DOU 30/10/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024103000011
11
Nº 210, quarta-feira, 30 de outubro de 2024
ISSN 1677-7042
Seção 1
§ 4º O Ministério das Cidades poderá utilizar arquivos do tipo cookies para
registrar e gravar no computador do usuário as preferências e navegações realizadas nas
respectivas páginas
para fins estatísticos e
de melhoria dos
serviços ofertados,
respeitando o consentimento do titular.
§ 5º O tratamento de dados pessoais sensíveis e dados de crianças e
adolescentes somente poderá ser realizado, respectivamente, nos termos das seções II e
III do capítulo II da Lei nº 13.709, de 2018.
Art. 5º Os contratos, convênios, acordos e instrumentos similares atualmente
em vigor, que de alguma forma envolvam o tratamento de dados pessoais, devem
incorporar cláusulas específicas em total conformidade com a presente Política de
Proteção de Dados Pessoais e que contemplem:
I - requisitos mínimos de segurança da informação;
II - determinação de que o operador não processe os dados pessoais para
finalidades que divirjam da finalidade principal informada pelo controlador;
III - requisitos de proteção de dados pessoais que os operadores de dados
pessoais devem atender;
IV - condições sob as quais o operador deve devolver ou descartar com
segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato
ou de outra forma mediante solicitação do controlador; e
V - diretrizes específicas sobre o uso de subcontratados pelo operador para
execução contratual que envolva tratamento de dados pessoais.
Parágrafo único. Deverá ser assegurado que os terceiros e processadores de
dados pessoais contratados estejam plenamente em conformidade com as cláusulas
contratuais estabelecidas, no momento da celebração do acordo entre as partes
envolvidas.
Art. 6º O uso compartilhado de dados pessoais deve atender a finalidade
específica de execução de política pública e atribuição legal do Ministério das Cidades,
respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei nº
13.709, de 2018.
§ 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais
constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a
transferência, exclusivamente para esse fim específico e determinado;
II - nos casos em que os dados forem acessíveis publicamente;
III - quando houver previsão legal ou a transferência for respaldada em
contratos, convênios ou instrumentos congêneres; ou
IV - na hipótese de a transferência dos dados objetivar exclusivamente a
prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a
integridade do
titular dos dados,
desde que
vedado o tratamento
para outras
finalidades.
§ 2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser
comunicados à autoridade nacional.
§ 3º A comunicação ou o uso compartilhado de dados pessoais a pessoa de
direito privado será informada à autoridade nacional e dependerá de consentimento do
titular, exceto nas hipóteses de dispensa previstas na Lei nº 13.709, de 2018.
§ 4º O compartilhamento de dados pessoais deverá ser formalizado em ato,
contrato, convênio ou outro instrumento formal, que estabeleça a finalidade específica
do tratamento, as competências, os procedimentos, os prazos, os mecanismos de
informação e comunicação com o titular, entre outros requisitos, que decorram das
peculiaridades do caso concreto ou de determinações provenientes de normas
específicas, visando garantir a proteção dos direitos do titular.
§ 5º A transferência internacional de dados pessoais apenas será permitida
quando em observância ao disposto no Capítulo V da Lei nº 13.709, de 2018.
Art. 7º Os dados pessoais tratados deverão ser eliminados após o término de
seu tratamento,
no âmbito e nos
limites técnicos das atividades,
autorizada
a
conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
III - transferência a terceiros, desde que respeitados os requisitos de
tratamento de dados dispostos nesta Portaria; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiros, e desde
que anonimizados os dados.
Parágrafo único. A anonimização definitiva e irreversível será aplicada nos
casos em que o tratamento do dado pessoal não for mais necessário para atendimento
de finalidade pública e o registro não possa ser descartado definitivamente sem
comprometer a consistência do sistema ou de outros dados dependentes.
CAPÍTULO III
DA TRANSPARÊNCIA
Art. 8º Deverá ser dada ampla transparência às informações sobre os
tratamentos de dados pessoais realizados no Ministério das Cidades, independentemente
de solicitação do titular.
§1º As informações sobre os tratamentos de dados pessoais realizados no
Ministério das Cidades deverão, necessariamente, estar disponíveis no sítio eletrônico
oficial da Pasta, na Internet, e nos canais de prestação de serviços.
§2º Será assegurado ao titular o direito de acesso facilitado às informações
sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara,
adequada e ostensiva, e abranger no mínimo:
I - a finalidade específica do tratamento;
II - a forma e duração do tratamento, observados os segredos comercial e
industrial;
III - a identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a
finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento;
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18
da Lei nº 13.709, de 2018;
VIII - meios disponíveis para o titular exercer os seus direitos; e
IX - canais de atendimento da Ouvidoria do Ministério das Cidades.
