CASA CIVIL DO GABINETE DO PREFEITO

Acessibilidade

PORTARIA CONTROLADORIA GERAL DO MUNICÍPIO - CGM Nº 27 de 22 de Junho de 2026

Regulamenta o modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais da Administração Pública Municipal (PGPP), assim como o procedimento do Diagnóstico de Maturidade em Proteção de Dados Pessoais.

Portaria CGM nº 27/2026

 

Regulamenta o modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais da Administração Pública Municipal (PGPP), assim como o procedimento do Diagnóstico de Maturidade em Proteção de Dados Pessoais.

 

DANIEL FALCÃO, CONTROLADOR GERAL DO MUNICÍPIO, no uso das atribuições que lhe conferem o artigo 138 da Lei Municipal nº 15.764/2013 e o artigo 7º-A do Decreto Municipal nº 59.767/2020,

 

RESOLVE:

 

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

 

Art. 1º O modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais (PGPP) e o procedimento do Diagnóstico de Maturidade em Proteção de Dados Pessoais ficam regulamentados nos termos desta Portaria e Anexo Único.

Parágrafo único. As disposições desta Portaria devem ser observadas, no que couber, pela Administração Pública Municipal Direta e Indireta, nos termos do Art. 4º e do Art. 10, inciso II, ambos do Decreto nº 59.767/2020.

 

CAPÍTULO II

DO MODELO DE PROGRAMA DE GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS (PGPP)

 

Seção I

Disposições preliminares

 

Art. 2º O modelo de PGPP consiste em referência técnica para implementação de controles que visam o tratamento de riscos relevantes associados à privacidade e à proteção de dados pessoais na Administração Pública Municipal, divididos em cinco fases e classificados em oito temas.

Parágrafo único. O detalhamento dos controles por fases e temas fica estabelecido conforme Anexo Único desta Portaria.

Art. 3º O modelo de PGPP poderá ser adaptado pelos órgãos e entidades, dada a sua autonomia técnica e considerando o contexto, o volume e o risco dos tratamentos de dados pessoais realizados.

§ 1º Cabe ao grupo de trabalho, referido no Art. 4º, § 3º, do Decreto nº 59.767/2020, a implantação do PGPP no respectivo órgão ou entidade.

§ 2º Cabe ao encarregado orientar o respectivo órgão ou entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, nos termos da Resolução CD/ANPD nº 18/2024.

 

Seção II

Das fases e temas do modelo de PGPP

 

Art. 4º Os temas que compõem o modelo de PGPP são:

I – Estrutura Organizacional: definição de arranjo institucional para execução das funções relacionadas ao tratamento de dados pessoais, com a determinação dos principais colaboradores dessa estrutura, suas competências e suas responsabilidades;

II – Governança: políticas para gerenciar e monitorar requisitos regulatórios, legais, de risco e operacionais da organização, de modo que sejam compreendidos por todos que direcionem ações de tratamento de dados pessoais de forma organizada e coordenada;

III – Tratamento de Dados Pessoais: mapeamento dos principais fluxos sobre execução de funções relacionadas ao tratamento de dados pessoais;

IV – Direitos dos titulares: dever do Poder Público em assegurar exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e a finalidade de seu tratamento, bem como garantia aos titulares ao acesso facilitado e gratuito a seus dados pessoais, com direito a correção de dados incompletos, inexatos ou desatualizados;

V – Resposta a incidentes: estabelecimento de estrutura adequada para executar o gerenciamento de incidentes de segurança da informação que envolvam a violação de dados pessoais, a partir da implantação de procedimentos de identificação, registro, tratamento de incidentes e comunicação às autoridades competentes e aos titulares de dados pessoais, nos casos que possam acarretar risco ou dano relevante;

VI – Transparência: disponibilização, de forma adequada, ostensiva, em linguagem simples, de informações claras, precisas, atuais e facilmente acessíveis aos titulares sobre a realização do tratamento e os respectivos agentes de tratamento, de modo a assegurar o efetivo conhecimento do titular a respeito das atividades de tratamento realizadas pelo controlador, bem como sobre os seus direitos e a forma de exercê-lo;

VII – Segurança da Informação: adoção de medidas técnicas e administrativas para proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

VIII – Gestão de terceiros: supervisão de terceiros com a finalidade de garantir a implementação das instruções previstas pelo controlador no intuito de atender aos requisitos de conformidade com as leis e regulamentos de proteção de dados em vigor e requisitos de privacidade.

