Regulamenta o modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais da Administração Pública Municipal (PGPP), assim como o procedimento do Diagnóstico de Maturidade em Proteção de Dados Pessoais.
Portaria CGM nº 27/2026
Regulamenta o modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais da Administração Pública Municipal (PGPP), assim como o procedimento do Diagnóstico de Maturidade em Proteção de Dados Pessoais.
DANIEL FALCÃO, CONTROLADOR GERAL DO MUNICÍPIO, no uso das atribuições que lhe conferem o artigo 138 da Lei Municipal nº 15.764/2013 e o artigo 7º-A do Decreto Municipal nº 59.767/2020,
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º O modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais (PGPP) e o procedimento do Diagnóstico de Maturidade em Proteção de Dados Pessoais ficam regulamentados nos termos desta Portaria e Anexo Único.
Parágrafo único. As disposições desta Portaria devem ser observadas, no que couber, pela Administração Pública Municipal Direta e Indireta, nos termos do Art. 4º e do Art. 10, inciso II, ambos do Decreto nº 59.767/2020.
CAPÍTULO II
DO MODELO DE PROGRAMA DE GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS (PGPP)
Seção I
Disposições preliminares
Art. 2º O modelo de PGPP consiste em referência técnica para implementação de controles que visam o tratamento de riscos relevantes associados à privacidade e à proteção de dados pessoais na Administração Pública Municipal, divididos em cinco fases e classificados em oito temas.
Parágrafo único. O detalhamento dos controles por fases e temas fica estabelecido conforme Anexo Único desta Portaria.
Art. 3º O modelo de PGPP poderá ser adaptado pelos órgãos e entidades, dada a sua autonomia técnica e considerando o contexto, o volume e o risco dos tratamentos de dados pessoais realizados.
§ 1º Cabe ao grupo de trabalho, referido no Art. 4º, § 3º, do Decreto nº 59.767/2020, a implantação do PGPP no respectivo órgão ou entidade.
§ 2º Cabe ao encarregado orientar o respectivo órgão ou entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, nos termos da Resolução CD/ANPD nº 18/2024.
Seção II
Das fases e temas do modelo de PGPP
Art. 4º Os temas que compõem o modelo de PGPP são:
I – Estrutura Organizacional: definição de arranjo institucional para execução das funções relacionadas ao tratamento de dados pessoais, com a determinação dos principais colaboradores dessa estrutura, suas competências e suas responsabilidades;
II – Governança: políticas para gerenciar e monitorar requisitos regulatórios, legais, de risco e operacionais da organização, de modo que sejam compreendidos por todos que direcionem ações de tratamento de dados pessoais de forma organizada e coordenada;
III – Tratamento de Dados Pessoais: mapeamento dos principais fluxos sobre execução de funções relacionadas ao tratamento de dados pessoais;
IV – Direitos dos titulares: dever do Poder Público em assegurar exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e a finalidade de seu tratamento, bem como garantia aos titulares ao acesso facilitado e gratuito a seus dados pessoais, com direito a correção de dados incompletos, inexatos ou desatualizados;
V – Resposta a incidentes: estabelecimento de estrutura adequada para executar o gerenciamento de incidentes de segurança da informação que envolvam a violação de dados pessoais, a partir da implantação de procedimentos de identificação, registro, tratamento de incidentes e comunicação às autoridades competentes e aos titulares de dados pessoais, nos casos que possam acarretar risco ou dano relevante;
VI – Transparência: disponibilização, de forma adequada, ostensiva, em linguagem simples, de informações claras, precisas, atuais e facilmente acessíveis aos titulares sobre a realização do tratamento e os respectivos agentes de tratamento, de modo a assegurar o efetivo conhecimento do titular a respeito das atividades de tratamento realizadas pelo controlador, bem como sobre os seus direitos e a forma de exercê-lo;
VII – Segurança da Informação: adoção de medidas técnicas e administrativas para proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
VIII – Gestão de terceiros: supervisão de terceiros com a finalidade de garantir a implementação das instruções previstas pelo controlador no intuito de atender aos requisitos de conformidade com as leis e regulamentos de proteção de dados em vigor e requisitos de privacidade.
Art. 5º As fases que compõem o modelo de PGPP são:
I – Fase 01 - Preparatório: caracteriza-se pela execução de atividades de tratamento de dados pessoais de forma não estruturada, cuja atuação, ainda baseada em competências previstas em lei, depende de habilidades específicas de agentes públicos que ocupem determinadas posições;
II – Fase 02 - Básico: fase na qual as instituições já executam as principais atividades relacionadas à privacidade e à proteção de dados pessoais, uma vez que os principais processos já se encontram mapeados, após a revisão destes e das atividades relacionadas à privacidade e proteção de dados pessoais;
III – Fase 03 - Intermediário: fase na qual as instituições possuem seus processos formalizados em procedimentos e fluxos, com respectiva documentação que demonstre como as atividades devem ser realizadas, a partir do qual é possível exercer controle das atividades relacionadas à privacidade e proteção de dados pessoais;
IV – Fase 04 - Avançado: fase na qual as instituições possuem seus processos definidos em regulamento próprio, que contemple políticas e normas específicas, havendo controles robustos relacionados à proteção de dados pessoais;
V – Fase 05 - Institucionalização: fase na qual houve institucionalização de todas as práticas previstas para o tratamento de dados pessoais e as instituições possuem gerenciamento sobre os seus processos através de indicadores de desempenho, que permitem uma supervisão efetiva dos controles implementados e contínuo processo de monitoramento.
CAPÍTULO III
DO DIAGNÓSTICO DE MATURIDADE EM PROTEÇÃO DE DADOS PESSOAIS
Art. 6º O Diagnóstico de Maturidade em Proteção de Dados Pessoais tem como objetivo fornecer aos gestores dos órgãos e entidades as informações necessárias para obter um panorama sobre o processo de implementação do PGPP, visando possibilitar a identificação e a priorização de ações.
Seção I
Da autoavaliação pelos órgãos e entidades da Administração Pública
Art. 7° Os órgãos e entidades da Administração Pública Municipal deverão realizar a autoavaliação do Diagnóstico de Maturidade em Proteção de Dados Pessoais anualmente.
§1º O preenchimento da autoavaliação deverá ser conduzido pelo respectivo encarregado, nos termos do art. 5º do Decreto nº 59.767/2020.
§2º Caso o órgão ou entidade tenha designado mais de um encarregado para atuar no âmbito de suas unidades administrativas, nos termos do art. 5º, § 3º, e do art. 10, I, do Decreto nº 59.767/2020, bem como do art. 5º, § 2º, da Resolução CD/ANPD nº 18/2024, cada encarregado deverá conduzir a autoavaliação de forma autônoma, considerando o seu respectivo escopo de atuação.
§3º Os órgãos e entidades deverão considerar o resultado da autoavaliação no planejamento e implementação de ações futuras de adequação à LGPD.
Art. 8º A Divisão de Conformidade em Proteção de Dados Pessoais encaminhará, anualmente, por ofício, instruções quanto a forma e prazo para preenchimento da autoavaliação.
§1º A autoavaliação sobre cada controle consistirá na verificação de sua implementação, com a indicação da correspondente resposta sobre a sua existência:
I - “Sim”, caso o controle tenha sido implementado, devendo-se armazenar as evidências suficientes e adequadas para atestar a sua existência;
II - “Não”, caso o controle não tenha sido implementado, devendo-se indicar previsão de prazo para a conclusão de sua implementação;
III - “Não se aplica”, caso o controle não seja aplicável ao órgão ou entidade, devendo-se armazenar a justificativa pertinente.
§2º Os órgãos e entidades instruirão, anualmente, Processo SEI específico para registro do levantamento das informações e do resultado da autoavaliação realizada.
Seção II
Da análise pela Coordenadoria de Proteção de Dados Pessoais
Art. 9º A análise da autoavaliação será realizada pela Divisão de Conformidade em Proteção de Dados Pessoais, de forma amostral, por meio de Processo SEI, conforme planejamento anual da Coordenadoria de Proteção de Dados Pessoais e planejamento estratégico da Controladoria Geral do Município.
