DOU 03/11/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025110300059
59
Nº 209, segunda-feira, 3 de novembro de 2025
ISSN 1677-7042
Seção 1
Ministério da Integração e
do Desenvolvimento Regional
GABINETE DO MINISTRO
PORTARIA MIDR Nº 3.228, DE 31 DE OUTUBRO DE 2025
Institui a Política de Proteção de Dados Pessoais do
Ministério da Integração e do Desenvolvimento
Regional.
O
MINISTRO
DE
ESTADO DA
INTEGRAÇÃO
E
DO
DESENVOLVIMENTO
REGIONAL, SUBSTITUTO, no uso das atribuições que lhe confere o art. 87, parágrafo
único, incisos I e II, da Constituição, e tendo em vista o Decreto nº 12.504, de 12 de
junho de 2025, resolve:
Art. 1º Fica instituída a Política de Proteção de Dados Pessoais do Ministério
da Integração e do Desenvolvimento Regional, nos termos desta Portaria.
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 2º A Política de Proteção de Dados Pessoais do Ministério da Integração
e do Desenvolvimento Regional tem por finalidade estabelecer princípios e diretrizes a
serem seguidos para a garantia da proteção dos dados pessoais tratados no âmbito do
MIDR, em cumprimento ao art. 50 da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral
de Proteção de Dados Pessoais - LGPD.
Parágrafo único. Esta Política regula o tratamento de dados pessoais realizado
por qualquer pessoa, física ou jurídica, pública ou privada, e por qualquer meio, físico ou
digital, em nome do Ministério da Integração e do Desenvolvimento Regional ou em suas
dependências.
Art. 3º A aplicação da Política será pautada pelo dever de boa-fé e pela
observância dos princípios previstos no art. 6º da Lei nº 13.709, de 14 de agosto de
2018.
CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS
Art. 4º Todo tratamento de dados pessoais realizado no âmbito do Ministério
da Integração e do Desenvolvimento Regional deverá ter como objetivo o atendimento
de finalidade pública, a persecução do interesse público e a execução de atribuições
legais da Pasta.
§ 1º Poderão ser tratados apenas os dados pessoais necessários para atender
às finalidades específicas do tratamento.
§ 2º O acesso aos dados pessoais ficará restrito às pessoas autorizadas e que
necessitem realizar o tratamento para o desempenho de suas atividades.
§ 3º As atividades, produtos e serviços desenvolvidos pelo Ministério da
Integração e do Desenvolvimento Regional deverão estar em conformidade com
requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos,
resoluções, normas, estatutos e instrumentos jurídicos vigentes.
§ 4º O consentimento e o legítimo interesse poderão ser admitidos quando
a utilização dos dados não for necessária para o cumprimento de obrigações e
atribuições legais.
§ 5º A gestão dos dados pessoais tratados no sítio eletrônico, na internet, nos
aplicativos e nas redes sociais do Ministério da Integração e do Desenvolvimento
Regional deverá ser objeto de normativo específico.
§ 6º O Ministério da Integração e do Desenvolvimento Regional poderá
utilizar arquivos do tipo cookies para registrar e gravar no computador do usuário as
preferências e navegações realizadas nas respectivas páginas, para fins estatísticos e de
melhoria dos serviços ofertados, respeitando o consentimento do titular.
§ 7º O tratamento de dados pessoais sensíveis e dados de crianças e
adolescentes somente poderá ser realizado nos termos do Capítulo II, seções II e III da
Lei nº 13.709, de 14 de agosto de 2018.
Art. 5º Os contratos, convênios e outros instrumentos congêneres firmados
pelo Ministério da Integração e do Desenvolvimento Regional deverão conter cláusulas
específicas de proteção de dados pessoais que estabeleçam:
I - os deveres e obrigações dos agentes de tratamento envolvidos na
operação de tratamento, respeitados os princípios, os direitos dos titulares e o regime
de proteção de dados previstos na Lei nº 13.709, de 14 de agosto de 2018;
II - os requisitos mínimos de segurança da informação;
III - a vedação do tratamento dos dados pessoais, pelo Operador, para
finalidades que divirjam da informada pelo Controlador;
IV - os requisitos de proteção de dados pessoais que o Operador deve
atender;
V - as condições sob as quais o Operador deverá devolver ou descartar com
segurança os dados pessoais, após a conclusão do serviço, rescisão de contrato ou outro,
mediante solicitação do Controlador; e
VI - as diretrizes específicas sobre o uso de subcontratados pelo Operador
para execução contratual que envolva tratamento de dados pessoais.
§ 1º Deverá ser assegurado que os terceiros e processadores de dados
pessoais contratados estejam plenamente em conformidade com as cláusulas contratuais
estabelecidas, no momento da celebração do acordo entre as partes envolvidas.
§ 2º Os instrumentos de que tratam o caput, que estiverem em vigor e de
alguma forma envolverem o tratamento de dados pessoais, deverão incorporar cláusulas
específicas para a conformidade com a presente Política de Proteção de Dados
Pessoais.
Art. 6º O uso compartilhado de dados pessoais deverá atender a finalidade
específica de execução de política pública e atribuição legal do Ministério da Integração
e do Desenvolvimento Regional, respeitados os princípios de proteção de dados pessoais
elencados no art. 6º da Lei nº 13.709, de 14 de agosto de 2018.
§ 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais
constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a
transferência, exclusivamente para esse fim específico e determinado, observado o
disposto na Lei nº 12.527, de 18 de novembro de 2011 - Lei de Acesso à
Informação;
II - nos casos em que os dados forem acessíveis publicamente;
III - quando houver previsão legal ou a transferência for respaldada em
contratos, convênios ou instrumentos congêneres; ou
IV - na hipótese de a transferência dos dados objetivar, exclusivamente, a
prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a
integridade do
titular dos dados,
desde que
vedado o tratamento
para outras
finalidades.
§ 2º Os contratos e convênios de que trata o § 1º inciso III deverão ser
comunicados à autoridade nacional.
§ 3º A comunicação ou o uso compartilhado de dados pessoais a pessoa de
direito privado será informado à autoridade nacional e dependerá de consentimento do
titular, exceto nas hipóteses de dispensa previstas na Lei nº 13.709, de 14 de agosto de
2018.
§ 4º O compartilhamento de dados pessoais deverá ser formalizado em ato,
contrato, convênio ou outro instrumento formal, que estabeleça a finalidade específica
do tratamento, as competências, os procedimentos, os prazos, os mecanismos de
informação e comunicação com o titular, entre outros requisitos, que decorram das
peculiaridades do caso concreto ou de determinações provenientes de normas
específicas, visando garantir a proteção dos direitos do titular.
§ 5º A transferência internacional de dados pessoais apenas será permitida quando
em observância ao disposto no Capítulo V da Lei nº 13.709, de 14 de agosto de 2018.
Art. 7º Os dados pessoais tratados deverão ser eliminados após o término de
seu tratamento,
no âmbito e nos
limites técnicos das atividades,
autorizada
a
conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo Controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
III - transferência a terceiros, desde que respeitados os requisitos de
tratamento de dados dispostos nesta Portaria; ou
IV - uso exclusivo do Controlador, vedado seu acesso por terceiros, e desde
que anonimizados os dados.
Parágrafo único. A anonimização definitiva e irreversível será aplicada nos
casos em que o tratamento dos dados pessoais não seja mais necessário para
atendimento de finalidade pública e o registro não possa ser descartado definitivamente
sem comprometer a consistência do sistema ou de outros dados dependentes.
CAPÍTULO III
DA TRANSPARÊNCIA
Art. 8º Deverá ser dada ampla transparência às informações sobre os
tratamentos de dados pessoais realizados no Ministério da Integração e do
Desenvolvimento Regional, independentemente de solicitação do titular.
§ 1º As informações sobre os tratamentos de dados pessoais realizados
deverão, necessariamente, estar disponíveis no sítio eletrônico oficial da Pasta, na
internet, e nos canais de prestação de serviços.
§ 2º Será assegurado ao titular o direito de acesso facilitado às informações
sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara,
adequada e ostensiva, e abranger no mínimo:
I - a finalidade específica do tratamento;
II - a forma e duração do tratamento, observados os segredos comercial e
industrial;
III - a identificação do Controlador;
IV - informações de contato do Controlador;
V - informações acerca do uso compartilhado de dados pelo Controlador e a
finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento;
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18
da Lei nº 13.709, de 14 de agosto de 2018;
VIII - meios disponíveis para o titular exercer os seus direitos; e
IX - canais de atendimento da Ouvidoria do Ministério da Integração e do
Desenvolvimento Regional.
Art. 9º Deverão ser elaborados Termos de Uso e Políticas de Privacidade
específicas para cada serviço ofertado, informatizado ou não.
Art. 10. O Ministério da Integração e do Desenvolvimento Regional deverá
estar apto a comprovar a observância e o cumprimento das leis e normas vigentes e a
adoção de medidas eficazes e capazes para a proteção dos dados pessoais tratados.
