Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOU 05/08/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024080500007
7
Nº 149, segunda-feira, 5 de agosto de 2024
ISSN 1677-7042
Seção 1
4.10. Responsabilização e prestação de contas: demonstração, pelo agente, da
adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais e, inclusive a eficácia dessas medidas.
São ainda princípios que devem ser adotados pela organização:
4.11. Segurança e privacidade by design: adoção de medidas em quaisquer
processos e projetos de modo que a privacidade e a proteção dos dados pessoais
sejam mantidas em todas as etapas de seu ciclo de vida. Na prática, a segurança da
informação deve ser incorporada à organização de ponta a ponta;
4.12. Privacidade by default: aplicação-padrão das condições mais seguras de
proteção da privacidade de dados pessoais em quaisquer processos ou serviços lançados
pelo Ministério das Comunicações. Ainda, apenas os dados mínimos necessários devem ser
mantidos para execução do serviço, pelo menor tempo possível; e
4.13. Cultura da privacidade:
processo contínuo de conscientização,
capacitação, para criação de uma cultura de proteção da privacidade e dos direitos do
titular de dados e do desenvolvimento da pessoa física.
Ademais, prezam-se os princípios em comum com a Política da Segurança
da Informação e Comunicações - PoSIC MCom: celeridade, autenticidade da informação,
clareza, confidencialidade, disponibilidade equanimidade, ética, finalidade, integridade,
menor privilégio, privacidade, publicidade, responsabilidade.
5. DEFINIÇÕES
Esta política faz referência ao Glossário de Segurança da Informação, disponível
na 
Portaria 
nº 
93, 
de 
26 
de 
setembro
de 
2019 
e 
pelo 
link 
a 
seguir:
https://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663.
Cabe,
no 
entanto,
ressaltar 
alguns
dos
conceitos 
primordiais
ao
entendimento e observância desta política:
Agentes de tratamento: O controlador e o operador.
Anonimização: utilização de meios técnicos razoáveis e disponíveis no
momento do tratamento, por meio dos quais um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo.
ANPD: acrônimo de Autoridade Nacional de Proteção de Dados, órgão da
administração pública responsável por zelar, implementar e fiscalizar o cumprimento da
Lei Geral de Proteção de Dados Pessoais (LGPD nº 13.709, de 14 de agosto de 2018)
em todo o território nacional.
Aviso de Privacidade: extrato desta Política de Privacidade que comunica aos
titulares de dados os termos pelos quais o Ministério das Comunicações trata e
compartilha seus dados pessoais em uma determinada prestação de serviço. Ao fazer
uso deste serviço, os usuários recebem o aviso e concordam com seus termos.
Compartilhamento 
de
Dados: 
comunicação,
difusão, 
transferência
internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos
de
dados pessoais
por
órgãos
e entidades
públicos
no
cumprimento de
suas
competências legais, ou entre esses e entes privados, reciprocamente, com autorização
específica, para uma ou mais modalidades de tratamento permitidas por esses entes
públicos, ou entre entes privados.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Controlador de dados: pessoa natural ou jurídica, de direito público ou
privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
O controlador define a finalidade e os meios pelo qual os dados pessoais serão
tratados e é o principal responsável pelas operações de tratamento de dados.
Curadoria de dados: coordenações incumbidas da captação de dados e da
garantia de sua autenticidade, atualização, consistência e precisão.
Dado anonimizado: dado relativo ao titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dado pessoal: informação relacionada a pessoa natural identificada ou
identificável. Seu escopo é amplo e pode se referir tanto a dados que identificam
diretamente o indivíduo (ex. nome, CPF, e-mail, etc.), como também atributos do
indivíduo que, quando correlacionados permitem a sua identificação (ex. gênero, idade,
altura, formação acadêmica, endereço físico, endereço IP, etc.).
Dado (pessoal) sensível: dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural. Devido à sua natureza mais sensível
possui maiores restrições para seu tratamento, de acordo com o estipulado na LGPD.
Encarregado(a): pessoa indicada pelo controlador para atuar como canal de
comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados.
Encarregado(a) Substituto(a): pessoa também nomeada pelo controlador,
assume funções em caso de afastamento.
LGPD: Lei Geral de Proteção de Dados Pessoais nº 13.709, de 14 de agosto
de 2018. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios
digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com
o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural.
Pseudoanonimização: tratamento por meio do qual um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação
adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
RIPD: relatório de impacto à proteção de dados pessoais. Documentação do
controlador que contém a descrição dos processos de tratamento de dados pessoais
que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como
medidas, salvaguardas e mecanismos de mitigação de risco.
