Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOU 18/09/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024091800012
12
Nº 181, quarta-feira, 18 de setembro de 2024
ISSN 1677-7042
Seção 1
CAPÍTULO V
CONSCIENTIZAÇÃO, CAPACITAÇÃO E SENSIBILIZAÇÃO
Art. 33. As pessoas que possuem acesso aos dados pessoais no âmbito deste
Conselho, seja servidor ou colaborador, devem fazer parte de programas de
conscientização, capacitação e sensibilização em matérias de privacidade e proteção de
dados pessoais.
Parágrafo único. A conscientização, capacitação e sensibilização em privacidade
e proteção de dados pessoais deve ser adequada aos papéis e responsabilidades
desempenhados na execução de suas atividades laborais.
CAPÍTULO VI
SEGURANÇA E BOAS PRÁTICAS
Art. 34. A segurança e o conjunto de boas práticas visam prevenir violações de
privacidade e segurança, cumprir normas e regulamentações, bem como proteger a
privacidade e promover a confiança dos titulares de dados pessoais.
Art. 35. O CNPq deve criar e manter uma base de conhecimento com
documentos que apresentam condutas e recomendações que melhoram o gerenciamento
de risco e que orientam na tomada de ações adequadas em caso de comprometimento
de dados pessoais.
Parágrafo único. Todo servidor deverá observar as medidas de segurança de
acesso recomendadas pela Política de Segurança da Informação (PoSIN), Portaria CNPq nº
1.019 de 30 de agosto de 2022.
Art. 36. Qualquer ocorrência de incidente de segurança que possa acarretar
risco ou dano relevante aos dados pessoais dos titulares confiados ao CNPq deve ser
comunicado ao encarregado de dados deste Conselho que fará a comunicação à ANPD
dentro do prazo previsto pela LGPD.
§ 1º A comunicação ao encarregado de dados do CNPq sobre incidente de
segurança que possa acarretar risco ou dano relevante ao titular deverá ser feita
imediatamente após o conhecimento do fato, que deverá ser comunicado à chefia imediata.
§ 2º A fim de preservar os direitos dos titulares e minimizar os possíveis
prejuízos que um incidente de segurança possa causar, define-se que a comunicação à
ANPD seja feita o mais breve possível, em até 2 (dois) dias úteis da ciência do fato.
Art. 37. Serão adotadas medidas técnicas e organizacionais de privacidade e
proteção de dados, dispostas a seguir, com o objetivo de diminuir ou mitigar a ocorrência
de incidentes com os dados pessoais do titular:
I - o acesso aos dados pessoais fica limitado às pessoas que realizam o tratamento;
II - as funções e
responsabilidades dos colaboradores envolvidos nos
tratamentos de dados pessoais devem ser claramente estabelecidas e comunicadas;
III
-
serão
estabelecidos 
acordos
de
confidencialidade,
termos
de
responsabilidade ou termos de sigilo com operadores de dados pessoais;
IV - todos os dados pessoais deverão ser armazenados em ambiente seguro,
de modo que terceiros não autorizados não possam acessá-los;
V - os agentes de tratamento devem adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer
forma de tratamento inadequado ou ilícito;
VI - os agentes de tratamento ou qualquer outra pessoa que intervenha em
uma das fases do tratamento obriga-se a garantir a segurança da informação prevista
nesta Política em relação aos dados pessoais, mesmo após o seu término.
Parágrafo único. A comunicação ao encarregado de dados do CNPq nos casos
de ocorrência de incidentes envolvendo dados pessoais, deverá ser feita no mesmo
padrão estabelecido para a comunicação da própria ANPD e deverá mencionar, no
mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a
proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os
efeitos do prejuízo, constatado.
Art. 38. Os sistemas utilizados para o tratamento de dados pessoais devem ser
estruturados de forma a atender aos requisitos de segurança, aos padrões de boas
práticas e de governança e aos princípios gerais previstos nesta Portaria e às demais
normas regulamentares.
CAPÍTULO VII
AUDITORIA E CONFORMIDADE
Art. 39. O cumprimento desta Política, bem como dos normativos que a
complementam devem ser avaliados periodicamente por meio de verificações de
conformidade, buscando a certificação do cumprimento dos requisitos de privacidade e
proteção de dados pessoais e da garantia de cláusula de responsabilidade e sigilo
constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos
congêneres.
Art. 40. As atividades, produtos e serviços desenvolvidos no CNPq devem estar
em conformidade com requisitos de privacidade e proteção de dados pessoais constantes
de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.
Art. 41. Os resultados de cada ação de verificação de conformidade devem ser
documentados em relatório de avaliação de conformidade.
Art. 42. Todas as Diretorias do CNPq devem manter atualizados e devidamente
registrados todos os riscos a proteção de dados pessoais relacionados às suas competências,
de modo a acompanhar a conformidade de suas ações de tratamento de dados pessoais aos
princípios e diretrizes estabelecidos nesta Política, da LGPD e da PoSIN.
Art. 43. Os relatórios de conformidade devem ser elaborados anualmente, ao
fim de cada exercício, e devidamente encaminhados ao Subcomitê de Proteção de Dados
Pessoais, que submeterá a deliberação do Comitê de Segurança da Informação.
Parágrafo único. O relatório de conformidade anual deve conter o registro das
atividades de tratamento de dados realizadas no período e sua conformidade com as
normas de proteção de dados pessoais desta política, incluindo a LGPD e normas afins.
CAPÍTULO VIII
FUNÇÕES E RESPONSABILIDADES
Art. 44. Qualquer pessoa natural ou jurídica de direito público ou privado que
tenha interação em qualquer fase do tratamento de dados pessoais deve garantir a
privacidade e a proteção de dados pessoais, mesmo após o término do tratamento,
observando as medidas técnicas e administrativas determinadas pelo CNPq.
Seção I
Do Controlador
Art. 45. A responsabilidade pelas decisões relacionadas ao tratamento de
dados pessoais é do CNPq que no exercício das atribuições típicas de controlador
determina as medidas necessárias para executar a Política de Proteção de Dados Pessoais
dentro de sua estrutura organizacional.
Art. 46. São atribuições do Controlador:
I - observar os fundamentos, princípios da privacidade e proteção de dados
pessoais e os deveres impostos pela LGPD e por normativos correlatos no momento de
decidir sobre um futuro tratamento ou realizá-lo;
II - considerar as hipóteses de tratamento de dados pessoais e dados pessoais
sensíveis, como preconizado pelos arts. 7º,
11 e 23 da LGPD, considerando
exclusivamente o atendimento da finalidade pública do CNPq, na persecução do interesse
público e com o objetivo de executar as competências legais ou atribuições do serviço
público prestado antes de realizar o tratamento de dados pessoais;
III - cumprir o previsto pelos art. 46 e 50 da LGPD buscando à proteção de
dados pessoais e sua governança;
IV - indicar um encarregado pelo tratamento de dados pessoais, divulgando a
identidade e as informações de contato do encarregado de forma clara e objetiva,
preferencialmente no sítio institucional.
V - elaborar o inventário de dados pessoais a fim de manter registros das
operações de tratamento de dados pessoais;
VI
- reter
dados pessoais
somente
pelo período
necessário para
o
cumprimento da hipótese legal e finalidade utilizadas como justificativa para o tratamento
de dados pessoais;
VII - criar e manter atualizados os avisos ou políticas de privacidade, que
informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico
ou virtual, e como os dados pessoais neles tratados são protegidos;
VIII - requerer do titular a ciência com o Termo de Uso para cada serviço
ofertado, informatizado ou não, que trate dados pessoais.
Parágrafo único. É vedado qualquer tratamento de dados pessoais para fins
não relacionados com as atividades desenvolvidas pela organização ou por pessoa não
autorizada formalmente pelo CNPq.
Seção II
Dos operadores de dados pessoais
Art. 47. São considerados operadores de dados pessoais as pessoas naturais
ou jurídicas de direito público ou privado, que realizam operações de tratamento de
dados pessoais em nome do CNPq:
I - qualquer fornecedor de produtos ou serviços, que por algum motivo, realiza o
tratamento de dados pessoais a eles confiados nas dependências físicas ou virtuais do CNPq; e
II - Instituição Científica, Tecnológica e de Inovação (ICT), Fundação de Apoio,
Agências de Fomento, Núcleo de Inovação Tecnológica (NIT), Institutos Nacionais de Ciência
e Tecnologia (INCT) e órgãos de pesquisa habilitados para acesso ao Extrator Lattes do
CNPq, assim definidas de acordo com a Resolução CNPq nº 1, de 4 de outubro de 2023.
Parágrafo único. Todos os operadores de dados pessoais do CNPq devem
seguir as diretrizes estabelecidas nesta Política, e demais normas correlatas estabelecidas
por este Conselho.
Art. 48. São atribuições do operador:
I - observar os princípios estabelecidos no Art. 6º da LGPD, ao realizar
tratamento de dados pessoais.
II - seguir as diretrizes estabelecidas pelo CNPq, enquanto controlador;
III - antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelo
CNPq cumprem os requisitos legais presentes nos arts. 7º, 11 e 23 da LGPD;
IV - zelar pela segurança e privacidade dos dados pessoais durante o
tratamento e após o seu término;
V - manter o registro de todas as operações de tratamento de dados pessoais que realizar;
VI - comunicar, oficial e imediatamente ao encarregado de dados, a ocorrência
de qualquer risco, ameaça ou incidente de segurança que possa comprometer o direito
do titular de dados pessoais; e
VII - assinar acordos de confidencialidade, termos de responsabilidade ou
termos de sigilo com o controlador.