Parágrafo único. A análise da Divisão de Conformidade em Proteção de Dados Pessoais consistirá em indicar:
I – que o órgão ou entidade comprovou a implementação dos controles da fase em que se encontra, quando:
a) as evidências sejam suficientes e adequadas para atestar a existência dos controles; e
b) a(s) justificativa(s) pela inaplicabilidade de determinado(s) controle(s) seja(m) pertinente(s).
II – que o órgão ou entidade não comprovou a implementação dos controles da fase em que se encontra, quando:
a) as evidências sejam insuficientes e/ou inadequadas para atestar a existência dos controles; ou
b) a(s) justificativa(s) pela inaplicabilidade de determinado(s) controle(s) não seja(m) pertinente(s).
Art. 10. A Divisão de Conformidade em Proteção de Dados Pessoais poderá realizar nova análise sobre controles de fases já verificadas anteriormente para fins de monitoramento, de forma amostral, conforme planejamento anual da Coordenadoria de Proteção de Dados Pessoais e planejamento estratégico da Controladoria Geral do Município.
Art. 11. A Divisão de Conformidade em Proteção de Dados Pessoais instaurará, anualmente, um único Processo SEI específico para consolidação das autoavaliações realizadas.
Art. 12. A Coordenadoria de Proteção de Dados Pessoais irá prestar apoio e orientação aos órgãos e entidades no processo de autoavaliação a que se refere esta Portaria.
CAPÍTULO IV
DAS DISPOSIÇÕES FINAIS
Art. 13. Os controles previstos não isentam os órgãos e entidades de se adequarem às outras disposições da LGPD e de normativos aplicáveis.
Art. 14. O não cumprimento da autoavaliação na forma e no prazo estipulados pelo Controlador Geral do Município, nos termos do art. 7º-A do Decreto nº 59.767/2020, poderá implicar em responsabilização, nos termos do art. 138, §1º, da Lei Municipal nº 15.764/2013.
Art. 15. A Divisão de Normatização em Proteção de Dados Pessoais da Coordenadoria de Proteção de Dados Pessoais elaborará Guias Orientativos para cada fase do PGPP.
Art. 16. Ficam revogadas a Instrução Normativa CGM nº 01/2022 e a Instrução Normativa CGM nº 02/2024.
Art. 17. Esta Portaria entra em vigor na data de sua publicação.
ANEXO ÚNICO
Fase 01 - Preparatório
Tema | Controle |
01. Estrutura organizacional | 01. A unidade possui a indicação formal de um encarregado pelo tratamento de dados pessoais? |
01. Estrutura organizacional | 02. A unidade possui um Grupo de Trabalho ou estrutura equivalente, para apoiar na adequação à LGPD? |
01. Estrutura organizacional | 03. A unidade realizou no período atividade de sensibilização sobre a importância da LGPD e seu impacto nas atividades exercidas pelos respectivos agentes públicos? |
02. Governança | 04. A unidade elaborou e/ou atualizou no período o seu Planejamento para implementação do Programa de Governança em Privacidade e Proteção de Dados Pessoais? |
03. Tratamento de dados pessoais | 05. A unidade realizou, revisou ou atualizou no período o mapeamento de processos que tratam dados pessoais? |
03. Tratamento de dados pessoais | 06. A unidade realizou, revisou ou atualizou no período o mapeamento de dados pessoais dos processos mapeados? |
03. Tratamento de dados pessoais | 07. A unidade realizou, revisou ou atualizou no período a identificação das finalidades e das hipóteses legais que são consideradas para o tratamento de dados pessoais? |
04. Direitos dos titulares | 08. A unidade disponibiliza canal específico para recebimento de requisições de atendimento aos direitos dos titulares referentes à LGPD? |
05. Resposta a incidentes | 09. Existe um canal apropriado para o recebimento de denúncias e/ou notificações de incidentes de segurança? |
06. Transparência | 10. A unidade divulga a identidade e as informações de contato do encarregado pelo tratamento de dados pessoais de forma clara e objetiva, nos seus sítios eletrônicos? |
06. Transparência | 11. A unidade informa a respeito do tratamento de dados pessoais realizado no âmbito de suas competências em seus sítios eletrônicos? |
06. Transparência | 12. A unidade mantém aviso de privacidade e banners de cookies em dois níveis em seus sítios eletrônicos, conferindo transparência e possibilitando a obtenção do consentimento dos usuários? |
07. Segurança da Informação | 13. A unidade mantém um inventário de software e de ativos de tecnologia da informação? |
08. Gestão de terceiros | 14. A unidade adota modelo de cláusulas contratuais para os instrumentos convocatórios, contratos administrativos, termos de parceria, acordos de cooperação e instrumentos congêneres com requisitos relativos ao tratamento de dados pessoais? |
08. Gestão de terceiros | 15. A unidade realizou, revisou ou atualizou no período a relação/lista dos contratos, termos de parceria, acordos de cooperação ou instrumentos congêneres firmados com terceiros? |
Fase 02 - Básico
Tema | Controle |
01. Estrutura organizacional | 16. O encarregado pelo tratamento de dados pessoais participou no período de alguma capacitação específica direcionada à sua função? |
01. Estrutura organizacional | 17. O Grupo de Trabalho de apoio à adequação à LGPD participou no período de algum treinamento relacionado com a temática de proteção de dados pessoais? |
02. Governança | 18. A unidade elaborou e/ou atualizou no período o seu Plano de Gestão de Riscos em Privacidade (contemplando as atividades de Identificação, Análise, Avaliação e Tratamento de Riscos)? |
02. Governança | 19. A unidade elaborou e/ou atualizou no período a sua Política de Gestão de Riscos em Privacidade? |
03. Tratamento de dados pessoais | 20. A unidade adequou e/ou revisou, conforme a necessidade, seus processos e atividades relacionadas ao tratamento de dados pessoais às legislações/normativos vigentes, de modo que processos e sistemas sejam projetados em conformidade com a LGPD? |
04. Direitos dos titulares | 21. A unidade tem definido um fluxo de atendimento das requisições dos titulares de dados pessoais? |
04. Direitos dos titulares | 22. A unidade responde às requisições dos titulares quanto aos seus dados pessoais, observando os seus direitos, conforme disposto pela LGPD? |
05. Resposta a incidentes | 23. A unidade tem definido um fluxo de comunicação às autoridades e aos titulares de dados pessoais a respeito dos incidentes e violações que possam acarretar risco ou danos? |
05. Resposta a incidentes | 24. A unidade comunica as autoridades e os titulares de dados pessoais sobre os incidentes e violações que possam acarretar risco ou danos? |
06. Transparência | 25. A unidade adequou e/ou revisou os seus sítios eletrônicos, conforme a necessidade, de modo a se ajustar às exigências da LGPD com relação aos dados pessoais publicizados? |
07. Segurança da Informação | 26. Foram estabelecidas arquitetura e infraestrutura de redes seguras, com a manutenção de rede corporativa segmentada em domínios lógicos? |
07. Segurança da Informação | 27. A unidade mantém softwares antimalware, incluindo proteções para servidor de e-mail, navegador web e outras defesas contra malware? |
07. Segurança da Informação | 28. Existem e são executados processos periódicos de cópias de segurança dos servidores, roteadores, infraestrutura da rede corporativa, e das configurações e sistemas operacionais? |
08. Gestão de terceiros | 29. As decisões administrativas que envolvam o uso compartilhado de dados pessoais consideram requisitos relativos ao tratamento de dados pessoais? |
08. Gestão de terceiros | 30. O uso compartilhado de dados pessoais é precedido de avaliação sobre a compatibilidade entre a finalidade original e a do uso compartilhado? |
Fase 03 - Intermediário
Tema | Controle |
01. Estrutura organizacional | 31. As funções e responsabilidades dos agentes públicos envolvidos nos tratamentos de dados pessoais são claramente estabelecidas e comunicadas (em normativo, política, procedimento ou documento similar)? |
01. Estrutura organizacional | 32. A unidade realizou no período campanha institucional de conscientização para transmissão de conhecimentos teóricos e práticos sobre a LGPD e as responsabilidades envolvidas, voltada para seus agentes públicos? |
