|
|
|
DOCUMENTO |
Plano de Trabalho - Adequação à Lei Geral de Proteção de Dados |
|
UNIDADE EXECUTORA |
Controladoria Geral do Estado de Rondônia - CGE/RO |
|
RESPONSÁVEL |
MARCOS GUIMARÃES DA SILVA ASTRÊ - Encarregado pelo Tratamento de Dados Pessoais |
|
OBJETIVO |
Macro modelo de Plano de Trabalho - LGPD |
¶ ¶ Histórico de Revisões
| Data | Versão | Descrição | Autor |
|---|---|---|---|
| 19/02/2026 | 1.0 | Macro modelo de Plano de Trabalho - Adequação à Lei Geral de Proteção de Dados | Controladoria Geral do Estado de Rondônia - Marcos Guimarães da Silva Astrê |
¶ ¶ Contextualização
A Lei Geral de Proteção de Dados Pessoais (LGPD), formalizada pela Lei nº 13.709/2018, constitui o marco regulatório nacional que disciplina o processamento de informações de pessoas naturais, promovendo atualizações significativas em dispositivos do Marco Civil da Internet. Com este advento, o Brasil integrou o rol de nações que possuem um arcabouço jurídico específico para salvaguardar a autodeterminação e a intimidade dos cidadãos. Esta norma alinha-se a padrões internacionais de excelência, como o GDPR (União Europeia), vigente desde 2018, e o CCPA (Califórnia/EUA), ambos focados na proteção da economia digital e dos direitos civis.
A legislação está alicerçada em pilares fundamentais, tais como: o respeito à privacidade; a liberdade de fluxos informativos; a inviolabilidade da honra e da imagem; o fomento à inovação tecnológica; além da preservação dos direitos humanos e da dignidade da pessoa humana. A LGPD institucionaliza categorias jurídicas essenciais (como "dados sensíveis"), estipula as bases legais que autorizam o manuseio de informações, assegura prerrogativas aos titulares e impõe deveres rigorosos aos agentes de tratamento (controladores e operadores), estabelecendo padrões de governança para o compartilhamento de dados com entes externos.
A conformidade de órgãos e entidades à LGPD demanda uma mudança de paradigma organizacional, impactando os níveis estratégico, tático e operacional.
- A adoção da Privacidade por Concepção (Privacy by Design), integrando a proteção de dados desde o planejamento até a entrega final.
- O desenvolvimento de programas de aculturamento e sensibilização do corpo funcional, visando a integração das boas práticas de privacidade nas rotinas administrativas diárias.
Como instituição que realiza o tratamento de informações para a prestação de serviços públicos todas as unidades estão plenamente submetida à jurisdição da LGPD. Isso ocorre pois a lei alcança indistintamente entes privados e órgãos governamentais que operem bancos de dados. A LGPD transcende a mera custódia de informações; ela regula o ciclo de vida do tratamento. Dados são extensões da individualidade, e sua exposição inadequada pode viabilizar fraudes e danos morais.
Nesse sentido, as instituições públicas e empresas assumem a responsabilidade objetiva pelos dados sob sua guarda, devendo atuar com máxima transparência e clareza sobre sua finalidade. A lei exige a explicitação do propósito de cada coleta, o que demanda a revisão de minutas contratuais para o uso de uma Linguagem Simples e acessível. Por fim, os cidadãos (titulares) passam a deter o controle sobre suas informações, podendo exercer o direito de retificação, portabilidade, oposição ao tratamento ou a exclusão definitiva de seus registros, conforme os limites legais.
¶ ¶ Objetivo, Abrangência e Vigência
| Objetivo | Estabelecer o roteiro técnico e administrativo para garantir que todas as operações de tratamento de dados pessoais da unidade estejam em conformidade com a LGPD, mitigando riscos jurídicos e operacionais. |
| Abrangência | Aplica-se a todas as diretorias, gerências, servidores, estagiários e prestadores de serviço que manipulem dados pessoais (físicos ou digitais) em nome da instituição. |
| Vigência | O plano entra em vigor na data de sua publicação, com revisões anuais ou sempre que houver alterações significativas nos processos de tratamento de dados da unidade. |
¶ ¶ Termos e Definições
- Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável.
- Tratamento: Toda operação realizada com dados pessoais (coleta, armazenamento, consulta, compartilhamento, exclusão).
- Encarregado (DPO): Pessoa indicada pelo órgão para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
- Controlador: O órgão público responsável por tomar as decisões sobre o tratamento de dados.
- Operador: Pessoa ou empresa que realiza o tratamento de dados em nome do controlador (ex: empresas de software).
¶ ¶ Atores e Responsabilidades
- Alta Gestão: Responsável pelo provimento de recursos e apoio estratégico (Primeira Linha).