§3º A divulgação de contratos administrativos, realizada em atendimento ao
princípio da publicidade, disponibilizará dados pessoais de terceiros, bem como de
agentes públicos do Ministério das Cidades no desempenho de cargo público, nas
hipóteses previstas nos incisos I, II, III e V do art. 7º da Lei nº 13.709, de 2018.
Art. 9º Deverão ser elaborados Termos de Uso e Políticas de Privacidade
específicas para cada serviço ofertado, informatizado ou não.
Art. 10. O Ministério das Cidades deverá estar apto a comprovar a
observância e o cumprimento das leis e normas vigentes e a adoção de medidas eficazes
e capazes para a proteção dos dados pessoais tratados.
CAPÍTULO IV
DA SEGURANÇA DA INFORMAÇÃO
Art. 11. O tratamento de dados pessoais no âmbito do Ministério das Cidades
deverá observar as seguintes diretrizes, visando atender os padrões de Segurança da
Informação e de Proteção de Dados Pessoais, necessários à garantia do direito
fundamental dos indivíduos à autodeterminação informativa:
I - garantia da segurança dos dados pessoais: requisitos de confidencialidade,
integridade e disponibilidade,
bem como autenticidade, responsabilidade
e não
repúdio;
II - sigilo de dados pessoais: dever de confidencialidade por parte de todas as
pessoas com acesso a Dados Pessoais no âmbito do Ministério; e
III - privacidade de dados pessoais por concepção e por padrão: ao
desenvolver novos processos, procedimentos ou sistemas que envolvam o tratamento de
dados pessoais, deverão ser adotadas medidas para garantir que as regras de privacidade
e proteção de
dados sejam aplicadas desde
a fase de concepção
até a sua
implantação.
Art. 12. Deverão ser adotadas as medidas de segurança a seguir, visando
reduzir ou mitigar os riscos de ocorrência de incidentes e de danos às liberdades civis
e aos direitos fundamentais dos titulares, em eventual incidente:
I - limitação dos dados pessoais tratados ao mínimo necessário e à finalidade
específica e informada ao titular;
II - limitação do acesso aos dados pessoais às pessoas que realizam o
tratamento;
III - registro das operações de tratamento de dados pessoais realizadas;
IV - estabelecimento e registro
das funções e responsabilidades dos
colaboradores envolvidos nos tratamentos de dados pessoais;
V
-
estabelecimento
de
acordos
de
confidencialidade,
termos
de
responsabilidade ou termos de sigilo com operadores de dados pessoais;
VI - armazenamento dos dados pessoais em ambiente seguro, de modo que
terceiros não autorizados não possam acessá-los;
VII - implementação das medidas e dos controles necessários para assegurar
o nível de tolerância ao risco aprovado pelo Comitê Interno de Governança - CIGOV do
Ministério das Cidades;
VIII - verificações e revisões periódicas de conformidade e efetividade dos
processos, buscando a certificação do cumprimento dos requisitos de privacidade e
proteção de dados pessoais e da garantia de cláusula de responsabilidade e sigilo
constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos
congêneres;
IX- elaboração e atualização periódica de Relatório de Impacto à Proteção de
Dados Pessoais - RIPD, com a descrição dos processos de tratamento de dados pessoais
que possam gerar riscos às liberdades civis e aos direitos fundamentais, as medidas,
salvaguardas e mecanismos de mitigação de risco adotados e os resultados das ações de
verificação de conformidade realizadas;
X- elaboração, atualização periódica e ampla divulgação dos Termos de uso e
Políticas de Privacidade, que deverão fornecer informações sobre o processamento de
dados pessoais, em cada ambiente físico ou virtual, e as medidas de proteção de dados
adotadas para salvaguardar esses dados pessoais;
XI - elaboração e aprovação com a alta gestão de Planos de Resposta a
Incidentes Cibernéticos, com base em indicadores de probabilidade e criticidade dos
riscos envolvidos, que contenha procedimentos com tarefas específicas a serem
executadas por uma determinada equipe para a contenção e mitigação de incidentes e
restauração dos serviços ao estado pré-incidente, quando possível, e o plano de
comunicação à Autoridade Nacional de Proteção de Dados - ANPD; e
XII - certificação da identidade do titular, ou de quem o represente, no
atendimento a demanda que implique acesso à informação pessoal, mediante:
a) a verificação da autenticação por meio do login único de acesso "gov.br",
com selo de segurança prata ou outro meio de certificação digital legalmente aceito;
ou
b) a conferência, pelo servidor público competente, de documento físico
oficial apresentado presencialmente.
Art. 13. O Ministério das Cidades comunicará à autoridade nacional e ao
titular a ocorrência de incidente de segurança que possa acarretar risco ou dano
relevante aos titulares.
Parágrafo único. Todo colaborador do Ministério das Cidades que porventura
tenha ciência de incidente ou de potencial violação de dados deverá reportar ao
Encarregado de dados e à Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais - ETIR, de forma tempestiva.
CAPÍTULO V
DA CONSCIENTIZAÇÃO, CAPACITAÇÃO E SENSIBILIZAÇÃO
Art. 14. As pessoas que possuem acesso aos dados pessoais no Ministério das
Cidades devem fazer parte de programas de conscientização, capacitação e sensibilização
em matérias de privacidade e proteção de dados pessoais.
Parágrafo
único.
A
conscientização,
capacitação
e
sensibilização
em
privacidade e
proteção de dados pessoais
deve ser adequada aos
papéis e
responsabilidades das pessoas.
Art. 15. O Programa de Integridade do Ministério das Cidades e o Plano de
Desenvolvimento de Pessoas deverão incluir um programa abrangente de capacitação,
treinamento e conscientização destinado a garantir que as pessoas que realizam
tratamento de dados pessoais no âmbito da Pasta compreendam suas responsabilidades
e os procedimentos relacionados à proteção de dados pessoais
CAPÍTULO VI
DO COMITÊ DE PROTEÇÃO DE DADOS PESSOAIS
Art. 16. Fica instituído o Comitê de Proteção de Dados Pessoais do Ministério
das Cidades, com a responsabilidade de promover a orientação e o patrocínio
necessários às
ações de privacidade
e proteção
de dados pessoais
na Pasta,
mediante:
I - a orientação, o assessoramento e o monitoramento da implementação
do estabelecido nesta Política;
II - a constituição de grupos de trabalho para tratar de temas e propor
soluções específicas sobre proteção de dados pessoais;
III - a promoção da elaboração e da divulgação de normas internas e
procedimentos de boas práticas para a proteção de dados pessoais, o gerenciamento de
risco e a atuação em caso de incidente que comprometa os dados pessoais; e
IV - o incentivo à conscientização, capacitação e sensibilização das pessoas
que desempenham qualquer atividade de tratamento de dados pessoais.
§ 1º O Comitê de Proteção de Dados Pessoais do Ministério das Cidades
manterá disponível, na página do Ministério, na Internet, uma base de conhecimento
com orientações, normativos e boas práticas de condutas para apoiar o gerenciamento
de incidentes e a tomada de ações adequadas em caso de comprometimento de dados
pessoais.
§ 2º Os grupos de trabalho de que trata o inciso II terão até três membros,
com duração de até trinta dias, prorrogáveis por igual período, e não haverá mais de
dois grupos em operação simultânea.
Art. 17. Integram o Comitê de Proteção de Dados Pessoais do Ministério das
Cidades:
I - o Encarregado pelo Tratamento de Dados Pessoais, nos termos do art. 41,
§2º, da Lei nº 13.709, de 2018, responsável por coordenar os trabalhos do Comitê,
conduzir o diagnóstico de privacidade, orientar, no que couber, os gestores proprietários
dos ativos de informação, responsáveis pelo planejamento, implementação e melhoria
contínua dos controles de privacidade em ativos de informação que realizem o
tratamento de dados pessoais ou dados pessoais sensíveis, além do estabelecido no art.
41, §2º, da Lei nº 13.709, de 2018 e demais normas aplicáveis;
II - o Gestor de Tecnologia da Informação e Comunicação, nos termos da
Portaria nº 778, de 4 de abril de 2019, responsável por planejar, implementar e melhorar
continuamente os controles de privacidade e segurança da informação em soluções de
tecnologia da informação e comunicações, considerando a cadeia de suprimentos
relacionada à solução;
III - o Gestor de Segurança da Informação, nos termos da Instrução Normativa
nº 1, de 27 de maio de 2020, do Gabinete de Segurança Institucional, da Presidência da
República - GSI/PR, responsável por planejar, implementar e melhorar continuamente os
controles de segurança da informação em ativos de informação;
IV - o Chefe da Assessoria Especial de Controle Interno, que atuará no apoio,
supervisão e monitoramento das atividades desenvolvidas pela primeira linha de defesa
prevista pela Instrução Normativa CGU nº 3, de 9 de junho de 2017, no assessoramento
em gestão de riscos, controle e transparência; e
V - um representante e um suplente da Secretaria-Executiva, com a
responsabilidade de assessorar o mapeamento, a modelagem e a gestão dos processos
que envolvam o tratamento de dados pessoais, orientar a aplicação dos instrumentos de
governança, a construção e disponibilização informações gerenciais, as ações de
desenvolvimento de pessoas e o aperfeiçoamento da gestão documental.
§ 1º Compete ao titular da unidade de Ouvidoria o papel de Encarregado pelo
Tratamento de Dados Pessoais do Ministério das Cidades, na forma do art. 10, V, do
Decreto nº 11.830, de 14 de dezembro de 2023.
§ 2º Os suplentes dos integrantes do Comitê relacionados nos incisos I a IV
serão seus substitutos formais.
§ 3º O Comitê poderá solicitar a designação de profissionais de outras
unidades do Ministério das Cidades, para participarem de reuniões, ações e grupos de
trabalho específicos, quando entender conveniente.
Fechar