Art. 90. Cabe ao responsável pelas serventias implementar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, nos termos do art. 46 e dos seguintes da LGPD, por meio de:

I - elaboração de política de segurança da informação que contenha:

a) medidas de segurança técnicas e organizacionais;

b) previsão de adoção de mecanismos de segurança, desde a concepção de novos produtos ou serviços (security by design) (art. 46, § 1.º, da LGPD); e

c) plano de resposta a incidentes (art. 48 da LGPD).

II - avaliação dos sistemas e dos bancos de dados em que houver tratamento de dados pessoais e/ou tratamento de dados sensíveis, submetendo tais resultados à ciência do encarregado pelo tratamento de dados pessoais da serventia;

III - avaliação da segurança de integrações de sistemas;

IV - análise da segurança das hipóteses de compartilhamento de dados pessoais com terceiros; e

V - realização de treinamentos.