DOU 24/02/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025022400009
9
Nº 38, segunda-feira, 24 de fevereiro de 2025
ISSN 1677-7042
Seção 1
Seção II
Encarregado pelo Tratamento de Dados Pessoais
Art. 9º O Encarregado pelo Tratamento de Dados Pessoais será designado
pelo Controlador, dentre membros da área administrativa no âmbito do Ministério, e
deverá exercer as funções definidas em lei, além de dirimir as dúvidas suscitadas acerca
da aplicação da Lei nº 13.709, de 2018.
Parágrafo único. Ao Encarregado deverão ser asseguradas independência e
autonomia necessárias ao bom desempenho de suas funções, garantindo-se apoio
técnico, jurídico e administrativo, com estrutura de apoio à governança e gestão.
Art. 10. O Encarregado atuará como canal de comunicação entre o Ministério
da Cultura, os titulares dos dados e a ANPD, bem como com organizações envolvidas na
proteção de dados pessoais com as quais o ministério estabeleça acordo de serviço ou
de cooperação técnica.
Art. 11. São atribuições do
Encarregado pelo Tratamento de Dados
Pessoais:
I - monitorar a conformidade da atuação do Ministério com a Política Nacional
de Proteção de Dados Pessoais e com a presente Política de Privacidade;
II - receber reclamações e comunicações dos titulares, prestar esclarecimentos
e adotar providências cabíveis;
III - informar e emitir recomendação ao Controlador;
IV - elaborar e manter inventário de dados pessoais que documente quais
dados foram coletados, os motivos do tratamento e o órgão detentor da base de
dados;
V - receber comunicações e requisições da ANPD e adotar providências;
VI - orientar, conscientizar e propor ações de formação a todas as pessoas
que atuam no MinC a respeito das práticas a serem adotadas em relação à proteção de
dados pessoais;
VII - cooperar e interagir com a ANPD e consultá-la conforme previsto no art.
16 da Resolução CD/ANPD nº 18, de 16 de julho de 2024; e
VIII - executar as demais atribuições determinadas pelo Controlador ou
estabelecidas em normas complementares.
CAPÍTULO V
DIRETRIZES PARA O TRATAMENTO DE DADOS PESSOAIS
Art. 12. O tratamento de dados pessoais realizado no âmbito deste Ministério
deve observar a boa-fé, bem como os princípios elencados no art. 6º da Lei 13.709, de
2018.
§1º Os dados pessoais tratados no âmbito do Ministério da Cultura devem ser
mantidos exatos, adequados e atualizados, devendo ser retificados mediante solicitação
do titular, ou quando verificada sua impropriedade.
§2º
O Ministério
da Cultura
deverá
aplicar as
medidas técnicas
e
organizacionais necessárias para proteger os dados pessoais de acessos não autorizados
e de situações de destruição, perda, alteração, comunicação ou difusão de tais dados.
Art. 13. Cada unidade do Ministério da Cultura que realize o tratamento de
dados pessoais deve manter um registro das operações de tratamento de dados pessoais,
em complemento a esta Política de Privacidade.
Art. 14. O Ministério da Cultura deve manter e divulgar um aviso de
privacidade, assim como os termos de uso.
Art. 15. Compete a todas as unidades do Ministério da Cultura a adoção das
medidas de prevenção e proteção de dados pessoais e privacidade previstas nesta
Política, sendo responsabilidade de todos os agentes públicos conhecer e cumprir as
diretrizes estabelecidas.
Art. 16. Os contratos que envolvam tratamento de dados pessoais em nome
do Controlador devem conter cláusulas que estabeleçam instruções, deveres e obrigações
referentes ao tema e o compromisso dos contratados em adotar medidas para
adequação de suas operações e cumprimento das legislações de proteção de dados
pessoais aplicáveis, bem como desta Política e demais normas e orientações do
Ministério da Cultura sobre o tema.
Paragrafo único. No caso dos contratos de terceirização de mão-de-obra, o
Ministério da Cultura e o contratado atuarão como controladores em relação aos dados
dos trabalhadores terceirizados. Cada controlador será responsável pelos tratamentos de
dados pessoais que realizar e pelas consequências decorrentes dessas ações.
Art. 17. O tratamento de dados pessoais no Ministério da Cultura deve ter
como embasamento legal as hipóteses previstas no art. 7º da Lei 13.709, de 2018.
§1º A unidade que realizar tratamento de dados deverá identificar a finalidade
específica antes de iniciar o processo, garantindo sempre a coleta do mínimo de dados
necessários.
§2º Nos casos em que se configure legítimo interesse da administração
pública ou cumprimento de obrigação legal, fica dispensada a assinatura de termo de
consentimento.
§3º Para dados pessoais sensíveis, o tratamento será realizado de acordo com
as disposições estabelecidas pela LGPD.
§4º O eventual tratamento de dados pessoais de crianças e de adolescentes
será realizado nos termos da seção III do capítulo II da LGPD, bem como poderá ser
realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da LGPD, desde
que observado e prevalecente o seu melhor interesse, a ser avaliado em cada caso.
§5º Nas hipóteses descritas no §1º, deve haver a indicação da base legal
utilizada para coleta e tratamento dos dados em questão.
Art. 18. No tratamento de dados pessoais, deverão ser observadas boas
práticas de governança e de segurança da informação, devendo ser fornecidas, de forma
transparente e de fácil acesso, informações sobre a previsão legal, a finalidade, e os
procedimentos adotados para o tratamento de dados no âmbito do Ministério.
Parágrafo único. Para a garantia da segurança, serão adotadas soluções que
levem em consideração as técnicas adequadas, os custos de aplicação, a natureza, o
âmbito, o contexto, as finalidades do tratamento e os riscos para os direitos e as
liberdades do usuário.
Art. 19. O fornecimento dos dados pessoais a terceiros e a sua utilização para
finalidades diversas daquelas para as quais foram coletados poderão ocorrer mediante
consentimento do seu titular ou, ainda, nas hipóteses de tratamento para a execução das
competências
constitucionais
e
regimentais
do
Ministério
da
Cultura,
e
de
compartilhamento com órgãos ou entidades para a execução de atividades de interesse
público.
CAPÍTULO VI
DEVERES DOS OPERADORES DO MINISTÉRIO DA CULTURA
Art. 20. No tratamento de dados pessoais, os servidores e trabalhadores do
Ministério da Cultura devem observar, dentre outros, os seguintes deveres:
I - preencher e assinar o Termo de Responsabilidade, conforme Anexo III;
II - não disponibilizar ou prover acesso aos dados pessoais mantidos pelo
Ministério da Cultura para pessoas não autorizadas ou não competentes, de acordo com
as normas do órgão;
III - coletar somente os dados pessoais indispensáveis ao processo de
trabalho;
IV - obter o consentimento, quando necessário, para o tratamento de dados
pessoais;
V - cumprir as normas, recomendações, orientações de segurança da
informação e prevenção de incidentes de segurança da informação instituídas pelo
Ministério da Cultura; e
VI - comunicar ao Encarregado pelo Tratamento de Dados Pessoais qualquer
evento que possa colocar em risco os dados pessoais tratados pelo Ministério.
Art. 21. Nas hipóteses em que o consentimento prévio do titular para o
tratamento dos dados for necessário, o Ministério da Cultura deve implementar
mecanismos adequados para a efetiva coleta da autorização e, assim, evidenciar a
regularidade do tratamento.
Parágrafo único. O consentimento a que se refere o caput deverá ocorrer nos
termos do Anexo II.
CAPÍTULO VII
TRANSPARÊNCIA
Art. 22. O Ministério Cultura divulgará em seu sítio eletrônico as situações em
que, no exercício de suas competências, realiza o tratamento de dados pessoais,
fornecendo informações claras e atualizadas sobre a base legal, a finalidade, os
procedimentos e práticas adotadas para executar suas atividades.
Art. 23. As informações relativas ao vínculo dos agentes públicos com o
Ministério da Cultura, tais como nome completo, matrícula, Cadastro de Pessoas Físicas
- CPF, cargo ou atividade exercida, lotação e local de exercício, poderão ser divulgadas
em observância ao princípio da transparência, desde que cumpridas as diretrizes previstas
na Lei de Acesso à Informação para fornecimento de informações pessoais.
Parágrafo único. A divulgação prevista no caput deverá ocultar os três
primeiros dígitos e os dois dígitos verificadores do CPF, bem como os três primeiros
dígitos da matrícula.
Art. 24. A divulgação de contratos administrativos, realizada em atendimento
ao princípio da publicidade e do controle social, incluirá dados pessoais de terceiros,
amparada pelo art. 7º, inciso III da Lei 13.709, de 2018.
CAPÍTULO VIII
DOS DIREITOS E DEVERES DOS TITULARES DE DADOS
Art. 25. As manifestações decorrentes do exercício dos direitos dos titulares
de dados pessoais, conforme previstos na Lei Geral de Proteção de Dados Pessoais
(LGPD), serão apresentadas por meio da Plataforma Integrada de Ouvidoria e Acesso à
Informação - Plataforma Fala.BR ou encaminhadas ao Encarregado presencialmente ou
por correio eletrônico.
Art. 26. O titular dos dados tem o direito de ser comunicado sobre a
ocorrência de incidente de segurança que possa acarretar risco ou dano relevante.
Parágrafo único. O Encarregado pelo Tratamento de Dados Pessoais é
responsável por realizar a comunicação de que trata o caput ao titular e à Autoridade
Nacional de Proteção de Dados.
Art. 27. O tratamento e o armazenamento de dados pessoais no âmbito do
Ministério da Cultura deverão ser realizados, preferencialmente, por meio das
ferramentas de tecnologia da informação disponibilizadas pelo órgão, as quais deverão
salvaguardar formas de atendimento aos direitos dos titulares das informações.
Art. 28. Aos titulares de dados pessoais será assegurado o acesso a
informações claras, precisas e acessíveis acerca do tratamento de seus dados pessoais, na
forma do art. 18 da Lei 13.709, de 2018, podendo ser solicitado a qualquer
momento:
I - confirmação do tratamento dos dados: a confirmação da existência de
tratamento de dados pessoais;
II - acesso aos dados: o acesso aos dados pessoais armazenados na base de
dados do órgão;
III - correção de dados: a correção dos dados pessoais incompletos, inexatos
ou desatualizados;
IV - anonimização, bloqueio e eliminação dos dados pessoais considerados
desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei nº
13.709, de 2018;
V - oposição ao tratamento dos dados: a paralisação do tratamento e
eliminação dos dados pessoais tratados com consentimento, caso o titular se oponha ao
tratamento, a sua finalidade ou a forma que está sendo realizado, ressalvado o disposto
no Parágrafo único.
VI - informação sobre compartilhamento de dados: as informações a respeito
de com quais entidades públicas e privadas são realizados o uso compartilhado de
dados;
VII - informação sobre o consentimento: as informações a respeito da
possibilidade de não fornecer determinados consentimentos e sobre as consequências da
negativa;
VIII - revogação do consentimento: a revogação do consentimento; e
IX - acionamento das autoridades: o acionamento da Autoridade Nacional de
Proteção de Dados ou outro órgão que possua competência para resolver questões
envolvendo a proteção de dados pessoais.
Parágrafo único. Na hipótese do inciso V, os dados não serão eliminados
quando
o
tratamento
foi
realizado
com amparo
em
base
legal
diversa
do
consentimento.
Art. 29. Os direitos dos titulares dos dados pessoais tratados no âmbito do
Ministério da Cultura poderão ser exercidos mediante requerimento registrado em
formulário eletrônico, disponível na Plataforma Integrada de Ouvidoria e Acesso à
Informação - Plataforma Fala.BR, o qual será direcionado internamente ao Encarregado
pelo Tratamento de Dados Pessoais.
§1º Deverá ser instituído registro formal dos pedidos de informações
efetuados com fundamento no art. 18 da Lei nº 13.709, de 2018, o qual será custodiado
e atualizado pela Ouvidoria do Ministério da Cultura.
§2º O Encarregado pelo Tratamento de Dados Pessoais receberá os pedidos
de informações, adotará junto ao Controlador as medidas cabíveis, e comunicará ao
titular de dados as providências adotadas, por meio da Ouvidoria do Ministério da
Cultura.
§3º Aos titulares de dados pessoais incumbe o dever de zelar pela veracidade
dos dados pessoais fornecidos, bem como de manter sigilo relativo a login e senha
eventualmente utilizados para acessar os canais do Ministério da Cultura.
CAPÍTULO IX
TRANSFERÊNCIA E COMPARTILHAMENTO DE DADOS NO MINISTÉRIO DA
C U LT U R A
Art. 30. O Ministério da Cultura poderá transferir dados pessoais constantes
de suas bases de dados a pessoas jurídicas de direito privado nos seguintes casos, sem
prejuízo de outros previstos em legislação específica:
I - execução descentralizada de atividade pública que exija a transferência,
exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº
12.527, de 2011;
II - em que os dados forem acessíveis publicamente, observadas a finalidade,
a boa-fé e os direitos do titular;
III - em que houver previsão legal ou a transferência for respaldada em
contratos, convênios ou instrumentos congêneres comunicados à Autoridade Nacional de
Proteção de Dados; ou
IV - em que a transferência dos dados objetivar exclusivamente a prevenção
de fraudes e irregularidades, ou a proteção e o resguardo da segurança e da integridade
do titular dos dados, sendo vedado o tratamento para outras finalidades.
Parágrafo único. A pessoa jurídica de direito privado receptora dos dados
pessoais será qualificada como operadora, consoante o estabelecido no art. 5º, inciso VII
da Lei nº 13.709, de 2018.
Art. 31. O compartilhamento de dados pessoais com outras instituições
públicas observará o disposto na legislação vigente e em regulamentação específica do
órgão.
Art. 32. No caso de transferência internacional de dados pessoais, deverá ser
observado o disposto no Capítulo V da Lei nº 13.709, de 2018.
CAPÍTULO X
PARÂMETROS DE SEGURANÇA E PRIVACIDADE
Art. 33. O Ministério da Cultura implementará estrutura de gerenciamento,
incluindo procedimentos para lidar com incidentes cibernéticos, visando identificar
ameaças potenciais e manter a segurança da informação.
Art. 34. A classificação das informações produzidas e armazenadas deve
considerar fatores como a importância, criticidade, sensibilidade e os requisitos legais,
observado o interesse público da informação.
Art. 35.
O controle e
o registro de
acesso aos ambientes
físicos e
computacionais ficam restritos apenas a pessoas autorizadas, considerando os princípios
da necessidade de conhecimento e privacidade.
Parágrafo único. A revogação de acesso poderá ocorrer sem aviso prévio.
Art. 36. O Ministério registrará todas as operações de processamento de
dados pessoais, incluindo informações sobre a operação realizada, o responsável pela
ação, a data e a hora.
Fechar