Perguntas e Respostas: Oficina Inventário de Dados

Publicado em 03/11/2020 16h31 Atualizado em 20/04/2021 15h49

Pergunta: Haverá algum tipo de certificado de participação?!
Resposta: Não será disponibilizado certificado de participação.

Pergunta: Para cada serviço ou processo teremos um controlador e encarregado diferente?
Resposta: Não. A proposta de ter o controlador e encarregado na guia “3-Template” é possibilitar que se a instituição desejar imprimir a planilha ou gerar um arquivo pdf de um inventário em específico conste a informação do controlador e encarregado, dispensando a necessidade de consulta a listagem geral para saber a identificação deles.

Pergunta: De acordo com a LGPD, o controlador é uma pessoa natural ou jurídica, de direito público ou privado... Um departamento é um órgão, não possui personalidade jurídica, neste caso o controlador não deveria ser a entidade?
Resposta: Sim. No estudo de caso, o controlador é o Departamento de Segurança Pública que representa uma entidade. Para não gerar algum constrangimento para o Ministério que embasou o estudo de caso, o nome da entidade foi descaracterizada para Departamento a fim de preservar a identificação real do Ministério.

Pergunta: Se houver mais de um operador por serviço (uma empresa que cuida das questões de manutenção e desenvolvimento, outra para assuntos de banco de dados, infra, etc), uma linha para cada um?
Resposta: Sim. Se tiver mais de um operador, então deve ser preenchido o item 2.3 e incluir uma linha de identificação do segundo operador como item 2.4 e assim sucessivamente até concluir a informação de identificação de todos operadores.

Pergunta: Vocês poderiam liberar a planilha preenchida desta oficina?
Resposta: A planilha está disponível no link: https://www.gov.br/governodigital/pt-br/governanca-de-dados/arquivos/TemplateInventariodadospessoais.xlsx

Pergunta: Esse preenchimento nao deveria estar sendo feito na aba "PLD"?
Resposta: Sim. No momento do preenchimento ocorreu este equívoco na execução da oficina do dia 20/10/2020. Na oficina do dia 22/10/2020, o preenchimento foi realizado da forma correta na aba “PLD”.

Pergunta: Uma planilha é considerado base de dados? e as bases de dados que os sistemas conectam, base de dados gerenciadas por SGBDs (ex: oracle, postgres) também devem ser informadas?
Resposta: 
1. Em relação ao questionamento sobre planilha ser base de dados, ressaltamos que o item “planilha” é uma das opções a serem selecionadas na coluna “Fonte de Retenção”.
1.1 Ao preencher a coluna “Fonte de Retenção”, observar a anotação destacada nessa coluna que orienta “Informar a principal fonte de retenção/armazenamento dos dados ...”, ou seja, pode acontecer de serem coletados e mantidos dados pessoais diretamente em uma planilha eletrônica, nesse caso, a principal fonte de retenção é uma planilha eletrônica. Isso aplica-se também para uma listagem em papel preenchida ,por exemplo, com nome, telefone pessoal,  e-mail pessoal e assinatura de participantes de um evento. Tal listagem representa a principal fonte de retenção dos dados pessoais coletados.
2. No que ser refere ao segundo questionamento, na coluna “Fonte de Retenção” deve ser informada a fonte principal de armazenamento dos dados pessoais. Se os dados são armazenados em banco de dados Oracle, Sql Server, Postgree SQL ou qualquer outro tipo de banco de dados, deve-se selecionar a opção base de dados.

Pergunta: Em relação aos dados pessoais de usuários internos da rede (sejam colaboradores ou servidores), há algum limite de tempo para mantê-los nos Catálogos de Usuários após o desligamento dessas pessoas do órgão?
Resposta: A priori, não existe normativo específico na Administração Pública Federal tratando o tema. Nesse caso, indica-se verificar as previsões legais relacionadas com os dados pessoais que são mantidos e acessados pelos usuários internos.
Por exemplo, se existem logs gerados com base no catálogo de usuários a fim de controlar quem acessou informações fiscais, então o prazo de retenção do catálogo deve ser aderente ao tempo de guarda das informações fiscais no caso de ter associação dessas informações.
Recomenda-se que também seja realizada a avaliação da tabela de temporalidade de documentos de arquivos mantida pelo CONARQ http://www.siga.arquivonacional.gov.br/images/publicacoes/cctt_meio.pdf

Pergunta: Qual o propósito dessa categorização dos dados pessoais tão detalhada? Porque se não há um proposito definido é melhor nem ter, pois é mais uma coisa para se ter dúvida, demorar e atrapalhar o preenchimento, pois será feito a várias mãos (vários setores). quanto mais simples melhor. Ainda mais se essa categorização não for utilizada.
Resposta: O template é apenas uma sugestão a fim de auxiliar a elaboração do inventário. As categorias são exemplificativas no sentido de indicar a instituição as possibilidades de dados pessoais que podem ser tratados pelo serviço e processo de negócio.
Sendo apenas uma proposta de modelo, a instituição pode remover, adaptar e/ou customizar qualquer seção do inventário de dados pessoais para o formato que desejar. Inclusive, adaptar para listar diretamente os dados pessoais tratados sem qualquer segregação por categorias.

Pergunta: Onde posso tirar a dúvida do email institucional do servidor é classificado ou não como dado pessoal?
Resposta: Registrar a dúvida na central de atendimento constante do link: https://portaldeservicos.economia.gov.br/citsmart/login/login.load

Pergunta: Tem uma data limite para entregar esse relatório de impacto?
Resposta: A priori, o relatório de impacto é demandado em alguns específicos pela ANPD, consulte a seção 2.5 do Guia de Boas Práticas LGDP.
Todavia recomenda-se que o RIPD seja elaborado no início de todo e qualquer serviço/processo de negócio que tratam dados pessoais. Dessa forma, têm-se a visão dos riscos e medidas de segurança a serem tomadas para assegurar a proteção de dados do titular.

Pergunta: Seria interessante incluir no template uma coluna para esclarecer se aquele dado é necessário ou não. Isso ajudaria a pessoa que está levantando os dados a lembrar de fazer esse questionamento ao dono do processo.
Resposta: O template é apenas uma sugestão a fim de auxiliar a elaboração do inventário. Sendo apenas uma proposta de modelo, a instituição pode remover, adaptar e/ou customizar qualquer seção do inventário de dados pessoais para o formato que desejar. Desse modo, caso a instituição considere necessário, pode-se incluir a coluna que foi mencionada na pergunta para o template adaptar-se à realidade institucional.

Pergunta: O item 9.2 realmente auxilia nesta reflexão, mas é necessário deixar bem marcada a opção dos dados a serem "retirados" dos sistemas e formulários. Assim, evitaríamos ter que refazer esse tipo de questionamento no momento da adequação do processo à LGPD. 
Resposta: Bem observado. Essa reflexão pode ocorrer no momento de elaboração do Relatório de Impacto à Proteção de Dados Pessoais ou ao final do preenchimento do template de inventário de dados.

Pergunta: Telefone e e-mail corporativos de servidores públicos são dados pessoais, assim como o são telefone e e-mail pessoais? E cargo e função de servidor público?
Resposta: A LGPD precisa ser interpretada a luz do ordenamento jurídico com outros normativos e não isoladamente. Nesse aspecto, quando falamos em informações que dizem respeito à função pública de um agente público (ou do titular de dados pessoal como agente público) há que se observar a Lei 12.527/2011.
Assim, nome e cargo são informações que devem ser disponibilizadas inclusive por mandamento legal.
Em relação ao e-mail coorporativo, considerando a abrangência da definição de dado pessoal (LGPD, art. 5º, I), a priori, considera-se tal atributo como dado pessoal, atentando-se para publicidade nos casos previstos em lei. O caso do telefone coorporativo de divulgação para contato do cidadão ou para outras instituições não apresentam caráter pessoal, todavia, se considerar a divulgação do telefone de cada servidor para instituições de caridade ou outros fins privados, então enquadraria como pessoal.

Pergunta: O inventário ocorre por base ou por uso. Por exemplo: eu tenho uma base de dados mestres (dados cadastrais). Essa base, por sua vez, via integração de sistemas, fornece os dados pessoais para várias aplicações. Nesse caso, cadastro a base original, ou o uso dos dados nas demais aplicações?
Resposta: A abordagem sugerida pelo inventário é documentar pelo serviço ou processo de negócio de acordo com o que for mais conveniente para a instituição.
Se cada sistema representa um serviço diferente, é recomendável a elaboração do inventário por serviço mesmo que os dados pessoais sejam repetidos para cada inventário. Essa sugestão de abordagem é para se ter uma visão de quais dados pessoais são tratados pelo serviço, que são divulgados no serviços do portal gov.br.
Ao documentar pela base de dados mestres, o modelo deve ser ajustado para indicar quais os serviços/sistemas utilizam os dados pessoais. O que demandaria ajuste no template proposto para estar adequado ao inventário centrado na base de dados e não no serviço/processo de negócio.