DOU 13/03/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024031300119
119
Nº 50, quarta-feira, 13 de março de 2024
ISSN 1677-7042
Seção 1
PORTARIA CAPES Nº 81, DE 11 DE MARÇO DE 2024
Dispõe sobre a Política de Privacidade e Proteção
de
Dados
Pessoais
da
Coordenação
de
Aperfeiçoamento de Pessoal de Nível Superior -
C A P ES .
A PRESIDENTE DA COORDENAÇÃO DE APERFEIÇOAMENTO DE PESSOAL DE NÍVEL
SUPERIOR - CAPES, no uso das atribuições que lhe foram conferidas pelos incisos II, III e IX
do Art. 33 do Estatuto da CAPES, aprovado pelo Decreto n.º 11.238, de 18 de outubro de
2022, e o constante dos autos do processo n.º 23038.011958/2023-07, resolve:
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Instituir a Política de Privacidade e Proteção de Dados Pessoais da CA P ES .
Art. 2º Esta Política aplica-se a qualquer operação de tratamento de dados
pessoais realizada pela CAPES ou por terceiro em seu nome, regulamentando o
relacionamento da instituição com os titulares dos dados, usuários dos serviços,
servidores, colaboradores, estagiários, ou quaisquer terceiros relacionados à Fundação.
Parágrafo único. As disposições desta Política se referem a dados pessoais
contidos em qualquer suporte, seja em meio físico ou digital.
Art. 3º Para os fins desta Política, consideram-se os conceitos existentes no
art. 5º, incisos I, II, V a XII, XIV, XV e XVII, da LGPD:
I - dado pessoal: informação relacionada à pessoa natural identificada ou
identificável.
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filósofo ou político, dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoal natural.
III - titular: pessoa natural a quem se referem os dados pessoais que são
objeto de tratamento;
IV - controlador: pessoa natural ou juriìdica, de direito puìblico ou privado, a
quem competem as decisoÞes referentes ao tratamento de dados pessoais;
V - operador: pessoa natural ou juriìdica, de direito puìblico ou privado, que
realiza o tratamento de dados pessoais em nome do controlador;
VI - encarregado: pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (ANPD);
VII - agentes de tratamento: o controlador e o operador;
VIII - tratamento: toda operação realizada com dados pessoais, como as que se
referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle
da informação, modificação, comunicação, transferência, difusão ou extração,
IX - consentimento: manifestação livre, informada e inequívoca pela qual o
titular concorda com o tratamento de seus dados pessoais para uma finalidade
determinada;
X - Anonimização: utilização de meios técnicos razoáveis e disponíveis no
momento do tratamento, por meio dos quais um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo;
XI - eliminação: exclusão de dado ou de conjunto de dados armazenados em
banco de dados, independentemente do procedimento empregado;
XII - relatório de impacto à proteção de dados pessoais: documentação do
controlador que contém a descrição dos processos de tratamento de dados pessoais que
podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas,
salvaguardas e mecanismos de mitigação de risco; e
XIII - transferência internacional de dados: transferência de dados pessoais
para país estrangeiro ou organismo internacional do qual o país seja membro;
Parágrafo único. Consideram-se unidades da CAPES os órgãos de assistência
direta e imediata ao Presidente da CAPES, órgãos seccionais e órgãos específicos
singulares, conforme a estrutura disposta em seu Estatuto.
Art. 4º São objetivos desta Política de Privacidade e Proteção de Dados Pessoais:
I - incentivar e adotar políticas internas que assegurem o cumprimento de
normas de proteção de dados pessoais;
II - instituir mecanismos internos voltados à gestão e proteção de dados
pessoais, observando as boas práticas, normas e procedimentos recomendados pela
ANPD e pelos demais órgãos e entidades públicas responsáveis pelo estabelecimento de
padrões relacionados a essa temática;
III - orientar os agentes de tratamento de dados quanto às práticas adequadas
e às responsabilidades relacionadas ao tratamento de dados pessoais;
IV - firmar relação de confiança com os titulares dos dados tratados pela
CAPES, por meio de uma atuação transparente, que assegure mecanismos do exercício de
direitos e de participação;
V - promover ações de segurança da informação e de proteção de dados
durante todo o ciclo do tratamento; e
VI - fomentar a cultura da proteção de dados na CAPES, implementando ações
de disseminação de conhecimento, conscientização e treinamentos.
Art. 5º As operações de tratamento de dados pessoais devem ser realizadas
em conformidade com os fundamentos dispostos no art. 2º da Lei nº 13.709, de 14 de
agosto de 2018, Lei Geral de Proteção da Dados (LGPD), e com as seguintes
diretrizes:
I - atuação proativa e preventiva, a fim de antecipar e prevenir situações de
invasão de privacidade, com o objetivo orientar comportamentos adequados e mitigar os
riscos de comprometimento dos dados pessoais tratados em suas atividades;
II - boa governança no tratamento de dados pessoais com vistas a proporcionar
maior eficiência e qualidade no exercício das competências e atribuições legais da CAPES;
III - interpretação sistemática da Lei nº 12.527, de 18 de novembro de 2011,
Lei de Acesso à Informação (LAI), e da LGPD, dada sua compatibilidade;
IV - incorporação da proteção de dados pessoais em todos os projetos desde a concepção; e
V - capacitação e comunicação, de forma contínua, para difusão da cultura da
proteção de dados pessoais e das medidas de segurança da informação a serem
observadas, com o objetivo de promover a conscientização sobre os riscos derivados do
tratamento de dados pessoais e formas de minimizá-los em diferentes ambientes,
especialmente os tecnológicos.
Art. 6º A aplicação desta Política deve ser pautada pela boa-fé e observância
aos princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados,
transparência, segurança, prevenção, não discriminação, responsabilização e prestação de
contas, conforme estabelecido no art. 6º da LGPD.
Parágrafo único. Serão observados ainda, sem prejuízo dos demais, outros
princípios constitucionais que regem a Administração Pública Federal, zelando pela
transparência pública e o dever de acesso à informação.
CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS
Art. 7º O tratamento de dados pessoais pela CAPES deve ser realizado para o
atendimento da finalidade institucional, na persecução do interesse público, com o
objetivo de cumprir suas atribuições legais e executar suas políticas públicas e será
realizado nas seguintes hipóteses autorizativas previstas na LGPD:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de
dados necessários à execução de políticas públicas previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou
instrumentos congêneres, observadas as
disposições do Capítulo IV da LGPD;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador
ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do
titular que exijam a proteção dos dados pessoais; e
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Art. 8º O tratamento de dados pessoais sensíveis poderá ocorrer nas
seguintes hipóteses previstas na LGPD:
I - mediante consentimento pelo titular, de forma específica e destacada, para
finalidades específicas;
II - sem consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b)
tratamento
compartilhado
de dados
necessários
à
execução,
pela
administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que
possível, a anonimização dos dados pessoais;
d) exercício regular de direitos, inclusive em contrato e em processo judicial,
administrativo ou arbitral;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f)
tutelada
saúde,
exclusivamente,
em
procedimento
realizado
por
profissionais de saúde, serviços de saúde ou autoridade sanitária; e
g) garantia da prevenção à fraude e à segurança do titular, nos processos de
identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os
direitos mencionados no art. 9º da LGPD e exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Art. 9º Está incluso, nas hipóteses de tratamento para o cumprimento de
obrigação legal prevista na alínea "a" do inciso II do art. 8º, todo o tratamento de dados
pessoais necessário para a execução das atribuições e competências da CAPES.
Art. 10. Nos casos de aplicação do disposto nas alíneas "a" e "b" do inciso II
do art. 8º pela CAPES, será dada publicidade à referida dispensa de consentimento, na
forma do disposto no inciso I do caput do art. 23 da LGPD.
Art. 11. Quando o tratamento não decorrer de obrigação legal, mas do
atendimento de outro interesse legítimo da CAPES, poderá ser realizado o tratamento
sem o consentimento do titular, desde que demonstrada a proporcionalidade entre esse
interesse e os direitos e as legítimas expectativas dos titulares.
Art. 12. É obrigatória a revisão periódica do conjunto de dados pessoais
tratados na CAPES, visando eliminar aqueles que deixaram de ser necessários ou
pertinentes para a finalidade almejada, bem como aqueles em que o tratamento foi
concluído, exceto nos casos em que haja autorização para sua conservação.
Parágrafo único. Os dados pessoais contidos em documentos de guarda
permanente ou utilizados para a divulgação da memória do ente não estão sujeitos à
eliminação ou anonimização, em razão da existência de interesse público no acesso à
informação, conforme definido pela área responsável.
Art. 13. O tratamento de dados de criança e adolescente deve pautar-se pelo
melhor interesse e pela máxima proteção do titular.
§ 1º Para fins desta Política, considera-se criança a pessoa até doze anos de
idade incompletos e adolescente aquela entre doze e dezoito anos de idade.
§ 2º Nos casos de tratamento de dados pessoais de criança, a CAPES realizará
a coleta e demais ações mediante o consentimento específico dado por pelo menos um
dos pais ou pelo responsável legal, nos termos das legislações pertinentes.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento
a que se refere o § 2º deste artigo, quando a coleta for necessária para contatar os pais
ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua
proteção, e em nenhum caso poderão ser repassados a terceiro, sem o consentimento de
que trata o § 2º deste artigo.
§ 4º A CAPES disponibilizará as informações sobre o tratamento de dados de
crianças e de adolescentes realizado de maneira simples, clara e acessível, a fim de
proporcionar o seu pleno entendimento por parte dos pais ou responsáveis legais.
Art. 14. A divulgação de dados pessoais pela CAPES, para fins de comunicação
social e para o atendimento das normas de publicidade, transparência e acesso à
informação de interesse público, deve ser restrita ao conteúdo adequado, relevante e
necessário para atendimento da respectiva finalidade, conforme definido pelo setor
responsável pelo tratamento do dado.
Art. 15. No sítio eletrônico da CAPES, serão disponibilizadas informações sobre
as hipóteses em que são realizados os tratamentos de dados pessoais, com o
fornecimento de informações claras e atualizadas sobre a previsão legal, a finalidade, os
procedimentos e as práticas utilizadas para a execução das atividades de tratamento de
dados pessoais, conforme disposto nesta Política.
Art. 16. A CAPES manterá o registro atualizado das operações de tratamento
de dados pessoais realizadas sob sua responsabilidade, em conformidade com as
diretrizes estabelecidas nesta Política.
Parágrafo único. O registro das operações de tratamento de dados deve
abranger todas as etapas do ciclo do tratamento, incluindo a coleta, o processamento, o
armazenamento, a transferência e a exclusão dos dados pessoais.
Art. 17. A coleta de dados deverá ocorrer apenas naquilo que for essencial
para a atividade institucional, ou prestação do serviço requerido, devendo-se evitar
requerer dados que já estejam no poder da Fundação.
CAPÍTULO III
DO RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS
Art. 18. Serão elaborados relatórios de impacto à proteção de dados pessoais,
contendo uma análise detalhada da descrição das operações de tratamento de dados
pessoais considerados potenciais geradores de alto risco às liberdades civis e aos direitos
fundamentais, bases legais, duração do tratamento, transferências de dados, com
destaque para as medidas mitigadoras dos riscos apontados pelo documento.
Art. 19. Em caso de solicitação da ANPD, o encarregado encaminhará o pedido
às unidades responsáveis pela elaboração do relatório, que poderão ter apoio do próprio
encarregado para as questões técnicas.
§ 1º No caso descrito no caput deste artigo, o relatório será submetido à
aprovação do controlador.
§ 2º Após a aprovação do relatório, o encarregado o assinará e o encaminhará à A N P D.
CAPÍTULO IV
DO COMPARTILHAMENTO DE DADOS PESSOAIS
Art. 20. O uso compartilhado de dados pessoais deve atender às finalidades
específicas de execução de políticas públicas que o justifiquem ou ao cumprimento de
atribuições legais da CAPES, além de respeitar os princípios de proteção de dados
pessoais elencados na LGPD.
§ 1º As operações de compartilhamento de dados pessoais devem ser
registradas,
contendo informações
detalhadas
sobre
os dados
compartilhados, a
finalidade da transferência, o prazo de retenção e os fundamentos legais que embasaram
o compartilhamento.
§ 2º Sempre que possível, os dados serão mantidos e publicados em formato
interoperável e estruturado, de modo a permitir o seu uso compartilhado, com vistas à
execução de políticas públicas, à prestação de serviços públicos, à descentralização da
atividade pública, à disseminação e ao acesso das informações pelo público em geral,
observado o disposto na legislação pertinente.
Art. 21. As unidades da CAPES somente poderão realizar o compartilhamento
de dados pessoais mediante orientações do encarregado.
Parágrafo único. A Comissão Permanente de Governança de Dados subsidiará
as hipóteses e os fluxos de compartilhamento de dados.
Art. 22. A transferência internacional de dados pessoais deve atender aos
requisitos do art. 33 da LGPD, além das orientações fornecidas pela ANPD.
Art. 23. Os contratos, convênios ou demais instrumentos congêneres firmados
pela CAPES com terceiros devem respeitar as disposições desta Política.
Parágrafo único. Os referidos instrumentos em vigor, firmados antes da data
de publicação desta Portaria, devem ser revistos para adequação a esta Política e, dentro
de suas particularidades, serem aditados ou regidos por disciplina própria para a
consecução dessa reformulação.
Fechar