Objetivo:

Capacitar o aluno em ISO/IEC e estender o SGSI (Sistema de Gestão de Segurança da Informação) para um PIMS, cumprindo requisitos de privacidade para controladores e operadores.

• Mapear tratamentos (ROPA), bases legais e executar RIPD.

• Governar direitos dos titulares (DSARs) e avisos de privacidade.

• Implantar controles adicionais de controlador/operador e DPA com terceiros.

• Integrar privacidade ao SDLC, logs, mascaramento, retenção e descarte.

• Medir conformidade (SoA estendido, métricas LGPD/27701, auditorias).

Carga Horária:

5 horas

Conteúdo:

1- Fundamentos de ISO/IEC 27701 e PIMS

1.1- PIMS como extensão do SGSI (ISO 27001/27002)

1.2- Papéis e responsabilidades: Controlador x Operador, DPO/Encarregado, donos de processos e dados

1.3- Princípios de privacidade e sua evidência (LGPD)

2- Estrutura da ISO/IEC 27701

2.1- Requisitos de PIMS relacionados à 27001 (governança, contexto, riscos, objetivos, melhoria)

2.2- Orientações de PIMS relacionadas à 27002 (controles/atributos)

2.3- Requisitos adicionais para Controladores

2.4- Requisitos adicionais para Operadores

2.5- Análises de mapeamento (ex.: anexos de correlação com 27001/27002 e regulamentos)

3- Governança de Privacidade e Documentos de PIMS

3.1- Política corporativa de privacidade, normas e procedimentos (arquitetura documental)

3.2- Comitê de Privacidade (cadência, decision log) e integração ao CSP de Segurança

3.3- Riscos de privacidade (integração com 27005/31000) e critérios de alto risco

4- Inventário de Tratamentos (ROPA) e Bases Legais

4.1- Campos mínimos (finalidades, bases legais, categorias, sistemas, terceiros, retenção, medidas)

4.2- Bases legais da LGPD e seleção com evidências

4.3- LIA (legítimo interesse): finalidade, necessidade e balanceamento

4.4- Atualização contínua (gatilhos: mudanças, novos terceiros, novas finalidades)

5- RIPD/DPIA — Relatório de Impacto à Proteção de Dados

5.1- Gatilhos (alto risco, sensíveis/crianças, decisões automatizadas, monitoramento, novas tecnologias)

5.2- Estrutura: necessidade/proporcionalidade → riscos aos titulares → mitigadores → decisão

5.3- Aprovação (DPO/Comitê) e revalidação por mudança material

6- Direitos dos Titulares (DSARs)

6.1- Portal e canais, verificação de identidade, prazos (SLA) e exceções

6.2- Fluxos por direito: acesso, correção, eliminação, portabilidade, revogação, revisão de decisão automatizada

6.3- Trilhas de auditoria e métricas de eficácia

7- Controlador: Requisitos e Controles Adicionais (ISO/IEC 27701)

7.1- Transparência/avisos, finalidade e minimização, privacy by default

7.2- Consentimento e preferências; gestão de cookies/SDKs

7.3- Retenção e descarte; classificação e ciclo de vida

7.4- Transferências internacionais (hipóteses legais e salvaguardas)

7.5- Contratos com operadores: instruções, suboperadores, segurança, auditoria, eliminação/devolução

8- Operador: Requisitos e Controles Adicionais (ISO/IEC 27701)

8.1- Processamento sob instruções do controlador e registro de atividades

8.2- Segurança e confidencialidade; segregação; notificação de incidentes

8.3- Suboperadores (aprovação/controle); data return/erasure ao término

8.4- Evidências periódicas ao controlador (relatórios, testes, certificações)

9- Privacidade na Engenharia e no SDLC (Privacy by Design)

9.1- Requisitos de privacidade nas histórias de usuário; Threat Modeling (incluindo LINDDUN)

9.2- SAST/DAST/SCA/Secrets com checagens de privacidade

9.3- Logs com minimização/mascaração; segregação de ambientes; policy-as-code no CI/CD

9.4- De-identificação: pseudonimização/anonimização, tokenização, criptografia e gestão de chaves

10- Terceiros e Cadeia de Fornecimento

10.1- Due diligence por criticidade (evidências, certificações, SOC2, pentest, postura cloud)

10.2- DPA (Data Processing Agreement) e cláusulas LGPD (notificação, apoio a direitos, eliminação, transferência)

10.3- Monitoramento contínuo, SLAs e offboarding seguro (certificado de destruição/devolução)

11- Incidentes com Dados Pessoais

11.1- Classificação de severidade/risco ao titular; coordenação com SecOps

11.2- Critérios e conteúdo de notificação (quando aplicável) a titulares/regulador

11.3- Cadeia de custódia, comunicação e CAPA; atualização de RIPD e controles

12- Continuidade e Prontidão de TIC para Privacidade

12.1- RTO/RPO para serviços com DP; failover/restore com validação de integridade e segurança

12.2- Backups imutáveis e descarte consistente com a política de retenção

12.3- Testes integrados (tabletops) com cenários de DP

13- Métricas, Auditorias e SoA Estendido

13.1- KPIs/KRIs: DSARs, bases legais evidenciadas, RIPDs vigentes, operadores com DPA, incidentes de DP

13.2- SoA estendido (27701) e matriz de conformidade LGPD ↔ 27701

13.3- Auditorias internas/externas e gestão de NC/CAPA; exceções/aceite de risco de privacidade

14- Exemplo simulado e artefatos práticos