DOU 19/10/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023101900090
90
Nº 199, quinta-feira, 19 de outubro de 2023
ISSN 1677-7042
Seção 1
VII - segurança: utilização de medidas técnicas e administrativas aptas a
proteger os dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em
virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins
discriminatórios ilícitos ou abusivos; e
X - responsabilização e prestação de contas: demonstração, pelo agente, da
adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO IV
DIRETRIZES GERAIS
Art. 4º O titular dos dados deverá ter acesso às informações sobre o
tratamento de seus dados, de forma simplificada e gratuita.
Art. 5º A Agência deverá limitar o tratamento de dados dos processos e
atividades existentes ao mínimo necessário para realização de suas finalidades.
Art. 6º Quando a base legal do tratamento for o consentimento, os aplicativos
e sistemas da Anvisa deverão obter a concordância do titular para o tratamento de dados
pessoais, inicialmente, pelo conhecimento de seus termos de uso, através de meios que
permitam a coleta transparente e explícita deste consentimento.
Art. 7º Deverá ser garantida a proteção no acesso aos dados nos sistemas
informatizados, incluindo autenticação, cadastro e informações correlacionadas ao titular,
além de mecanismos de proteção contra o uso indevido, tentativas de acesso não
autorizados, fraudes, danos, sabotagens e roubos de dados.
Art. 8º As medidas e os investimentos em segurança e proteção de dados
pessoais deverão ser priorizados para minimização dos riscos inerentes às atividades de
tratamento de dados pessoais.
Art. 9º Os contratos, convênios e congêneres relacionados a atividades que
envolvam tratamento de dados pessoais deverão ser adequados à lei específica.
Art. 10. O compartilhamento de dados dar-se-á nos termos da legislação e
normativos vigentes e deverá constar do inventário de dados pessoais, bem como dos
contratos, convênios e congêneres, inclusive nos casos de transferência internacional de
dados pessoais, considerando o nível de proteção de dados do país estrangeiro ou
organismo internacional do qual o país seja membro.
Art. 11. Os procedimentos e o plano de resposta a incidentes relacionados à
privacidade dos titulares dos dados deverão ser elaborados a partir de critérios de
controle e registros de vazamentos e contemplar o fluxo de comunicação aos envolvidos
e à ANPD. O processo de gestão de incidentes de dados é iterativo, contínuo e tem por
objetivo interromper e/ou minimizar os impactos decorrentes dos incidentes de
vazamento ou uso indevido dos dados dos titulares.
Art. 12. O inventário de dados pessoais deverá ser mantido permanentemente
atualizado.
Art. 13. Os regulamentos, serviços, sistemas e aplicativos da Anvisa que
envolvam tratamento de dados pessoais e forem desenvolvidos ou adquiridos deverão
seguir os conceitos de privacidade e proteção dos dados pessoais desde a concepção
(privacy by design), limitando a coleta de dados pessoais apenas àqueles itens necessários
para os propósitos da atuação institucional.
Art. 14. A Anvisa deverá promover a conscientização dos colaboradores acerca
das diretrizes e procedimentos de proteção de dados pessoais implementados. As boas
práticas adotadas de proteção de dados pessoais e a governança implantada deverão ser
objeto de capacitações e campanhas informativas na esfera interna da agência, visando-
se a disseminação da cultura protetiva, com a sensibilização dos interessados.
CAPÍTULO V
TRATAMENTO DE DADOS PESSOAIS
Art. 15. Na Anvisa, os dados pessoais são tratados para o cumprimento de
obrigação legal ou regulatória, para a execução de políticas públicas previstas em leis e
regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, para
a tutela da saúde em procedimentos realizados pela Agência, bem como para a realização
de pesquisas, observadas as disposições da lei específica.
Parágrafo único. Os dados pessoais deverão ser mantidos em formato
interoperável e estruturado para o uso compartilhado em cumprimento ao disposto no
art. 25 da Lei nº 13.709, de 14 de agosto de 2018, e no art. 8º, § 3º, da Lei nº 12.527,
de 18 de novembro de 2011, de forma a facilitar seu uso quando necessário.
Art. 16. O tratamento de dados, no exercício da atividade regulatória, dar-se-
á, dentre outras, das seguintes formas:
I - processamento de pagamentos de multas e tributos recolhidos pela
Agência;
II - processamento dos requerimentos de obtenção, alteração e renovação dos
registros de produtos e serviços submetidos à vigilância sanitária;
III - processamento dos requerimentos de obtenção de autorizações e
certificados de serviços submetidos à vigilância sanitária;
IV - processamento das notificações de queixas técnicas e eventos adversos,
além de ações que se desdobrarem em consequência da análise destas notificações;
V - processamento de requerimentos para inspeção e fiscalização sanitária, no
âmbito da Agência, além das ações administrativas decorrentes destes procedimentos;
VI - recebimento e processamento de comentários e sugestões às Consultas
Públicas e demais instrumentos de participação social;
VII - processamento de solicitações feitas à Agência pelo usuário.
