Compreende-se aqui Área Institucional como sendo:
Área da Assistência e Promoção Social Espírita;
Área da Família;
Área da Mediunidade;
Área de Comunicação Social Espírita;
Área de Estudo do Espiritismo;
Área de Infância e Juventude;
Área do Atendimento Espiritual;
Área dos Dirigentes;

A equipe deve ser multifacetada, ter pleno conhecimento de todos os processos de gestão da organização e de todas as atividades que incluem operações de tratamento de dados, de modo a garantir a sua conformidade perante a LGPD. Além disso, deve ter experiência comprovada em áreas distintas, como TI, jurídico, planejamento, gestão, treinamento, auditoria, e outras, de acordo com as exigências necessárias de capacitação de especialistas em tecnologia e segurança da informação e privacidade.
Fonte: Serviço Federal de Processamento de Dados - SERPRO.

O encarregado deve ser detentor de conhecimento jurídico-regulatório e apresentar garantia da autonomia técnica e profissional no exercício do cargo. Profissional multifacetado, com conhecimentos especializados e experiência comprovada em diversas áreas:
Domínio do Direito;
Práticas de proteção de dados;
Identificação do controlador;
Tecnologias da Informação;
Segurança da Informação;
Normas e padrões utilizados em escala mundial;
Gestão de projetos;
Treinamento;
Auditoria;
Processo de negócio;
Melhoria contínua.
Tratando-se de um profissional executivo da organização ou de uma empresa contratada para essa função, o encarregado deverá trabalhar ao nível diretivo da organização, com sólidos conhecimentos de:
LGPD e legislação vigente;
Princípios de privacidade;
Segurança da informação;
Análise de risco;
Gestão de crises;
Cibersegurança;
Comunicação e treinamento.
Fonte: Serviço Federal de Processamento de Dados - SERPRO.

O Inventário de Dados Pessoais – IDP consiste no registro das operações de tratamento dos dados pessoais realizados pela instituição (LGPD. Art. 37). De uma forma geral, esse registro mantido pelo IDP envolve descrever informações em relação ao tratamento de dados pessoais realizado pelo órgão ou entidade como:
atores envolvidos (agentes de tratamento e o encarregado);
finalidade (o que a instituição faz com o dado pessoal);
hipótese (arts. 7º e 11 da LGPD);
previsão legal;
dados pessoais tratados pela instituição;
categoria dos titulares dos dados pessoais;
tempo de retenção dos dados pessoais;
instituições com as quais os dados pessoais são compartilhados;
transferência internacional de dados (art. 33 LGPD); e
medidas de segurança atualmente adotadas.
O IDP representa um documento importante de governança de dados pessoais e de subsídio para avaliação de impacto à proteção de dados pessoais com vistas a verificar a conformidade da instituição no que se refere ao preconizado pela LGPD.

Fonte: Guia de Elaboração do Inventário de Dados Pessoais - Governo Digital.

O fluxo de dados se refere a como o Centro Espírita coleta, classifica utiliza, distribui, processa, arquiva, armazena, elimina, modifica, comunica, transfere, entre outras, os dados pessoais. Abaixo segue exemplo encontrado no Guia de Elaboração do Inventário de Dados Pessoais:
1. Os dados pessoais são coletados mediante preenchimento formulário eletrônico do Sistema Nacional pelo titular dos dados pessoais.
2. Os dados são transferidos armazenados nas instalações físicas da Empresa de Processamento e Tecnologia Fictum (operador).
3. A empresa Fictum realiza processamento sobre os dados pessoais e disponibiliza para uso do Departamento de Segurança Pública – DSP (controlador). O DSP disponibiliza os dados pessoais para utilização e consumo do comunicante.
4. O DSP transfere dados de comunicantes e pessoas desaparecidas para a Secretaria de Desenvolvimento Humano desenvolver as ações de apoio psicológico para as famílias dos desaparecidos.
5. Os dados pessoais podem ser eliminados à pedido do titular. Nesse caso, o DSP encaminha essa solicitação para a empresa Fictum executar a eliminação dos dados pessoais da base de dados do Sistema Nacional de Desaparecidos.
Fonte: Guia de Elaboração do Inventário de Dados Pessoais - Governo Digital.

As hipóteses de tratamento estão descritas no Ar. 7º da LGPD, como segue:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
§ 1º (Revogado). (Redação dada pela Lei nº 13.853, de 2019)
§ 2º (Revogado). (Redação dada pela Lei nº 13.853, de 2019)
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.

Fonte: Lei 13.709 de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais.

O conceito de Privacidade desde a Concepção significa que a privacidade e a proteção de dados devem ser consideradas desde a concepção e durante todo o ciclo de vida do projeto, sistema, serviço, produto ou processo. Tal privacidade pode ser alcançada por meio da aplicação dos 7 Princípios Fundamentais (Cavoukian, 2009)(...).
Fonte: Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD)