3. Referências
• Lei Federal nº 13.709/2018 – LGPD (Lei Geral de Proteção de Dados
Pessoais).
• Lei Federal nº 12.965 - Marco Civil da Internet.
• NBR ISO/IEC 27001:2022 – Segurança da informação, segurança
cibernética e proteção à privacidade — Sistemas de gestão da
segurança da informação — Requisitos.
• NBR ISO/IEC 27002:2022 – Segurança da informação, segurança
cibernética e proteção à privacidade — Controles de segurança da
informação.
• NBR ISO/IEC 27701:2019 – Técnicas de segurança – Extensão da
ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação
– Requisitos e diretrizes.
• PSI-002 – Política de Segurança da Informação Pública.
4. Definições
• Controlador – pessoa natural ou jurídica, de direito público ou privado,
a quem competem as decisões referentes ao tratamento de dados
pessoais
• Dado pessoal – informação relacionada à pessoa física identificada
ou identificável, como por exemplo: nome, número do RG, CPF, data
de nascimento, foto, telefone, geolocalização, entre outros
• Dado pessoal sensível – categoria de dado pessoal sobre origem
racial ou étnica, convicção religiosa, opinião política, filiação à sindicato
ou a organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biométrico,
quando vinculado a uma pessoa natural
• Encarregado (DPO) – pessoa indicada pelo Controlador/Operador
para atuar como canal de comunicação entre o Controlador, os
titulares e a Autoridade Nacional de Proteção de Dados (ANPD)
• Incidente de segurança de dados pessoais – qualquer evento
adverso confirmado, relacionado a incidente de segurança de dados
pessoais, tais como acesso não autorizado, acidental ou ilícito que
resulte na destruição, perda, alteração, vazamento ou ainda, qualquer
forma de tratamento de dados inadequada ou ilícita, os quais possam
ocasionar risco para os direitos e liberdades dos titulares
• Operador – pessoa natural ou jurídica, de direito público ou privado,
que realiza o tratamento de dados de acordo com as instruções do
Controlador
• Titular – pessoa física a quem se referem os dados pessoais que são
objeto do tratamento
• Tratamento – toda operação realizada com dados pessoais, como as
que se referem à coleta, produção, recepção, manuseio, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração
• Medidas técnicas – aquelas relacionadas a tecnologias e controles
que podem ser implementados em relação à segurança da informação
e melhorias para uma execução assertiva e eficiente dos princípios da
Lei Geral de Proteção de Dados
• Medidas organizacionais – medidas relacionadas a políticas,
procedimentos, guias, manuais, atividades de conscientização (como
treinamentos e comunicados) e documentos, no geral, que orientem o
usuário quanto às diretrizes de Privacidade e Proteção de Dados
Pessoais