Administrador de sistema autônomo — Pessoa ou empresa que administra blocos de endereços IP e o roteamento de um sistema autônomo no Brasil.
Adolescente — Pessoa entre 12 e 18 anos incompletos; requer proteção reforçada e comunicação acessível.
Agente de tratamento — Termo que engloba quem decide e quem executa o uso de dados pessoais (controlador e operador).
Agência Nacional de Proteção de Dados — Agência reguladora, autarquia de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública, com competência para zelar, implementar e fiscalizar o cumprimento da LGPD. Ver também: ANPD.
Ambiente lógico — Rede ou plataforma digital usada para trabalhar, acessar sistemas e trocar informações.
Ameaça — Qualquer causa potencial de incidente capaz de gerar dano.
Anonimização — Técnica que torna impossível vincular um dado a uma pessoa com meios razoáveis. Exemplos (FCAV): relatórios estatísticos sem identificação; dashboards agregados.
ANPD — Agência reguladora, autarquia de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública, com competência para zelar, implementar e fiscalizar o cumprimento da LGPD.
API (Application Programming Interface) — Conjunto de regras que permite que sistemas diferentes “conversem” entre si.
Aplicativo de comunicação — Software para troca de mensagens, arquivos e chamadas entre usuários.
Atividade — Menor etapa de trabalho dentro de um processo.
Ativo — Qualquer bem (físico ou digital) que tem valor e precisa de proteção.
Ativo intangível — Bem não físico de valor para a organização (ex.: dados, marca, reputação).
Ativo tangível — Bem físico de valor para a organização (ex.: notebook, servidor).
Auditoria — Verificação sistemática para checar conformidade e eficácia de controles.
Autenticação — Validação de que quem acessa é de fato a pessoa autorizada.
Autenticação multifator (MFA) — Acesso que exige dois ou mais fatores (ex.: senha + código no celular).
Autenticidade — Garantia de que a informação é verdadeira e sua origem pode ser comprovada.
Avaliação de impacto à privacidade (PIA) — Análise prévia para incluir privacidade desde a concepção de produtos/serviços.
Avaliador do legítimo interesse — Colaborador que avalia se é adequado usar a base “legítimo interesse” em sua área.
Aviso — Comunicação preventiva com instruções para adoção de providências.
Backup — Cópia de segurança feita para recuperar dados em caso de falha ou incidente.
Banco de dados — Conjunto organizado de informações em meio físico ou digital.
Banner de cookies — Aviso no site que informa o uso de cookies e permite escolhas do usuário.
Base legal de tratamento — Fundamento previsto na LGPD que autoriza o uso de dados pessoais. Exemplos (FCAV): emissão de certificado (obrigação legal/contrato), comunicação institucional (legítimo interesse), newsletter opcional (consentimento).
BIOS (Basic Input/Output System) — Firmware que inicia o hardware do computador antes do sistema operacional.
Classificação da informação — Etiqueta de sigilo que define quem pode ver e como proteger a informação.
Código malicioso — Programa feito para causar dano, roubo de dados ou acesso indevido.
Colaborador — Pessoa física que atua em nome da organização (CLT, PJ, estagiário, aprendiz).
Compartilhamento de dados pessoais — Entrega ou acesso a dados pessoais por terceiros, sob regras definidas. Exemplos (FCAV): envio de dados à certificadora; repasse à plataforma de pagamento.
Computação em nuvem — Oferta de recursos de TI via internet, sob demanda.
Conexão à internet — Habilitação de um dispositivo para enviar e receber dados usando um endereço IP.
Confidencialidade — Garantia de que somente pessoas autorizadas podem acessar determinada informação.
Consentimento — Aceite livre e informado do titular para uma finalidade específica. Exemplos (FCAV): opt-in para receber conteúdos de marketing; uso de imagem em eventos não obrigatórios.
Consentimento do responsável — Autorização dada por responsável legal para tratamento de dados de criança, de forma destacada e compreensível.
Conta de acesso genérica — Credencial não ligada a uma pessoa específica, para uso controlado e pontual.
Conteúdo abusivo — Mensagens ou materiais com assédio, discriminação, difamação ou similares.
Controlador — Quem decide por que (finalidade) e como (meios essenciais) os dados pessoais serão tratados, assumindo obrigações como base legal, transparência, resposta a titulares, segurança e contratos com operadores.Ver também: Operador.
Exemplos Controlador (FCAV):
Controladoria conjunta — Dois ou mais controladores definem, em conjunto, finalidades e elementos essenciais do tratamento.
Controle de acesso — Conjunto de regras e meios para permitir ou bloquear acessos.
Cookie — Arquivo que armazena preferências e informações de sessão no dispositivo do usuário.
Corrente — Mensagem que incentiva repassar conteúdo para muitas pessoas.
Criança — Pessoa com até doze anos incompletos, conforme lei.
Criptografia — Técnica que embaralha dados para que só quem tem a chave consiga ler.
Custódia — Responsabilidade de guardar um ativo sem, necessariamente, poder acessá-lo.
Cyberlocker — Plataforma online para armazenar e compartilhar arquivos na nuvem por upload/download, sujeita às políticas de segurança, acesso e retenção da organização. Ver também: Repositório digital; Computação em nuvem; Serviço em nuvem.
Dado anonimizado — Dado que não permite identificar o titular com meios razoáveis.
Dado auxiliar — Identificador separado que permite reverter uma pseudonimização.
Dado de saúde — Dado sensível que revela informações sobre a saúde do titular.
Dado pessoal — Informação relacionada a pessoa natural identificada ou identificável. Exemplos (FCAV): nome, e-mail, CPF, RA do aluno, IP com vínculo ao usuário.
Dado pessoal sensível — Dado sobre origem racial/étnica, convicção religiosa, opinião política, filiação a sindicato/organização de caráter religioso, filosófico ou político, saúde, vida sexual, genético ou biométrico. Exemplos (FCAV): atestados médicos, laudos, biometria em catraca, dados de inclusão/acessibilidade.
Dado pseudonimizado — Dado trocado por um código, reversível apenas com o “dado auxiliar” separado.
Descarte seguro — Eliminação que impede a recuperação dos dados descartados.
Direitos do titular — Solicitações que a pessoa pode fazer sobre seus dados (ex.: acesso, correção, exclusão). Exemplos (FCAV): aluno pede cópia dos dados; candidato solicita correção; ex-aluno pede eliminação quando possível.
Disponibilidade — Informação e sistemas acessíveis quando necessário por pessoas autorizadas.
Dispositivo móvel — Equipamento portátil capaz de processar e se conectar a redes.
Dispositivo removível — Mídia de armazenamento que pode ser retirada do equipamento (ex.: pen drive).
Documento — Registro de informação em qualquer suporte ou formato.
Eliminação — Exclusão definitiva de dados do banco ou sistema.
E-mail (mensagem eletrônica) — Mensagem enviada/recebida por serviços de correio eletrônico.
Encarregado (DPO) — Ponto de contato entre organização, titulares e ANPD.
Endereço IP — Código numérico que identifica um dispositivo em rede.
Esteganografia — Ocultação de informação dentro de outro arquivo de forma discreta.
Estrutura de gestão de riscos — Base organizacional que orienta o desenho, execução e melhoria contínua da gestão de riscos.
Evento — Ocorrência registrada em um sistema ou rede.
Evento adverso/ofensivo — Ocorrência que traz consequências negativas (falha, abuso, malware etc.).
Finalidade — Propósito claro e específico para usar dados pessoais.
Fraude — Ato ilícito para obter vantagem, roubar dados ou usar recursos sem autorização.
Formulário de Avaliação de Tratamento de Dados Pessoais — Formulário padrão para registrar, justificar e submeter novos tratamentos (ou mudanças) de dados pessoais, incluindo finalidade, base legal, riscos, medidas de segurança e integração ao RoPA. Exemplos (FCAV): novo formulário no site; adoção de ferramenta SaaS; inclusão de novo terceiro; uso de dados sensíveis.
Gestão de riscos e melhoria da qualidade — Atividades coordenadas para identificar, tratar e monitorar riscos.
Gestor da área gestora do contrato — Responsável por elaborar e gerir operacionalmente o contrato.
Gestor da informação — Responsável por classificar, compartilhar e descartar informações de sua área.
Gestor de área — Líder responsável por uma unidade organizacional.
Gestor de riscos — Responsável por coordenar a gestão de riscos na área.
Gestor responsável pela contratação — Quem define escopo, parâmetros e acompanha a execução do contratado.
Grupo vulnerável — Conjunto de pessoas mais suscetíveis a danos (ex.: crianças, idosos, PcD).
Homologação — Avaliação e aprovação técnica antes de uso de um recurso no ambiente da organização.
Identidade digital — Conjunto de credenciais que identifica um usuário em sistemas e redes.
Impacto — Efeito potencial de risco nos objetivos da organização.
Incidente — Evento inesperado que pode causar efeito negativo.
Incidente de segurança com dados pessoais — evento adverso (confirmado ou suspeito) que compromete dados pessoais (acesso, perda, vazamento, alteração). Exemplos (FCAV): e-mail enviado ao destinatário errado; link público com base de alunos; ransomware em servidor acadêmico.
Incidente de segurança da informação — Evento que compromete confidencialidade, integridade ou disponibilidade de informações/serviços.
Incidente de segurança da informação e comunicação — Evento com probabilidade significativa de comprometer operações e informações.
Indisponibilidade de serviço/informação — Interrupção de um serviço ou informação por falha ou exaustão de recursos.
Informação — Dados com significado que podem ser usados para gerar conhecimento.
Informação confidencial — Informação que exige acesso restrito para evitar prejuízos.
Informação lógica — Informação armazenada em meio eletrônico (nuvem ou dispositivo).
Informação pessoal — Informação sobre pessoa natural identificada ou identificável.
Informação sigilosa — Informação com acesso público temporariamente restrito por razões legais.
Infração — Descumprimento da LGPD e normas da ANPD.
IaaS (Infrastructure as a Service) — Oferta de servidores, armazenamento e rede como serviço.
Integridade — Garantia de que a informação permanece completa e não alterada indevidamente.
Internet — Rede mundial pública para troca de dados.
Intrusão — Acesso não autorizado a sistemas, redes ou dados com objetivos ilícitos.
Legalidade — Gestão da informação e processos conforme leis e regulamentos vigentes.
Legítimo interesse — base legal para fins necessários e proporcionais do controlador, sem sobrepor direitos e liberdades do titular (exige teste de LI). Exemplos (FCAV): comunicação institucional para alunos ativos; prevenção a fraude no acesso aos sistemas.
LGPD — Lei brasileira que regula o tratamento de dados pessoais e protege direitos dos titulares.
Log — Registro de eventos relevantes de um sistema ou serviço.
Login — Identificador único usado para acessar sistemas.
Mapa de risco — Visualização dos principais riscos por área, impacto e probabilidade.
Medidas de segurança (técnicas e administrativas) — Controles para prevenir, detectar e responder a riscos (ex.: controle de acesso, criptografia, logs, políticas, treinamento).
Exemplos (FCAV): MFA; perfis mínimos de acesso; retenção e descarte seguro; registro de logs; treinamento anual.
Melhor interesse da criança e do adolescente — Princípio que prioriza a proteção e o benefício do menor em decisões sobre seus dados.
Mensagem eletrônica — Comunicação escrita transmitida por serviços de correio eletrônico (ex.: SMTP/IMAP/POP) para envio e recebimento de mensagens internas e externas.Ver também: E-mail; Conteúdo abusivo; Spam; Phishing.
Movidesk — Sistema usado para registrar e acompanhar chamados de suporte.
MFA (Multi-Factor Authentication) — Método de autenticação que exige dois ou mais fatores independentes (algo que você sabe, tem ou é) para liberar o acesso, reduzindo riscos de fraude. Ver também: Autenticação; Autenticação multifator; Controle de acesso.
Não discriminação — Proibição de tratar dados para fins discriminatórios, ilícitos ou abusivos.
Nuvem comunitária — Infraestrutura de nuvem para uma comunidade com requisitos comuns.
Nuvem híbrida — Combinação de dois ou mais modelos de nuvem com portabilidade entre eles.
Nuvem privada — Nuvem exclusiva de uma organização.
Nuvem pública — Serviços de nuvem oferecidos ao público em geral.
Operador — Quem trata dados em nome do controlador e sob suas instruções, sem definir finalidade própria, devendo adotar medidas de segurança, registrar atividades e não usar os dados para fins próprios.Ver também: Controlador.
Exemplos Operador (FCAV):
Oportunidade — Situação de risco cujo efeito esperado é positivo e aceito.
P2P (peer-to-peer) — Arquitetura de rede em que cada nó atua como cliente e servidor ao mesmo tempo, permitindo compartilhamento direto de dados sem servidor central. Ver também: Peer-to-peer; Proteção de ativos; Medidas de segurança.
Peer-to-peer — Rede em que cada ponto funciona como cliente e servidor sem um servidor central.
Perfilamento — Técnica que usa dados para inferir ou prever comportamento, preferências ou características de uma pessoa, gerando perfis que podem influenciar decisões ou personalizações. Ver também: Transparência; Direitos do titular; Legítimo interesse.
Petição de titular — Solicitação do titular à ANPD quando o controlador não responde adequadamente.
Phishing — Mensagem fraudulenta usada para roubar dados ou instalar malware.
PaaS (Platform as a Service) — Plataforma em nuvem para desenvolver e publicar aplicações.
Podcast — Arquivo de áudio que pode ser baixado e ouvido sob demanda.
Política de Segurança da Informação (PSI) — Regras e diretrizes sobre segurança da informação na organização.
Prestador de serviço — Profissional ou empresa contratada para executar atividades.
Prevenção — Medidas adotadas para evitar a ocorrência de danos no tratamento de dados pessoais.
Primariedade — Coleta da informação diretamente na fonte, com máximo detalhamento e sem alterações.
Privacidade desde a concepção — Princípio de projetar produtos, serviços e processos com proteção de dados embutida desde o planejamento até o descarte. Ver também: Privacy by design; PIA; Medidas de segurança (técnicas e administrativas).
Privacy by design — Princípios de privacidade aplicados desde o início de um projeto.
PIA (Privacy Impact Assessment) — Avaliação sistemática de um tratamento para identificar riscos à privacidade e definir salvaguardas antes da implantação ou de mudanças relevantes. Ver também: Relatório de Impacto à Proteção de Dados (RIPD); Formulário de Avaliação de Tratamento de Dados Pessoais; RoPA.
Processo — Conjunto de atividades relacionadas que transformam entradas em saídas.
Profiling (perfilamento) — Técnica para inferir comportamento ou interesses a partir de dados.
Prospecção de informações — Ações para descobrir vulnerabilidades, serviços ou configurações (inclui testes e engenharia social).
Proteção de ativos — Classificação e aplicação de controles conforme a sensibilidade do ativo.
Provedor de computação em nuvem — Empresa que oferece IaaS, PaaS ou SaaS.
Proxy — Servidor intermediário que encaminha requisições entre a rede interna e a internet.
Pseudonimização — troca de identificadores por um código, mantendo a chave separada para reverter quando permitido. Exemplos (FCAV): ID técnico no lugar do CPF com chave guardada pela área controladora.
Rastreabilidade — Capacidade de vincular uma ação ao seu executor.
Recurso de TIC — Hardware, software, redes e serviços usados para tratar informação.
Registro das Atividades de Tratamento (RoPA) — documento que lista e descreve cada tratamento (finalidade, bases, dados, titulares, terceiros, retenção, segurança). Exemplos (FCAV): planilha mestre com todos os processos das áreas; atualização quando nasce ou muda um tratamento.
Registro de acesso a aplicação — Registro de data/hora de uso de uma aplicação a partir de um IP.
Registro de conexão — Registro de início/fim, duração e IP utilizado na conexão à internet.
Reidentificação — Tentativa de voltar a identificar pessoas a partir de dados desidentificados.
Relatório de Impacto à Proteção de Dados (RIPD) — avaliação de risco à privacidade para tratamentos potencialmente de alto risco, definindo medidas de mitigação antes da operação. Exemplos (FCAV): uso de biometria; monitoramento sistemático; dados sensíveis em escala; públicos vulneráveis.
Repositório digital — Plataforma online para armazenar e compartilhar arquivos.
Responsável legal — Pessoa com poder para representar menor ou incapaz.
Restauração (restore) — Recuperação de dados de backup para voltar à operação.
Retenção — manter dados apenas pelo tempo necessário à finalidade/obrigações legais e eliminar/anonimizar ao fim do período. Exemplos (FCAV): prazos de retenção por tipo de documento; eliminação de inscrições não concluídas após período definido.
Revogação de acesso — Remoção de permissão de acesso a sistema ou informação.
Risco — Combinação de probabilidade e impacto de um evento indesejado.
Risco residual — Risco que permanece após a aplicação de tratamentos.
Sanitização — Apagamento irreversível de dados de um dispositivo ou mídia.
Segurança da informação — Proteção da confidencialidade, integridade, disponibilidade, legalidade e autenticidade da informação.
Senha — Segredo usado para comprovar identidade digital.
Senha de BIOS — Código que limita o acesso às configurações de BIOS para evitar alterações não autorizadas.
Service desk — Ponto central de contato para registrar e acompanhar chamados de TI.
Serviço em nuvem — Qualquer serviço de TI entregue via internet (ex.: e-mail, armazenamento, análise).
Sistema Básico de Entrada e Saída — Firmware do computador que inicializa o hardware e inicia o carregamento do sistema operacional, permitindo configurar parâmetros como data e ordem de boot. Ver também: BIOS; Senha de BIOS; Integridade.
Sistema de informação — Conjunto de aplicações, serviços e componentes que processam e guardam dados.
SaaS (Software as a Service) — Aplicação entregue como serviço, acessada via navegador.
Spam — Mensagem enviada em massa sem autorização ou relação prévia.
Suboperador — Terceiro contratado pelo operador para auxiliar no tratamento em nome do controlador.
Subprocesso — Parte de um processo composta por atividades menores.
Temporalidade — Horizonte de impacto do risco (curto, médio ou longo prazo) usado para classificar riscos.
Tentativa de burla — Ação para tentar driblar regras e controles estabelecidos.
Tentativa de intrusão — Tentativa de acesso não autorizado a sistemas, redes ou dados.
Terceiro (operador) — Parceiro contratado que trata dados sob responsabilidade do controlador.
Titular de dados pessoais — pessoa natural a quem os dados se referem. Exemplos (FCAV): alunos, candidatos, colaboradores, docentes, fornecedores e pessoas físicas.
Transferência internacional de dados — envio de dados a outro país ou organismo internacional, exigindo hipótese válida (ex.: cláusulas, consentimento específico, adequação). Exemplos (FCAV): uso de SaaS com datacenter no exterior; suporte de fornecedor estrangeiro com acesso aos logs.
Transparência — dever de informar de forma clara como e por que os dados são usados, com quem são compartilhados e quais direitos existem. Exemplos (FCAV): Política de Privacidade no site; avisos em formulários; respostas a titulares via Movidesk.
Tratamento da informação — Ações de produzir, acessar, classificar, armazenar, transmitir e descartar informação.
Tratamento de dados pessoais — toda operação com dados pessoais (coleta, uso, compartilhamento, armazenamento, eliminação etc.). Exemplos (FCAV): formulário de inscrição; exportar planilha de alunos; enviar dados a certificadora.
Tratamento de incidente de segurança — Conjunto de ações para identificar, conter, erradicar e recuperar falhas de segurança.
Trilha de auditoria — Registro que mostra quem fez o quê e quando em um sistema.
Uso compartilhado de dados — Compartilhamento de dados entre entes públicos e/ou privados com base legal e regras definidas.
Violação — Descumprimento de norma, política ou procedimento interno.
Violação de dados pessoais — destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais resultante de incidente. Exemplos (FCAV): vazamento de planilha; exclusão indevida sem backup; acesso não autorizado por credencial exposta.
Vulnerabilidade — Fragilidade que pode ser explorada para causar dano.
Worm — Malware que se replica automaticamente pela rede.
