em Contratações de Tecnologia da Informação” disponibilizado pela Secretaria de Governo Digital. 2.15 – Manter Atualização O IDP não termina com a conclusão de sua elaboração. É extremamente necessário que as informações documentadas no inventário sempre reflitam a situação atual do tratamento de dados pessoais do serviço/processo de negócio. Ele é um documento “vivo” que é atualizado quando necessário. Portanto, indica-se que o IDP deva ser revisto e atualizado, no mínimo, anualmente, ou sempre que existir qualquer mudança que afete o tratamento dos dados pessoais do serviço/processo de negócio registrado no inventário. 26 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS 2.16 – Inventário de Dados Pessoais, RIPD e Conformidade O IDP consiste no registro das operações de tratamento dos dados pessoais realizados pela instituição, ele proporciona uma espécie de “fotografia” do atual cenário do tratamento de dados pessoais do serviço/processo de negócio. As informações contidas no IDP fornecem subsídios para a elaboração do RIPD, o qual é um instrumento fundamental para avaliação da conformidade do tratamento de dados pessoais em relação à LGPD, bem como de análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de riscos adotados. Se no momento da instituição finalizar a elaboração do IDP identifique, por exemplo, a necessidade de minimização dos dados pessoais tratados ou incompatibilidades de adequação à finalidade do tratamento de dados, não há objeções, caso opte por sanar imediatamente no serviço/processo de negócio essas não conformidades antes da elaboração do RIPD. Todavia, após realizar tal ação é indicado que seja gerado nova versão do IDP, refletindo o novo cenário de tratamento de dados pessoais. 27 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS 3 – LISTAGEM GERAL DO INVENTÁRIO DOS SERVIÇOS / PROCESSOS DE NÉGOCIO QUE TRATAM DADOS PESSOAIS Ter uma visão geral de todos os inventários de dados pessoais elaborados para cada serviço/processo de negócio é de suma importância para a instituição. Isso facilita o acompanhamento do andamento das ações de inventário e propicia rápida localização da identificação de um inventário de um serviço/processo inventariado. Nesse contexto, as próximas seções abordarão o modelo de listagem geral sintética apresentado pela guia “2-Lista Inventário” constante da planilha eletrônica disponível em < https://www.gov.br/governodigital/pt-br/governanca-de-dados/TemplateInventariodadospessoais.xlsx>. Tal listagem visa elencar os IDPs elaborados pelo órgão/entidade. 3.1 – Identificação do Controlador e Encarregado Nesta parte inicial da listagem são identificados o controlador e o encarregado (incisos VI e VII do art. 5º da LGPD), destacando nome, e-mail, endereço, CEP, cidade e telefone (Figura 16). Controlador Nome: E-mail: Endereço: CEP: Cidade: Telefone: Encarregado Nome: E-mail: Endereço: CEP: Cidade: Telefone: Figura 16 Parte inicial da guia "2-Lista Invetario" da planilha eletrônica do Inventário de Dados Pessoais (seção 1.2 deste Guia) Diferentemente da seção 2.2 deste Guia, na listagem geral não consta a identificação do operador porque pode ocorrer de existir mais de um operador atuando em cada serviço/processo de negócio que trata dados pessoais. Contudo, se a instituição considerar importante constar a informação do operador na listagem geral, então realize esse ou qualquer outro ajuste no modelo da listagem, de acordo com o mais indicado para sua realidade institucional. 30 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS ANEXO Categorias de Dados Pessoais As categorias, subcategorias e descrições dos dados pessoais apresentadas na tabela abaixo foram inspiradas no modelo de registro (inventário) proposto pela autoridade de proteção de dados da Bélgica7. SUBCATEGORIA DESCRIÇÃO (Descrever se são tratados dados pessoais sobre:) CATEGORIA: 7.1 - Dados de Identificação Pessoal 7.1.1 - Informações de identificação pessoal Nome, endereço residência, histórico de endereços anteriores, número de telefone fixo residencial, número celular pessoal, e-mail pessoal, etc. 7.1.2 - Informações de identificação atribuídas por instituições governamentais CPF, RG, número do passaporte, número da carteira de motorista, número da placa, número de registro em conselho profissional, etc. 7.1.3 - Dados de identificação eletrônica Endereços IP, cookies, momentos de conexão etc. 7.1.4 - Dados de localização eletrônica Dados de comunicação de torres de celulares (ex: GSM), dados de GPS etc. CATEGORIA: 7.2 - Dados Financeiros 7.2.1 - Dados de identificação financeira Números de identificação, números de contas bancárias, números de cartões de crédito ou débito, códigos secretos. 7.2.2 - Recursos financeiros Renda, posses, investimentos, renda total, renda profissional, poupança, datas de início e término dos investimentos, receita de investimento, dívidas sobre ativos. 7.2.3 - Dívidas e despesas Total de despesas, aluguel, empréstimos, hipotecas e outras formas de crédito. 