Art. 17. Em atendimento às suas competências legais, a Anvisa poderá, no
estrito limite de sua missão institucional, tratar dados pessoais com dispensa de obtenção
de consentimento pelos respectivos titulares; sendo que eventuais atividades que
transcendam o escopo das obrigações legais, regulatórias e fiscalizatórias estarão sujeitas
à obtenção de consentimento dos titulares.
§ 1º Quando o consentimento for a base legal adequada, a Anvisa deverá
garantir que este se dê a partir de clara explicitação da finalidade de uso dos dados
concedidos.
§ 2º Nos casos de surgimento de finalidade diversa, deverá ser obtido novo
consentimento, mediante adequada e explícita informação da nova finalidade ao
titular.
Art. 18. As áreas responsáveis pelas atividades de tratamento de dados
pessoais devem manter registro das operações de tratamento de dados pessoais que
realizarem.
§ 1º Toda e qualquer atividade de tratamento de dados pessoais deve ser
registrada, desde a sua coleta até a sua exclusão, indicando as informações a serem
contempladas no inventário de dados pessoais.
§ 2º O Encarregado apoiará as unidades organizacionais nos procedimentos de
elaboração e atualização do inventário de dados pessoais e ficará responsável por sua
consolidação e armazenamento.
CAPÍTULO VI
DIREITOS DO TITULAR DE DADOS PESSOAIS
Art. 19. O titular tem direito a obter da Anvisa, em relação aos seus dados
pessoais, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos
ou tratados em desconformidade com o disposto em legislação específica;
V - eliminação dos dados pessoais tratados com o consentimento do titular;
VI - informação das entidades públicas e privadas com as quais a Anvisa
realizou uso compartilhado de dados;
VII - informação sobre a possibilidade de não fornecer consentimento e sobre
as consequências da negativa;
VIII - revogação do consentimento.
CAPÍTULO VII
ATENDIMENTO AOS TITULARES DE DADOS PESSOAIS
Art. 20. A Anvisa deverá manter mecanismos para atendimento aos direitos
dos titulares de dados previstos na legislação específica, sempre observando os impactos
e os direitos do controlador.
Parágrafo único. Em caso de requisição de exclusão, quando couber, será
respeitado o prazo de armazenamento mínimo de informações determinado pela
legislação.
Art. 21. O Fala.BR - Plataforma Integrada de Ouvidoria e Acesso à Informação
será o canal oficial de recebimento dos requerimentos dos titulares de dados pessoais.
Art. 22. Os prazos e procedimentos para exercício dos direitos do titular
perante a Anvisa observarão o disposto em legislação específica, em especial as
disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas Data),
da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo), e da
Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).
CAPÍTULO VIII
AGENTES DE TRATAMENTO
Art. 23. A Anvisa, controladora de dados pessoais, e o operador deverão
manter registro das operações de tratamento de dados pessoais que realizarem,
especialmente quando baseado no legítimo interesse.
Art. 24. O operador deverá realizar o tratamento segundo as instruções
fornecidas pela Anvisa, que verificará a observância das próprias instruções e das normas
sobre a matéria.
CAPÍTULO IX
MEDIDAS DE PROTEÇÃO DOS DADOS PESSOAIS
Art. 25. Para proteger os dados do titular a Anvisa deverá adotar, dentre outras,
uma série de medidas, adequadas aos casos e com base em critérios de risco, tais como:
I - criptografia;
II - anonimização e pseudonimização;
III - proteção contra acesso não autorizado a sistemas;
IV - proteção contra acesso físico e lógico;
V - auditoria e log;
VI - monitoramento e detecção;
VII - compromisso de manutenção do sigilo;
VIII - manutenção do inventário de dados pessoais;
IX - limitação do acesso aos dados pessoais conforme a finalidade da atividade
a ser desenvolvida;
X - plano de resposta a incidentes de privacidade;
XI - inclusão de cláusulas de confidencialidade em contratos e aplicação de
sanções decorrentes de incidentes;
XII - proteção de dados desde a concepção e por padrão; e
XIII - capacitação dos servidores
que tratam dados para atualização
permanente sobre medidas de proteção.
Parágrafo único. A quebra do sigilo acarretará a responsabilização do autor
nos termos da legislação.
Art. 26. Os dados pessoais anonimizados não serão considerados dados
pessoais, salvo quando o processo de anonimização ao qual foram submetidos for
passível de ser revertido.
Parágrafo único. A anonimização definitiva de dado pessoal será sempre
irreversível, sendo aplicada nos casos em que o tratamento do dado pessoal não é mais
necessário para atendimento de finalidade pública e o registro não possa ser descartado
definitivamente sem comprometer a consistência do sistema ou de outros dados
dependentes.
Art. 27. A anonimização de dados pessoais deve ser realizada com o propósito
de mitigar os riscos de violação de dados.
Art. 28. Antes de realizar a anonimização de dados pessoais, será verificado se,
no ciclo devido de tratamento dos dados, são observados os princípios da finalidade,
adequação, necessidade e qualidade dos dados.
CAPÍTULO X
GERENCIAMENTO DE INCIDENTES
Art. 29. Os procedimentos e o plano de resposta a incidentes relacionados à
privacidade dos titulares dos dados deverão:
I - ser elaborados a partir de critérios de controle;
II - considerar os registros de vazamentos e sua criticidade;
III - contemplar o fluxo de comunicação aos envolvidos e à ANPD.
Parágrafo único. O gerenciamento de incidentes com dados pessoais deve ter
como objetivo principal a cessação ou minimização dos impactos e do uso indevido,
decorrentes dos incidentes de vazamento.
Art. 30. Os fornecedores de serviços
de Tecnologia da Informação e
Comunicação (TIC), na qualidade de operadores de tratamento de dados pessoais,
deverão:
I - apresentar evidências e garantias suficientes de que aplica adequado
conjunto de medidas técnicas e administrativas de segurança, para a proteção dos dados
pessoais, segundo a legislação, os instrumentos contratuais e de compromissos;
II - manter os registros de tratamento de dados pessoais que realizar, com
condições de rastreabilidade e de prova eletrônica a qualquer tempo;
III - comunicar formalmente e de imediato à Anvisa a ocorrência de qualquer
risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano
potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de
verificações ou inspeções;
IV - descartar de forma irrecuperável, ou devolver para Anvisa, todos os dados
pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o
encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou
contratual.
Art. 31. A Anvisa estabelecerá, em normativo próprio, o procedimento relativo
ao gerenciamento de incidentes de dados pessoais, em consonância com outros
procedimentos relacionados à segurança da informação e privacidade.
CAPÍTULO XI
SEGURANÇA E BOAS PRÁTICAS
Art. 32. As medidas técnicas e administrativas de segurança para a proteção
de dados pessoais contra acessos não autorizados, situações acidentais, incidentes
culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou
qualquer forma de tratamento inadequado ou ilícito, deverão seguir o disposto na Política
de Segurança da Informação e Comunicação da Anvisa (POSIC).
Art. 33. A Anvisa deve adotar boas práticas de governança em segurança da
informação visando orientar comportamentos adequados e mitigar os riscos de
comprometimento dos dados pessoais tratados em suas atividades finalísticas e
administrativas.
§ 1º A Anvisa deve utilizar ferramentas de tecnologia da informação que
sejam aderentes, por padrão e desde a concepção, às boas práticas em segurança da
informação e privacidade.
§ 2º Os sistemas de informação em uso na data da publicação desta norma
devem ser gradativamente adaptados ao disposto nesta Política, conforme a priorização
do Comitê de Governança Digital, observando a conveniência e oportunidade para o
órgão e os riscos potenciais e efetivos para a proteção dos dados pessoais envolvidos.
§ 3º As boas práticas adotadas de proteção de dados pessoais e a governança
implantada deverão ser objeto de campanhas informativas na esfera interna da Anvisa e
em seu sítio eletrônico, visando a disseminar cultura protetiva, com conscientização e
sensibilização dos interessados.
CAPÍTULO XII
CO M P E T Ê N C I A S
Art. 34. Compete ao Diretor-Presidente da Anvisa:
I - assegurar que as diretrizes, prioridades e ações específicas de proteção de
dados pessoais sejam implementadas na Anvisa;
II - garantir os recursos necessários para a execução da Política de Proteção de
Dados Pessoais da Anvisa; e
III - designar o Encarregado pelo Tratamento de Dados Pessoais da Anvisa.
Art. 35. Compete ao Comitê de Governança Digital da Anvisa:
I - aprovar as alterações na Política de Proteção de Dados Pessoais da Anvisa; e
II - aprovar o plano de trabalho do Comitê de Governança Digital referente às
atividades de proteção de dados pessoais.
Art. 36. Compete ao Encarregado pelo tratamento de dados pessoais da Anvisa:
Fechar