Art. 5º As fases que compõem o modelo de PGPP são:

I – Fase 01 - Preparatório: caracteriza-se pela execução de atividades de tratamento de dados pessoais de forma não estruturada, cuja atuação, ainda baseada em competências previstas em lei, depende de habilidades específicas de agentes públicos que ocupem determinadas posições;

II – Fase 02 - Básico: fase na qual as instituições já executam as principais atividades relacionadas à privacidade e à proteção de dados pessoais, uma vez que os principais processos já se encontram mapeados, após a revisão destes e das atividades relacionadas à privacidade e proteção de dados pessoais;

III – Fase 03 - Intermediário: fase na qual as instituições possuem seus processos formalizados em procedimentos e fluxos, com respectiva documentação que demonstre como as atividades devem ser realizadas, a partir do qual é possível exercer controle das atividades relacionadas à privacidade e proteção de dados pessoais;

IV – Fase 04 - Avançado: fase na qual as instituições possuem seus processos definidos em regulamento próprio, que contemple políticas e normas específicas, havendo controles robustos relacionados à proteção de dados pessoais;

V – Fase 05 - Institucionalização: fase na qual houve institucionalização de todas as práticas previstas para o tratamento de dados pessoais e as instituições possuem gerenciamento sobre os seus processos através de indicadores de desempenho, que permitem uma supervisão efetiva dos controles implementados e contínuo processo de monitoramento.

 

CAPÍTULO III

DO DIAGNÓSTICO DE MATURIDADE EM PROTEÇÃO DE DADOS PESSOAIS

 

Art. 6º O Diagnóstico de Maturidade em Proteção de Dados Pessoais tem como objetivo fornecer aos gestores dos órgãos e entidades as informações necessárias para obter um panorama sobre o processo de implementação do PGPP, visando possibilitar a identificação e a priorização de ações.

 

Seção I

Da autoavaliação pelos órgãos e entidades da Administração Pública

 

Art. 7° Os órgãos e entidades da Administração Pública Municipal deverão realizar a autoavaliação do Diagnóstico de Maturidade em Proteção de Dados Pessoais anualmente.

§1º O preenchimento da autoavaliação deverá ser conduzido pelo respectivo encarregado, nos termos do art. 5º do Decreto nº 59.767/2020.

§2º Caso o órgão ou entidade tenha designado mais de um encarregado para atuar no âmbito de suas unidades administrativas, nos termos do art. 5º, § 3º, e do art. 10, I, do Decreto nº 59.767/2020, bem como do art. 5º, § 2º, da Resolução CD/ANPD nº 18/2024, cada encarregado deverá conduzir a autoavaliação de forma autônoma, considerando o seu respectivo escopo de atuação.

§3º Os órgãos e entidades deverão considerar o resultado da autoavaliação no planejamento e implementação de ações futuras de adequação à LGPD.

Art. 8º A Divisão de Conformidade em Proteção de Dados Pessoais encaminhará, anualmente, por ofício, instruções quanto a forma e prazo para preenchimento da autoavaliação.

§1º A autoavaliação sobre cada controle consistirá na verificação de sua implementação, com a indicação da correspondente resposta sobre a sua existência:

I - “Sim”, caso o controle tenha sido implementado, devendo-se armazenar as evidências suficientes e adequadas para atestar a sua existência;

II - “Não”, caso o controle não tenha sido implementado, devendo-se indicar previsão de prazo para a conclusão de sua implementação;

III - “Não se aplica”, caso o controle não seja aplicável ao órgão ou entidade, devendo-se armazenar a justificativa pertinente.

