DOU 18/09/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024091800011
11
Nº 181, quarta-feira, 18 de setembro de 2024
ISSN 1677-7042
Seção 1
Art. 24. O uso compartilhado de dados pessoais pelo CNPq deve atender a
finalidades específicas de execução de políticas públicas, respeitados os princípios de
proteção de dados pessoais elencados no art. 10 desta norma.
§ 1º É vedado ao CNPq transferir a entidades privadas dados pessoais
constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a
transferência, exclusivamente para esse fim específico e determinado, observado o
disposto na LAI;
II - nos casos em que os dados forem acessíveis publicamente, observadas as
disposições desta norma;
III - quando houver previsão legal ou a transferência for respaldada em
contratos, convênios ou instrumentos congêneres; ou
IV - na hipótese de a transferência dos dados objetivar exclusivamente a
prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a
integridade do
titular dos dados, desde
que vedado o tratamento
para outras
finalidades.
§ 2º Os contratos e convênios de que trata o inciso III do § 1º deste artigo
deverão ser comunicados ao encarregado de dados do CNPq, que fará a devida
comunicação à Autoridade Nacional.
Art. 25. O CNPq adotará mecanismos para que o titular do dado pessoal
usufrua dos direitos assegurados pela LGPD e normativos correlatos por meio da
Ouvidoria (ouvidoria@cnpq.br).
Art. 26. O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de
dados necessários à execução de políticas públicas previstas em leis e regulamentos ou
respaldadas
em contratos,
convênios ou
instrumentos
congêneres, observadas as
disposições do Capítulo IV da LGPD;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos
dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou
arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de
Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou de
terceiro;
VIII - para a tutela da saúde, em procedimento realizado por profissionais da
área da saúde ou por entidades sanitárias;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do CNPq ou de
terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação
pertinente.
§ 1º O tratamento de dados pessoais cujo acesso é público deve considerar a
finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 2º É dispensada a exigência do consentimento previsto no caput deste artigo
para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do
titular e os princípios previstos na LGPD.
§ 3º O controlador que obteve o consentimento referido no inciso I do caput
deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros
controladores deverá obter consentimento específico do titular para esse fim, ressalvadas
as hipóteses de dispensa do consentimento previstas na LGPD.
§ 4º A eventual dispensa da exigência do consentimento não desobriga os
agentes de tratamento das demais obrigações previstas na LGPD, especialmente da
observância dos princípios gerais e da garantia dos direitos do titular.
§ 5º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e
4º deste artigo poderá ser realizado para novas finalidades, desde que observados os
propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do
titular, assim como os fundamentos e os princípios previstos na LGPD.
§ 6º Na hipótese de tratamento de dados pessoais e dados pessoais sensíveis
para a realização de estudos por órgão de pesquisa, deverá ser exigida a assinatura de
Termo de Responsabilidade, Anexo I desta política, e garantida, sempre que possível, a
anonimização dos dados pessoais e de dados pessoais sensíveis, sem a qual o tratamento
não deverá ser autorizado.
§ 7º Na hipótese de um estudante de graduação ou de pós-graduação solicitar
o acesso a dados pessoais detidos pelo CNPq par fins de realização de estudos e
pesquisa, inclusive par fins de subsidiar a elaboração de monografias, dissertações, teses
ou relatórios de pesquisa, o acesso poderá ser concedido, observadas as normas
aplicáveis ao caso concreto, desde que seja apresentado ao CNPq o Termo de ciência e
responsabilidade, anexo II, assinado por um funcionário competente da Instituição de
ensino, preferencialmente o professor orientador ou o coordenador do curso.
§ 8º O acesso à informação pessoal por terceiro fica condicionado à assinatura
de um Termo de Responsabilidade destinado a Pessoas físicas, Anexo III, que deverá
informar a finalidade, a destinação e o tipo de tratamento a ser aplicado aos dados, o
qual servirá para fundamentar a autorização, conforme art. 61 do Decreto nº 7.724, de
16 de maio de 2012, que regulamenta a LAI, observadas as normas aplicáveis e a
pertinência do caso concreto, garantida a anonimização dos dados pessoais.
Art. 27. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas
seguintes hipóteses, nos termos da Seção II do Capítulo II da LGPD:
I - quando o titular ou seu responsável legal consentir, de forma específica e
destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for
indispensável para:
a) cumprimento de obrigação legal pelo controlador;
b) tratamento compartilhado de dados necessários à execução de políticas
públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que
possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial,
administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de
1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro; e
f) garantia da prevenção à fraude e à segurança do titular, nos processos de
identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos
do titular e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais.
Parágrafo único. Devem ser estabelecidos procedimentos de segurança para o
tratamento de dados pessoais sensíveis.
Seção II
Do tratamento de dados de crianças e adolescentes
Art. 28. O tratamento de dados pessoais de crianças e adolescentes poderá
ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral
de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor
interesse, a ser avaliado no caso concreto, nos termos do art. 14 da referida lei (redação
dada pelo Enunciado CD/ANPD Nº 01, de 22 de maio de 2023).
§ 1º O tratamento de dados pessoais de crianças e adolescentes deverá ser
realizado com o consentimento específico e em destaque dado por pelo menos um dos
pais ou pelo responsável legal, devidamente comprovado.
§ 2º No tratamento de dados de que trata o caput deste artigo, o CNPq
deverá manter pública a informação sobre os tipos de dados coletados, a forma de sua
utilização e os procedimentos para o exercício dos direitos do titular dos dados.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento
a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais
ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua
proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento
expresso dos pais ou responsáveis.