02. Governança | 33. A unidade elaborou e/ou atualizou no período o Relatório de Impacto à Proteção de Dados Pessoais? |
02. Governança | 34. A unidade elaborou e/ou atualizou no período o seu Programa de Governança em Privacidade e Proteção de Dados Pessoais? |
03. Tratamento de dados pessoais | 35. A unidade possui Política de Classificação da Informação ou instrumento similar, abrangendo diretrizes para a classificação de dados pessoais? |
03. Tratamento de dados pessoais | 36. A unidade possui uma Tabela de Temporalidade de Documentos (ou documento similar) ou adota parâmetros e controles relativos ao tempo de guarda e eliminação dos dados de que tem posse? |
04. Direitos dos titulares | 37. A unidade possui uma Política de Atendimento (ou documento similar) aos direitos dos titulares? |
04. Direitos dos titulares | 38. A unidade realiza o controle de recebimento e resposta das requisições recebidas dos titulares de dados pessoais? |
05. Resposta a incidentes | 39. A unidade possui uma Política de Resposta a Incidentes (ou documento similar) para tratar violações relativas à privacidade dos titulares de dados pessoais? |
05. Resposta a incidentes | 40. Todas as violações de dados pessoais são documentadas para fins de rastreabilidade, em atendimento ao princípio da responsabilização e da prestação de contas? |
06. Transparência | 41. A unidade possui e divulga a Política de Privacidade e Proteção de Dados Pessoais em local de fácil acesso? |
07. Segurança da Informação | 42. A unidade possui uma Política de Segurança da Informação (ou documento similar) contendo diretrizes e procedimentos sobre controle de acesso, uso de senhas, rotina de backup, uso de cookies, entre outros? |
08. Gestão de terceiros | 43. A unidade possui uma Política de Contratações de Terceiros (Gerenciamento de Fornecedores, Due Dilligence, ou documento similar) adequada às exigências da LGPD, contendo disposições específicas de acordo com a modalidade de contratação, informando os documentos e requisitos necessários que devem instruir cada procedimento? |
08. Gestão de terceiros | 44. A unidade, ao compartilhar ou transferir dados pessoais, adota um processo de formalização e registro, incluindo a comunicação ao encarregado pelo tratamento de dados pessoais no caso de uso compartilhado com terceiros, identificando objeto e finalidade, responsabilidades, nível de serviço, base legal, duração e outras condições do tratamento? |
Fase 04 - Avançado
Tema | Controle |
01. Estrutura organizacional | 45. A unidade executa e monitora o seu Plano de Capacitação em Privacidade e Proteção de Dados Pessoais (processo permanente de aprendizagem com o objetivo de desenvolver competências individuais) para seus agentes públicos? |
02. Governança | 46. A unidade executa e monitora o seu Plano de Gestão de Riscos em Privacidade (contemplando as atividades de Identificação, Análise, Avaliação e Tratamento de Riscos)? |
03. Tratamento de dados pessoais | 47. A unidade conta com processo formal e documentado de gestão do Consentimento do Titular de Dados (quando utiliza esta hipótese legal), fornecendo instrumentos adequados para que o titular de dados pessoais manifeste o seu consentimento, quando necessário, de forma livre, informada e inequívoca? |
03. Tratamento de dados pessoais | 48. A unidade monitora se os dados pessoais são retidos (armazenados) durante o tempo estritamente necessário para cumprir com as finalidades de tratamento de dados pessoais que foram identificadas (em observância à Tabela de Temporalidade de Documentos)? |
04. Direitos dos titulares | 49. A unidade monitora Indicadores de Desempenho com relação ao atendimento aos Direitos dos Titulares? |
05. Resposta a incidentes | 50. A unidade monitora Indicadores de Desempenho com relação às respostas aos incidentes de segurança? |
06. Transparência | 51. A unidade implementa meios práticos para permitir que os titulares gerenciem os seus dados pessoais, de forma simples, rápida e eficiente? |