§2º Os órgãos e entidades instruirão, anualmente, Processo SEI específico para registro do levantamento das informações e do resultado da autoavaliação realizada.

 

Seção II

Da análise pela Coordenadoria de Proteção de Dados Pessoais

 

Art. 9º A análise da autoavaliação será realizada pela Divisão de Conformidade em Proteção de Dados Pessoais, de forma amostral, por meio de Processo SEI, conforme planejamento anual da Coordenadoria de Proteção de Dados Pessoais e planejamento estratégico da Controladoria Geral do Município.

Parágrafo único. A análise da Divisão de Conformidade em Proteção de Dados Pessoais consistirá em indicar:

I – que o órgão ou entidade comprovou a implementação dos controles da fase em que se encontra, quando:

a) as evidências sejam suficientes e adequadas para atestar a existência dos controles; e

b) a(s) justificativa(s) pela inaplicabilidade de determinado(s) controle(s) seja(m) pertinente(s).

II – que o órgão ou entidade não comprovou a implementação dos controles da fase em que se encontra, quando:

a) as evidências sejam insuficientes e/ou inadequadas para atestar a existência dos controles; ou

b) a(s) justificativa(s) pela inaplicabilidade de determinado(s) controle(s) não seja(m) pertinente(s).

Art. 10. A Divisão de Conformidade em Proteção de Dados Pessoais poderá realizar nova análise sobre controles de fases já verificadas anteriormente para fins de monitoramento, de forma amostral, conforme planejamento anual da Coordenadoria de Proteção de Dados Pessoais e planejamento estratégico da Controladoria Geral do Município.

Art. 11. A Divisão de Conformidade em Proteção de Dados Pessoais instaurará, anualmente, um único Processo SEI específico para consolidação das autoavaliações realizadas.

Art. 12. A Coordenadoria de Proteção de Dados Pessoais irá prestar apoio e orientação aos órgãos e entidades no processo de autoavaliação a que se refere esta Portaria.

 

CAPÍTULO IV

DAS DISPOSIÇÕES FINAIS

 

Art. 13. Os controles previstos não isentam os órgãos e entidades de se adequarem às outras disposições da LGPD e de normativos aplicáveis.

Art. 14. O não cumprimento da autoavaliação na forma e no prazo estipulados pelo Controlador Geral do Município, nos termos do art. 7º-A do Decreto nº 59.767/2020, poderá implicar em responsabilização, nos termos do art. 138, §1º, da Lei Municipal nº 15.764/2013.

Art. 15. A Divisão de Normatização em Proteção de Dados Pessoais da Coordenadoria de Proteção de Dados Pessoais elaborará Guias Orientativos para cada fase do PGPP.

Art. 16. Ficam revogadas a Instrução Normativa CGM nº 01/2022 e a Instrução Normativa CGM nº 02/2024.

Art. 17. Esta Portaria entra em vigor na data de sua publicação.

 

ANEXO ÚNICO

 

Fase 01 - Preparatório

Tema

Controle

01. Estrutura organizacional

01. A unidade possui a indicação formal de um encarregado pelo tratamento de dados pessoais?

01. Estrutura organizacional

02. A unidade possui um Grupo de Trabalho ou estrutura equivalente, para apoiar na adequação à LGPD?

01. Estrutura organizacional

03. A unidade realizou no período atividade de sensibilização sobre a importância da LGPD e seu impacto nas atividades exercidas pelos respectivos agentes públicos?

02. Governança

04. A unidade elaborou e/ou atualizou no período o seu Planejamento para implementação do Programa de Governança em Privacidade e Proteção de Dados Pessoais?

03. Tratamento de dados pessoais

05. A unidade realizou, revisou ou atualizou no período o mapeamento de processos que tratam dados pessoais?

03. Tratamento de dados pessoais

06. A unidade realizou, revisou ou atualizou no período o mapeamento de dados pessoais dos processos mapeados?

03. Tratamento de dados pessoais

07. A unidade realizou, revisou ou atualizou no período a identificação das finalidades e das hipóteses legais que são consideradas para o tratamento de dados pessoais?

04. Direitos dos titulares

08. A unidade disponibiliza canal específico para recebimento de requisições de atendimento aos direitos dos titulares referentes à LGPD?

05. Resposta a incidentes

09. Existe um canal apropriado para o recebimento de denúncias e/ou notificações de incidentes de segurança?

06. Transparência

10. A unidade divulga a identidade e as informações de contato do encarregado pelo tratamento de dados pessoais de forma clara e objetiva, nos seus sítios eletrônicos?

06. Transparência

11. A unidade informa a respeito do tratamento de dados pessoais realizado no âmbito de suas competências em seus sítios eletrônicos?

06. Transparência

12. A unidade mantém aviso de privacidade e banners de cookies em dois níveis em seus sítios eletrônicos, conferindo transparência e possibilitando a obtenção do consentimento dos usuários?

07. Segurança da Informação

13. A unidade mantém um inventário de software e de ativos de tecnologia da informação?

08. Gestão de terceiros

14. A unidade adota modelo de cláusulas contratuais para os instrumentos convocatórios, contratos administrativos, termos de parceria, acordos de cooperação e instrumentos congêneres com requisitos relativos ao tratamento de dados pessoais?

08. Gestão de terceiros

15. A unidade realizou, revisou ou atualizou no período a relação/lista dos contratos, termos de parceria, acordos de cooperação ou instrumentos congêneres firmados com terceiros?

 

Fase 02 - Básico

Tema

Controle

01. Estrutura organizacional

16. O encarregado pelo tratamento de dados pessoais participou no período de alguma capacitação específica direcionada à sua função?

01. Estrutura organizacional

17. O Grupo de Trabalho de apoio à adequação à LGPD participou no período de algum treinamento relacionado com a temática de proteção de dados pessoais?

02. Governança

18. A unidade elaborou e/ou atualizou no período o seu Plano de Gestão de Riscos em Privacidade (contemplando as atividades de Identificação, Análise, Avaliação e Tratamento de Riscos)?

02. Governança

19. A unidade elaborou e/ou atualizou no período a sua Política de Gestão de Riscos em Privacidade?

03. Tratamento de dados pessoais

20. A unidade adequou e/ou revisou, conforme a necessidade, seus processos e atividades relacionadas ao tratamento de dados pessoais às legislações/normativos vigentes, de modo que processos e sistemas sejam projetados em conformidade com a LGPD?

04. Direitos dos titulares

21. A unidade tem definido um fluxo de atendimento das requisições dos titulares de dados pessoais?

04. Direitos dos titulares

22. A unidade responde às requisições dos titulares quanto aos seus dados pessoais, observando os seus direitos, conforme disposto pela LGPD?

05. Resposta a incidentes

23. A unidade tem definido um fluxo de comunicação às autoridades e aos titulares de dados pessoais a respeito dos incidentes e violações que possam acarretar risco ou danos?

05. Resposta a incidentes

24. A unidade comunica as autoridades e os titulares de dados pessoais sobre os incidentes e violações que possam acarretar risco ou danos?

06. Transparência

25. A unidade adequou e/ou revisou os seus sítios eletrônicos, conforme a necessidade, de modo a se ajustar às exigências da LGPD com relação aos dados pessoais publicizados?

07. Segurança da Informação

26. Foram estabelecidas arquitetura e infraestrutura de redes seguras, com a manutenção de rede corporativa segmentada em domínios lógicos?

07. Segurança da Informação

27. A unidade mantém softwares antimalware, incluindo proteções para servidor de e-mail, navegador web e outras defesas contra malware?

07. Segurança da Informação

28. Existem e são executados processos periódicos de cópias de segurança dos servidores, roteadores, infraestrutura da rede corporativa, e das configurações e sistemas operacionais?

08. Gestão de terceiros

29. As decisões administrativas que envolvam o uso compartilhado de dados pessoais consideram requisitos relativos ao tratamento de dados pessoais?

08. Gestão de terceiros

30. O uso compartilhado de dados pessoais é precedido de avaliação sobre a compatibilidade entre a finalidade original e a do uso compartilhado?

 

Fase 03 - Intermediário

Tema

Controle

01. Estrutura organizacional

31. As funções e responsabilidades dos agentes públicos envolvidos nos tratamentos de dados pessoais são claramente estabelecidas e comunicadas (em normativo, política, procedimento ou documento similar)?

01. Estrutura organizacional

32. A unidade realizou no período campanha institucional de conscientização para transmissão de conhecimentos teóricos e práticos sobre a LGPD e as responsabilidades envolvidas, voltada para seus agentes públicos?

02. Governança

33. A unidade elaborou e/ou atualizou no período o Relatório de Impacto à Proteção de Dados Pessoais?

02. Governança

34. A unidade elaborou e/ou atualizou no período o seu Programa de Governança em Privacidade e Proteção de Dados Pessoais?

03. Tratamento de dados pessoais

35. A unidade possui Política de Classificação da Informação ou instrumento similar, abrangendo diretrizes para a classificação de dados pessoais?

03. Tratamento de dados pessoais

36. A unidade possui uma Tabela de Temporalidade de Documentos (ou documento similar) ou adota parâmetros e controles relativos ao tempo de guarda e eliminação dos dados de que tem posse?

04. Direitos dos titulares

37. A unidade possui uma Política de Atendimento (ou documento similar) aos direitos dos titulares?

04. Direitos dos titulares

38. A unidade realiza o controle de recebimento e resposta das requisições recebidas dos titulares de dados pessoais?

05. Resposta a incidentes

39. A unidade possui uma Política de Resposta a Incidentes (ou documento similar) para tratar violações relativas à privacidade dos titulares de dados pessoais?

05. Resposta a incidentes

40. Todas as violações de dados pessoais são documentadas para fins de rastreabilidade, em atendimento ao princípio da responsabilização e da prestação de contas?

06. Transparência

41. A unidade possui e divulga a Política de Privacidade e Proteção de Dados Pessoais em local de fácil acesso?

07. Segurança da Informação

42. A unidade possui uma Política de Segurança da Informação (ou documento similar) contendo diretrizes e procedimentos sobre controle de acesso, uso de senhas, rotina de backup, uso de cookies, entre outros?

08. Gestão de terceiros

43. A unidade possui uma Política de Contratações de Terceiros (Gerenciamento de Fornecedores, Due Dilligence, ou documento similar) adequada às exigências da LGPD, contendo disposições específicas de acordo com a modalidade de contratação, informando os documentos e requisitos necessários que devem instruir cada procedimento?

08. Gestão de terceiros

44. A unidade, ao compartilhar ou transferir dados pessoais, adota um processo de formalização e registro, incluindo a comunicação ao encarregado pelo tratamento de dados pessoais no caso de uso compartilhado com terceiros, identificando objeto e finalidade, responsabilidades, nível de serviço, base legal, duração e outras condições do tratamento?

 

Fase 04 - Avançado

Tema

Controle

01. Estrutura organizacional

45. A unidade executa e monitora o seu Plano de Capacitação em Privacidade e Proteção de Dados Pessoais (processo permanente de aprendizagem com o objetivo de desenvolver competências individuais) para seus agentes públicos?

02. Governança

46. A unidade executa e monitora o seu Plano de Gestão de Riscos em Privacidade (contemplando as atividades de Identificação, Análise, Avaliação e Tratamento de Riscos)?

03. Tratamento de dados pessoais

47. A unidade conta com processo formal e documentado de gestão do Consentimento do Titular de Dados (quando utiliza esta hipótese legal), fornecendo instrumentos adequados para que o titular de dados pessoais manifeste o seu consentimento, quando necessário, de forma livre, informada e inequívoca?

03. Tratamento de dados pessoais

48. A unidade monitora se os dados pessoais são retidos (armazenados) durante o tempo estritamente necessário para cumprir com as finalidades de tratamento de dados pessoais que foram identificadas (em observância à Tabela de Temporalidade de Documentos)?

