DOU 18/09/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024091800010
10
Nº 181, quarta-feira, 18 de setembro de 2024
ISSN 1677-7042
Seção 1
CONSELHO NACIONAL DE DESENVOLVIMENTO CIENTÍFICO
E TECNOLÓGICO
PORTARIA CNPQ Nº 1.869, DE 16 DE SETEMBRO DE 2024
O Presidente do CONSELHO NACIONAL DE DESENVOLVIMENTO CIENTÍFICO E
TECNOLÓGICO - CNPq, no uso das atribuições que lhe confere o Estatuto, aprovado pelo
Decreto nº 11.229, de 7 de outubro de 2022 e tendo em vista a Lei Geral de Proteção
de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018 e a Lei de Acesso à
Informação (LAI), Lei nº 12.527, de 18 de novembro de 2011, e nos termos do Processo
SEI nº 01300.002942/2024-96, resolve:
Art. 1º Institui e regulamenta a Política de Proteção de Dados Pessoais do
Conselho Nacional de Desenvolvimento Científico e Tecnológico, como instrumento de
formulação das regras de boas práticas e de governança no tratamento de dados pessoais.
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 2º A Política de Proteção de Dados Pessoais do CNPq - PROTEGE CNPq -
tem por objetivo estabelecer diretrizes, princípios e definir conceitos a serem seguidos por
todas as pessoas e entidades que em algum momento realizam operações de tratamento
de dados pessoais gerados, custodiados, manipulados, utilizados ou armazenados por este
Conselho, visando o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD), e da
Lei de Acesso à Informação (LAI), segundo as recomendações da Autoridade Nacional de
Proteção de Dados Pessoais (ANPD) e demais normas em vigor.
Art. 3º A Política de Proteção de Dados Pessoais do CNPq tem a finalidade de
orientar servidores e colaboradores a desenvolverem suas atividades pertinentes a cargos
e funções públicas que, eventualmente ou rotineiramente, envolvam o tratamento de
dados pessoais, estabelecendo compromissos e responsabilidades a serem observados
quanto a proteção de dados pessoais, de modo a garantir o direito à privacidade de seus
usuários.
Art. 4º Esta Política não se aplica ao tratamento de dados pessoais nos
seguintes casos:
I - realizado por pessoa natural, para fins exclusivamente particulares e não
econômicos; e
II - realizado para fins exclusivamente jornalísticos e artísticos.
Parágrafo único. O afastamento legal desta Política quando aplicado aos casos
listados nos incisos I e II deverá ser devidamente justificado e documentado em Processo SEI.
Art. 5º O tratamento de dados pessoais poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento do titular;
II
-
para
cumprimento
de obrigação
legal
ou
regulatória
do
CNPq
(controlador);
III - pela administração pública, para o tratamento e uso compartilhado de
dados necessários à execução de políticas públicas previstas em leis e regulamentos ou
respaldadas
em contratos,
convênios ou
instrumentos
congêneres, observadas as
disposições do Capítulo IV da LGPD.
Art. 6º Para efeitos desta Política, tendo como referência as definições
apresentadas no art. 5º da LGPD e no Glossário de Segurança da Informação do Gabinete
de Segurança Institucional da Presidência da República, Portaria GSI/PR nº 93, de 18 de
outubro de 2021, considera-se:
I - agentes de tratamento: o controlador ou o operador;
II - banco de dados: conjunto estruturado de dados pessoais, estabelecido em
um ou em vários locais, em suporte eletrônico ou físico;
III - controlador: pessoa natural ou jurídica, de direito público ou privado, a
quem competem as decisões referentes ao tratamento de dados pessoais;
IV - operador: pessoa natural ou jurídica, de direito público ou privado, que
realiza o tratamento de dados pessoais em nome do controlador;
V - encarregado: pessoa indicada pelo controlador, para atuar como canal de
comunicação entre o controlador, os titulares dos dados pessoais e a Autoridade Nacional
de Proteção de Dados (ANPD);
VI - dado pessoal: informação relacionada a pessoa natural identificada ou
identificável;
VII - dado pessoal sensível: dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural;
VIII - titular: pessoa natural a quem se referem os dados pessoais que são
objeto de tratamento;
IX - transferência internacional de dados: transferência de dados pessoais para
país estrangeiro ou organismo internacional do qual o País seja membro;
X - tratamento: toda operação realizada com dados pessoais, como as que se
referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle
da informação, modificação, comunicação, transferência, difusão ou extração;
XI - uso compartilhado de dados: comunicação, difusão, transferência
internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de
dados pessoais por órgãos e entidades públicos no cumprimento de suas competências
legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para
uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre
entes privados;
XII - anonimização: utilização de meios técnicos razoáveis e disponíveis no
momento do tratamento, por meio dos quais um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo;
XIII - consentimento: manifestação livre, informada e inequívoca pela qual o
titular concorda com o tratamento de seus dados pessoais para uma finalidade
determinada;
XIV - bloqueio: suspensão temporária de qualquer operação de tratamento,
mediante guarda do dado pessoal ou do banco de dados;
XV - eliminação: exclusão de dado ou de conjunto de dados armazenados em
banco de dados, independentemente do procedimento empregado;
XVI - relatório de impacto à proteção de dados pessoais: documentação do
CNPq que contém a descrição dos processos de tratamento de dados pessoais que podem
gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas,
salvaguardas e mecanismos de mitigação de risco;
XVII - órgão de pesquisa: órgão ou entidade da administração pública direta
ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente
constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão
institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de
caráter histórico, científico, tecnológico ou estatístico; e
XVIII - dados pessoais de crianças e adolescentes: dados pessoais de crianças,
a pessoa até doze anos de idade incompletos, e de adolescentes aqueles entre doze e
dezoito anos de idade, segundo o Estatuto da Criança e do Adolescente (ECA), Lei nº
8.069, de 13 de julho de 1990.