- Encarregado de Dados (DPO): Responsável pelo provimento de recursos e apoio estratégico (Primeira Linha)
- Grupo Técnico de Apoio: Servidores das áreas da unidade que auxiliam o DPO na execução técnica do plano.
- Setorial de Controle Interno: Responsável pelo monitoramento da conformidade e apoio na gestão de riscos (Segunda Linha).
¶ ¶ Macro Etapas do Processo
O processo de adequação é dividido em quatro fases críticas, conforme a metodologia PDCA (Plan-Do-Check-Act):
¶
¶
Fase 01: Preparação (O Alicerce Político)
- Sem o apoio da alta administração, a LGPD não avança. Esta fase foca em dar legalidade e autoridade ao projeto.
- Designação do Encarregado (titular e substituto): A portaria deve ser publicada. Não basta nomear; é preciso garantir que o DPO tenha autonomia e canal direto com o Secretário/Diretor-Geral. Disponibilizar suas informações de contato no site institucional; Divulgar internamente as funções e responsabilidades do DPO; Criar unidade específica no SEI para tramitação de processos relacionados à LGPD.
- Alinhamento Estratégico e Tático: O objetivo aqui é vender a LGPD não como um entrave, mas como uma blindagem jurídica para os gestores.
¶
¶
Fase 02 - Planejamento (O Desenho da Operação)
- Aqui transformamos a intenção em ação mensurável.
- Grupo Técnico de Apoio: O DPO não trabalha sozinho. Este grupo deve ter, obrigatoriamente, representantes da TI, do Jurídico e da Gestão de Pessoas e setores estratégicos.
- Diagnóstico Preliminar: É o "exame de sangue" inicial para saber quão longe a unidade está da conformidade.
- Lançamento do Plano de Adequação;
- Elaborar cronograma do projeto de adequação.
¶
¶
Fase 03 - Adequação de Processos (O Inventário)
- Esta é a fase mais densa, onde olhamos para "dentro de casa".
- Definir os processos prioritários: Enumerar quais as primeiras ações serão abordadas no âmbito da unidade.
- Inventário de Dados (IDP): É o mapeamento de qual dado entra, quem toca nele e por que o Estado o mantém.
- Avaliação de Riscos: Identificar onde o dado pode vazar (ex: planilhas em drives abertos, processos físicos sem armário com chave).
- RIPD: O Relatório de Impacto é o documento que justifica tratamentos de alto risco.
¶
¶
Fase 04 - Adequação Institucional (A Cultura e o Direito)
- Foca na relação da unidade com o cidadão e com o servidor.
- Criar campanhas de fomento à cultura de proteção de dados: Elaborar politica institucional de capacitação sobre LGPD.
- Mapear fluxos: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Fluxo de Atendimento ao Titular: Definir como o cidadão pedirá a exclusão ou correção de seus dados (geralmente Ouvidoria - Fala.BR).
- Transparência Ativa: Criar a seção "Proteção de Dados" no site da unidade, informando quem é o DPO e qual a Política de Privacidade.
- Adequação de Contratos: Aditivar contratos com empresas prestadoras de serviço para garantir que elas também respeitem a LGPD.
¶
¶
Fase 05 - Gestão de Riscos (Gestão e análise de riscos)
- Mapear vulnerabilidades técnicas, administrativas, físicas e operacionais: Avaliar impactos à privacidade e segurança dos dados.
- Definir medidas técnicas: criptografia, controle de acesso, administrativas (políticas, segregação de funções) e físicas (controle de entrada, monitoramento). Registrar ações corretivas e prazos de implementação.
¶
¶
Fase 06 - Adequação Técnica (A Segurança Cibernética)
- Onde a TI implementa as barreiras digitais.
- Política de Backup e Controle de Acesso: Garantir que apenas quem precisa ver o dado tenha acesso (Princípio do Privilégio Mínimo).
- Elaborar Plano de Contingência a Incidentes: O Plano consiste em um documento interno que dispõe sobre as medidas que devem ser adotadas no caso de um Incidente de Segurança em Dados Pessoais. "O que fazer se os dados vazarem?" Este plano define quem desligará os servidores e quem avisará a ANPD.
¶
¶
Fase 07 - Monitoramento (A Melhoria Contínua)
- A LGPD não é um "check-list" que termina; é um ciclo.
- Ciclos PDCA: O encerramento do projeto inicial marca o início da rotina de conformidade.
- Monitoramento: Realizar auditorias periódicas para garantir que os novos processos não voltem aos velhos hábitos de insegurança.
¶ ¶ Considerações Finais
Qualquer plano é dinâmico. A conformidade será medida pelo Índice de Adequação da unidade, visando atingir o nível adequado, garantindo que o Governo de Rondônia seja referência em segurança e proteção de dados.
¶ ¶ Documentação Correlata
| Documento | Acesso |
|---|---|
| Plano de Trabalho - Macro Processo |