§ 4º O CNPq não deverá condicionar a participação dos titulares de que trata
o § 1º deste artigo ao fornecimento de informações pessoais além das estritamente
necessárias à atividade fim.
§ 5º O CNPq deve realizar todos os esforços razoáveis para verificar que o
consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança
e adolescente, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo
deverão ser
fornecidas de
maneira simples,
clara e
acessível, consideradas as
características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário,
com uso de recursos audiovisuais quando adequado, de forma a proporcionar a
informação necessária aos pais ou ao responsável legal e adequada ao entendimento da
criança.
§ 7º O CNPq deverá manter em sua guarda cópia do documento referente ao
consentimento para o tratamento de dados de crianças e adolescentes assinado por um
dos pais ou responsável, conforme estabelecido no § 1º, mesmo que solicitado por uma
Instituição parceira.
§ 8º Nos casos em que o consentimento for assinado por responsável legal,
deverá ser anexada cópia do comprovante do ato que designa a responsabilidade sob o
menor legalmente estabelecida.
§ 9º O documento de consentimento de um dos pais ou responsável legal
devidamente assinado, que trata o § 1º, deve ser anexado ao Currículo Lattes do bolsista,
bem como o ato de designação de seu responsável legal.
Seção III
Da transferência internacional de dados pessoais
Art. 29. A transferência internacional de dados pessoais somente é permitida
nos seguintes casos, observadas as recomendações do Capítulo V da LGPD:
I - para países ou organismos internacionais que proporcionem grau de
proteção de dados pessoais adequado ao previsto na Lei;
II - quando o controlador oferecer e comprovar garantias de cumprimento dos
princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei, na
forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III - quando a transferência for necessária para a proteção da vida ou da
incolumidade física do titular ou de terceiro;
IV - quando a transferência resultar em compromisso assumido em acordo de
cooperação internacional;
V - quando a transferência for necessária para a execução de política pública
ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do
caput do art. 23 da LGPD para que sejam informadas as hipóteses em que, no exercício
de suas competências, realizam o tratamento de dados pessoais, fornecendo informações
claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas
utilizadas
para
a
execução
dessas
atividades,
em
veículos
de
fácil
acesso,
preferencialmente em seus sítios eletrônicos;
VI - quando o titular tiver fornecido o seu consentimento específico e em
destaque para a transferência, com informação prévia sobre o caráter internacional da
operação, distinguindo claramente esta, de outras finalidades; ou
IX - quando necessário para atender as hipóteses previstas nos incisos II, V e
VI do art. 26 desta norma, para o cumprimento de obrigação legal ou regulatória pelo
controlador, quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos
dados.
Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de
direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de
novembro de 2011 (Lei de Acesso à Informação), no âmbito de suas competências legais,
e responsáveis, no âmbito de suas atividades, poderão requerer à Autoridade Nacional a
avaliação do nível de proteção a dados pessoais conferido por país ou organismo
internacional.
Art. 30. O nível de proteção de dados do país estrangeiro ou do organismo
internacional mencionado no inciso I do caput do art. 29 desta Política deverá ser
avaliado pela autoridade nacional, que levará em consideração:
I - as normas gerais e setoriais da legislação em vigor no país de destino ou
no organismo internacional;
II - a natureza dos dados;
III - a observância dos princípios gerais de proteção de dados pessoais e
direitos dos titulares previstos na LGPD;
IV - a adoção de medidas de segurança previstas em regulamento;
V - a existência de garantias judiciais e institucionais para o respeito aos
direitos de proteção de dados pessoais; e
VI - outras circunstâncias específicas relativas à transferência.
Art. 31. A definição do conteúdo de cláusulas-padrão contratuais, bem como
a verificação de cláusulas contratuais específicas para uma determinada transferência,
normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere
o inciso II do caput do art. 29 desta norma, será realizada pela autoridade nacional.
§ 1º Para a verificação do disposto no caput deste artigo, deverão ser
considerados os requisitos, as condições e as garantias mínimas para a transferência que
observem os direitos, as garantias e os princípios da LGPD.
§ 2º Na análise de cláusulas contratuais, de documentos ou de normas
corporativas globais submetidas à aprovação da autoridade nacional, poderão ser
requeridas informações suplementares ou realizadas diligências de verificação quanto às
operações de tratamento, quando necessário.
§ 3º A autoridade nacional poderá designar organismos de certificação para a
realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos
termos definidos em regulamento.
§ 4º Os atos realizados por organismo de certificação poderão ser revistos
pela autoridade nacional e, caso em desconformidade com a LGPD, submetidos a revisão
ou anulados.
§ 5º As garantias suficientes de observância dos princípios gerais de proteção
e dos direitos do titular referidas no caput deste artigo serão também analisadas de
acordo com as medidas técnicas e organizacionais adotadas pelo operador quanto as
medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.
§ 6º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para
tornar aplicável as medidas de segurança, técnicas e administrativas aptas a proteger os
dados pessoais, considerados a natureza das informações tratadas, as características
específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados
pessoais sensíveis, assim como a boa fé e os princípios que regem esta norma, art. 10.
§ 7º As medidas de segurança, técnicas e administrativas, deverão ser
observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Art. 32. As alterações nas garantias apresentadas como suficientes de
observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso
II do art. 29 deste normativo deverão ser comunicadas ao encarregado de dados do CNPq
que fará a comunicação a autoridade nacional.
Fechar