| A | B | C | |
|---|---|---|---|
1 | INVENTÁRIO DE EVENTOS DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (Riscos propostos pelo Comitê Central de Governança de Dados da União - CCGD que foram influenciados e adaptados da norma ISO/IEC 29134:2017) | ||
2 | ID | EVENTO DE RISCO | Descrição |
3 | 1 | Acesso não autorizado | Acesso indevido (permissões indevidas) a um ambiente físico ou lógico. |
4 | 2 | Coleção excessiva | Coleta de dados pessoais em quantidade superior ao mínimo necessário à finalidade do tratamento ou atividade que fará uso do dado pessoal. |
5 | 3 | Compartilhar ou distribuir dados pessoais sem o consentimento do titular dos dados pessoais | Instituição não atende sua finalidade legal e compartilha os dados sem consentimento do titular dos dados pessoais (LGPD |
6 | 4 | Falha em considerar os direitos do titular dos dados pessoais | Não atendimento dos direitos do titular conforme descrito nos artigos 17 a 23 da LGPD. |
7 | 5 | Falha ou erro de processamento | Dados de entrada que não são corretamente validados, operações de tratamento automatizadas de sistema que alteram de maneira indevida a composição do dado armazenado. |
8 | 6 | Informação insuficiente sobre a finalidade do tratamento | O tratamento de dados pessoais realizado de forma eletrônica ou documento em papel deve atender a uma finalidade e ser exposto de forma transparente e clara ao detentor dos dados pessoais. |
9 | 7 | Modificação não autorizada | Usuários sem permissão de alteração para um determinado dado pessoal ou registro realiza a modificação não autorizada. Um processamento indevido pode gerar uma modificação não autorizada. |
10 | 8 | Perda | Perdas provocadas por ações intencionais de usuários oriundas de uma exclusão indevida ou devida e não comunicada e provenientes de ações não intencionais como falhas em sistemas, sobrescrita de dados, falhas em hardware entre outras. |
11 | 9 | Reidentificação de dados pseudo minimizados | Dados pessoais podem ser identificados por cruzamento simples de dados pessoais (LGPD art. 12 e 13). |
12 | 10 | Remoção não autorizada | O usuário não tem a permissão para retirar ou copiar dados pessoais para outro local. |
13 | 11 | Retenção prolongada de dados pessoais sem necessidade | O término da prestação de um serviço ou do prazo da retenção dos dados pessoais para fins legais deve culminar com a exclusão e/ou descarte seguro(a) dos dados pessoais. |
14 | 12 | Roubo | Dados roubados nas dependências internas do controlador/operador, falhas nos controles de segurança dos sistemas (a exemplo da ausência ou fraca criptografia, falha de sistema que permita escalação de privilégio ou tratamentos indevidos) entre outras. |
15 | 13 | Tratamento sem consentimento do titular dos dados pessoais | Controlador de dados pessoais não obtém consentimento do titular para realizar um tratamento de dados pessoais sem embasamento legal. |
16 | 14 | Vinculação ou associação indevida direta ou indireta dos dados pessoais ao titular | A realização de operação de processamento de dados pessoais deve estar em conformidade com a LGPD. Qualquer operação de processamento que não atenda este requisito pode produzir informações com vinculações ou associações indevidas. |
17 |  | ||