7.2.4 - Situação financeira (Solvência) Avaliação do rendimento e avaliação de capacidade de pagamento. 7.2.5 - Empréstimos, hipotecas, linhas de crédito Natureza do empréstimo, valor emprestado, saldo remanescente, data de início, período do empréstimo, taxa de juros, visão geral do pagamento, detalhes sobre as garantias. 7.2.6 - Assistência financeira Benefícios, assistência, bonificações, subsídios, etc. 7 < https://www.autoriteprotectiondonnees.be/publications/modele-de-registe-des-activites-de- traitement.xls >. Acesso em 06/07/2020. 31 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS SUBCATEGORIA DESCRIÇÃO (Descrever se são tratados dados pessoais sobre:) 7.2.7 - Detalhes da apólice de seguro Natureza da apólice de seguro, detalhes sobre os riscos cobertos, valores segurados, período segurado, data de rescisão, pagamentos feitos, recebidos ou perdidos, situação do contrato, etc. 7.2.8 - Detalhes do plano de pensão Data efetiva do plano de pensão, natureza do plano, data de término do plano, pagamentos recebidos e efetuados, opções, beneficiários, etc. 7.2.9 - Transações financeiras Valores pagos e a pagar pelo titular dos dados, linhas de crédito concedidas, avais, forma de pagamento, visão geral do pagamento, depósitos e outras garantias, etc. 7.2.10 - Compensação Detalhes sobre compensações reivindicadas, valores pagos ou outros tipos de compensação, etc. 7.2.11 - Atividades profissionais Atividades profissionais executadas pelo titular dos dados: natureza da atividade, natureza dos bens ou serviços utilizados ou entregues pela pessoa no registro, relações comerciais, etc. 7.2.12 - Acordos e ajustes Detalhes sobre acordos ou ajustes comerciais; acordos sobre representação ou acordos legais, etc. 7.2.13 - Autorizações ou consentimentos Autorizações ou consentimentos realizados pelo titular de dados, etc. CATEGORIA: 7.3 - Características Pessoais 7.3.1 - Detalhes pessoais Idade, sexo, data de nascimento, local de nascimento, estado civil, nacionalidade. 7.3.2 - Detalhes militares Situação militar, patente militar, distinções militares, etc. 7.3.3 - Situação de Imigração Detalhes sobre o visto, autorização de trabalho, limitações de residência ou movimentação, condições especiais relacionadas à autorização de residência, etc. 7.3.4 - Descrição Física (informações físicas de uma pessoa com possibilidade de serem visivelmente identificadas.) Altura, peso, cor do cabelo, cor dos olhos, características distintivas, etc. CATEGORIA: 7.4 - Hábitos Pessoais 7.4.1 - Hábitos Uso de tabaco, uso de álcool , hábito alimentar, dieta alimentar etc. 7.4.2 - Estilo de vida Informações sobre o uso de bens ou serviços, comportamento dos titulares dos dados, etc. 7.4.3 - Viagens e deslocamentos Antigas residências e deslocamentos, visto de viagem, autorizações de trabalho, etc. 32 GUIA DE ELABORAÇÃO DO INVENTÁRIO DE DADOS PESSOAIS SUBCATEGORIA DESCRIÇÃO (Descrever se são tratados dados pessoais sobre:) 7.4.4 - Contatos sociais Amigos, parceiros de negócios, relacionamentos com pessoas que não sejam familiares próximos; etc. 7.4.5 - Posses Terra, propriedade ou outros bens. 7.4.6 - Denúncias, incidentes ou acidentes Informações sobre um acidente, incidente ou denúncia na qual o titular dos dados está envolvido, a natureza dos danos ou ferimentos, pessoas envolvidas, testemunhas, etc. 7.4.7 - Distinções Distinções civis, administrativas ou militares. 7.4.8 - Uso de mídia Definição do comportamento de uso de mídias e meios de comunicação. CATEGORIA: 7.5 - Características Psicológicas 7.5.1 - Descrição Psicológica Personalidade ou caráter. CATEGORIA: 7.6 - Composição Familiar 7.6.1 - Casamento ou forma atual de coabitação Nome do cônjuge ou companheiro(a), nome de solteira do cônjuge ou companheira, data do casamento, data do contrato de coabitação, número de filhos, etc. 7.6.2 - Histórico conjugal Casamentos ou parcerias anteriores, divórcios, separações, nomes de parceiros anteriores. 7.6.3 - Familiares ou membros da família Detalhes de outros familiares ou membros da família do titular de dados. CATEGORIA: 7.7 - Interesses de lazer 7.7.1 - Atividades e interesses de lazer Hobbies, esportes, outros interesses. CATEGORIA: 7.8 - Associações 7.8.1 Associações (exceto profissionais, políticas, em sindicatos ou qualquer outra associação que se enquadre em dados pessoais sensíveis) Participação em organizações de caridade ou benevolentes, clubes, parcerias, organizações, grupos, etc. CATEGORIA: 7.9 - Processo Judicial/Administrativo/Criminal 7.9.1 - Suspeitas Suspeitas de violações, conexões conspiratórias com criminosos conhecidos. Inquéritos ou ações judiciais (civis ou criminais) empreendidas por ou contra o titular dos dados, etc. 7.9.2 - Condenações e sentenças Condenações e sentenças, etc. 7.9.3 - Ações judiciais Tutela, guarda temporária ou definitiva, interdição, adoção, etc. 7.9.4 - Penalidades Administrativas Multas, processo disciplinar, advertências, bem como qualquer outro tipo de penalidade ou sanção administrativa prevista em leis, normas e regulamentos. CATEGORIA: 7.10 - Hábitos de Consumo