04. Direitos dos titulares

49. A unidade monitora Indicadores de Desempenho com relação ao atendimento aos Direitos dos Titulares?

05. Resposta a incidentes

50. A unidade monitora Indicadores de Desempenho com relação às respostas aos incidentes de segurança?

06. Transparência

51. A unidade implementa meios práticos para permitir que os titulares gerenciem os seus dados pessoais, de forma simples, rápida e eficiente?

07. Segurança da Informação

52. A unidade realiza o monitoramento das vulnerabilidades técnicas nos tratamentos de dados pessoais, incluindo o monitoramento e defesa da rede?

07. Segurança da Informação

53. A unidade realiza a gestão do controle de contas e acessos (físicos e lógicos) centralizada, considerando o princípio do privilégio mínimo na concessão de direitos de acesso para o tratamento de dados pessoais, em que deve ser dado acesso apenas aos dados pessoais necessários para o desempenho das funções dos agentes públicos?

08. Gestão de terceiros

54. A unidade monitora e inspeciona a implementação dos requisitos estabelecidos nas cláusulas contratuais pelos operadores e terceiros?

08. Gestão de terceiros

55. A unidade monitora e comunica qualquer alteração, correção ou remoção dos dados pessoais para operadores e terceiros com quem os dados pessoais foram compartilhados?

 

Fase 05 – Institucionalização

Tema

Controle

01. Estrutura organizacional

56. A unidade estabelece e mantém contato com as autoridades relevantes, grupos de interesse especial ou fóruns especializados, buscando-se atualização e conhecimento das melhores práticas na área?

02. Governança

57. A unidade submete o seu Programa de Governança em Privacidade e Proteção de Dados Pessoais à revisão e reavaliação periódicas em um processo contínuo de gerenciamento de riscos?

03. Tratamento de dados pessoais

58. A unidade, ao realizar tratamento de dados pessoais sensíveis baseado na hipótese de tutela da saúde, mantém controles para restringir o tratamento exclusivamente a profissionais de saúde, serviços de saúde ou autoridade sanitária?

03. Tratamento de dados pessoais

59. A unidade mantém controles para assegurar que a divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa, em nenhuma hipótese, revele dados pessoais?

03. Tratamento de dados pessoais

60. A unidade mantém controles sobre os dados pessoais que necessitam ser anonimizados de acordo com o tratamento e exigências estabelecidas por leis aplicáveis?

03. Tratamento de dados pessoais

61. A unidade mantém controles sobre a manutenção dos dados em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral?

03. Tratamento de dados pessoais

62. A unidade mantém controles sobre o tratamento de dados pessoais de crianças e adolescentes, com o objetivo de verificar o atendimento ao seu melhor interesse, conforme preconizado pelo art. 14 da LGPD?

03. Tratamento de dados pessoais

63. A unidade mantém controles sobre as técnicas ou métodos apropriados para garantir exclusão ou destruição segura de dados pessoais (incluindo originais, cópias e registros arquivados), de modo a impedir sua recuperação?

03. Tratamento de dados pessoais

64. A unidade mantém controles sobre as decisões relacionadas ao titular de dados pessoais que são baseadas em tratamento automatizado e fornece, sempre que solicitada, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados?

04. Direitos dos titulares

65. A unidade mantém controles que o permitam otimizar as respostas aos titulares (ex. análise estatística das requisições, uso de modelos de respostas, análise de gargalos, pesquisa de satisfação, etc.)?

05. Resposta a incidentes

66. A unidade executa as atividades de documentação e de avaliação pós-incidente, promovendo uma análise detalhada dos incidentes para identificar as suas causas, as lições aprendidas e as recomendações para prevenir futuros incidentes similares, buscando implementar os pontos de melhoria e revisar políticas e procedimentos?

06. Transparência

67. A unidade mantém controles sobre os níveis de acesso dos processos que utilizam dados pessoais, quando tramitados pelo Sistema Eletrônico de Informação - SEI, a fim de monitorar o cumprimento às regras de classificação de acesso adequadas à LGPD (em observância à Política de Classificação da Informação)?

