Dados pessoais são aqueles que permitem identificar direta ou indiretamente um indivíduo.
Mapear os dados pessoais utilizados pela instituição
possibilitará avaliar se todos os dados pessoais usados
são realmente necessários e adequados para realização de
suas finalidades (LGPD, art. 6º, III).
Associações |
-- Associações (exceto profissionais, políticas, em sindicatos ou qualquer outra associação que se enquadre em dados pessoais sensíveis) |
Características Pessoais |
-- Descrição Física |
-- Detalhes militares |
-- Detalhes pessoais |
-- Situação de Imigração |
Características Psicológicas |
-- Descrição Psicológica |
Composição Familiar |
-- Casamento ou forma atual de coabitação |
-- Familiares ou membros da família |
-- Histórico conjugal |
Dados de Identificação Pessoal |
-- Dados de identificação eletrônica |
-- Dados de localização eletrônica |
-- Informações de identificação atribuídas por instituições governamentais |
-- Informações de identificação pessoal |
Dados Financeiros |
-- Acordos e ajustes |
-- Assistência financeira |
-- Atividades profissionais |
-- Autorizações ou consentimentos |
-- Compensação |
-- Dados de identificação financeira |
-- Detalhes da apólice de seguro |
-- Detalhes do plano de pensão |
-- Dívidas e despesas |
-- Empréstimos, hipotecas, linhas de crédito |
-- Recursos financeiros |
-- Situação financeira (Solvência) |
-- Transações financeiras |
Dados Residenciais |
-- Residência |
Educação e Treinamento |
-- Dados acadêmicos/escolares |
Hábitos de Consumo |
-- Dados de bens e serviços |
Hábitos Pessoais |
-- Contatos sociais |
-- Denúncias, incidentes ou acidentes |
-- Distinções |
-- Estilo de vida |
-- Hábitos |
-- Posses |
-- Uso de mídia |
-- Viagens e deslocamentos |
Interesses de lazer |
-- Atividades e interesses de lazer |
Outros |
-- Outros |
Processo Judicial/Administrativo/Criminal |
-- Ações judiciais |
-- Condenações e sentenças |
-- Penalidades Administrativas |
-- Suspeitas |
Profissão e emprego |
-- Absentismo e disciplina |
-- Avaliação de Desempenho |
-- Carreira |
-- Emprego atual |
-- Recrutamento |
-- Rescisão de trabalho |
Registros financeiros do curso/treinamento |
-- Qualificação e experiência profissional |
Registros/gravações de vídeo, imagem e voz |
-- Imagem de Vigilância |
-- Vídeo e imagem |
-- Voz |
A LGPD traz regramento específico para o tratamento de dados pessoais sensíveis, que são definidos no art. 5º.
São dados cujo tratamento pode ensejar a discriminação do seu titular, e por isso, são sujeitos a proteção mais rígida.
Dados biométricos |
Dados genéticos |
Dados que revelam convicção religiosa |
Dados que revelam filiação a organização de caráter religioso |
Dados que revelam filiação a sindicato |
Dados que revelam filiação ou crença filosófica |
Dados que revelam filiação ou preferências política |
Dados que revelam opinião política |
Dados que revelam origem racial ou ética |
Dados referentes à saúde ou à vida sexual |
Além de elencar os dados pessoais tratados, é necessário identificar em relação a esses dados quais são as categorias (tipos) de titulares a quem pertencem os dados pessoais; e se são tratados dados pessoais de crianças/adolescentes, bem como de outro grupo vulnerável.
Os tipos já estão pré-definidos mas podem ser alterados de acordo com o contexto da instituição.
Beneficiários |
Clientes |
Contribuintes |
Dependentes |
Eleitores |
Empregados |
Estudantes |
Motoristas |
Outros |
Pacientes |
Pessoas |
Servidores |
A LGPD autoriza, em seu art. 23, os órgãos e entidades da administração pública a realizar o tratamento de dados pessoais unicamente para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que as hipóteses de tratamento sejam informadas ao titular.
O tratamento de dados pessoais poderá ser realizado desde que enquadrado em uma das hipóteses elencadas em seu art. 7º. Tais hipóteses podem ser compreendidas como condições necessárias para verificar se o tratamento de dados a ser realizado pelo controlador ou operador é permitido.
