Manual de Adequação e Conformidade para o Tratamento de Dados Pessoais
Manual de Adequação e Conformidade para o Tratamento de Dados Pessoais
Manual de Adequação e Conformidade para o Tratamento de Dados Pessoais
Versão 1.0
PREFEITURA DE GUARULHOS
SECRETARIA DE GOVERNO
SECRETARIA DE JUSTIÇA
CONTROLADORIA GERAL DO MUNICÍPIO
SECRETARIA DE GESTÃO
SECRETARIA DE DIREITOS HUMANOS
SUMÁRIO
1. APRESENTAÇÃO
2. MELHORES PRÁTICAS ASSOCIADAS À PROTEÇÃO DE DADOS - Normas Internacionais
(DDH + GDPR), Constituição Federal, Lei Nacional, Decreto Municipal, Portarias, entre outros
documentos.
2.1 O Que é Segurança da Informação e Comunicação
2.2 Metodologias em segurança da informação
2.3 Norma ABNT NBR ISO/IEC 27001:2013
2.4 Norma ABNT NBR ISO/IEC 27002:2013
2.5 Norma ABNT NBR ISO/IEC 27005:2019
2.6 ABNT NBR ISO/IEC 27701:2019. Técnicas de segurança — Requisitos e diretrizes
2.7 ABNT NBR ISO/IEC 31000:2018. Gestão de riscos - Diretrizes
2.8 Comparando as Normas de Segurança
2.9 A importância de realizar a Análise de Risco
4. DO TRATAMENTO DE DADOS PESSOAIS
4.1 Das hipóteses de tratamento de dados pessoais
4.2 Dos princípios aplicáveis ao tratamento de dados pessoais pela LGPD
4.3 Situações de tratamento não abarcados pela LGPD
4.4 Coleta de dados pessoais
4.5 Anonimização e pseudonimização
4.6 Publicidade
4.7 Relatório de Impacto à Proteção de Dados
4.7.1 O que é o Relatório de Impacto à Proteção de Dados Pessoais
4.7.2 Como elaborar o RIPD
4.8 Término do Tratamento de Dados Pessoais
5. O Ciclo de Vida dos Dados Pessoais
5.1 FASES DO CICLO DE VIDA
5.2 ATIVOS ORGANIZACIONAIS
5.3 RELACIONAMENTO DO CICLO VIDA DO TRATAMENTO DOS DADOS PESSOAIS
COM ATIVOS ORGANIZACIONAIS
6. BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 1
APRESENTAÇÃO
Será com este foco que buscaremos implantar cada uma das normas
delineadas pela LGPD, como um planejamento dinâmico e inicial, de modo que
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 4
1
Artigo 12. Ninguém será sujeito à interferência na sua vida privada, na sua família, no seu lar ou
na sua correspondência, nem a ataque à sua honra e reputação. Todo ser humano tem direito à
proteção da lei contra tais interferências
nterferências ou ataques.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 7
2.2 E no Brasil?
promulgação de uma legislação que atendesse tal foco lançando, então, a Lei
Geral de Proteção de Dados Pessoais (LGPD) em 2018, com previsão de entrada
em vigor em agosto de 2020.
A legislação brasileira
brasileira foi considerada uma versão tropicalizada da
GDPR, a LGPD é baseada na legislação europeia, e tem como objetivo aumentar
a privacidade de dados pessoais iniciada de forma tímida pelo Marco Civil da
Internet e assegurar o poder das entidades reguladoras
reguladoras para fiscalizar
organizações.
<https://www.guarulhos.sp.gov.br/06_prefeitura/leis/decretos_2019/36140dec
r.pdf>. Acesso em: 15 jul. 2021.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 12
Requer unidade de
Facilmente estruturado De difícil estruturação
análise
1. Políticas de Segurança;
3. Gerenciamento de ativos;
7. Controle de Acessos;
11. Conformidade.
- Análise de vulnerabilidades;
- Análise de Risco.