07. Segurança da Informação

68. A unidade mantém controle de registros de eventos (logs), quando aplicável, considerando o princípio de minimização de dados, gravando o acesso ao dado pessoal, incluindo por quem, quando, qual titular de dados pessoais foi acessado e quais mudanças (se houver alguma) foram feitas (adições, modificações ou exclusões), como um resultado do evento?

08. Gestão de terceiros

69. A unidade mantém controles sobre as medidas de proteção de dados pessoais adotadas por terceiros no caso de uso compartilhado de dados pessoais?

08. Gestão de terceiros

70. A unidade mantém controles sobre o uso compartilhado de dados pessoais e se é realizado por meio de um canal criptografado e de cifra recomendada pelos sítios especializados de segurança?

 

Quadro resumo dos controles

05. Institucionalização

56. Participação em fóruns especializados

57. Atualização do Programa de Governança

Controles sobre:

64. Tratamento automatizado

65. Controles sobre a melhoria contínua no atendimento

66. Controles sobre a documentação e avaliação pós-incidente

67. Controles sobre os níveis de acesso no SEI

68. Controles sobre registros de eventos (logs)

70. Controles sobre a transferência de dados e criptografia

63.Exclusão ou destruição de dados

62. Dados de crianças e adolescentes

61. Formato interope-rável e estruturado

69. Controles sobre as medidas de proteção adotadas por terceiros

60. Dados anonimizados

59. Dados em estudo ou pesquisa

58. Dados relacionados à saúde

04. Avançado

45. Monitoramento do Plano de Capacitação

46. Monitoramento do Plano de Gestão de Riscos

48. Monitoramento do tempo de armazenamento dos dados pessoais

49. Monitoramento de Indicadores de Desempenho do atendimento aos titulares

50. Monitoramento de Indicadores de Desempenho de incidentes de segurança

51. Gerenciamento de dados pelo titular

53. Gestão do controle de contas e acessos

55. Monitoramento e comunicação de alterações a terceiros

47. Gestão do Consentimento do Titular de Dados Pessoais

52. Monitoramento de vulnerabilidades técnicas

54. Monitoramento de requisitos de terceiros

03. Intermediário

32. Conscientização

34. Programa de Governança

36. Tabela de Temporalidade de Documentos

38. Registro dos atendimentos

40. Registro dos incidentes

41. Política de Privacidade e Proteção de Dados Pessoais

42. Política de Segurança da Informação

44. Registro de uso compartilhado

31. Funções e responsabilidades

33. Relatório de Impacto à Proteção de Dados Pessoais

35. Política de Classificação da Informação

37. Política de Atendimento

39. Política de Resposta a Incidentes

43. Política de Contratações de Terceiros

02. Básico

17. Capacitação do Grupo de Trabalho

19. Política de Gestão de Riscos

20. Adequação de processos e atividades

22. Resposta às requisições dos titulares

24. Resposta aos incidentes

25. Adequação de sítios eletrônicos

28. Cópias de segurança

30. Avaliação de Compatibilidade das Finalidades

27. Softwares antimalware

16. Capacitação do Encarregado

18. Plano de Gestão de Riscos

21. Fluxo de atendimento

23. Fluxo de comunicação de incidentes

26. Arquitetura e infra de redes

29. Decisões administrativas sobre uso compartilhado

01. Preparatório

03. Sensibilização

04. Planejamento

07. Finalidades e hipóteses legais

08. Canal de atendimento aos direitos dos titulares

09. Canal de denúncias e/ou notificações de incidentes

12. Aviso de privacidade e cookies

13. Inventário de software e de ativos de tecnologia da informação

15. Relação/lista dos contratos

02. Grupo de Trabalho

06. Mapeamento de dados pessoais

11. Informações do tratamento de dados

01. Encarregado

05. Mapeamento de processos

10. Informações do Encarregado

14. Modelo de cláusulas contratuais

Fase / Tema

01. Estrutura organizacional

02. Governança

03. Tratamento de dados pessoais

04. Direitos dos titulares

05. Resposta a incidentes

06. Transparência

07. Segurança da Informação

08. Gestão de terceiros

 

Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo