O Instituto Federal do Paraná (IFPR) lançou em 2022 a Cartilha de Boas Práticas para o Tratamento de Dados Pessoais do IFPR [1]. Inicialmente, "é voltada para o público interno do IFPR, mas também serve como fonte de consulta e informação para toda a sociedade". Em resumo, o IFPR disponibilizou as seguintes dicas:

Política de tela e mesa limpa

Mantenha sua mesa limpa, sem documentos com dados pessoais expostos. Isto reduz a possibilidade de acesso à dados pessoais por pessoas não autorizadas. Não mantenha post-it ou rascunhos com logins e senhas em seu monitor.

Cuidado com impressões

É comum, como medida de racionalização dos recursos públicos, compartilharmos impressoras. Desta forma, recomenda-se que não deixe de retirar a impressão com dados pessoais imediatamente após realizar a ação. Desta forma, haverá a mitigação de possíveis acessos não autorizados à dados pessoais.

Cuidado com envio de dados pessoais em redes sociais

Ao tentar agilizar nossas atividades, recorremos aos aplicativos de mensagens instantâneas. Devemos nos atentar para que as ações não se tornem frágeis ao invés de ágeis. Evite enviar dados pessoais por este caminho. Nesta prática, não é possível rastrear os dados pessoais e quem teve acesso. Devemos sempre utilizar mecanismos institucionais para o tratamento de dados pessoais.

Proteção de dados pessoais nos sistemas e e-mail

• • Sempre que inserir fotocópias de documentos pessoais, o documento deve ser restrito apenas aos servidores que realmente tenham necessidade de acesso.

  • Evite dentro do possível inserir dados pessoais em despachos públicos.

  • Em portarias em que é necessário CPFs, para evitar homônimos, opte por descaracterização dos dados pessoais conforme o portal da transparência. Por exemplo: cpf: ***.000.000 -**

  • Restrinja o acesso a planilhas contendo dados pessoais somente à servidores que tenham necessidade de acesso.

  • Construa senhas fortes com pelo menos 9 ou 10 caracteres e inclua maiúsculas, minúsculas, caracteres especiais e números.

  • Colete e trate somente o necessário para atingir a finalidade da atividade.

  • Não compartilhe seu login e senha com colega de trabalho, todos devem ter seu acesso individual. Ao sair da sua mesa de trabalho, bloqueie seu computador.

  • Não clique em tudo que receber: E-mail, SMS, aplicativos de mensagens, redes sociais. Fique atento ao conteúdo das mensagens, links e anexos.

  • Desconfie de mensagens que apresentem erros gramaticais e ortográficos.

  • Desconfie se o endereço de e-mail ou telefone do remetente não for conhecido por você, e o mais importante: nunca clique em links, não baixe arquivos e não instale programas ou aplicativos inseridos nessa mensagem

O que fazer?

Uma boa prática é avaliar os formulários se estão aderentes à LGPD, tratando só o mínimo necessário, com finalidade definida, adequado, e com segurança.

Neste caso, verifica- se que não há necessidade de coletar a fotocópia do cartão do(a) bolsista, pois o simples fornecimento dos dados bancários pelo titular de dado é suficiente.

A informação solicitada pode sofrer um incidente de segurança, com acesso indevido, podendo causar danos ao titular, por exemplo: Alguém obtém acesso aos dados (que não eram necessários para a finalidade, no entanto coletamos) e este alguém, de posse dos dados tratados sem a necessidade, pode realizar: compras, empréstimos e movimentações financeiras em nome do titular.

O que não podemos fazer?

• Tratar dados pessoais sem finalidade definida.

• Tratar dados pessoais desnecessários para atingir a finalidade.

• Tratar dados pessoais sem norma legal que ampare o tratamento.

• Compartilhar dados pessoais sem previsão legal.

• Tratar dados pessoais sem observar as medidas de segurança necessárias.

Princípios

Finalidade

Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

Necessidade

Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

Livre acesso e qualidade dos dados

Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Transparência

Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

Não discriminação

Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos

Prevenção e Segurança

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Responsabilização e prestação de contas 

Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Veja a cartilha original completa do IFPR neste endereço.

Referências

[1] Conheça a Cartilha de Boas Práticas para o Tratamento de Dados Pessoais do IFPR