CAPÍTULO II
DOS PRINCÍPIOS E OBJETIVOS
Art. 7º A Política de Proteção de Dados Pessoais, no âmbito do CNPq, tem
como finalidade estabelecer princípios e diretrizes para a implementação de ações que
garantam a proteção de dados pessoais, e no que couber, no relacionamento com outras
entidades públicas ou privadas.
Art. 8º O objetivo desta Política é regular a proteção de dados pessoais,
considerando este Conselho como agente de tratamento, bem como o meio utilizado para
este tratamento, sendo digital ou físico, além de qualquer pessoa que realize operações
de tratamento de dados pessoais em seu nome ou em suas dependências.
Art. 9º A Política de Proteção de Dados Pessoais do CNPq tem como
fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a
dignidade e o exercício da cidadania pelas pessoas naturais.
Art. 10. As atividades de tratamento de dados pessoais devem ser guiadas
pela boa fé e pelos seguintes princípios, conforme art. 6º da LGPD:
I - finalidade: realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas
ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a
realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e
não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a
forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza,
relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento
da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e
facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de
tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a
proteger os dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos aos
titulares em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins
discriminatórios ilícitos ou abusivos; e
X - responsabilização e prestação de contas: demonstração, pelo agente, da
adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO III
DAS DIRETRIZES GERAIS
Art. 11. O CNPq deverá estar apto a demonstrar a adoção de medidas eficazes
e capazes de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais, e a eficácia dessas medidas.
Art. 12. Em todas as Diretorias serão estabelecidas revisões de processos com
o objetivo de aferir os riscos que envolvem o tratamento de dados pessoais.
Art. 13. Os dados pessoais que forem coletados e tratados nas Plataformas
mantidas pelo CNPq também serão administrados de acordo com as diretrizes desta Política.
Parágrafo único. Deverão ser elaborados normas específicas para a gestão dos
dados coletados a partir de cada plataforma.
Art. 14. O CNPq poderá utilizar arquivos (cookies) para registrar e gravar no
computador do usuário as preferências e navegações realizadas nas respectivas páginas para
fins estatísticos e de melhoria dos serviços ofertados, respeitando o consentimento do titular.
Art. 15. É competência do Subcomitê de Proteção de Dados Pessoais (SPDP) a
responsabilidade por gerenciar a implementação da LGPD no CNPq e a administração da
Política de Proteção de Dados Pessoais e elaboração de documentos afetos ao tema.
Art. 16. O CNPq manterá registro das operações de tratamento de dados
pessoais que realizar.
Art. 17. Deve ser elaborado o Relatório de Impacto de Proteção de Dados Pessoais
(RIPD) relacionados às operações de tratamento, e atualizado sempre que necessário.
§ 1º O RIPD é a documentação que contém a descrição dos processos de
tratamento de dados pessoais que podem gerar alto risco à garantia dos princípios gerais
de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos
fundamentais do titular de dados, inciso XVI, art. 6º desta norma.
§ 2º O RIPD deverá conter, no mínimo, a descrição dos tipos de dados
coletados, a metodologia utilizada para a coleta e para a garantia da segurança das
informações e a análise do controlador com relação a medidas, salvaguardas e
mecanismos de mitigação de risco adotados.
§ 3º A Autoridade Nacional poderá determinar ao controlador que elabore
relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente
a suas operações de tratamento de dados, nos termos de regulamento, observados os
segredos comercial e industrial.
Art. 18. O CNPq deverá desenvolver e manter atualizados as políticas/avisos
de privacidade, que fornecerão informações sobre o processamento de dados pessoais
em cada ambiente físico ou virtual, bem como detalhar as medidas de proteção de dados
adotadas para salvaguardar esses dados pessoais.
Art. 19. Será estabelecido o programa de treinamento e conscientização para
que os colaboradores entendam suas responsabilidades e procedimentos na proteção de
dados pessoais.
Art. 20. A Política de Proteção de Dados Pessoais definirá regras de segurança,
de boas práticas e de governança para regulamentar procedimentos e outras ações
referentes a privacidade e proteção de dados pessoais.
CAPÍTULO IV
TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO
Seção I
Das Regras Gerais
Art. 21. O CNPq adota as medidas necessárias para garantir os direitos dos
titulares de dados pessoais submetidos a tratamento seguindo os princípios determinados
pela LGPD e listados no art.8º desta Política.
Art. 22. O tratamento de dados pessoais pelo CNPq, fundação pública (Lei nº
6.129, de 6 de novembro de 1974), deverá ser realizado, visando o atendimento de sua
finalidade pública, na persecução do interesse público, com o objetivo de executar as
competências legais ou cumprir as atribuições legais do serviço público, desde que
obedecidas as regras estabelecidas na LGPD, tais como:
I - sejam informadas as hipóteses, indicadas no art. 26 desta norma, em que,
no exercício de suas competências, o CNPq realiza o tratamento de dados pessoais,
fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os
procedimentos e as práticas utilizadas para a execução de suas atividades, publicadas em
veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
II - seja indicado um encarregado quando realizarem operações de tratamento
de dados pessoais, de modo que o operador realize o tratamento segundo as instruções
fornecidas pelo Controlador, que verificará a observância das próprias instruções e das
normas sobre a matéria.
Art. 23. Os dados deverão ser mantidos em formato interoperável e
estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à
prestação de serviços públicos, à descentralização da atividade pública e à disseminação
e ao acesso das informações pelo público em geral.
Fechar