CAPÍTULO IV
DA SEGURANÇA DAS INFORMAÇÕES
Art. 11. O tratamento de dados pessoais no âmbito do Ministério da
Integração e do Desenvolvimento Regional deverá observar as seguintes diretrizes,
visando atender aos padrões de Segurança da Informação e de Proteção de Dados
Pessoais, necessários
à garantia dos direitos
fundamentais dos indivíduos
e
à
autodeterminação informativa:
I - garantia da segurança dos dados pessoais: requisitos de confidencialidade,
integridade e disponibilidade,
bem como autenticidade, responsabilidade
e não
repúdio;
II - sigilo de dados pessoais: dever de confidencialidade por parte de todas as
pessoas com acesso a dados pessoais no âmbito do Ministério; e
III - privacidade de dados pessoais por concepção e por padrão: ao
desenvolver novos processos, procedimentos ou sistemas que envolvam o tratamento de
dados pessoais, deverão ser adotadas medidas para garantir que as regras de privacidade
e proteção de
dados sejam aplicadas desde
a fase de concepção
até a sua
implantação.
Art. 12. Deverão ser adotadas as medidas de segurança a seguir, visando
reduzir ou mitigar os riscos de ocorrência de incidentes e de danos às liberdades civis
e aos direitos fundamentais dos titulares, em eventual incidente:
I - limitação dos dados pessoais tratados ao mínimo necessário e à finalidade
específica e informada ao titular;
II - limitação do acesso aos dados pessoais às pessoas que realizam o
tratamento;
III - registro das operações de tratamento de dados pessoais;
IV - estabelecimento e registro
das funções e responsabilidades dos
colaboradores envolvidos nos tratamentos de dados pessoais;
V
-
estabelecimento
de
acordos
de
confidencialidade,
termos
de
responsabilidade ou termos de sigilo com Operadores de dados pessoais;
VI - armazenamento dos dados pessoais em ambiente seguro, de modo que
terceiros não autorizados não possam acessá-los;
VII - implementação das medidas e dos controles necessários para assegurar
o nível de tolerância ao risco aprovado pelo Comitê Estratégico de Governança - CEG;
VIII - verificações e revisões periódicas de conformidade e efetividade dos
processos, buscando a certificação do cumprimento dos requisitos de privacidade e
proteção de dados pessoais e da garantia de cláusula de responsabilidade e sigilo
constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos
congêneres;
IX - elaboração e atualização periódica de Relatório de Impacto à Proteção de
Dados Pessoais - RIPD, contendo as medidas, as salvaguardas e os mecanismos de
mitigação de risco adotados, bem como os resultados das ações de verificação de
conformidade realizadas, nos casos em que as operações de tratamento de dados
pessoais possam gerar alto risco à garantia dos princípios gerais de proteção de dados
pessoais, às liberdades civis e aos direitos fundamentais;
X - elaboração, atualização periódica e ampla divulgação dos Termos de Uso
e Políticas de Privacidade, que deverão fornecer informações sobre o processamento de
dados pessoais, em cada ambiente físico ou virtual, e as medidas de proteção de dados
adotadas para salvaguardar esses dados pessoais;
XI - elaboração e aprovação com a alta gestão de Planos de Resposta a
Incidentes Cibernéticos, com base em indicadores de probabilidade e criticidade dos
riscos envolvidos, que contenham procedimentos com tarefas específicas a serem
executadas por uma determinada equipe para a contenção e mitigação de incidentes e
restauração dos serviços ao estado de pré-incidente, quando possível, e o plano de
comunicação à Agência Nacional de Proteção de Dados - ANPD; e
XII - certificação da identidade do titular, ou de quem o represente, no
atendimento a demanda que implique acesso à informação pessoal, mediante:
a) a verificação da autenticação por meio do login único de acesso "gov.br",
com selo de segurança prata ou outro meio de certificação digital legalmente aceito; ou
b) a conferência, pelo servidor público competente, de documento físico
oficial apresentado presencialmente.
Art. 13. O Ministério da
Integração e do Desenvolvimento Regional
comunicará à autoridade nacional e ao titular a ocorrência de incidente de segurança
que possa acarretar risco ou dano relevante aos titulares.
Parágrafo único. O colaborador do Ministério que tomar ciência de incidente
ou de potencial violação de dados pessoais deverá, de forma tempestiva, comunicar o
fato ao Encarregado e à Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais - ETIR.
Fechar