DOU 24/01/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025012400058
58
Nº 17, sexta-feira, 24 de janeiro de 2025
ISSN 1677-7042
Seção 1
de agentes públicos no exercício de suas atribuições, e com a divulgação de informações
relevantes à sociedade.
Art. 20. Nos pedidos de acesso à informação e respectivos recursos, as decisões
que tratam da publicidade de dados pessoais serão fundamentadas nos arts. 3º e 31 da Lei
nº 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação - LAI.
Parágrafo único. A aplicação da LAI e LGPD, deve ocorrer de forma integrada,
tendo por premissa a compatibilidade entre os comandos legais.
CAPÍTULO VIII
Do compartilhamento de dados pessoais
Art. 21. O uso compartilhado de dados pessoais deve ser realizado em
conformidade com a LGPD, notadamente com os princípios, as bases legais, a garantia dos
direitos dos titulares e outras regras específicas aplicáveis ao Poder Público.
Art. 22. Além da observância ao disposto no art. 21, o uso compartilhado de
dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de
políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os
princípios de proteção de dados pessoais elencados no art. 6º da LGPD.
§ 1º Os serviços notariais e de registro exercidos em caráter privado, por
delegação do Poder Público, e as empresas públicas e as sociedades de economia mista,
quando estiverem operacionalizando políticas públicas e no âmbito da execução delas,
terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos
termos da LGPD.
§ 2º Na hipótese de compartilhamento de dados entre os órgãos e as entidades
da administração pública federal direta, autárquica e fundacional e os demais Poderes da
União, deverá ser observado o que consta no Capítulo III do Decreto nº 10.046, de 9 de
outubro de 2019, e o disposto na LGPD.
§ 3º No âmbito do INSS, além do compartilhamento de dados pessoais observar
o disposto na legislação vigente, também se aplicam as disposições das normas conjuntas
ou específicas.
Art. 23. É vedado ao INSS compartilhar com entidades privadas dados pessoais
constantes de bases de dados, sistemas e repositórios sob a sua gestão ou
operacionalização, exceto:
I - em casos de execução descentralizada de atividade pública que exija a
transferência, exclusivamente para esse fim específico e determinado, observado o
disposto na LAI;
II - nos casos em que os dados forem acessíveis publicamente, observadas a
finalidade, a boa-fé e os direitos do titular;
III - quando houver previsão legal ou o compartilhamento de dados for
respaldado em contratos, convênios ou instrumentos congêneres comunicados à ANPD; ou
IV - na hipótese de o compartilhamento dos dados objetivar exclusivamente a
prevenção de fraudes e irregularidades, ou a proteção e o resguardo da segurança e da
integridade do titular dos dados, sendo vedado o tratamento para outras finalidades.
§ 1º Para os efeitos do disposto no caput, quanto ao Sistema Nacional de
Informações de Registro Civil - Sirc, o compartilhamento de dados com entidades privadas
somente é permitido para fins de estudos e pesquisas, após a autorização do Comitê
Gestor do Sistema Nacional de Informações de Registro Civil - CGSirc, vedada a
identificação das pessoas a que os dados se referirem, conforme estabelece o art. 7º, § 7º,
do Decreto nº 9.929, de 22 de julho de 2019.
§ 2º A comunicação ou o uso compartilhado de dados pessoais com pessoa de
direito privado será informado à ANPD e dependerá de consentimento do titular, exceto:
I - nas hipóteses de dispensa de consentimento previstas na LGPD;
II - nos casos de uso compartilhado de dados, em que será dada publicidade
nos termos do art. 23, inciso I da LGPD; ou
III - nas exceções previstas nos incisos do caput.
§ 3º As empresas públicas e as sociedades de economia mista que atuam em
regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, terão o
mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos
termos da LGPG.
Art. 24. Para fins de compartilhamento de dados do Cadastro Nacional de
Informações Sociais - CNIS, aplica-se o disposto na Portaria Conjunta MPS/INSS nº 3, de 16
de janeiro de 2024, ou ato que vier a substituí-la.
§ 1º Conforme art. 4º, inciso V, da Portaria Conjunta MPS/INSS nº 3, de 2024,
compete ao Ministério da Previdência Social - MPS, exercer o papel de controlador no
tratamento de dados pessoais do CNIS, de que trata o art. 5º, inciso VI da LGPD, podendo
contratar ou firmar parcerias com terceiros para que este exerça esse papel.
§ 2º De acordo com o art. 5º, inciso VI, da Portaria Conjunta MPS/INSS nº 3, de
2024, compete ao INSS exercer o papel de operador no tratamento de dados pessoais do
CNIS, de que trata o art. 5º, inciso VII LGPD, podendo contratar ou firmar parcerias com
terceiros para que este exerça esse papel.
Art. 25. Para os fins de compartilhamento de dados do Sirc, aplica-se o disposto
pelo Decreto nº 9.929, de 22 de julho de 2019, pela Resolução CGSirc nº 4, de 28 de maio
de 2019, e pela Resolução CGSirc nº 8, de 2 de dezembro de 2021, ou atos que vierem a
substituí-los.
§ 1º Conforme o art. 3º do Decreto nº 9.929, de 2019, o CGSirc exerce o papel
de controlador no tratamento de dados pessoais do Sirc e é responsável pelo
estabelecimento de diretrizes para o funcionamento, a gestão e a disseminação do referido
sistema e pelo monitoramento do uso dos dados nele contidos.
§ 2º De acordo com o § 11 do art. 4º do Decreto nº 9.929, de 2019, ao INSS,
que integra o referido Comitê, compete exercer o papel de operador no tratamento de
dados pessoais do Sirc, sendo responsável pelo desenvolvimento, a operacionalização e a
manutenção do referido sistema, observadas as diretrizes e as deliberações do CGSirc.
Art. 26. O compartilhamento de dados pessoais no INSS deve ser formalizado
em atenção às normas gerais que regem os procedimentos administrativos e à
obrigatoriedade de registro das operações de tratamento, conforme disposto no art. 37 da
LG P D.
Parágrafo único. Recomenda-se a instauração de processo administrativo, do
qual constem os documentos e as informações pertinentes, incluindo análise técnica e
jurídica,
conforme o
caso,
que exponham
a motivação
para
a realização
do
compartilhamento e a sua aderência à legislação em vigor.
Art. 27. Respeitadas as normas e regulamentações conjuntas ou específicas, a
autorização de acesso ou de compartilhamento de dados deverá ser estabelecida em ato
formal, a exemplo de contratos, convênios, acordos ou instrumentos congêneres firmados
entre as partes, ou por meio de expedição de decisão administrativa pela autoridade
competente, que autorize o acesso aos dados e estabeleça os requisitos definidos como
condição para o compartilhamento.
Parágrafo único. Nos termos do art. 5º do Decreto nº 10.046, de 9 de outubro
de 2019, é permitida a dispensa quanto à celebração de convênio, acordo de cooperação
técnica ou instrumentos congêneres para a efetivação do compartilhamento de dados
entre os órgãos e as entidades de que trata o art. 1º do referido Decreto, observadas as
diretrizes do seu art. 3º e o disposto na LGPD.
Art. 28. Na formalização, os dados pessoais objeto de acesso e
compartilhamento deverão ser indicados, sendo que a autorização concedida deverá
indicar o nível de acesso ou o tipo de compartilhamento autorizado, limitando-se ao que
for estritamente necessário para a (s) finalidade (s) do tratamento, em conformidade com
o princípio da necessidade.
Parágrafo único. A finalidade deve ser específica, com a indicação precisa da
iniciativa, ação ou programa que será executado ou, ainda, da atribuição legal que será cumprida
pela instituição solicitante, mediante o compartilhamento dos dados pessoais requerido.
Art. 29. Respeitadas as normas e regulamentações conjuntas ou específicas, os
atos que autorizarem o acesso ou o compartilhamento de dados pessoais deverão:
I - estabelecer:
a) se for o caso, o período de duração do compartilhamento de dados, além de
esclarecer se há a possibilidade de conservação ou se os dados deverão ser eliminados
após o término do tratamento; e
b) os requisitos ou padrões mínimos de segurança, técnicos e administrativos,
que deverão ser adotados pela instituição solicitante para proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão, em atenção ao art. 6º, inciso VII, e ao art. 46 da LGPD;
II - dispor sobre as formas de atendimento ao princípio da transparência, de
que trata o art. 6º, inciso VI da LGPD.
Art. 30. O ato que autorizar o acesso ou o compartilhamento de dados pessoais
poderá vedar a realização de novo compartilhamento ou, ainda, autorizá-lo sob
determinadas condições, observadas as normas aplicáveis.
Art. 31. Respeitadas as normas e regulamentações conjuntas ou específicas, os
atos que autorizarem o acesso ou o compartilhamento de dados pessoais poderão,
conforme o caso, indicar a remuneração a ser paga pela instituição solicitante ou,
simplesmente, prever que não haverá transferência de recursos financeiros, segundo as
disposições legais aplicáveis.
Art. 32.
O INSS
poderá expedir
atos regulamentares
acerca do
fluxo
padronizado de tratativas e respectiva formalização, com o estabelecimento de
procedimentos, competências, prazos e requisitos essenciais a serem observados nos
processos de compartilhamento de dados.
CAPÍTULO IX
Relatório de Impacto à Proteção de Dados Pessoais
Art. 33. A elaboração do RIPD será necessária quando houver operações de
tratamento que representem riscos elevados aos direitos dos titulares, devendo ser
atualizado periodicamente ou sempre que houver alterações significativas nas operações
de tratamento.
Art. 34. O processo de elaboração, revisão e aprovação do RIPD será
regulamentado por normativo específico, que deverá:
I - levar em consideração o volume e a sensibilidade dos dados tratados, bem
como a capacidade operacional da instituição; e
II - estabelecer critérios para a identificação das operações de tratamento que
exigem sua confecção, definir o fluxo de trabalho envolvido e detalhar as responsabilidades
atribuídas a cada unidade.
Parágrafo único. Em conformidade com o art. 38 da LGPD, a ANPD poderá, a
qualquer momento, solicitar a apresentação do RIPD. Nesses casos, o INSS deverá fornecer
o RIPD atualizado, dentro do prazo estipulado na solicitação.
CAPÍTULO X
Dos Agentes de Tratamento e do Encarregado de Dados Pessoais
Art. 35. O controlador de dados pessoais, nos termos do art. 5º, inciso VI, da
LGPD, é a União, assumindo o INSS atribuições de controlador mediante o processo de
descentralização administrativa e considerando as competências legais e regulamentares
da instituição.
§ 1º Conforme previsto pela Portaria Conjunta MPS/INSS nº 3, de 2024, no
tratamento de dados pessoais do CNIS, o MPS exerce o papel de controlador, enquanto o
INSS o de operador.
§ 2º Com base no art. 3º do Decreto nº 9.929, de 2019, no tratamento de dados
pessoais do Sirc, o CGSirc exerce o papel de controlador, enquanto o INSS o de operador.
Art. 36. É operador a pessoa jurídica de direito público ou privado e a pessoa
natural que realizar tratamento de dados pessoais em nome do INSS, sob suas instruções,
exceto integrantes do quadro funcional efetivo do INSS.
Parágrafo único. Os fornecedores de produtos ou serviços, ao tratarem os
dados pessoais a eles confiados pelo INSS, serão considerados operadores.
Art. 37. O encarregado de dados pessoais é pessoa indicada pelo controlador
para atuar como canal de comunicação entre o controlador, os titulares dos dados e a
ANPD ou com outras organizações com atuação na proteção de dados pessoais com as
quais o INSS estabeleça acordo de serviço ou de cooperação técnica.
CAPÍTULO XI
Das Funções e Responsabilidades
Art. 38. Observado o disposto no art. 35, ao INSS compete, no exercício das
atribuições típicas de controlador, tomar as decisões estratégicas que afetem ou envolvam
o tratamento de dados pessoais, além de determinar as medidas necessárias para executar
a Política de Proteção de Dados Pessoais no âmbito de sua estrutura organizacional.
Art. 39. São atribuições do controlador:
I - assegurar o cumprimento da Política de Proteção de Dados Pessoais à luz da
legislação vigente;
II - observar os fundamentos, princípios da privacidade e proteção de dados
pessoais e os deveres impostos pela LGPD, e por normativos correlatos, quando realizar o
tratamento de dados pessoais;
III - considerar o preconizado pelos arts. 7º, 11 e 23 da LGPD, Lei Geral de
Proteção de Dados Pessoais, antes de realizar o tratamento de dados pessoais;
IV - cumprir o previsto pelos arts. 46 e 50 da LGPD, inclusive formulando regras
de boas práticas e de governança, visando a proteção de dados pessoais;
V - garantir infraestrutura física e de pessoal, além de recursos para o
cumprimento das exigências estabelecidas na LGPD;
VI - indicar um encarregado pelo tratamento de dados pessoais, divulgando a
identidade e as informações de contato do encarregado de forma clara e objetiva,
preferencialmente no sítio institucional;
VII - assegurar ao encarregado aquilo que dispõe o art. 10 da Resolução
CD/ANPD nº 18, de 16 de julho de 2024;
VIII - elaborar o inventário de dados pessoais, a fim de manter registros das
operações de tratamento de dados pessoais;
IX - criar e manter atualizados os avisos ou políticas de privacidade, que
informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico ou
virtual, e como os dados pessoais neles tratados são protegidos;
X - requerer do titular a ciência com o termo de uso para cada serviço ofertado,
informatizado ou não, que trate dados pessoais;
XI - acompanhar o cumprimento das cláusulas de proteção de dados junto aos
contratados e fornecedores;
XII - promover formações de boas práticas para a proteção de dados; e
XIII - adotar medidas de segurança, técnicas e administrativas, aptas a proteger
os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado
ou ilícito.
Parágrafo único. É vedado qualquer tratamento de dados pessoais para fins não
relacionados com as atividades desenvolvidas pela organização ou por pessoa não
autorizada formalmente pelo INSS.
Art. 40. Em consonância com o previsto no art. 38 do Regimento Interno,
aprovado pela Portaria PRES/INSS nº 1.678, de 29 de abril de 2024, compete à
Coordenação de Proteção de Dados Pessoais, entre outras atribuições:
I - implementar e avaliar a Política Institucional de Proteção de Dados Pessoais
e da Privacidade, nos termos da legislação vigente;
II - prover orientação relacionada às boas práticas de proteção de dados
pessoais no INSS, de acordo com os objetivos estratégicos e com as leis e regulamentos
pertinentes;
III - propor a constituição de grupos de trabalho para tratar de temas, além de
soluções específicas sobre proteção de dados pessoais;
IV - participar da elaboração de normas internas de privacidade e proteção de
dados pessoais, além de propor atualizações e alterações nestes dispositivos; e
V - incentivar a conscientização, capacitação e sensibilização das pessoas que
desempenham qualquer atividade de tratamento de dados pessoais no âmbito do INSS.
Art. 41. Ao encarregado de dados pessoais compete:
I - receber:
a) reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências; e
b) comunicações e requisições da ANPD e adotar providências;
II - orientar os colaboradores da organização a respeito das práticas a serem
adotadas em relação à proteção de dados pessoais; e
III - executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
Parágrafo único. Além das disposições constantes no caput, o encarregado
deverá prestar assistência e orientação ao agente de tratamento, nos casos previstos no art.
16 da Resolução CD/ANPD Nº 18, de 16 de julho de 2024, ou ato que venha a substituí-la.
Art. 42. Observado o disposto no art. 36, cabe ao operador realizar o
tratamento de dados pessoais seguindo as diretrizes estabelecidas e nos moldes definidos
pelo INSS e de forma aderente a esta Política, bem como:
Fechar