Aprova a Metodologia de Diagnóstico de Maturidade em Proteção de Dados Pessoais e disciplina o procedimento de autoavaliação por parte dos órgãos da Administração Pública Municipal.
REPUBLICAÇÃO - Inclusão do anexo único à Instrução Normativa publicada no D.O.C. de 27/12/2024, Atos do Executivo nº 1259523
INSTRUÇÃO NORMATIVA CONTROLADORIA GERAL DO MUNICÍPIO - CGM Nº 02/2024, DE 23 DE DEZEMBRO DE 2024.
Aprova a Metodologia de Diagnóstico de Maturidade em Proteção de Dados Pessoais e disciplina o procedimento de autoavaliação por parte dos órgãos da Administração Pública Municipal.
O Controlador Geral do Município, no uso das atribuições que lhe conferem o artigo 138 da Lei Municipal nº 15.764/2013, o artigo 5º do Decreto Municipal nº 59.767/2020, e o artigo 41 da Lei Federal nº 13.709/2018 (LGPD),
RESOLVE:
Capítulo I
Das Disposições Preliminares
Art. 1º Fica aprovada a Metodologia de Diagnóstico de Maturidade em Proteção de Dados Pessoais da Controladoria Geral do Município, nos termos do Anexo Único desta Instrução Normativa.
Art. 2º O Diagnóstico de Maturidade em Proteção de Dados Pessoais tem como objetivo fornecer aos gestores dos órgãos as informações necessárias para obter um panorama sobre o processo de adequação do órgão às regras dispostas na LGPD e em atos normativos correlatos, bem como em boas práticas sobre o tema, com o intuito de possibilitar a identificação e a priorização de ações a partir da divisão por fases para verificação de controles.
Capítulo II
Da Autoavaliação pelos órgãos da Administração Pública Municipal
Art. 3º Os órgãos da Administração Pública Municipal deverão realizar a autoavaliação do Diagnóstico de Maturidade em Proteção de Dados Pessoais da fase em que se encontram, a ser conduzido pelo respectivo Chefe de Gabinete, nos termos do art. 7º do Decreto nº 59.767/2020 e do Anexo Único desta Instrução Normativa.
Parágrafo único. Os órgãos deverão considerar o resultado da autoavaliação no planejamento e implementação de ações futuras de adequação à LGPD.
Art. 4º Independentemente de o órgão ser selecionado para análise pela Coordenadoria de Proteção de Dados Pessoais a que se refere o Capítulo III desta Instrução Normativa, os órgãos devem realizar a autoavaliação anualmente.
§1º A Divisão de Conformidade em Proteção de Dados Pessoais encaminhará, anualmente, por Ofício Circular, link para o formulário da autoavaliação, que deverá ser preenchido na forma e prazo estipulados pelo encarregado da proteção de dados pessoais, nos termos do art. 6º do Decreto nº 59.767/20.
§2º A Divisão de Conformidade em Proteção de Dados Pessoais instaurará, anualmente, um único processo SEI específico para consolidação das autoavaliações realizadas, coletadas a partir do link a que se refere o §1º deste artigo.
§3º Os órgãos instruirão, anualmente, processo SEI específico para registro do levantamento das informações e do resultado da autoavaliação realizada, que, somente deverá ser encaminhado à Controladoria Geral do Município, por solicitação desta, caso o órgão seja objeto da análise amostral a que se refere o Capítulo III desta Instrução Normativa.
Capítulo III
Da Análise pela Coordenadoria de Proteção de Dados Pessoais
Art. 5º A análise da autoavaliação será realizada pela Divisão de Conformidade em Proteção de Dados Pessoais, de forma amostral, por meio de Processo SEI, conforme planejamento anual da Coordenadoria de Proteção de Dados Pessoais e planejamento estratégico da Controladoria Geral do Município.
§ 1º A análise amostral a que se refere o caput deste artigo só ocorrerá sobre órgãos que declararem, no preenchimento da autoavaliação, que implementaram, quando aplicável, todos os controles da fase em que se encontram, oportunidade em que deverão fornecer as respectivas evidências.
§2º A análise da Divisão de Conformidade em Proteção de Dados Pessoais consistirá em indicar:
I – que o órgão comprovou a implementação dos controles da fase em que se encontra, quando:
a) as evidências sejam suficientes e adequadas para atestar a existência dos controles; e
b) a(s) justificativa(s) pela inaplicabilidade de determinado(s) controle(s) seja(m) pertinente(s);
II – que o órgão não comprovou a implementação dos controles da fase em que se encontra, quando:
a) as evidências sejam insuficientes e/ou inadequadas para atestar a existência dos controles; ou
b) a(s) justificativa(s) pela inaplicabilidade de determinado(s) controle(s) não seja(m) pertinente(s).
Art. 6º Com exceção da primeira fase, quando da análise das demais fases, esta deverá considerar os controles da etapa em avaliação e da(s) etapa(s) anterior(es), em processo cíclico de monitoramento.
Art. 7º A Divisão de Conformidade em Proteção de Dados Pessoais poderá realizar nova análise sobre controles de fases já verificadas anteriormente para fins de monitoramento, de forma amostral, conforme planejamento anual da Coordenadoria de Proteção de Dados Pessoais e planejamento estratégico da Controladoria Geral do Município.
Art. 8º A Coordenadoria de Proteção de Dados Pessoais irá consolidar o resultado das autoavaliações e prestar apoio e orientação aos órgãos no processo de autoavaliação a que se refere esta Instrução Normativa.
Capítulo IV
Das Disposições Finais
Art. 9º O não cumprimento da autoavaliação na forma e no prazo estipulados pelo Controlador Geral do Município, enquanto encarregado da proteção de dados pessoais nos termos do art. 6º do Decreto nº 59.767/20, poderá implicar responsabilização das autoridades a que dispõe o caput do art. 7º do Decreto Municipal nº 59.767/2020, nos termos do art. 7º, inc. I, da Instrução Normativa CGM nº 01, de 21 de julho de 2022, e do art. 138, §1º, da Lei Municipal nº 15.764, de 27 de maio de 2013.
Art. 10. A Auditoria Geral do Município poderá realizar trabalhos de auditoria sobre a temática de proteção de dados pessoais, nos termos da Lei nº 15.764/2013 e do Decreto nº 62.809/2023.
Art. 11. Os pontos de controle e o resultado da autoavaliação previstos não isentam os órgãos a se adequarem às outras disposições da LGPD e de normativos aplicáveis.
Art. 12. A Divisão de Normatização em Proteção de Dados Pessoais da Coordenadoria de Proteção de Dados Pessoais elaborará Guias Orientativos para cada fase do Diagnóstico de Maturidade em Proteção de Dados.
Art. 13. A metodologia do Diagnóstico de Proteção de Dados Pessoais, no que couber, terá caráter orientativo à Administração Pública Municipal Indireta.
Art. 14. Esta Instrução Normativa entra em vigor na data de sua publicação.
