SCTI-Secretaria de Estado da Ciência Tecnologia e Inovação

Comitê de Proteção de Dados (CGPD)

O que é?

Segurança da Informação é a preservação da confidencialidade, da integridade e da disponibilidade das informações e a ISO 27001 estabelece diretrizes gerais de gestão da informação que visa proteger essas informações contra os diversos tipos de ameaças e ricos. A segurança da informação é, então, obtida pela implantação de uma gama de controles que incluem procedimentos de rotina (como as verificações de antivírus), infraestrutura de hardware e software (como a gestão de soluções para assinatura eletrônica de documentos, além da criação de uma política devidamente documentada. Chegamos, assim, à Política de Segurança da Informação (POSIN), definida como as regras que ditam o acesso, o controle e a transmissão da informação em uma organização. A POSIN tem o objetivo de criar um modelo para nortear tanto gestores, quanto equipes técnicas a implementá-la de forma a mitigar ao máximo falhas na segurança de dados e tornar a instituição em conformidade com a LGPD. Lembrando que uma política de segurança não é um documento imutável ou inquestionável. Muito pelo contrário, requer atualização constante e participação não só da alta gestão do órgão, mas também dos servidores e da equipe de TI de Segurança da Informação.

O que

Compões

A lei geral de proteção de dados pessoais (lgpd – lei n° 13.709, de 14 de agosto de 2018) foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. essa lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.

Em Resumo a Lei Visa:

  • 1

    Consentimento

    (autorização expressa em TODA captação de dados, porém de forma SEPARADA);

  • 2

    Finalidade

    (porque e para o que, quer usar o dado, legítimo interesse. Está vedado a captação de QUALQUER DADO para enviar a terceiros);

  • 3

    Transparência

    (o que está acontecendo com os dados e estes termos estarem disponíveis para acesso, ter contratos para tudo);

  • 4

    Não discriminação

    (não pode o usuário sofrer qualquer prejuízo pelo seu dado coletado);

  • 5

    Opção fácil e clara de descadastrar ou excluir o dado do requerente SEM JUSTIFICATIVA;

No caso do setor público, a principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Tais políticas públicas, vale destacar, devem estar inseridas nas atribuições legais do órgão ou da entidade da administração pública que efetuar o referido tratamento. Outra finalidade corriqueira para o tratamento de dados no serviço público é o cumprimento de obrigação legal ou regulatória pelo controlador. Nessas duas situações, o consentimento do titular de dados é dispensado. Nos casos de tratamento de dados em que a base legal não é o consentimento, é possível o compartilhamento de dados com órgãos públicos ou transferência de dados a terceiro fora do setor público. Quando isso acontecer, os agentes de tratamento devem comunicar as operações executadas, de forma clara, aos titulares dos dados, garantindo-lhes o exercício aos direitos previstos no art. 18 da LGPD, com destaque aos direitos de acesso, retificação, oposição, eliminação e informação das entidades públicas e privadas com as quais o controlador irá realizar o uso compartilhado de dados. É importante registrar que tal comunicação deve ser renovada na alteração da finalidade ou em qualquer alteração nas operações de tratamento, inclusive de novo compartilhamento ou transferência. Além disso, é necessário que a cada tratamento de dados seja feita uma análise de se os princípios da necessidade e adequação também estão sendo cumpridos pelo controlador. Já nos casos de tratamento de dados feitos com base no consentimento, cada nova operação realizada com os dados pessoais deve ser objeto de nova requisição de consentimento, inclusive para o compartilhamento dos dados com outras entidades, de dentro ou fora da administração pública federal.

Documentos

Política de Segurança da Informação

Plano de Continuidade de Negócio (PCN)

Plano de Gestão de Ativos de Informação

Plano de Gestão de Riscos de Segurança da Informação

Plano de Gestão de Contratos

Plano de Treinamento e Conscientização dos Usuários Sobre Segurança da Informação

Plano de Controle de Acesso à Informação

Plano de Consentimentos de Dados

Plano de Proteção de Dados

Template Inventario Dados Pessoais SC