3
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de
impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas
operações de tratamento de dados, nos termos de regulamento, observados os segredos
comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no
mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a
garantia da segurança das informações e a análise do controlador com relação a medidas,
salvaguardas e mecanismos de mitigação de risco adotados.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 24
Para pensar
Ameaça versus Vulnerabilidade
Parâmetros Escalares
CLASSIFICAÇÃO VALOR
Baixo 5
Moderado 10
Alto 15
R03 Perda 5 15 75
R04 Roubo 5 15 75
Contextualizando:
Como foi visto até este momento, o zelo pela segurança da informação
no meio institucional público e privado não nasceu agora com a LGPD, foi um
processo evolutivo, que foi sendo construído à medida que os dados foram sendo
cada vez mais valorizados e os meios de sua obtenção cada vez mais maliciosos
e invasivos graças aos meios tecnológicos cada vez mais eficazes, causando
assim, prejuízos de toda sorte.
4
Um exemplo típico seria o oferecimento de uma denúncia em que o denunciante não
tenha tido o cuidado de pedir o anonimato e ainda tenha fornecido informações que
pudessem ser utilizadas pelo denunciado no momento da fiscalização para identificá-lo,
causando deste modo problemas de ameaça à segurança e integridade do denunciante.
Caberá aos servidores, em situação semelhante, tratar as informações oferecidas
espontaneamente pelo titular dos dados, com a anonimização do denunciante e ocultação
de todas as informações que possam identificar de onde partiu a denúncia objeto da
fiscalização realizada pelo órgão público.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 34
O Capítulo IX da LGPD dispõe ainda sobre a criação de dois órgãos para atuar
como de consulta e controle de âmbito Nacional:
Além dos direitos dos titulares de dados que são decorrentes do art. 6º
da LGPD, a Lei apresenta diretos específicos dos titulares de dados, que são
destacados na tabela abaixo e decorrem dos próprios princípios vistos na tabela
anterior.
DIREITOS DOS TITULARES DE DADOS QUE REFERÊNCIA
DECORREM DOS PRINCÍPIOS LEGISLATIVA
(LGPD)
Direito de ser informado sobre a utilização dos dados pela Art. 7º, III e IV c/c
administração pública para os fins autorizados pela lei e art. 7º, § 1º
para a realização de estudos por órgão de pesquisa
- acesso aos dados pessoais de que é titular e que são objeto de tratamento
pela Administração Pública Federal (art. 18, II);
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 44
5
https://www.in.gov.br/materia/ /asset_publisher/Kujrw0TZC2Mb/content/id/19141395/do1-2017-
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/19141395/do1
06-27-lei-no-13-460-de-26-de
de-junho-de-2017-19141216
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 45
Tal enfoque foi mantido pela LGPD e evoluiu ainda mais ao aprofundar-
se no conceito sobre os casos considerados “informação sensível”, ou seja:
“dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de caráter religioso, filosófico
ou político, dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural” (Art. 5º, II).
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 47
4
DO TRATAMENTO DE DADOS PESSOAIS
6
É necessário que os órgãos e entidades da Municipalidade conheçam as hipóteses para:
- Analisar os casos de tratamento de dados pessoais já realizados, objetivando verificar se há hipótese legal que os
autorize; e
- Avaliar previamente cada novo caso de tratamento que pretenda realizar, identificando as hipóteses legais autorizativas
aplicáveis.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 53
DISPOSITIVO LEGAL
HIPÓTESE DE TRATAMENTO O QUE PRECISAMOS NOS ATENTAR E RESPONDER POSITIVAMENTE. TRATAMENTO DE TRATAMENTO DE
DADOS PESSOAIS DADOS SENSÍVEIS
1. Serão viáveis a coleta e o armazenamento da opção de consentimento do titular de modo a poder comprovar
posteriormente a sua expressa manifestação de vontade?
2. Se o consentimento se der de forma escrita, será garantido que a opção pelo consentimento conste de
cláusula destacada das demais, em que o titular seja instado a escolher livremente pela anuência ou não ao
consentimento solicitado?
3. O consentimento será solicitado para cada uma das finalidades de tratamento, e será informado ao titular
que tipo de tratamento será realizado, antes que este opte pelo consentimento?
4. Será dada ao titular a opção de revogação do consentimento, a qualquer momento, mediante manifestação
Hipótese 1: Mediante
expressa, por procedimento gratuito e facilitado?
consentimento do titular.
5. No caso de tratamento de dados de crianças e adolescentes, será solicitado o consentimento específico por
Essa é uma hipótese em que o
pelo menos um dos pais ou pelo responsável legal?
titular tem chance real de escolha LGPD, LGPD,
6. No caso do tratamento de dados pessoais sensíveis, será registrada a manifestação de vontade do titular de
sobre o tratamento de seus art. 7º, I art. 11, I
forma específica e destacada, dando ciência do conhecimento sobre as finalidades específicas daquele
dados. Trata-se de hipótese
tratamento?
possível quando as demais do art.
Observações:
7º forem descartadas.
a) É vedado o tratamento de dados pessoais mediante vício de consentimento.
b) O consentimento será considerado nulo caso as informações fornecidas ao titular tenham conteúdo
enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e
inequívoca.
c) Se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o
consentimento original, o titular deverá ser informado previamente sobre as mudanças de finalidade, podendo
revogar o consentimento, caso discorde das alterações.
d) As autorizações genéricas para o tratamento de dados pessoais serão consideradas nulas.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 54
7
Privacy by Design é uma estrutura de trabalho que tem como proposta central incorporar a
privacidade e a proteção de dados pessoais em todos os projetos desenvolvidos por uma
organização, desde a sua concepção.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Pseudonimização
eudonimização é a técnica de tratar dados pessoais de uma forma
em que os dados somente possam ser atribuídos a um titular de dados
mediante a utilização de informações adicionais, não disponíveis a todos,
desde que essas informações sejam mantidas em ambiente ambiente separado,
controlado e seguro.
4.6 Publicidade
8
A princípio, é essencial a capacitação dos agentes de tratamento
tratamento nomeados pelo Prefeito,
contudo, com a implantação das boas práticas de privacidade na rotina administrativa,
implicará na conscientização de todo o quadro de servidores. (Nota dos autores).
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
- Natureza do tratamento
- Escopo do tratamento
- Contexto do tratamento
- Finalidade do tratamento
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
3. Segurança
em Redes.
10
Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD) - p.41.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Salienta-se
se ainda que, conforme previsto no inciso I do art. 23 da
LGPD, cada órgão deverá dar publicidade em suas respectivas páginas
eletrônicas
cas a uma versão resumida dos Relatórios de Impacto à Proteção de
Dados Pessoais.
11
DECRETO n. 36.140, de 15 de agosto de 2019. Regulamenta no âmbito do Poder Executivo Municipal
a Lei Federal nº 12.527, de 18 de novembro de 2011, estabelecendo procedimentos e outras providências
correlatas para garantir o direito de acesso à informação, conforme especifica. Disponível em:
https://www.guarulhos.sp.gov.br/06_prefeitura/leis/decretos_2019/36140decr.pdf
12
DECRETO n. 25.624, de 17 de julho de 2008. Dispõe sobre a Gestão de Documentos, os Planos de
Classificação e a Tabela de Temporalidade de Documentos e define normas para avaliação, guarda e
destinação de documentos de arquivo. Disponível em:
https://www.guarulhos.sp.gov.br/06_prefeitura/leis/decretos_2008/25624decr.pdf
13
Ressalte-se que no caso de cumprimento de obrigação legal, como ocorre com a administração pública na maior
parte dos casos, é autorizada a conservação do dado (LGPD, art. 16, I). Isso significa que, da mesma forma que o
titular dos dados não precisa consentir o tratamento dos dados pessoais pela administração pública em casos
determinados, também não é possível ao titular do dado solicitar a eliminação.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
14
Documento Arquivístico: documento produzido (elaborado ou recebido), no curso de uma
atividade prática, como instrumento ou resultado de tal atividade, e retido para ação ou
referência. (CTDE, 2016, p. 20). Ex. Histórico escolar.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
DOCUMENTOS DE ARQUIVO
difusão ou extração.
Sistema: qualquer aplicação, software ou solução de TI que esteja envolvida
com as fases do ciclo de vida do tratamento dos dados pessoais: coleta,
retenção, processamento, compartilhamento e eliminação de dados pessoais.
Unidade organizacional: órgãos e entidades da Administração Pública.
15
O termo compliance vem do inglês “to comply” e significa estar em conformidade. Na prática,
o compliance tem a função de proporcionar
proporcionar segurança e minimizar riscos de organizações
públicas e privadas, garantindo o cumprimento dos atos, regimentos, normas e leis
estabelecidos interna e externamente.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
16
CAVOUKIAN, Ann. Privacy by Design: The 7 Foundational Principles. Disponível em:
<https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf>.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
administrativa.
É importante que haja equilíbrio das funções. Um servidor não pode ficar
sobrecarregado de atividades, bem como outro não pode ficar com tempo
ocioso. Cada um terá um papel claro, de acordo com suas virtudes individuais
e responsabilidades já assumidas previamente.
➔ Prevenção de problemas;
➔ Identificação de vulnerabilidades;
➔ Apresentação de soluções;
➔ Coleta de informações relevantes para a gestão de cada unidade;
➔ Tomada de decisão pelos gestores;
➔ Feedback construtivo e aprendizagem de todos envolvidos;
➔ Conquista de objetivos;
➔ Gestão apropriada de não conformidades legais e estruturais;
➔ Resolução de problemas.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
7
IMPLEMENTAÇÃO DA LGPD – FASE – EXECUÇÃO –
ADEQUAÇÃO E CONFORMIDADE
TRABALHO EM EQUIPE
DA ADEQUAÇÃO - CRONOGRAMA
DOS ENTREGÁVEIS
Trata-se da entrega dos artefatos, sendo estes descritos como
produto mecânico resultado da realização das atividades previstas em
cronograma com prazo e responsáveis definidos em plano de ação,
respeitando as especificidades de cada unidade.
*Entrega dos documentos apresentados nos ANEXOS III, IV e V, por
cada uma das unidades, para o cumprimento deste passo, sendo eles, o plano
de trabalho, o plano de ação e o cronograma, são modelos com tarefas iniciais
que deverão ser complementadas de acordo com as especificidades de cada
órgão.
Entrega do modelo apresentado no ANEXO VI - termo de
conformidade - por cada uma das unidades, de modo a se comprometerem de
que as medidas previstas e elaboradas na fase de adequação foram atendidas.
DOS RECURSOS
DA CONFORMIDADE
DA IDENTIFICAÇÃO DA ESTRUTURA
DA LEGISLAÇÃO VIGENTE
Descreve o que precisa ser feito, mas não sob o ponto de vista
operacional de como será feito. Ex.: disponibilizar local
Atividade
adequado para recepção, tranquilizar conforme o caso, efetuar
registro do atendimento.
“Se você não é capaz de descrever o que você faz como um processo, então
você não sabe o que está fazendo”. William Edwards Deming
PRIORIZANDO PROCESSOS
Conhecer o processo é importante para visualizar onde os dados
estão circulando de acordo com os serviços prestados ou produtos fornecidos,
além de permitir que sejam estabelecidas prioridades para o projeto da
implementação, conforme o impacto e a probabilidade do risco, sendo
necessário priorizar os processos que contenham dados pessoais e/ou
sensíveis em tratamento.
*A planilha disponível no ANEXO XII - definição de processos -
deve ser preenchida de acordo com seus campos. Para isso, recomendamos
conversar com os responsáveis em cada seção, divisão, departamento ou
subunidade para levantar as informações.
Algumas dicas de como fazer o Mapeamento de Processos:
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Guia do Inventário
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-
dados/guias/guia_inventario_dados_pessoais.pdf
Apresentação
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-
dados/apresentacoes/apresentacao_inventario_dados_pessoais.pdf
CLASSIFICAÇÃO VALOR
Baixo 5
Moderado 10
Alto 15
NÍVEL DE
RISCO REFERENTE AO TRATAMENTO DE DADOS
ID P1 I2 RISCO (P X
PESSOAIS
I)3
R03 Perda 5 15 75
R04 Roubo 5 15 75
RISCO
P1 I2 (P X I)3
Conhecer os
Medir os Riscos Classificar os Riscos Mitigar os Riscos
Riscos
Qual o valor da
Quem sabe Qual o valor apresentado na Quem cuidará da
probabilidade e sua
apontar? tabela? mitigação?
descrição?
Quando ocorrerá a
Identificar e Qual o valor do impacto Qual o grau de acordo com a
medida de
Detalhar e sua descrição? região de enquadramento?
mitigação?
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-
de-dados/guias/guia_avaliacao_riscos.pdf
Consentimento e Escolha Obter consentimento do titular (art. 7º, I), desde que
não se enquadre nas demais hipóteses previstas pelo
art. 7º e 11 da LGPD.
PLANO DE RESPOSTA
O objetivo da elaboração do Plano de Resposta a Incidentes é
para que se tenha um plano de orientação aos agentes públicos acerca dos
procedimentos mais adequados para execução quando da ocorrência de
Incidentes com Dados Pessoais, preparando a entidade para atuar na gestão
de um incidente de dados pessoais de forma organizada, rápida e eficiente,
minimizando seus impactos para todos os envolvidos.
Ao ter ciência sobre qualquer incidente com dados pessoais,
imediatamente, é dever de qualquer pessoa comunicar o Controlador de Dados
que reunirá os envolvidos no processo que atuam de alguma forma no ciclo de
vida dos dados do incidente, como o Departamento de Informática e
Telecomunicações - DIT, quando este estiver relacionado ao ativo digital, ou a
pessoa responsável pela segurança do ativo físico, para que as medidas
necessárias sejam aplicadas com o objetivo de proteger os dados pessoais.
Simultaneamente a essa comunicação inicial interna e às
medidas de tratamento e segurança que serão aplicadas, o Controlador de
Dados deverá comunicar o Encarregado de Dados, bem como este comunicará
a Secretaria Executiva da Comissão de Acesso à Informação sobre o evento.
O Encarregado de Dados comunicará a Procuradoria Geral do
Município sobre o incidente para que esta tenha ciência e possa, se for o caso,
elaborar resposta em defesa a eventual dano que possa ter ocorrido tendo
como causa o incidente.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
DA CONTENÇÃO
DA EXTINÇÃO E DO RESTABELECIMENTO
DA DOCUMENTAÇÃO
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-
dados/reportar-incidentes-problemas
https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca
Como Elaborar
O RIPD deve ser elaborado antes de a instituição iniciar o
tratamento de dados pessoais, preferencialmente, na fase inicial do
programa ou projeto que tem o propósito de usar esses dados. A
elaboração contempla as etapas destacadas pela figura a seguir.
Contexto do tratamento
Nesta etapa, convém destacar um cenário mais amplo, incluindo
fatores internos e externos que podem afetar as expectativas do titular dos
dados pessoais ou o impacto sobre o tratamento dos dados.
Finalidade do tratamento
A finalidade é a razão ou motivo pelo qual se deseja tratar os
dados pessoais. É importantíssimo estabelecer claramente a finalidade, pois é
ela que justifica o tratamento e fornece os elementos para informar o titular dos
dados.
Nesta etapa, é importante detalhar o que se pretende alcançar com
o tratamento dos dados pessoais, considerando os exemplos de finalidades
elencadas abaixo, embasados nos artigos 7º e 11 da LGPD, no que for
aplicável.
Identificar partes interessadas consultadas
Aprovar o Relatório
Esta etapa visa formalizar a aprovação do RIPD por meio da
obtenção das assinaturas do responsável pela elaboração do RIPD, pelo
encarregado e pelas autoridades que representam o controlador e operador.
Manter Revisão
O RIPD deve ser revisto e atualizado anualmente ou sempre que
existir qualquer tipo de mudança que afete o tratamento dos dados pessoais
realizados pela instituição.
A instituição deve manter revisão do RIPD a fim de demonstrar que
avalia continuamente os riscos de tratamento de dados pessoais que surgem
em consequência do dinamismo das transformações nos cenários tecnológico,
normativo, político e institucional.
*Aqui o processo de implantação da LGPD tem sua entrega
completa dentro da previsão do cronograma, sendo necessário a partir desse
momento, o acompanhamento desse processo, efetuando a constante revisão
para a aplicação das medidas cabíveis, como eventuais correções e melhorias.
O RIPD está disponível no modelo - ANEXO XVII - Relatório de
Impacto a Proteção de Dados Pessoais - e será compartilhado para que seja
confeccionado de forma colaborativa.
19. Observações
Da Tecnologia da Informação
O DIT, como departamento alocado na Secretaria de Gestão, deverá adotar as
mesmas medidas aplicáveis com vistas aos seus processos internos, porém,
devido às suas características próprias existem especificidades que deverão
ser realizadas e cumpridas, nas quais deverão constar do cronograma da
Secretaria de Gestão a aplicação de medidas de segurança em ativos digitais,
sejam eles de ponta, treinamento e orientação quanto às boas práticas no uso
dos mecanismos informatizados por seus agentes públicos (conforme termo de
referência modelo), quanto às medidas.
Do canal de comunicação.
Externo - sistema de requisição dos titulares em desenvolvimento para
questões em que há necessidade de verificação do titular e utilização do
sistema-e-SIC para as questões que envolvam o tratamento de forma
transparente, quando não disponibilizados ativamente.
Interno - para questões específicas utilizar o e-mail interno do Encarregado de
Dados: encarregadodedados@guarulhos.sp.gov.br.
8
CONSIDERAÇÕES FINAIS
Por fim, informamos que este conteúdo basilar será periodicamente revisado e
atualizado por esta equipe técnica de elaboração da Controladoria Geral do
Município e todas as sugestões dos destinatários deste Manual serão
analisadas de acordo com a sua pertinência.
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
REFERÊNCIAS BIBLIOGRÁFICAS
ALMEIDA, Vinicius Nóbile de. Cadeia de valor: o que é, para que serve e
exemplo de aplicação na gestão de processos. Disponível em:
http://www.euax.com.br/2019/10/cadeia-de-valor/.
_______. O que é e como fazer Mapeamento de Processos em 6 passos.
Disponível em: https://www.euax.com.br/2016/06/como-
fazer-mapeamento-de-processos-em-6-passos/.
BRANDÃO, Graziela. O que é o mapeamento de dados? Disponível em:
https://blconsultoriadigital.com.br/mapeamento-de-dados/.
CAVOUKIAN, Ann. Privacy by Design: The 7 Foundational Principles.
Disponível em: <https://www.ipc.on.ca/wp-
content/uploads/Resources/7foundationalprinciples.pdf>.
COPETTE, Fabio. Data Mapping versus Data Discovery: quais as diferenças e
as similaridades? Disponível em: https://pt.linkedin.com/pulse/data-mapping-
versus-discovery-quais-diferen%C3%A7as-e-fabio-copette.
GONÇALVES, Mariana Sbaite. Ocorreu um incidente de segurança com
dados pessoais. E agora? Disponível em:
https://www.lgpdbrasil.com.br/ocorreu-um-incidente-de-seguranca-com-dados-
pessoais-e-agora/
MARTINS, Thiago Souza. O "Privacy by Design" na Lei Geral de Proteção de
Dados. Disponível em:
https://tico080970.jusbrasil.com.br/artigos/1108185338/o-privacy-by-design-na-
lei-geral-de-protecao-de-dados
NAKAGAWA, Marcelo. Missão, Visão e Valores. Disponível em:
https://www.sebrae.com.br/Sebrae/Portal%20Sebrae/Anexos/ME_Missao-
Visao-Valores.PDF
SOARES, João. Data Mapping e Inventário de Dados – O Colete Salva Vidas
do DPO. Disponível em https://goadopt.io/blog/mapeamento-ou-inventario-de-
dados-lgpd/
MANUAL - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
GLOSSÁRIO