Termos de Uso: contrato de adesão firmado entre o usuário e o Ministério das
Comunicações, enquanto fornecedor de serviços. O uso dos diversos serviços fica
condicionado à aceitação dos termos e das políticas associadas, os quais o usuário deverá
ler e certificar-se de havê-los entendido, concordar com todas as condições estabelecidas
e se comprometer a cumpri-las. Deste modo, ao utilizar o serviço, o usuário manifesta sua
livre, expressa e inequívoca concordância com relação ao conteúdo do Termo de Uso e fica
legalmente vinculado a todas as condições nele previstas.
Titular: pessoa natural a quem se referem os dados pessoais que são objeto
de tratamento.
Transferência internacional de dados: transferência de dados pessoais para
país estrangeiro ou organismo internacional do qual o país seja membro.
Tratamento: toda operação realizada com dados pessoais, como as que se referem
a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração.
Uso 
compartilhado 
de 
dados:
comunicação, 
difusão, 
transferência
internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos
de
dados pessoais
por
órgãos
e entidades
públicos
no
cumprimento de
suas
competências legais, ou entre esses e entes privados, reciprocamente, com autorização
específica, para uma ou mais modalidades de tratamento permitidas por esses entes
públicos, ou entre entes privados.
6. DIRETRIZES GERAIS
Cabe aos servidores e demais curadores de dados pessoais aos quais a política
se aplica, enumerados anteriormente, conhecer, aderir, cumprir e fazer cumprir a Política
de Privacidade do Ministério das Comunicações, conforme as diretrizes gerais a seguir:
Conhecer, aderir, cumprir e fazer cumprir o Programa de Governança em
Privacidade do Ministério das Comunicações;
Compreender os riscos relacionados ao tratamento de dados pessoais e sua
relação com os benefícios ao titular de dados e à sociedade resultantes dos serviços
prestados. Adotar os processos de gestão de risco determinados pelo Ministério das
Comunicações em sua Política de Gestão de Riscos e Controle Interno - RESOLUÇ ÃO
CTIR Nº 1/2021/SEI-MCTIC;
Conhecer e seguir diretrizes gerais da PoSIC, tanto para ambientes
informatizados
quanto
para
meios convencionais
de
tratamento,
processamento,
armazenamento e comunicação da informação. Compreender e colocar em prática as
orientações de gestão de ativos, uso de correio eletrônico, acesso à internet, redes
sociais, computação em nuvem e controles de acesso. Adotar e adequar atividades aos
processos de gestão da continuidade, auditoria e conformidade dispostos na PoSIC;
Compreender e implementar os processos de proteção da informação,
mecanismos de segurança e recursos disponíveis;
Adotar processos de tratamento de incidentes dispostos no Plano de
Resposta a Incidentes do PGP-MCom e na PoSIC;
Apoiar processos de auditoria, fornecendo informação completa e adequada; e
Planejar processos conforme os princípios de Privacidade by Design:
identificar necessidade de tratamento de dados pessoais e planejar todo o ciclo de vida
dos dados priorizando a proteção dos direitos do titular, sobretudo no tratamento de
dados pessoais sensíveis, dados pessoais de crianças e adolescentes e na transferência
internacional de dados.
7. DIRETRIZES ESPECÍFICAS
7.1. Propriedade da Informação e Direitos do Titular.
Cabe a todos os agentes de tratamento e curadores de dados pessoais:
Certificar-se da obtenção de consentimento livre, manifesto e inequívoco
do titular para o tratamento dos dados; ou, em caso de hipótese de dispensa de
consentimento, identificar a base legal que permite o tratamento de dados pessoais
conforme lei específica.
Cabe ressaltar que o tratamento de dados no Ministério das Comunicações
se dá em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD),
utilizando como bases legais, na maioria de seus processos:
"Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
(...)
III - pela administração pública, para o tratamento e uso compartilhado de
dados necessários à execução de políticas públicas previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou instrumentos congêneres, observadas as
disposições do Capítulo IV desta Lei";
Quaisquer outros casos deverão ser analisados de forma cautelosa e
criteriosa, de modo a identificar a base legal que legitima o tratamento de dados
pessoais. Ainda:
Os aplicativos, websites e sistemas do Ministério das Comunicações
deverão obter concordância do titular para o tratamento de dados pessoais por meio
da aceitação dos Termos de Uso e Aviso de Privacidade, que deverão ser mantidos
atualizados à luz da legislação específica;
Nestes Termos de Uso, os titulares deverão ser informados de forma clara e
precisa sobre os dados que serão coletados, a finalidade do tratamento, a natureza
obrigatória ou facultativa do fornecimento e as consequências da negativa em fornecê-los;
O Aviso de Privacidade consiste
em um extrato desta Política de
Privacidade e Proteção de Dados Pessoais e está em anexo;
Assegurar que estejam garantidos os direitos do titular, sobretudo no que
tange a confirmação da existência e finalidade do tratamento, o acesso, correção,
compartilhamentos,
portabilidade,
automatização 
de
decisões,
anonimização,
eliminação; possibilidade e impactos da revogação do consentimento, além da própria
revogação;
Aderir às determinações de propriedade da informação, cessão e obtenção
de direitos, conforme a PoSIC, a LGPD e demais regulamentações em vigor;
Responsabilizar-se por toda informação criada, manuseada, armazenada,
transportada, descartada ou custodiada pelo MCom. Neste sentido, ela deve ser
classificada e protegida adequadamente quanto aos aspectos de confidencialidade,
integridade, autenticidade e disponibilidade, de forma explícita ou implícita conforme o
Decreto nº 7.845, de 14 de novembro de 2012, a Lei nº 13.709, de 14 de agosto de
2018 e a Política de Segurança da Informação e Comunicação - PoSIC; e
Resguardar o sigilo das informações pessoais acessadas, sob pena de
responsabilização, sem as revelar ou divulgar mesmo após o desligamento de suas funções.
7.2. Tratamento de Dados Pessoais.
No tratamento de dados pessoais, cabem aos curadores de dados pessoais:
Compreender o ciclo de vida dos dados pessoais a serem tratados.
Coleta: refere-se à coleta, produção
e recepção de dados pessoais,
independentemente do método utilizado.
Retenção: corresponde ao arquivamento ou armazenamento de dados pessoais.
Processamento: Qualquer operação que envolva classificação, utilização,
reprodução, processamento, avaliação ou controle da informação, além de extração e
modificação de dados pessoais retidos pelo controlador.
Compartilhamento: 
qualquer 
operação 
de 
transmissão, 
distribuição,
comunicação, transferência, difusão e uso compartilhado de dados pessoais.
Eliminação: operação que visa excluir um dado ou conjunto de dados pessoais.
Planejar todo o ciclo de vida dos dados priorizando a segurança da
informação, a privacidade e a proteção dos direitos do titular, conforme princípios da
privacidade by design e privacidade by default de ponta-a-ponta do processo.
Comunicar novos e atuais processos de tratamento de dados pessoais à
área
regimentalmente
responsável
pela gestão
de
dados
pessoais
(atualmente
determinada à Coordenação de Gestão Estratégica de Dados - COGED), para inclusão
e atualização do inventário de dados pessoais. A comunicação deverá ser feita pelo
preenchimento de formulário a ser disponibilizado.
Limitar os processos, serviços, acesso de pessoas e compartilhamentos ao
mínimo necessário para a finalidade dos tratamentos.
Executar apenas os tratamentos relacionados à finalidade declarada.
Registrar os compartilhamentos de dados pessoais, justificando a finalidade
e necessidade de compartilhamento e assegurando a limitação do acesso ao mínimo
necessário. Os compartilhamentos deverão ser registrados nos formulários disponíveis
no sistema SEI:
Formulário: Compartilhamento Interno LGPD.
Formulário: Compartilhamento Externo LGPD.
Cabe ressaltar que o compartilhamento de dados pessoais configura um
tratamento, e deverá ser também registrado e/ou atualizado no inventário de dados
pessoais pelo formulário do Mapeamento de Dados Pessoais.
Respaldar todo e qualquer compartilhamento internacional de dados
pessoais conforme hipóteses legais permitidas pela LGPD.
Atualizar contratos, acordos, convênios e congêneres relacionados ao
tratamento de dados pessoais, inclusive em caso de necessidade de acordo de
processamento de dados pessoais, de modo a adequá-los à lei específica.
Respeitar mecanismos de proteção contra uso indevido, tentativas de acesso
não autorizado, fraudes, sabotagens, danos e roubo de dados, assim como fazê-los cumprir
por aqueles que se relacionam com o Ministério das Comunicações ou em seu nome.
Compreender a necessidade de restrição de processos eletrônicos quando
forem tratados dados pessoais, priorizando as técnicas e tecnologias disponíveis para
anonimização ou pseudoanonimização, de modo a proteger os dados pessoais e ao mesmo
tempo assegurar os princípios de transparência e a observância da Lei de Acesso à
Informação. Para tal, deverão ser observadas as medidas de proteção dispostas na PoSIC e
a Orientação Conjunta nº 1/2021/ME/CGU, que orienta sobre a transparência no processo
administrativo eletrônico e discorre sobre o equilíbrio entre a Lei de Acesso à Informação
- LAI nº 12.527, de 18 de novembro de 2011 e a LGPD.
Observar, concomitantemente, as disposições constantes da Lei nº 9.507,
de 12 de novembro de 1997 (Lei do Habeas Data), da Lei nº 9.784, de 29 de janeiro
de 1999 (Lei Geral do Processo Administrativo), e da Lei nº 12.527, de 18 de novembro
de 2011 (Lei de Acesso à Informação).

Fechar