Parágrafo único. É proibida a decisão unilateral do operador quanto aos meios
e finalidades utilizados para o tratamento de dados pessoais, que deverá ser realizado em
conformidade com as instruções fornecidas pelo CNPq.
Seção III
Do encarregado de dados
Art. 49. O CNPq deverá indicar encarregado pelo tratamento de dados pessoais.
Parágrafo único. A identidade e as informações de contato do encarregado
pelo tratamento de dados pessoais deverão ser divulgadas publicamente, de forma
clara e objetiva, preferencialmente no sítio eletrônico do CNPq.
Art. 50. São atribuições do encarregado de proteção de dados:
I 
-
receber 
reclamações 
e
comunicações 
dos
titulares, 
prestar
esclarecimentos e adotar providências;
II - receber comunicações e requisições da ANPD e adotar providências; e
III - orientar os servidores e colaboradores do CNPq a respeito das práticas
a serem adotadas em relação à proteção de dados pessoais.
Seção IV
Do Subcomitê de Proteção de Dados Pessoais
Art. 51. Compete ao Subcomitê de Proteção de Dados Pessoais (SPDP),
prover, orientar e acompanhar quando necessário às ações de privacidade e proteção
de dados pessoais do CNPq, de acordo com os objetivos estratégicos e com as leis e
regulamentos pertinentes, além de:
I - assessorar a implementação da proteção de dados pessoais;
II - constituir grupos de trabalho para tratar de temas e propor soluções
específicas sobre proteção de dados pessoais;
III - participar da elaboração de normas internas de privacidade e proteção
de dados pessoais e propor atualizações e alterações nestes dispositivos;
IV - incentivar a conscientização, capacitação e sensibilização das pessoas que
desempenham qualquer atividade de tratamento de dados pessoais dentro do CNPq;
V - analisar os relatórios de conformidade emitidos pelas Diretorias; e
VI - emitir Avisos de Privacidade.
Art. 52. O Subcomitê de Proteção de Dados Pessoais de terá a seguinte composição:
I - o Coordenador do Comitê de Segurança da Informação;
II - o encarregado pelo tratamento de dados pessoais;
III - um representante da Assessoria de Gestão Estratégica e Governança - AEG;
IV - um representante da Coordenação-Geral de Tecnologia da Informação - CGETI;
V - um representante da Auditoria Interna;
VI - um representante da Ouvidoria;
VII - um representante da Gerência de Plataformas e Serviços Digitais - GPLAT / DA S D ;
VIII - um representante da Diretoria de Cooperação Institucional - DCOI;
IX - um representante da Diretoria Científica - DCTI; e
X - um representante da Diretoria de Gestão Administrativa - DADM.
Art. 53. A coordenação do SPDP será exercida pelo(a) Coordenador(a) do
Comitê de Segurança da Informação e, na sua ausência pelo encarregado(a) pelo
tratamento de dados pessoais do CNPq.
CAPÍTULO IX
CONTRATOS, CONVÊNIOS, ACORDOS E INSTRUMENTOS CONGÊNERES
Art. 54. O controlador deve observar rigorosamente se as medidas por ele
definidas com o propósito de cumprir os requisitos de privacidade e proteção de dados
estão sendo respeitadas por terceiros, que por meio de contratos, convênios ou
quaisquer instrumentos afins realizam atividades de tratamento de dados do CNPq.
Art. 55.
Os contratos, convênios,
acordos e
instrumentos similares
atualmente em vigor, que de alguma forma envolvam o tratamento de dados pessoais,
devem incorporar cláusulas específicas em total conformidade com a presente Política
de Proteção de Dados Pessoais e que contemplem:
I - requisitos mínimos de segurança da informação;
II - determinação de que o operador não processe os dados pessoais para
finalidades que divergem da finalidade principal informada pelo CNPq;
III - requisitos de proteção de dados pessoais que os operadores de dados
pessoais devem atender;
IV - condições sob as quais o operador deve devolver ou descartar com
segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer
contrato ou de outra forma mediante solicitação do controlador; e
V - diretrizes especificas sobre o uso de subcontratados pelo operador para
execução contratual que envolva tratamento de dados pessoais.
Art. 56. Devem ser adotadas medidas rigorosas com o propósito de
assegurar que os terceiros e processadores de dados pessoais contratados por este
Conselho
estejam plenamente
em conformidade
com
as cláusulas
contratuais
estabelecidas no momento da celebração do acordo entre as partes envolvidas.

Fechar