DOU 25/11/2022 - Diário Oficial da União - Brasil 4
REPÚBLICA FEDERATIVA DO BRASIL • IMPRENSA NACIONAL
Ano CLX Nº 222-A
Brasília - DF, sexta-feira, 25 de novembro de 2022
ISSN 1677-7042
1
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 06002022112500001
1
Sumário
Atos do Poder Executivo .......................................................................................................... 1
Presidência da República .......................................................................................................... 2
.................................... Esta edição é composta de 2 páginas ...................................
Atos do Poder Executivo
DECRETO Nº 11.266, DE 25 DE NOVEMBRO DE 2022
Altera o Decreto nº 10.046, de 9 de outubro de
2019,
que
dispõe
sobre
a
governança
no
compartilhamento
de
dados
no
âmbito
da
administração pública federal e institui o Cadastro
Base
do
Cidadão
e
o
Comitê
Central
de
Governança de Dados.
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art.
84, caput, incisos IV e VI, alínea "a", da Constituição, e tendo em vista o disposto no
art. 5º, caput, incisos XXXIII e LXXIX, no art. 37, § 3º, inciso II, e no art. 216, § 2º,
da Constituição, na Lei nº 12.527, de 18 de novembro de 2011, no art. 11 da Lei nº
13.444, de 11 de maio de 2017, e no Capítulo IV da Lei nº 13.709, de 14 de agosto
de 2018,
D E C R E T A :
Art. 1º O Decreto nº 10.046, de 9 de outubro de 2019, passa a vigorar com
as seguintes alterações:
"Art. 3º ..............................................................................................................
......................................................................................................................................
V - nas hipóteses em que se configure tratamento de dados pessoais, serão
observados o direito à preservação da intimidade e da privacidade da pessoa
natural, a proteção dos dados e as normas e os procedimentos previstos na
legislação;
VI - a coleta, o tratamento e o compartilhamento de dados por cada órgão
serão realizados nos termos do disposto no art. 23 da Lei nº 13.709, de 2018 -
Lei Geral de Proteção de Dados Pessoais;
VII - a eleição de propósitos legítimos, específicos e explícitos para o
tratamento de dados pessoais, nos termos do disposto no inciso I do caput do
art. 6º da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais;
VIII - a compatibilidade do tratamento de dados pessoais com as finalidades
informadas, nos termos do disposto no inciso II do caput do art. 6º da Lei nº
13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais; e
IX - a limitação do compartilhamento de dados pessoais ao mínimo
necessário para o atendimento da finalidade informada, nos termos do disposto
no inciso III do caput do art. 6º da Lei nº 13.709, de 2018 - Lei Geral de
Proteção de Dados Pessoais, e o cumprimento integral dos requisitos, das
garantias e dos procedimentos estabelecidos na referida Lei, no que for
compatível com o setor público." (NR)
"Art. 5º ..............................................................................................................
§ 1º
Os órgãos e
entidades de que trata
o art. 1º,
para os
compartilhamentos de dados pessoais, darão publicidade às hipóteses em que
compartilhem ou tenham acesso a banco de dados pessoais, nos termos do
disposto no inciso I do caput do art. 23 da Lei nº 13.709, de 2018 - Lei Geral
de Proteção de Dados Pessoais.
§ 2º As informações sobre compartilhamento de dados pessoais estarão
disponíveis em veículos de fácil acesso nos sítios eletrônicos, deverão ser claras
e atualizadas, e conterão a previsão legal do compartilhamento, a finalidade, os
procedimentos e as práticas utilizadas para a execução dessas atividades.
§ 3º O compartilhamento de dados nos níveis de categorização restritos e
específicos
serão autorizados
pelo
gestor de
dados
e
seu processo
será
formalizado por documentos de interoperabilidade cuja solicitação seguirá os
critérios estabelecidos
pelo Comitê Central
de Governança de
Dados, em
observância:
I - aos dispositivos:
a) da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais;
b) da Lei nº 14.129, de 29 de março de 2021; e
c) da Lei nº 12.527, de 18 de novembro de 2011;
II - às orientações da Autoridade Nacional de Proteção de Dados; e
III - às normas correlatas.
§ 4º Nas solicitações de interoperabilidade que envolvam dados pessoais,
serão explicitados, além do disposto no § 3º:
I - o propósito legítimo, específico e explícito;
II -a compatibilidade com a finalidade; e
III - o compartilhamento do mínimo necessário para atendimento da
finalidade." (NR)
"Art.
10.
Os
gestores
de
dados
divulgarão
os
mecanismos
de
compartilhamento
de seus
dados
e os
registros
de
referência sob
sua
responsabilidade.
..................................................................................................................." (NR)
"Art. 12. .............................................................................................................
......................................................................................................................................
§
4º Os
dados
recebidos por
compartilhamento
restrito não
serão
retransmitidos ou compartilhados com outros órgãos ou entidades, exceto quando
previsto expressamente na autorização concedida pelo gestor de dados ou se
houver posterior permissão deste, observados os requisitos previstos no art. 5º."
(NR)
"Art. 13.
O órgão interessado poderá
solicitar o acesso
aos dados
compartilhados no
nível restrito diretamente
ao gestor de
plataforma de
interoperabilidade, respeitado o disposto no § 3º do art. 5º." (NR)
"Art. 15. O órgão interessado em acessar dados sujeitos a compartilhamento
específico enviará os documentos de interoperabilidade para o gestor de dados,
observados as
normas, as condições
e os
requisitos de acesso
por ele
estabelecidos, nos termos do disposto no inciso III do caput do art. 4º, e
fundamentará o pedido e especificará os dados solicitados no maior nível de
detalhamento possível.
............................................................................................................................." (NR)
"Seção V
Da responsabilidade
Art. 15-A.
O tratamento de dados
pessoais, em qualquer
nível de
categorização para compartilhamento, pelos órgãos e pelas entidades de que
trata o
art. 1º, está
sujeito ao
atendimento dos parâmetros
legais e
constitucionais e importará a responsabilidade civil do Estado pelos danos
suportados pelos particulares.
Parágrafo único. O disposto no caput está associado ao exercício do direito
de regresso contra os agentes públicos responsáveis pelo ato ilícito, em caso de
culpa ou dolo." (NR)
"Art. 16. .....................................................................................................
.....................................................................................................................
Parágrafo único. É vedado o uso do Cadastro Base do Cidadão, ou o
cruzamento deste com outras bases, para a realização de tratamentos de dados
que visem mapear ou explorar comportamentos individuais ou coletivos de
cidadãos, sem o consentimento expresso, prévio e específico dos indivíduos
afetados e sem a devida transparência da motivação e finalidade." (NR)
"Art. 17. ......................................................................................................
§ 1º A interoperabilidade de que trata o caput observará a legislação e as
recomendações técnicas estabelecidas pelo
Sistema de Administração dos
Recursos de Tecnologia da Informação - Sisp do Poder Executivo federal, e, ainda,
as recomendações do Comitê Central de Governança de Dados.
§ 2º O acesso dos órgãos e das entidades de que trata o art. 1º ao
Cadastro Base
do Cidadão fica
condicionado ao atendimento
integral das
diretrizes de que tratam os incisos VII, VIII e IX do caput do art. 2º.
§ 3º Ato do Comitê Central de Governança de Dados irá estabelecer
mecanismos de controle de acesso ao Cadastro Base do Cidadão, o qual será
limitado a órgãos e entidades que comprovarem real necessidade de acesso aos
dados pessoais nele reunidos." (NR)
"Art. 18. ......................................................................................................
.....................................................................................................................
§ 7º A inclusão de novos dados pessoais na base integradora e a escolha
de novas bases temáticas serão precedidas de justificativa formal detalhada, em
consonância com os princípios da proporcionalidade, da razoabilidade e da
proteção de dados pessoais." (NR)
"Art. 20-A. Os órgãos e as entidades gestores de dados pessoais utilizarão
sistema eletrônico de registro de acesso a ser estabelecido pelo Comitê Central
de Governança de Dados para efeito de responsabilização em caso de eventuais
abusos nos compartilhamentos de dados pessoais.
Parágrafo único. O Comitê de que trata o caput poderá instituir medidas de
segurança compatíveis com os princípios de proteção previstos na Lei nº 13.709,
de 2018 - Lei Geral de Proteção de Dados Pessoais." (NR)
"Art. 22. O Comitê Central de Governança de Dados é composto pelos
seguintes representantes:
I - um do órgão central do Sistema de Administração dos Recursos de
Tecnologia da Informação - Sisp, que o presidirá;
II - um da Advocacia-Geral da União;
III - um da Casa Civil da Presidência da República;
IV - um da Controladoria-Geral da União;
V - um da Secretaria Especial da Receita Federal do Brasil do Ministério da
Ec o n o m i a ;
VI - um do Ministério da Justiça e Segurança Pública;
VII - um do Ministério do Trabalho e Previdência;
VIII - um da Secretaria-Geral da Presidência da República; e
IX - dois de organizações da sociedade com atuação comprovada na
temática de proteção de dados pessoais.
§ 1º Cada membro do Comitê Central de Governança de Dados terá um
suplente, que o substituirá em suas ausências e seus impedimentos.
§ 2º O membro do Comitê Central de Governança de Dados de que trata
o inciso I do caput e o respectivo suplente serão indicados e designados em ato
do Ministro de Estado da Economia.
§ 3º Os membros do Comitê Central de Governança de Dados de que
tratam os incisos II a VIII do caput e os respectivos suplentes serão indicados
pelo Secretário-Executivo, ou equivalente, dos
órgãos que representam e
designados em ato do Presidente do Comitê.
§
4º Podem
compor
o Comitê
Central
de
Governança de
Dados
representantes dos seguintes órgãos, na qualidade de membros convidados:
I - um do Conselho Nacional de Justiça;
II - um do Senado Federal; e
III - um da Câmara dos Deputados.
§ 5º A indicação dos membros do Comitê Central de Governança de Dados
de que trata o § 4º e dos respectivos suplentes é ato discricionário dos órgãos
representados.
§ 6º Os membros do Comitê Central de Governança de Dados de que trata
o § 4º terão direito a voto nas deliberações relativas à gestão e ao tratamento
de dados pessoais.
§ 7º Os membros do Comitê Central de Governança de Dados de que
tratam os incisos I a VIII do caput e o § 4º e os respectivos suplentes comporão
o Comitê pelo prazo máximo de dois anos, permitida uma recondução.
§ 8º Os membros do Comitê Central de Governança de Dados de que trata
o inciso IX do caput e os respectivos suplentes:
I - serão selecionados por meio de processo seletivo, conforme regulamento
a ser editado pelo Comitê Central de Governança de Dados;
II - terão direito a voto nas deliberações relativas à gestão e tratamento de
dados pessoais; e
III - terão mandato de dois anos, permitida uma recondução." (NR)
"Art. 23. O Comitê Central de Governança de Dados se reunirá, em caráter
ordinário, a cada três meses, e, em caráter extraordinário, sempre que convocado
por seu Presidente ou por solicitação de um de seus membros.
§ 1º O quórum de reunião do Comitê Central de Governança de Dados é
de dois terços de seus membros e o quórum de aprovação é de maioria
simples.
........................................................................................................." (NR)
"Art. 24. .....................................................................................................
I - organizar as reuniões do Comitê Central de Governança de Dados e sua
respectiva pauta, de modo a envolver os atores da administração pública federal
impactados; e
.........................................................................................................." (NR)
"Art. 32. ....................................................................................................
Parágrafo único. Os acordos, convênios e demais instrumentos que
envolverem dados pessoais serão adequados até 1º de dezembro de 2023."
(NR)
Art. 2º Fica revogado o parágrafo único do art. 17 do Decreto nº 10.046, de 2019.
Art. 3º Este Decreto entra em vigor na data de sua publicação.
Brasília, 25 de novembro de 2022; 201º da Independência e 134º da República.
JAIR MESSIAS BOLSONARO
Paulo Guedes
Fechar