Institui a Política Geral de Proteção de Dados Pessoais e Privacidade no âmbito do Ministério da Cidadania.
O MINISTRO DE ESTADO DA CIDADANIA, no uso das atribuições que lhe conferem os incisos I e II do parágrafo único do artigo 87 da Constituição Federal, e tendo em vista o disposto na Lei nº 13.709, de 14 de agosto de 2018, na Lei nº 13.844, de 18 de junho de 2019, e no Decreto nº 10.357, de 20 de maio de 2020, resolve:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Fica instituída, no âmbito do Ministério da Cidadania (MC), a Política Geral de Proteção de Dados Pessoais e Privacidade, com o objetivo de definir e divulgar as regras de tratamento de dados pessoais, em consonância com a legislação aplicável.
Parágrafo único. Esta Política se aplica a qualquer operação de tratamento de dados pessoais realizada pelos órgãos e unidades que integram a estrutura do Ministério da Cidadania, nos termos do artigo 3º da Lei nº 13.709, de 14 de agosto de 2018.
Art. 2º Para efeitos desta Portaria, consideram-se:
I – dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração;
V – agentes de tratamento: o controlador e o operador;
VI- inventário de dados: é o processo pelo qual é possível conhecer de maneira aprofundada as atividades de tratamento de dados da organização, como quais são manuseados e por onde trafegam, identificando, em detalhes, os fluxos existentes no interior e para fora do órgão;
VII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
VIII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
IX – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
X – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
XI – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
XII – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
XIII – co-controlador: quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento. O co-controlador atuará quando, por força de lei, convênio ou contrato, determinar as finalidades e os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.
XIV – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
XV – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
XVI – suboperador: aquele que, após autorização formal e específica do controlador, é contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador;
XVII – agente público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego, função ou estágio nos órgãos ou nas entidades da administração pública federal;
XVIII – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XIX – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre aqueles/as e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XX – aviso de privacidade: documento que contém informações sobre coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos usuários; e
XXI – violação de dados pessoais: violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
XXII- bloqueio – suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou de banco de dados;
XXIII- política de privacidade – documento informativo pelo qual o órgão transparece ao usuário a forma como o serviço realiza o tratamento dos dados pessoais e como ele fornece privacidade ao usuário.
XXIV- órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XXV – códigos maliciosos: é qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores;
XXVI – internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes;
XXVII – sítios e aplicativos: sítios e aplicativos por meio dos quais o usuário acessa os serviços e conteúdos disponibilizados;
XXVIII – terceiro: pessoa ou entidade que não participa diretamente em um contrato, em um ato jurídico ou em um negócio, ou que, para além das partes envolvidas, pode ter interesse num processo jurídico.
XXIX – usuários (ou “usuário”, quando individualmente considerado): todas as pessoas naturais que utilizarem o serviço do Ministério da Cidadania; e
XXX – Lei Geral de Proteção de Dados: Lei Federal n. 13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Art. 3º Cada sistema e aplicativo do Ministério da Cidadania que realize o tratamento de dados pessoais, inclusive de dados pessoais sensíveis, manterá registro das operações de tratamento de dados, bem como aviso de privacidade próprio e termos de uso, de forma complementar à presente Política Geral, devendo ser implementado no prazo estipulado no artigo 27 desta Portaria.
Parágrafo único. A conformidade dos avisos e termos de que trata o caput serão avaliadas pelo Comitê de Governança, instituído por meio da Portaria n º 641, de 04 de abril de 2019, antes de sua publicação.
Art. 4º Compete a todos os órgãos e as unidades do Ministério da Cidadania a adoção das medidas de prevenção e proteção de dados pessoais e privacidade previstas nesta Portaria.
CAPÍTULO II
DA PRIVACIDADE E PROTEÇÃO DE DADOS
Seção I
Dos Princípios e das Diretrizes
Art. 5º A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no artigo 6º da Lei nº 13.709, de 14 de agosto de 2018, bem como das seguintes diretrizes:
I – cooperação entre órgãos e unidades;
II – supervisão e mitigação de riscos;
III – adoção das regras de boas práticas;
IV – medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados; e
V – estabelecimento de relação de confiança com o titular e com os eventuais destinatários dos dados tratados.
Seção II
Do Objeto e da Finalidade
Art. 6º O tratamento pelo Ministério da Cidadania, de dados pessoais, inclusive dados pessoais sensíveis, é realizado para o atendimento de sua finalidade pública, e na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
Art. 7º Poderão ser tratados dados pessoais dos agentes públicos lotados ou em exercício nos órgãos e unidades que compõem a estrutura do Ministério da Cidadania para fins de organização e funcionamento das equipes, e na busca de melhorias das atividades internas do Ministério.
Parágrafo único. O tratamento a que se refere o caput se restringe aos dados estritamente necessários ao atendimento do interesse dos órgãos e unidades.
Art. 8º O tratamento de dados pessoais de interessados que atuem em processo administrativo, inclusive disciplinares, observará as finalidades para qual foi realizado, visando à proteção dos direitos dos administrados e ao melhor cumprimento dos fins da Administração.
Seção III
Da Transparência
Art. 9º O Ministério da Cidadania publicará no seu Portal Eletrônico, na internet, as hipóteses em que, no exercício de suas competências, realiza o tratamento de dados pessoais, inclusive de dados pessoais sensíveis, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.
Art. 10. Os avisos de privacidade próprios de cada sistema ou aplicativo a que se refere o artigo 3º serão mantidos atualizados no sítio oficial na internet, em local de fácil acesso, sob responsabilidade de cada área competente.
Art. 11. Em observância ao princípio da transparência, quando não prejudicial à atividade do órgão, ou não oferecer riscos à integridade dos titulares dos dados, poderão ser divulgadas informações relativas ao vínculo dos agentes públicos com o Ministério da Cidadania, tais como nome completo, matrícula, Cadastro de Pessoas Físicas (CPF), cargo ou atividade exercida, lotação e local de exercício.
Parágrafo único. A divulgação prevista no caput deverá ocultar os três primeiros dígitos e os dois dígitos verificadores do CPF.
Art. 12. A divulgação de contratos administrativos, realizada em atendimento ao princípio da publicidade, publicará dados pessoais de terceiros.
CAPÍTULO III
DOS TITULARES DE DADOS
Seção I
Dos Direitos do Titulares
Art. 13. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da Constituição Federal, da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI).
Seção II
Dos Requerimentos
Art. 14. As manifestações decorrentes do exercício dos direitos dos titulares de dados pessoais a que se refere a Lei nº 13.709, de 14 de agosto de 2018, serão apresentadas junto à unidade de Ouvidoria-Geral, conforme disposto na Portaria nº 581, de 9 de março de 2021, da Controladoria-Geral da União (CGU).
§ 1º Os requerimentos de titulares previstos nos incisos I, II, VII e VIII do artigo 18 da Lei nº 13.709, de 14 de agosto de 2018, serão tratados nos procedimentos e prazos da Lei nº 12.527, de 18 de novembro de 2011.
§ 2º Os requerimentos de titulares previstos nos incisos III, IV, V, VI e IX do artigo 18 da Lei nº 13.709, de 14 de agosto de 2018, serão tratados nos procedimentos e prazos da Lei nº 13.460, de 26 de junho de 2017.
Art. 15. O requerimento deverá apresentar elementos capazes de identificar a pessoa do interessado ou de quem o represente, conforme disposto no artigo 6º da Lei nº 9.784, de 29 de janeiro de 1999.
Art. 16. Será exigida a certificação de identidade, que ocorrerá:
I – virtualmente, caso o manifestante possua autentificação por meio do “login único” de acesso “gov.br” ou outro meio de certificação digital; ou
II- presencialmente, por meio de conferência de documento físico apresentado pelo manifestante junto à unidade de Ouvidoria.
Parágrafo único. Os requerimentos apresentados de forma virtual, por meio do “login único” de acesso “gov.br”, deverão apresentar, no mínimo, o selo de segurança prata.
Art. 17. Excepcionalmente, poderão ser adotados meios alternativos de certificação de identidade via cotejamento das informações inseridas em seu cadastro com informações disponíveis em outras fontes constantes de bases públicas.
Art. 18. O Encarregado será o titular da Ouvidoria-Geral do Ministério da Cidadania.
Parágrafo único. Nos casos de impedimentos, afastamentos ou na vacância do cargo, as funções do Encarregado serão exercidas pelo substituto legal do Ouvidor-Geral.
Art. 19. Ao Encarregado compete:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais e adotar providências;
III – orientar os funcionários e os contratados do órgão ou entidade a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;
IV – executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares; e
V- emitir parecer sobre temas suscitados pelas áreas técnicas do Ministério da Cidadania e relacionados à proteção de dados pessoais, no prazo de até 30 dias, nos termos do inciso III, exceto em casos de urgência, devidamente justificada, quando o prazo será de até 05 dias para conclusão.
Seção III
Dos Pontos Focais
Art. 20. Os dirigentes dos órgãos e unidades indicarão ao Encarregado, no prazo de dez dias, contados da publicação desta Portaria, servidor público que lhe seja diretamente subordinado para atuar como ponto focal, na qualidade de titular e suplente.
Art. 21. Aos pontos focais indicados na forma do artigo 20 compete zelar pela adequada aplicação da Lei nº 13.709, de 14 de agosto de 2018, em seu âmbito, cabendo-lhes, dentre outras atribuições que se fizerem necessárias:
I- receber e encaminhar às unidades os requerimentos de titulares previstos na Lei nº 13.709, de 14 de agosto de 2018;
II – controlar os prazos de resposta, nos moldes dos §§ 1º e 2º do artigo 20;
III – disseminar as orientações relativas à Lei nº 13.709, de 14 de agosto de 2018; e
IV – analisar as respostas recebidas, reorientando as unidades internas no âmbito de suas atribuições temáticas quanto à necessária qualidade das respostas.
Parágrafo único. As unidades são responsáveis pelo teor das respostas apresentadas, as quais serão encaminhadas à Ouvidoria-Geral para fins de remessa ao interessado.
Seção IV
Dos Agentes de Tratamento de Dados Pessoais
Art. 22. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.
Parágrafo único. As medidas relacionadas à segurança da informação deverão atender a Política de Segurança da Informação (POSIN) dos órgãos integrantes da Rede de Proteção de Dados Pessoais.
Art. 23. Os Operadores deverão realizar o tratamento de dados para a finalidade previamente estabelecida e segundo as instruções fornecidas pelo Controlador.
Parágrafo único. As unidades manterão relação atualizada de Operadores e Suboperadores junto ao respectivo Ponto Focal.
Seção V
Das Sanções Administrativas
Art. 24. Os agentes de tratamento de dados, em razão das infrações cometidas às disposições previstas nesta Política, ficam sujeitos às sanções administrativas previstas pelo artigo 52 da Lei Geral de Proteção de Dados e aplicáveis pela Autoridade Nacional de Proteção de Dados, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.
CAPÍTULO IV
DISPOSIÇÕES FINAIS
Art. 25. O Ministério da Cidadania exercerá a função típica de controlador dos dados pessoais, inclusive dados pessoais sensíveis, tratados nos termos das suas competências legal e institucional.
Art. 26. O Comitê Interno de Governança, instituído por meio da Portaria n º 641, de 04 de abril de 2019, é a instância colegiada de apoio ao desenvolvimento das disposições contidas nesta Portaria.
Art. 27. Os órgãos e unidades que tratam dados pessoais, inclusive dados pessoais sensíveis, elaborarão no prazo de noventa dias, prorrogável por igual período, mediante justificativa, o Relatório de Impacto à Proteção de Dados Pessoais.
Art. 28. Esta Portaria entra em vigor na data de sua publicação.
RONALDO VIEIRA BENTO
Este conteúdo não substitui o publicado no DOU.