Para a execução de políticas públicas |
Para a proteção da vida ou da incolumidade física do titular ou de terceiro |
Para a realização de estudos e pesquisas |
Para a tutela da saúde do titular |
Para atender interesses legítimos do controlador ou de terceiro |
Para o cumprimento de obrigação legal ou regulatória |
Para o exercício de direitos em processo judicial, administrativo ou arbitral |
Para proteção do crédito |
Considera-se tratamento de dados qualquer atividade que utilize um dado pessoal na execução da sua operação.
ACESSO |
ARMAZENAMENTO |
ARQUIVAMENTO |
AVALIAÇÃO |
CLASSIFICAÇÃO |
COLETA |
COMUNICAÇÃO |
CONTROLE |
DIFUSÃO |
DISTRIBUIÇÃO |
ELIMINAÇÃO |
EXTRAÇÃO |
MODIFICAÇÃO |
PROCESSAMENTO |
PRODUÇÃO |
RECEPÇÃO |
REPRODUÇÃO |
TRANSFERÊNCIA |
TRANSMISSÃO |
UTILIZAÇÃO |
Os tipos já estão pré-definidos mas podem ser alterados de acordo com o contexto da instituição.
Acordo de cooperação internacional |
Certificação regularmente emitida |
Cláusulas contratuais específicas para determinada transferência |
Cláusulas-padrão contratuais |
Código de conduta regularmente emitido |
Cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional |
Cumprimento de obrigação legal ou regulatória pelo controlador |
Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular |
Execução de política pública ou atribuição legal do serviço público |
Exercício regular de direitos em processo judicial, administrativo ou arbitral |
Fornecimento de consentimento específico pelo titular dos dados pessoais |
Normas corporativas globais |
País que fornece um nível adequado de proteção |
Proteção da vida ou da incolumidade física do titular ou de terceiro |
Selo regularmente emitido |
Transferência autorizada pela ANPD |
Outro |
Define qual o tipo de local o dado pessoal está armazenado/retido.
Base de dados |
Blockchain |
Doc. eletrônico DOCX e similares |
Doc. eletrônico PDF e similares |
Doc. em papel |
Planilha eletrônica |
É importante identificar quais ativos organizacionais estão envolvidos em cada fase do ciclo de vida do tratamento dos dados pessoais.
Base de dados | É uma coleção de dados logicamente relacionados, com algum significado. Uma base de dados é projetada, construída e preenchida (instanciada) com dados para um propósito específico. |
Documento | Unidade de registro de informações, qualquer que seja o suporte e formato (Arquivo Nacional, 2005). |
Equipamento | Objeto ou conjunto de objetos necessário para o exercício de uma atividade ou de uma função. |
Local físico | Determinação do lugar no qual pode residir de forma definitiva ou temporária uma informação de identificação pessoal. Por exemplo, uma sala, um arquivo, um prédio, uma mesa, etc. |
Pessoa/Indivíduo | Qualquer indivíduo que executa ou participa de alguma operação realizada com dados pessoais, como as que se referem a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. |
Sistema | Qualquer aplicação, software ou solução de TI que esteja envolvida com as fases do ciclo de vida do tratamento dos dados pessoais: coleta, retenção, processamento, compartilhamento e eliminação de dados pessoais. |
Unidade Organizacional | Órgãos e entidades da Administração Pública. |
Outro |
Acesso não autorizado |
Coleção excessiva |
Falha de processamento |
Informação insuficiente |
Modificação não autorizada |
Perda de dados |
Retenção prolongada |
Roubo de dados |
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (LGPD, art. 46).
Importante reforçar que as medidas para tratar os riscos podem ser: de segurança, técnicas ou administrativas.
Os tipos já estão pré-definidos mas podem ser alterados de acordo com o contexto da instituição.
Compliance com a Privacidade |
Consentimento e Escolha |
Controle de Acesso e Privacidade |
Controles Criptográficos |
Controles de Acesso Lógico |
Controles de Segurança em Redes, Proteção Física e do Ambiente |
Cópia de Segurança |
Desenvolvimento Seguro |
Gestão de Capacidade e Redundância |
Gestão de Mudanças |
Gestão de Riscos |
Limitação de Coleta |
Minimização de Dados |
Outro |
Participação Individual e Acesso |
Precisão e qualidade |
Registro de Eventos, Rastreabilidade e Salvaguarda de Logs |
Responsabilização |
Resposta a Incidente |
Segurança Web |