ANEXO ÚNICO - Lista dos controles por fase de verificação
Fase 01 - Preparatório
Tema | Controle |
01. Estrutura organizacional | 01. O órgão possui a indicação formal de um Encarregado da proteção de dados pessoais? |
01. Estrutura organizacional | 02. O órgão possui um Grupo de Trabalho ou estrutura equivalente, para apoiar na adequação à LGPD? |
01. Estrutura organizacional | 03. O órgão realizou no período atividade de sensibilização (estímulo à reflexão sobre a importância da LGPD com vistas à mudança de comportamentos) dos seus agentes públicos acerca da LGPD por meio de ações como disponibilização de informativos, condução de workshops, realização de palestras ou seminários, entre outros? |
02. Governança | 04. O órgão elaborou e/ou atualizou no período o seu Planejamento para elaboração do Programa de Governança em Privacidade e Proteção de Dados Pessoais (documento com a descrição de atividades necessárias e os respectivos prazos para elaboração do Programa), para direcionar a iniciativa de adequação à LGPD? |
03. Tratamento de dados pessoais | 05. O órgão realizou, revisou ou atualizou no período o mapeamento de processos que tratam dados pessoais? |
03. Tratamento de dados pessoais | 06. O órgão realizou, revisou ou atualizou no período o mapeamento de dados pessoais dos processos mapeados? |
03. Tratamento de dados pessoais | 07. O órgão realizou, revisou ou atualizou no período a identificação das finalidades e das hipóteses legais que são consideradas para o tratamento de dados pessoais? |
04. Direitos dos titulares | 08. O órgão disponibiliza canal específico para recebimento de demandas de atendimento aos direitos dos titulares referentes à LGPD? |
05. Resposta a incidentes | 09. Existe um canal apropriado para o recebimento de denúncias e/ou notificações de incidentes de Segurança da Informação? |
06. Transparência | 10. O órgão divulga a identidade e as informações de contato do Encarregado de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador? |
06. Transparência | 11. O órgão informa a respeito do tratamento de dados pessoais realizado no âmbito de suas competências, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os compartilhamentos, as transferências, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos? |
06. Transparência | 12. O órgão ao coletar cookies identifica, no banner de segundo nível, as hipóteses legais utilizadas, de acordo com cada finalidade/categoria de cookie, utilizando o consentimento como principal hipótese legal, exceção feita aos cookies estritamente necessários, que podem se basear no legítimo interesse ou, se for o caso, no cumprimento de obrigações ou atribuições legais? |
07. Segurança da Informação | 13. O órgão mantém um inventário de software e de ativos de tecnologia da informação, executando também um processo de configuração segura de todos os ativos e softwares? |
08. Gestão de terceiros | 14. O órgão adota minutas padrão para os instrumentos convocatórios, contratos administrativos, termos de cooperação e instrumentos congêneres com requisitos mínimos relativos ao tratamento de dados pessoais? |
08. Gestão de terceiros | 15. O órgão realizou, revisou ou atualizou no período o mapeamento dos contratos firmados com terceiros (operadores, co-controladores, provedores de serviço de TI, fornecedores, etc), contemplando os registros de compartilhamentos e transferências internacionais de dados pessoais realizados, incluindo quais dados pessoais foram divulgados, a quem e com que finalidade? |
Fase 02 - Básico
Tema | Controle |
01. Estrutura organizacional | 16. O Encarregado da proteção de dados pessoais participou no período de alguma capacitação específica direcionada à sua função? |
01. Estrutura organizacional | 17. O Grupo de Trabalho de apoio à Adequação à LGPD participou no período de algum treinamento relacionado com a temática de proteção de dados pessoais? |
02. Governança | 18. O Órgão elaborou e/ou atualizou no período o seu Plano de Gestão de Riscos à Segurança da Informação, à Privacidade e à Proteção de Dados Pessoais (contemplando as atividades de Identificação, Avaliação e Tratamento de Riscos)? |
02. Governança | 19. O órgão elaborou e/ou atualizou no período a sua Política de Gestão de Riscos em Segurança da Informação, Privacidade e Proteção de Dados Pessoais (documento que contém diretrizes gerais relacionadas à gestão de riscos, a definição do apetite e da tolerância ao risco, além de estabelecer os objetivos e comunicar o comprometimento da unidade em relação à gestão de riscos)? |
03. Tratamento de dados pessoais | 20. O órgão adequou e/ou revisou, conforme a necessidade, seus processos e atividades relacionadas ao tratamento de dados pessoais às legislações/normativos vigentes, implementando o conceito de Privacy by Design e Privacy by Default, de modo que processos e sistemas sejam projetados, desde a concepção, em conformidade com a LGPD? |
04. Direitos dos titulares | 21. O órgão tem definido um fluxo de atendimento das demandas dos titulares de dados pessoais? |
04. Direitos dos titulares | 22. O órgão responde às solicitações dos titulares quanto aos seus dados pessoais, observando os seus direitos conforme disposto pela LGPD? |
05. Resposta a incidentes | 23. O órgão tem definido um fluxo de comunicação às autoridades e aos titulares de dados pessoais a respeito dos incidentes e violações que possam acarretar risco ou danos? |
05. Resposta a incidentes | 24. O órgão comunica as autoridades e os titulares de dados sobre os incidentes e violações que possam acarretar risco ou danos, fornecendo todas as informações pertinentes, quando solicitado pelas autoridades competentes? |
06. Transparência | 25. O órgão adequou e/ou revisou o seu Portal da Transparência, conforme a necessidade, de modo a se ajustar às exigências da LGPD com relação aos dados pessoais publicizados (análise de necessidade e adequação)? |
07. Segurança da Informação | 26. Foram estabelecidas arquitetura e infraestrutura de redes seguras, com a manutenção de rede corporativa segmentada em domínios lógicos (limitando aos funcionários o acesso às redes e aos serviços de rede especificamente autorizados a usar), de acordo com cada rede local, atendendo às necessidades de fornecimento de serviço público e proteção da rede corporativa? |
07. Segurança da Informação | 27. O órgão mantém softwares antimalware, incluindo proteções para servidor de e-mail, navegador web e outras defesas contra malware? |
07. Segurança da Informação | 28. Existem e são executados processos periódicos de cópias de segurança dos servidores, roteadores, infraestrutura da rede corporativa, e das configurações e sistemas operacionais? |
08. Gestão de terceiros | 29. O órgão adequou e/ou revisou, conforme a necessidade, os instrumentos convocatórios, contratos administrativos, termos de cooperação e instrumentos congêneres, a fim de manter a sua conformidade à LGPD? |
08. Gestão de terceiros | 30. O órgão adequou e/ou revisou, conforme a necessidade, os compartilhamentos e as transferências internacionais de dados pessoais, a fim de manter a sua conformidade com os critérios estabelecidos na LGPD? |
Fase 03 - Intermediário
Tema | Controle |
01. Estrutura organizacional | 31. As funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais são claramente estabelecidas e comunicadas (em normativo, política, procedimento ou documento similar)? |
01. Estrutura organizacional | 32. O órgão realizou no período campanha institucional de conscientização (transmissão de conhecimentos teóricos e práticos com vistas a capacitação técnica para atuação profissional) sobre a LGPD voltada para seus agentes públicos, por meio de ações como cursos, treinamentos ou oficinas, entre outros? |
02. Governança | 33. O órgão elaborou e/ou atualizou no período o Relatório de Impacto à Proteção de Dados Pessoais? |
02. Governança | 34. O órgão elaborou e/ou atualizou no período o seu Programa de Governança em Privacidade e Proteção de Dados Pessoais? |
03. Tratamento de dados pessoais | 35. A organização possui Política de Classificação da Informação ou instrumento similar, abrangendo diretrizes para a classificação de dados pessoais? |
03. Tratamento de dados pessoais | 36. O Órgão possui uma Tabela de Temporalidade de Documentos (ou documento similar) ou adota parâmetros e controles relativos ao tempo de guarda e eliminação dos dados de que tem posse? |
04. Direitos dos titulares | 37. O órgão possui uma Política de Atendimento (ou documento similar) aos direitos dos titulares? |
04. Direitos dos titulares | 38. O órgão realiza o controle de recebimento e resposta das petições recebidas dos titulares de dados pessoais? |
05. Resposta a incidentes | 39. O órgão possui uma Política de Resposta a Incidentes (ou documento similar) para tratar violações relativas à privacidade dos titulares de dados pessoais? |
05. Resposta a incidentes | 40. Todas as violações de dados pessoais são documentadas para fins de rastreabilidade, em atendimento ao princípio da responsabilização e da prestação de contas? |
06. Transparência | 41. O órgão possui e divulga a Política de Privacidade e Proteção de Dados Pessoais em local de fácil acesso, antes ou no momento do tratamento de dados pessoais, sem a necessidade de o titular ter que solicitá-lo especificamente? |
07. Segurança da Informação | 42. O órgão possui uma Política de Segurança da Informação (ou documento similar) contendo diretrizes e procedimentos sobre controle de acesso, uso de senhas, rotina de backup, uso de cookies, entre outros? |
08. Gestão de terceiros | 43. O órgão possui uma Política de Contratações de Terceiros (Gerenciamento de Fornecedores, Due Dilligence, ou documento similar) adequada às exigências da LGDP, contendo disposições específicas para cada modalidade de contratação, informando os documentos e requisitos necessários que devem instruir cada procedimento? |
08. Gestão de terceiros | 44. O órgão, ao compartilhar ou transferir dados pessoais, adota um processo de formalização e registro, incluindo a comunicação à CGM-SP no caso de compartilhamento a pessoa de direito privado, identificando objeto e finalidade, responsabilidades, nível de serviço, base legal, duração e outras condições do tratamento? |
Fase 04 - Avançado
Tema | Controle |
01. Estrutura organizacional | 45. O órgão executa e monitora o seu Plano de Capacitação em Privacidade e Proteção de Dados Pessoais (processo permanente aprendizagem com o objetivo de desenvolver competências individuais) para seus colaboradores, contemplando atividades de conscientização periódicas, incluindo ações especializadas para os colaboradores que exercem funções com responsabilidades relacionadas à proteção de dados pessoais? |
02. Governança | 46. O órgão executa e monitora o seu Plano de Gestão de Riscos à Segurança da Informação, à Privacidade e à Proteção de Dados Pessoais (contemplando as atividades de Identificação, Avaliação e Tratamento de Riscos)? |
03. Tratamento de dados pessoais | 47. O Órgão conta com processo formal e documentado de gestão do Consentimento do Titular de Dados (quando utiliza esta hipótese legal), fornecendo instrumentos adequados para que o titular de dados pessoais manifeste o seu consentimento, quando necessário, de forma livre, informada e inequívoca? |
03. Tratamento de dados pessoais | 48. A organização monitora se os dados pessoais são retidos (armazenados) durante o tempo estritamente necessário para cumprir com as finalidades de tratamento de dados pessoais que foram identificadas (em observância à Tabela de Temporalidade de Documentos)? |
04. Direitos dos titulares | 49. O órgão monitora Indicadores de Desempenho com relação ao atendimento aos Direitos dos Titulares? |
05. Resposta a incidentes | 50. O órgão monitora Indicadores de Desempenho com relação às respostas aos incidentes de segurança? |
06. Transparência | 51. O órgão implementa meios práticos para permitir que os titulares gerenciem os seus dados pessoais, de forma simples, rápida e eficiente, e que não acarrete atrasos indevidos ou custo ao titular? |
07. Segurança da Informação | 52. O órgão realiza o monitoramento das vulnerabilidades técnicas nos tratamentos de dados pessoais, incluindo o monitoramento e defesa da rede (sistemas de detecção e alerta para eventos de segurança)? |
07. Segurança da Informação | 53. A instituição realiza a gestão do controle de contas e acessos (físicos e lógicos) centralizada, considerando o princípio do privilégio mínimo na concessão de direitos de acesso para o processamento de dados pessoais, em que deve ser dado acesso apenas aos dados pessoais necessários para o desempenho das funções dos colaboradores? |
08. Gestão de terceiros | 54. O órgão monitora e inspeciona a implementação dos requisitos estabelecidos nas cláusulas contratuais pelos operadores e terceiros? |
08. Gestão de terceiros | 55. O órgão monitora e comunica qualquer alteração, correção ou remoção dos dados pessoais para operadores e terceiros com quem os dados pessoais foram compartilhados? |
Fase 05 – Institucionalização
Tema | Controle |
01. Estrutura organizacional | 56. O órgão estabelece e mantém contato com as autoridades relevantes, grupos de interesse especial ou fóruns especializados, buscando-se atualização e conhecimento das melhores práticas na área? |
02. Governança | 57. O órgão submete o seu Programa de Governança em Privacidade e Proteção de Dados Pessoais a revisão e reavaliação periódicas em um processo contínuo de gerenciamento de riscos de segurança? |
03. Tratamento de dados pessoais | 58. O órgão, ao realizar tratamento de dados pessoais sensíveis baseado na hipótese de tutela da saúde, mantém controles para restringir o tratamento exclusivamente a profissionais de saúde, serviços de saúde ou autoridade sanitária? |
03. Tratamento de dados pessoais | 59. O órgão mantém controles para assegurar que a divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa, em nenhuma hipótese, revele dados pessoais? |
03. Tratamento de dados pessoais | 60. O órgão mantém controles sobre os dados pessoais que necessitam ser anonimizados de acordo com o tratamento e exigências estabelecidas por leis aplicáveis? |
03. Tratamento de dados pessoais | 61. O órgão mantém controles sobre a manutenção dos dados em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral? |
03. Tratamento de dados pessoais | 62. O órgão mantém controles sobre o tratamento de dados pessoais de crianças e adolescentes, com o objetivo de verificar o atendimento ao seu melhor interesse, conforme preconizado pelo art. 14 da LGPD? |
03. Tratamento de dados pessoais | 63. O órgão mantém controles sobre as técnicas ou métodos apropriados para garantir exclusão ou destruição segura de dados pessoais (incluindo originais, cópias e registros arquivados), de modo a impedir sua recuperação? |
03. Tratamento de dados pessoais | 64. O órgão mantém controles sobre as decisões relacionadas ao titular de dados pessoais que são baseadas em tratamento automatizado e fornece, sempre que solicitada, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados? |
04. Direitos dos titulares | 65. O órgão mantém controles que o permitam otimizar as respostas aos titulares (ex. análise estatística das demandas, uso de modelos de respostas, análise de gargalos, pesquisa de satisfação, etc.)? |
05. Resposta a incidentes | 66. O órgão executa as atividades de documentação e de avaliação pós-incidente, promovendo uma análise detalhada dos incidentes para identificar as suas causas, as lições aprendidas e as recomendações para prevenir futuros incidentes similares, buscando implementar os pontos de melhoria e revisar políticas e procedimentos? |
06. Transparência | 67. O órgão mantém controles sobre os níveis de acesso dos processos que utilizam dados pessoais, quando tramitados pelo Sistema Eletrônico de Informação - SEI, a fim de monitorar o cumprimento às regras de classificação de acesso adequadas à LGPD (em observância à Política de Classificação da Informação)? |
07. Segurança da Informação | 68. O órgão mantém controle de registros de eventos (logs), considerando o princípio de minimização de dados, gravando o acesso ao dado pessoal, incluindo por quem, quando, qual titular de dados pessoais foi acessado e quais mudanças (se houver alguma) foram feitas (adições, modificações ou exclusões), como um resultado do evento? |
08. Gestão de terceiros | 69. O órgão mantém controles sobre as medidas de proteção de dados pessoais adotadas pelas entidades com quem compartilha dados pessoais? |
08. Gestão de terceiros | 70. O órgão mantém controles sobre o compartilhamento ou transferência de dados pessoais e se tais atividades são realizadas por meio de um canal criptografado e de cifra recomendada pelos sítios especializados de segurança? |
Quadro resumo dos controles
05. Institucionalização | 56. Participação em fóruns especializados | 57. Atualização do Programa de Governança | Controles sobre: | 64. Tratamento automatizado | 65. Controles sobre a melhoria contínua no atendimento | 66. Controles sobre a documentação e avaliação pós-incidente | 67. Controles sobre os níveis de acesso no SEI | 68. Controles sobre registros de eventos (logs) | 70. Controles sobre a transferência de dados e criptografia |
63.Exclusão ou destruição de dados | |||||||||
62. Dados de crianças e adolescentes | |||||||||
61. Formato interope-rável e estruturado | 69. Controles sobre as medidas de proteção adotadas por terceiros | ||||||||
60. Dados anonimizados | |||||||||
59. Dados em estudo ou pesquisa | |||||||||
58. Dados relacionados à saúde | |||||||||
04. Avançado | 45. Monitoramento do Plano de Capacitação | 46. Monitoramento do Plano de Gestão de Riscos | 48. Monitoramento do tempo de armazenamento dos dados pessoais | 49. Monitoramento de Indicadores de Desempenho do atendimento aos titulares | 50. Monitoramento de Indicadores de Desempenho de incidentes de segurança | 51. Gerenciamento de dados pelo titular | 53. Gestão do controle de contas e acessos | 55. Monitoramento e comunicação de alterações a terceiros | |
47. Gestão do Consentimento do Titular de Dados Pessoais | 52. Monitoramento de vulnerabilidades técnicas | 54. Monitoramento de requisitos de terceiros | |||||||
03. Intermediário | 32. Conscientização | 34. Programa de Governança | 36. Tabela de Temporalidade de Documentos | 38. Registro dos atendimentos | 40. Registro dos incidentes | 41. Política de Privacidade e Proteção de Dados Pessoais | 42. Política de Segurança da Informação | 44. Registro de compartilhamentos | |
31. Funções e responsabilidades | 33. Relatório de Impacto à Proteção de Dados Pessoais | 35. Política de Classificação da Informação | 37. Política de Atendimento | 39. Política de Resposta a Incidentes | 43. Política de Contratações de Terceiros | ||||
02. Básico | 17. Capacitação do Grupo de Trabalho | 19. Política de Gestão de Riscos | 20. Adequação de processos e atividades | 22. Resposta às solicitações dos titulares | 24. Resposta aos incidentes | 25. Adequação do Portal da Transparência | 28. Cópias de segurança | 30. Adequação de compartilhamentos e transferências | |
27. Softwares antimalware | |||||||||
16. Capacitação do Encarregado | 18. Plano de Gestão de Riscos | 21. Fluxo de atendimento | 23. Fluxo de comunicação de incidentes | 26. Arquitetura e infra de redes | 29. Adequação de contratos | ||||
01. Preparatório | 03. Sensibilização | 04. Planejamento | 07. Finalidades e hipóteses legais | 08. Canal de atendimento aos direitos dos titulares | 09. Canal de denúncias e/ou notificações de incidentes | 12. Coleta de cookies | 13. Inventário de software e de ativos de tecnologia da informação | 15. Mapeamento dos contratos e compartilhamentos | |
02. Grupo de Trabalho | 06. Mapeamento de dados pessoais | 11. Informações do tratamento de dados | |||||||
01. Encarregado | 05. Mapeamento de processos | 10. Informações do Encarregado | 14. Minutas padrão | ||||||
Fase / Tema | 01. Estrutura organizacional | 02. Governança | 03. Tratamento de dados pessoais | 04. Direitos dos titulares | 05. Resposta a incidentes | 06. Transparência | 07. Segurança da Informação | 08. Gestão de terceiros | |
DANIEL FALCÃO
Controlador Geral do Município
Encarregado pela Proteção de Dados Pessoais da Prefeitura do Município
Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo
