Atualizado em:
Responsável pelo processo de negócio:
Comissão LGPD
São atividades relacionadas a incidentes de segurança com dados pessoais: comunicação, avaliação e adoção de medidas.
💻 Saiba mais
O art. 46 da LGPD estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, e que tais medidas de segurança deverão ser observadas desde a concepção do produto ou serviço até a sua execução. (MGISP, 2023)
Procedimento
Para o bom desempenho dessa atividade, segue abaixo o procedimento operacional padrão a ser adotado.
Quem faz?
- Servidor ou colaborador que identificou o incidente, lotado em qualquer setor do DETRAN/AL
- Comissão Permanente da Lei Geral de Proteção de Dados Pessoais – CPLGPD
Passo-a-passo
🔹 Comunicar incidente de segurança
Esta atividade é executado pelo servidor ou colaborador que identificou o incidente de segurança.
- Acesse o link https://sei.al.gov.br/
- Efetue login no sistema
- No menu lateral esquerdo, clique em Iniciar processo
- Escolha o tipo do processo SEI LGPD: Incidente de Segurança com Dados Pessoais
- Preencha os campos
- Especificação: Descreva a especificação do processo
- Classificação por assunto: 001 – Modernização e reforma administrativa
- Interessados: Indique o setor ou pessoa que está comunicando o incidente
- Nível de acesso: público
- Os demais são opcionais
- Clique em Salvar
- No menu superior, clique em Incluir documento
- Escolha o tipo do documento SEI Comunicação de Incidente de Segurança
- Preencha os campos com nível de acesso Restrito: LGPD: Dados Pessoais (Inciso I, Art. 5º da Lei nº 13.709/2018)
- Clique em Confirmar dados
- Preencha todos os campos do documento
- Clique em Salvar
- Clique em Assinar e assine eletronicamente o documento SEI
- Poderão ser anexados ainda documentos comprobatórios.
- No menu superior, clique em Enviar processo
- Preencha os campos
- Unidades: CPLGPD DETRAN
- Clique em Enviar
🔹 Recepcionar incidente de segurança
Esta atividade é executada pela Comissão LGPD
- Acesse o link https://sei.al.gov.br/
- Efetue login no sistema
- Localize e abra o processo do incidente de segurança
- Localize a Comunicação de Incidente de Segurança
- No menu superior, clique em Incluir documento
- Escolha o tipo do documento SEI Despacho
- Preencha os campos com nível de acesso Restrito: LGPD: Dados Pessoais (Inciso I, Art. 5º da Lei nº 13.709/2018)
- Escreva o despacho com as orientações ou encaminhamentos que precisam ser feitos
- Clique em Salvar
- Clique em Assinar e assine eletronicamente o documento SEI
- No menu superior, clique em Enviar processo
- Preencha os campos
- Unidades: selecione o setor responsável por avaliar internamente o incidente de segurança
- Clique em Enviar
💻 Saiba mais
O Ministério da Gestão e da Inovação em Serviços Públicos publicou o Guia de Resposta a Incidentes de Segurança. Este guia é especialmente recomendado para os órgãos e entidades da Administração Pública Federal (APF). Algumas orientações importantes incluem a avaliação interna, que prevê o levantamento de algumas informações:
- Vulnerabilidade explorada no evento: quebre em categorias como acesso indevido aos dados, roubo de dados, ataques cibernéticos, erros de programação, engenharia social, descartes indevidos, repasse de dados pessoais, roubo e uso de dados, comprometimento de senhas, entre outros.
- Fonte dos dados pessoais: como foram obtidos os dados, por exemplo, preenchimento de formulários, API, compartilhamento de dados, XML e cookies.
- Categoria de dados pessoais: se são dados sensíveis ou dados de crianças e adolescentes.
- Extensão do vazamento: quantifique os titulares e os dados comprometidos.
- Avaliação do impacto ao titular: avalie os possíveis impactos do incidente para os titulares.
Informações ou condições necessárias
- Sistema SEI
Documentos ou formulários necessários
- Na abertura do processo SEI
- Documento SEI Comunicação de Incidente de Segurança
- Documentos comprobatórios do incidente
- No decorrer do processo SEI
- Documento SEI Despacho
Os modelos de documentos no SEI só podem ser acessados com login no sistema. Já os demais modelos, como formulários internos, só abrem em computadores conectados à rede do Estado (no trabalho ou via VPN).Serviços relacionados
Conteúdo relacionado
Inovação
- Projeto Implantação da LGPD
Textos e publicações
- MGISP. Guia de Resposta a Incidentes de Segurança. (2023)
Vídeos
Trilha de aprendizagem
Conformidade
Base legal
- Decreto Estadual n.º 60.041, de 31 de julho de 2018, que dispõe sobre o regimento interno do Departamento Estadual de Trânsito de Alagoas – DETRAN/AL
Gestão documental
- Portaria DETRAN n.º 1.396, de 18 de agosto de 2014, que aprova o Plano de Classificação e Tabela de Temporalidade do DETRAN/AL
- Alterada pela Portaria n.º 1084/2021
- Portaria AN/MGI nº 174, de 23 de setembro de 2024, que dispõe sobre o Código de Classificação e Tabela de Temporalidade e Destinação de Documentos relativos às atividades-meio do Poder Executivo Federal.
- Orientação do Gabinete Civil: e-SIC 975/2023
| Código | Descrição | Fase corrente | Fase intermediária | Destinação final |
|---|---|---|---|---|
| 066.91 | Controle do suporte técnico | 5 anos | – | Eliminação |
Inventário de dados pessoais
O Inventário de Dados Pessoais – IDP consiste no registro das operações de tratamento dos dados pessoais realizados pela instituição (Art. 37 da Lei 13.709/2018 – LGPD)
Agentes de tratamento e encarregado
| Requisito | Descrição |
|---|---|
| Controlador | DETRAN/AL |
| Operador | Não há operador designado para tratamento de dados |
| Encarregado | Saiba mais |
Natureza do tratamento
- Os dados são coletados diretamente do titular de dados (colaborador) ou por encaminhamentos internos (cidadão);
- Os dados são processados para fins de registro e análise de incidentes;
- Os dados são armazenados em documento eletrônico SEI;
- Os dados são compartilhados com operadores apenas quando este for o responsável pela resolução do incidente.
- Os dados são eliminados em 5 anos.
Escopo
| Requisito | Descrição |
|---|---|
| Dados pessoais tratados | Dados de identificação pessoal: nome do responsável pela comunicação, cargo do responsável pela comunicação, CPF do responsável pela comunicação, telefone do responsável pela comunicação e e-mail do responsável pela comunicação Poderão se tratados dados pessoais dos titulares conforme incidente |
| Quantidade de dados pessoais | 5 |
| Quantidade de dados pessoais sensíveis | 0 |
| Frequência | 8h às 14h em dias úteis |
| Abrangência | Estadual |
| Categoria do titular | Colaborador: servidor, estagiário, jovens aprendizes, terceirizados, credenciados e conveniados Poderão ser tratados dados pessoais de crianças e adolescentes |
| Compartilhamento | Compartilhado com: operadores apenas quando este for o responsável pela resolução do incidente de segurança da informação Dados compartilhados: nome do responsável pela comunicação, cargo do responsável pela comunicação, CPF do responsável pela comunicação, telefone do responsável pela comunicação e e-mail do responsável pela comunicação Finalidade do compartilhamento: para resolução de incidentes de sua competência |
| Finalidade | Para comunicação de incidente de segurança visando a análise de vulnerabilidade, tratamento e avaliação de impacto |
| Resultados pretendidos para o titular de dados | Comunicar o incidente de segurança da informação |
| Benefícios esperados para o órgão, entidade ou para a sociedade | Gestão de incidentes de segurança da informação |
Necessidade e proporcionalidade
| Requisito | Descrição |
|---|---|
| Hipótese legal | Execução de políticas públicas (Art. 7º, III da LGPD) |
| Qualidade e minimização | Para melhor clareza de entendimento dos incidentes de segurança, poderá ser necessário o envio de dados pessoais ao suporte técnico. O envio desses dados deverá atender ao princípio da necessidade, “(…) com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. (Art. 6º, III da LGPD) |
| Transferência internacional | Não há |
Identificação e avaliação de riscos
| Risco identificado | Medida adotada |
|---|---|
| R01 Acesso não autorizado | Medida 1 Treinamento para os usuários subirem os documentos como restritos Medida 2 Treinamento para uso de senhas seguras Medida 3 Responsabilização pelo compartilhamento de senhas |
Histórico de versões
Neste espaço são registradas alterações relevantes no conteúdo do documento, decorrentes de mudanças nos procedimentos ou ajustes necessários para fins de conformidade.
Atualizações relacionadas a design, funcionalidades ou à sessão “Conteúdo relacionado” não são registradas aqui.
| Data | Versão | Descrição | Autor |
|---|---|---|---|
| 02/04/2025 | 1.0 | Criação do documento | Comissão LGPD |