07. Segurança da Informação | 52. A unidade realiza o monitoramento das vulnerabilidades técnicas nos tratamentos de dados pessoais, incluindo o monitoramento e defesa da rede? |
07. Segurança da Informação | 53. A unidade realiza a gestão do controle de contas e acessos (físicos e lógicos) centralizada, considerando o princípio do privilégio mínimo na concessão de direitos de acesso para o tratamento de dados pessoais, em que deve ser dado acesso apenas aos dados pessoais necessários para o desempenho das funções dos agentes públicos? |
08. Gestão de terceiros | 54. A unidade monitora e inspeciona a implementação dos requisitos estabelecidos nas cláusulas contratuais pelos operadores e terceiros? |
08. Gestão de terceiros | 55. A unidade monitora e comunica qualquer alteração, correção ou remoção dos dados pessoais para operadores e terceiros com quem os dados pessoais foram compartilhados? |
Fase 05 – Institucionalização
Tema | Controle |
01. Estrutura organizacional | 56. A unidade estabelece e mantém contato com as autoridades relevantes, grupos de interesse especial ou fóruns especializados, buscando-se atualização e conhecimento das melhores práticas na área? |
02. Governança | 57. A unidade submete o seu Programa de Governança em Privacidade e Proteção de Dados Pessoais à revisão e reavaliação periódicas em um processo contínuo de gerenciamento de riscos? |
03. Tratamento de dados pessoais | 58. A unidade, ao realizar tratamento de dados pessoais sensíveis baseado na hipótese de tutela da saúde, mantém controles para restringir o tratamento exclusivamente a profissionais de saúde, serviços de saúde ou autoridade sanitária? |
03. Tratamento de dados pessoais | 59. A unidade mantém controles para assegurar que a divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa, em nenhuma hipótese, revele dados pessoais? |
03. Tratamento de dados pessoais | 60. A unidade mantém controles sobre os dados pessoais que necessitam ser anonimizados de acordo com o tratamento e exigências estabelecidas por leis aplicáveis? |
03. Tratamento de dados pessoais | 61. A unidade mantém controles sobre a manutenção dos dados em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral? |
03. Tratamento de dados pessoais | 62. A unidade mantém controles sobre o tratamento de dados pessoais de crianças e adolescentes, com o objetivo de verificar o atendimento ao seu melhor interesse, conforme preconizado pelo art. 14 da LGPD? |
03. Tratamento de dados pessoais | 63. A unidade mantém controles sobre as técnicas ou métodos apropriados para garantir exclusão ou destruição segura de dados pessoais (incluindo originais, cópias e registros arquivados), de modo a impedir sua recuperação? |
03. Tratamento de dados pessoais | 64. A unidade mantém controles sobre as decisões relacionadas ao titular de dados pessoais que são baseadas em tratamento automatizado e fornece, sempre que solicitada, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados? |
04. Direitos dos titulares | 65. A unidade mantém controles que o permitam otimizar as respostas aos titulares (ex. análise estatística das requisições, uso de modelos de respostas, análise de gargalos, pesquisa de satisfação, etc.)? |
05. Resposta a incidentes | 66. A unidade executa as atividades de documentação e de avaliação pós-incidente, promovendo uma análise detalhada dos incidentes para identificar as suas causas, as lições aprendidas e as recomendações para prevenir futuros incidentes similares, buscando implementar os pontos de melhoria e revisar políticas e procedimentos? |
06. Transparência | 67. A unidade mantém controles sobre os níveis de acesso dos processos que utilizam dados pessoais, quando tramitados pelo Sistema Eletrônico de Informação - SEI, a fim de monitorar o cumprimento às regras de classificação de acesso adequadas à LGPD (em observância à Política de Classificação da Informação)? |
07. Segurança da Informação | 68. A unidade mantém controle de registros de eventos (logs), quando aplicável, considerando o princípio de minimização de dados, gravando o acesso ao dado pessoal, incluindo por quem, quando, qual titular de dados pessoais foi acessado e quais mudanças (se houver alguma) foram feitas (adições, modificações ou exclusões), como um resultado do evento? |
08. Gestão de terceiros | 69. A unidade mantém controles sobre as medidas de proteção de dados pessoais adotadas por terceiros no caso de uso compartilhado de dados pessoais? |
08. Gestão de terceiros | 70. A unidade mantém controles sobre o uso compartilhado de dados pessoais e se é realizado por meio de um canal criptografado e de cifra recomendada pelos sítios especializados de segurança? |
Quadro resumo dos controles
05. Institucionalização | 56. Participação em fóruns especializados | 57. Atualização do Programa de Governança | Controles sobre: | 64. Tratamento automatizado | 65. Controles sobre a melhoria contínua no atendimento | 66. Controles sobre a documentação e avaliação pós-incidente | 67. Controles sobre os níveis de acesso no SEI | 68. Controles sobre registros de eventos (logs) | 70. Controles sobre a transferência de dados e criptografia |
63.Exclusão ou destruição de dados | |||||||||
62. Dados de crianças e adolescentes | |||||||||
61. Formato interope-rável e estruturado | 69. Controles sobre as medidas de proteção adotadas por terceiros | ||||||||
60. Dados anonimizados | |||||||||
59. Dados em estudo ou pesquisa | |||||||||
58. Dados relacionados à saúde | |||||||||
04. Avançado | 45. Monitoramento do Plano de Capacitação | 46. Monitoramento do Plano de Gestão de Riscos | 48. Monitoramento do tempo de armazenamento dos dados pessoais | 49. Monitoramento de Indicadores de Desempenho do atendimento aos titulares | 50. Monitoramento de Indicadores de Desempenho de incidentes de segurança | 51. Gerenciamento de dados pelo titular | 53. Gestão do controle de contas e acessos | 55. Monitoramento e comunicação de alterações a terceiros | |
47. Gestão do Consentimento do Titular de Dados Pessoais | 52. Monitoramento de vulnerabilidades técnicas | 54. Monitoramento de requisitos de terceiros | |||||||
03. Intermediário | 32. Conscientização | 34. Programa de Governança | 36. Tabela de Temporalidade de Documentos | 38. Registro dos atendimentos | 40. Registro dos incidentes | 41. Política de Privacidade e Proteção de Dados Pessoais | 42. Política de Segurança da Informação | 44. Registro de uso compartilhado | |
31. Funções e responsabilidades | 33. Relatório de Impacto à Proteção de Dados Pessoais | 35. Política de Classificação da Informação | 37. Política de Atendimento | 39. Política de Resposta a Incidentes | 43. Política de Contratações de Terceiros | ||||
02. Básico | 17. Capacitação do Grupo de Trabalho | 19. Política de Gestão de Riscos | 20. Adequação de processos e atividades | 22. Resposta às requisições dos titulares | 24. Resposta aos incidentes | 25. Adequação de sítios eletrônicos | 28. Cópias de segurança | 30. Avaliação de Compatibilidade das Finalidades | |
27. Softwares antimalware | |||||||||
16. Capacitação do Encarregado | 18. Plano de Gestão de Riscos | 21. Fluxo de atendimento | 23. Fluxo de comunicação de incidentes | 26. Arquitetura e infra de redes | 29. Decisões administrativas sobre uso compartilhado | ||||
01. Preparatório | 03. Sensibilização | 04. Planejamento | 07. Finalidades e hipóteses legais | 08. Canal de atendimento aos direitos dos titulares | 09. Canal de denúncias e/ou notificações de incidentes | 12. Aviso de privacidade e cookies | 13. Inventário de software e de ativos de tecnologia da informação | 15. Relação/lista dos contratos | |
02. Grupo de Trabalho | 06. Mapeamento de dados pessoais | 11. Informações do tratamento de dados | |||||||
01. Encarregado | 05. Mapeamento de processos | 10. Informações do Encarregado | 14. Modelo de cláusulas contratuais | ||||||
Fase / Tema | 01. Estrutura organizacional | 02. Governança | 03. Tratamento de dados pessoais | 04. Direitos dos titulares | 05. Resposta a incidentes | 06. Transparência | 07. Segurança da Informação | 08. Gestão de terceiros | |
Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo