MINISTÉRIO DA EDUCAÇÃO
CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DE MINAS GERAIS
CONSELHO DIRETOR
ᅠ
RESOLUÇÃO CD/CEFET-MG Nº 9, DE 13 DE SETEMBRO DE 2023
ᅠ
Aprova a Política de Privacidade e Proteção de Dados Pessoais do Centro Federal de Educação Tecnológica de Minas Gerais.
ᅠ
O PRESIDENTE DO CONSELHO DIRETOR DO CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DE MINAS GERAIS, no uso das atribuições legais e regimentais que lhe são conferidas,
CONSIDERANDO:
i) a Lei nº 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação, que regula o acesso a informações previsto na Constituição Federal;
ii) o Decreto nº 7.724, de 16 de maio de 2012, Regulamenta a Lei nº 12.527, de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto na Constituição;
iii) o Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento; a Lei nº 12.737, de 30 de novembro de 2012, que dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940, Código Penal e dá novos encaminhamentos;
iv) as boas práticas de segurança da informação preconizadas pelas normas ABNT NBR ISO/IEC 27001:2013 e 27002:2013;
v) a lei nº 12.965 (Marco civil da internet), de 23 de abril de 2014, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil;
vi) o Decreto nº 8.777, de 11 de maio de 2016, Institui a Política de Dados Abertos do Poder Executivo federal;
vii) o que consta do processo nº 23062.004266/2023-05;
viii) o que foi deliberado na 519ª Reunião do Conselho Diretor, realizada em 08 de agosto de 2023,
RESOLVE:
Art. 1º Aprovar a Política de Privacidade e Proteção de Dados Pessoais (PPPDP) do CEFET-MG, anexa e parte integrante desta Resolução.
Art. 2º Esta Resolução entra em vigor na data de sua publicação.
ᅠ
Publique-se e cumpra-se.
ᅠ
Prof. Flávio Antônio dos Santos
Presidente do Conselho Diretor
ᅠ
Anexo da Resolução CD-09/2023.
Política de Privacidade e Proteção de Dados Pessoais no âmbito do Centro Federal de Educação Tecnológica de Minas Gerais.
ᅠ
CAPÍTULO I
DISPOSIÇÕES GERAIS
ᅠ
Seção I
Dos Objetivos
ᅠ
Art. 1º A presente Política de Privacidade e Proteção de Dados Pessoais (PPPDP) estabelece as diretrizes no Centro Federal de Educação Tecnológica de Minas Gerais – CEFET-MG para resguardo e uso de dados pessoais que venham a ser tratados em suas atividades.
Art. 2º Esta Política orienta-se pelo disposto na Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709, de 14 de agosto de 2018 – e demais normas e regulamentações nacionais e internacionais relativas à privacidade e proteção de dados pessoais.
Art. 3º São objetivos da Política de Privacidade e Proteção de Dados Pessoais do CEFET-MG:
I – Estabelecer as diretrizes e responsabilidades do CEFET-MG que assegurem e reforcem o compromisso da Instituição com o cumprimento das legislações de proteção de dados pessoais vigentes;
II – Descrever as regras a serem seguidas na condução das atividades e operações de tratamento de dados pessoais realizadas pelo CEFET-MG e pelos destinatários desta Política, que garantam a sua conformidade com as legislações de proteção de dados pessoais aplicáveis e, em especial, com a LGPD.
Art. 4º A presente Política relaciona-se conjuntamente com as obrigações previstas nos documentos abaixo relacionados, aos quais cabe a apresentação, informações gerais e a complementação das orientações dispostas no texto deste documento, quando cabível:
I – contratos e outros documentos comparáveis, que dispõem sobre obrigações de confidencialidade em relação às informações mantidas pela Instituição;
II – políticas e normas de procedimentos de segurança da informação, bem como termos e condições de uso, que tratem sobre confidencialidade, integridade e disponibilidade das informações do CEFET-MG;
III – todas as normas internas a respeito da proteção de dados pessoais que vierem a ser elaboradas e atualizadas, de tempos em tempos.
ᅠ
Seção II
Da abrangência
ᅠ
Art. 5º Esta Política, suas normas complementares e procedimentos aplicam-se:
I – aos servidores do CEFET-MG;
II – a todos os terceiros, sejam eles pessoas físicas ou jurídicas, que atuam para ou em nome do CEFET-MG em operações que envolvam tratamento de dados pessoais que sejam realizadas no escopo das atividades conduzidas pela instituição;
III – aos agentes de tratamento de dados pessoais externos ao CEFET-MG que, de qualquer forma, se relacionem com a Instituição;
IV – aos titulares de dados pessoais, ou responsáveis legais, cujos dados são tratados pelo CEFET-MG.
Art. 6º Todos aqueles mencionados no artigo anterior são responsáveis pela privacidade e proteção dos dados pessoais de propriedade ou custodiados pelo CEFET-MG, e devem estar comprometidos com o cumprimento desta política, normas e procedimentos complementares.
Parágrafo único. As disposições desta Política incluem todos os dados pessoais em qualquer tipo de mídia. Isso inclui dados pessoais registrados em papel, mantidos em sistemas eletrônicos institucionais, bem como dados pessoais transmitidos oralmente.
ᅠ
Seção III
Dos princípios
ᅠ
Art. 7º Aplicam-se nos tratamentos de dados ocorridos sob o controle do CEFET-MG, além da boa-fé, todos os princípios enumerados no Art. 6º da Lei 13.709/18, sendo eles norteadores da interpretação desta política e de toda a ação concreta de tratamento.
Parágrafo único. Serão observados ainda, sem prejuízo dos demais, outros princípios constitucionais que regem a Administração Pública Federal, zelando pela transparência pública e o dever de acesso à informação.
ᅠ
Seção IV
Dos Conceitos e Definições
ᅠ
Art. 8º Para os fins desta Resolução considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V – Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador;
VIII – Encarregado: pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX – Comissão de Privacidade e Proteção de Dados Pessoais (CPPDP): comissão permanente instituída com o objetivo de definir e avaliar as ações institucionais de tratamento de dados;
X – agentes de tratamento: o Controlador e o Operador;
XI – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XII – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XIII – consentimento: manifestação livre, informada e inequívoca pela qual o/a titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XVI – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XV – eliminação: exclusão definitiva de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XVI – Relatório de Impacto de Proteção de Dados (RIPD): documentação do Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
ᅠ
Seção V
Bases Legais para o Tratamento de Dados Pessoais
ᅠ
Art. 9º O tratamento de dados pessoais pelo CEFET-MG é realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e cumprir as atribuições legais do serviço público.
Art. 10. A realização de operações de tratamento de dados pessoais pelo CEFET-MG poderá ser realizada:
I – Mediante o fornecimento de consentimento pelo titular de dados pessoais;
II – Para o cumprimento de obrigação legal ou regulatória;
III – Para a realização de estudos por órgão de pesquisa;
IV – Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados ao contrato do qual seja parte o titular de dados pessoais;
V – Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VI – Para a proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiro;
VII – Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde.
§1º A hipótese prevista no Inciso I será de uso extraordinário, sendo empregada apenas nas eventuais atividades que transcendam o escopo da função legal ou regulatória pelo CEFET – MG, resguardados os direitos do titular.
§2º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca, conforme os artigos 8º e 9º da LGPD.
§3º O titular tem o direito de negar ou revogar o consentimento fornecido ao CEFET-MG, o que poderá encerrar a consecução dos serviços relacionados a essa base legal de tratamento de dados pessoais.
§4º O tratamento de dados para o cumprimento de obrigações legais ou regulatória previsto no Inciso II é o principal fundamento para o tratamento de dados no âmbito da instituição, sendo determinante que cada operação seja passível de correspondência com autorização normativa determinada.
§5º A hipótese prevista no Inciso III, aplica-se às operações de tratamento de dados pessoais referentes às pesquisas institucionais, estabelecidas nos moldes dos normativos internos do CEFET – MG, garantida, sempre que possível, a anonimização dos dados pessoais.
ᅠ
Seção VI
Do Tratamento de Dados Pessoais
ᅠ
Art. 11. Qualquer tratamento de dados pessoais no âmbito do CEFET-MG deve ser feito considerando as melhores práticas administrativas, os cuidados necessários para o atendimento da finalidade legal, bem como os direitos dos titulares.
Art. 12. A coleta deverá ocorrer apenas naquilo que for essencial para a atividade institucional, ou prestação do serviço requerido.
Parágrafo único. Deve-se, ao máximo, evitar coleta de dados em duplicidade, ou seja, requerer dados que já estejam no poder da Instituição.
Art. 13. Em casos em que o tratamento ofertar riscos às liberdades civis e aos direitos fundamentais, bem como em casos indicados pela ANPD, ou decididos pelo Comissão de Privacidade e Proteção de Dados Pessoais, aquele deverá ser precedido do RIPD.
Parágrafo único. A metodologia e os títulos do relatório referido no caput serão estabelecidos posteriormente, seguindo as orientações da ANPD.
Art. 14. Para serviços baseados no consentimento do titular, a coleta de dados deve ser contemporânea à assinatura de termo de consentimento que estipule com clareza a finalidade da coleta, os tratamentos que poderão ocorrer sobre os dados e a forma de solicitar a exclusão.
Art. 15. O tratamento de dados sensíveis, que representa maior risco ao titular dos dados, deve ser resguardo e cuidado de maneira especial, nos termos definidos pelo CPPDP.
Art. 16. O tratamento de dados feitos no âmbito das pesquisas institucionais, ou seja, aquelas amparadas pelas normas internas, deve considerar o teor desta Política.
Art. 17. Os dados pessoais de crianças e adolescentes serão tratados com o mesmo nível de cuidado exigido e oferecido aos dados pessoais sensíveis e estarão sujeitos às disposições próprias estabelecidas no Art. 14 da LGPD, entre outras normas específicas aplicáveis.
Parágrafo único. Se a base de tratamento for o Inciso I do Art. 10 desta Política, é imprescindível o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
ᅠ
Seção VIII
Compartilhamento dos Dados Pessoais
ᅠ
Art. 18. O compartilhamento de dados pessoais pelo CEFET-MG somente será permitido para o cumprimento de suas obrigações legais ou para atendimento de políticas públicas aplicáveis, observado o princípio da necessidade e dos procedimentos de segurança, ficando o tratamento de dados pessoais sempre contíguo ao desenvolvimento de atividades autorizadas pela Instituição.
Art. 19. O CEFET-MG somente poderá fazer o compartilhamento de dados pessoais nas seguintes hipóteses:
I – Entre as unidades e setores do CEFET – MG: O compartilhamento de dados pessoais entre as unidades e setores somente será permitido para o cumprimento das suas obrigações legais;
II – Para a realização de estudos por órgão de pesquisa: O compartilhamento de dados pessoais para fins de pesquisa deve atender às normas institucionais, garantindo, sempre que possível, a anonimização dos dados pessoais;
III – Com órgãos e entidades públicas: O compartilhamento de dados pessoais pelo CEFET-MG entre os órgãos públicos deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no Art. 6º da LGPD e a legislação especial sobre o tema, entre elas o Decreto 10.046/2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados;
III – Com entidades privadas: A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a entidades privadas será informado à ANPD e dependerá de consentimento do titular, exceto nas hipóteses previstas nos artigos 26 e 27 da LGPD.
Parágrafo único. O tratamento de dados na hipótese em que o consentimento é requerido, caso o CEFET-MG necessite comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas em lei.
ᅠ
CAPÍTULO II
DOS DESTINATÁRIOS E FIGURAS LEGAIS
ᅠ
Seção I
Do Controlador
ᅠ
Art. 20. O CEFET-MG, representado pelo Diretor Geral, é o Controlador dos dados pessoais por ele tratados, nos termos das suas competências legais e institucionais.
Art. 21. Compete ao Controlador:
I – manter o registro das operações que envolva o tratamento de dados pessoais, fornecendo informações claras e atualizadas em seus sítios eletrônicos sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas operações;
II – elaborar RIPD, inclusive de dados sensíveis, referente às operações de tratamento de dados, nos termos desta Política;
III – orientar o Operador quanto ao tratamento de dados segundo instruções internas, legislação vigente e das regulamentações da ANPD;
IV – disseminar a cultura da proteção de dados;
V – garantir a proteção, integridade, disponibilidade, confidencialidade e autenticidade dos dados pessoais sobre sua guarda;
VI – aprovar normas que auxiliem na disseminação das boas práticas;
VII – comprovar que o consentimento obtido do titular atende às exigências legais do Art. 8º, § 2º da LGPD;
VIII – comunicar à ANPD a ocorrência de incidentes de segurança.
ᅠ
Seção II
Do Operador
ᅠ
Art. 22. Todos os servidores e demais colaboradores que atuam no CEFET-MG (colaboradores terceirizados, bolsistas, estagiários e voluntários) são considerados operadores de dados pessoais, nos termos da LGPD, estando submetidos às regras e penalidades vigentes.
Art. 23. Compete ao Operador:
I – assegurar que exista base legal para o tratamento dos dados sob sua responsabilidade, devendo respeitar os limites e finalidades estabelecidos na legislação ou normativa interna;
II – manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse;
III – realizar o tratamento de acordo com as diretrizes estabelecidas na LGPD, nesta Política e pela CPPDP.
ᅠ
Seção III
Do Encarregado pelo Tratamento de Dados Pessoais
ᅠ
Art. 24. O Encarregado pelo tratamento de dados pessoais será designado dentre os servidores do CEFET-MG ocupantes de cargo efetivos, por meio de portaria emitida pelo Diretor Geral do CEFET-MG.
Art. 25. Compete ao Encarregado pelo tratamento de dados pessoais:
I – receber as solicitações e reclamações dos titulares de dados, devendo responder sobre as operações de tratamento de dados, somente aos titulares cujo os dados tenham sido objeto de tratamento pelo CEFET-MG;
II – receber comunicações da ANPD e adotar providências;
III – orientar os servidores da entidade a respeito das práticas a serem tomadas em relação à privacidade e proteção de dados pessoais;
IV – executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares;
V – monitorar o cumprimento das legislações de proteção de dados pessoais aplicáveis, de acordo com as normas internas do CEFET-MG;
VI – prestar esclarecimentos, oferecer informações e apresentar relatórios sobre as operações de tratamento de dados pessoais e seus impactos para as autoridades públicas competentes;
VII – orientar todos os destinatários desta Política e acompanhar o tratamento de dados referente a eliminação dos dados pessoais;
VIII – auxiliar em auditorias ou qualquer outra medida de avaliação e monitoramento envolvendo proteção de dados.
Parágrafo único. Cabe ao Controlador munir o Encarregado de ferramentas, autoridade e capacitações necessárias ao desempenho de suas atividades.
ᅠ
Seção III
Do Comissão de Privacidade e Proteção de Dados Pessoais
ᅠ
Art. 26. A CPPDP é vinculada administrativamente ao Diretor Geral.
Art. 27. A CPPDP será composta pelo:
I – Encarregado pelo tratamento de dados pessoais, que a presidirá;
II – Gestor do Serviço de Informação ao Cidadão;
III – um representante da Secretaria de Gestão de Pessoas (SEGEP);
IV – um representante da Coordenação de Convênios, Contratos e Prestação de Contas (CCONT);
V – um representante da Diretoria de Tecnologia da Informação;
VI – um representante da Secretaria de Registro e Controle Acadêmico;
VII – um representante do Arquivo e Memória Institucional.
Art. 28. São competências do CPPDP:
I – propor normas e procedimentos metodológicos para implementação da PPPDP, com objetivo de regulamentar a proteção dos dados pessoais no âmbito da CEFET-MG;
II – aprovar relatórios de impacto à privacidade e proteção de dados, pareceres técnicos e revisão de documentos no que se refere à proteção de dados;
III – avaliar os procedimentos de tratamento e proteção dos dados pessoais existentes e propor estratégias e metas em observância a LGPD;
IV – revisar a PPPDP e as instruções normativas no caso de alterações de legislações relevantes;
V – promover ações de conscientização, divulgação de boas práticas e treinamentos sobre a aplicação da política e normas relacionadas à proteção de dados pessoais;
VI – acompanhar a implantação dos planos e o cumprimento das ações regulamentadoras no CEFET-MG.
ᅠ
CAPÍTULO III
DO DIREITO DO TITULAR
ᅠ
Art. 29. Em relação aos seus dados pessoais, o titular poderá obter do CEFET-MG, a qualquer momento e mediante requisição:
I – Confirmação da existência do tratamento: o titular de dados pessoais a qualquer momento poderá solicitar juntamente ao CEFET-MG se há operações de tratamento relativo aos seus dados pessoais;
II – Acesso: o titular de dados pessoais poderá solicitar o acesso aos seus dados que são mantidos pela Instituição;
III – Correção: o titular de dados pessoais poderá solicitar a qualquer momento a alteração do seu respectivo dado pessoal que estejam incompletos, inexatos ou desatualizados, e o CEFET-MG poderá solicitar documentação comprobatória da alteração, providenciará a alteração em período pré-estabelecido e notificará o titular quando a solicitação estiver atendida;
IV – Eliminação: o titular de dados pessoais pode requisitar a qualquer momento a exclusão de seus dados pessoais tratados com o consentimento, exceto nas hipóteses previstas no Art. 16 da LGPD, e o CEFET-MG será o responsável pela escolha do procedimento de eliminação empregado, comprometendo-se utilizar meio que garanta a segurança e evite a recuperação dos dados;
V – Suspensão de tratamento ilícito de dados pessoais: o titular de dados pessoais poderá solicitar a qualquer momento anonimização, bloqueio ou eliminação de seus dados pessoais, que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
VI – Portabilidade dos dados: o titular de dados pessoais poderá solicitar a portabilidade dos seus dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial, bem como os limites técnicos de sua infraestrutura;
VII – Oposição a um tratamento de dados pessoais: o titular de dados pessoais poderá solicitar a qualquer momento a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
VIII – Revogação do consentimento: o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular;
IX – Informação do compartilhamento de dados: o titular dos dados poderá solicitar a qualquer momento a informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de seus dados.
Parágrafo único. É imprescindível que a verificação da identificação do titular seja confirmada pelo CEFET-MG antes do atendimento a qualquer solicitação feita pelo titular do dado.
ᅠ
CAPÍTULO IV
DO RELACIONAMENTO COM TERCEIROS
ᅠ
Art. 30. O compartilhamento de dados pessoais sob controle do CEFET-MG para terceiros somente será admitido se em conformidade com a LGPD, mediante consentimento do titular e admissível pela Lei.
Art. 31. Os contratos, acordos, convênios e demais instrumentos que envolverem dados pessoais devem se ater a presente Resolução e àqueles cuja vigência esteja em curso deverão ser a ela adequados na medida em que sofrerem algum aditamento ou apostilamento.
Art. 32. O tratamento de dados pessoais por terceiros contratados, direta ou indiretamente pelo CEFET-MG para atuar em seus setores, deverá ser precedido por devida avaliação de riscos e comunicado formalmente ao Encarregado de dados.
ᅠ
CAPÍTULO V
DO MAPEAMENTO DE DADOS PESSOAIS E DO RELATÓRIO DE IMPACTO
ᅠ
Art. 33. O mapeamento de dados pessoais, refere-se a um documento essencial para o processo de adequação às normas de proteção de dados,
I – O documento de mapeamento de dados deverá descrever o modo pelo qual o tratamento do dado pessoal é realizado no CEFET-MG, incluindo os processos e procedimentos pelos quais o dado transita e deverá ser relacionado com o Relatório de Impacto à Proteção dos Dados Pessoais (RIPD).
II – O mapeamento, envolvendo tratamento de dados, bem como a construção da matriz de riscos e do relatório de impacto à proteção de dados pessoais (RIPD) será conduzido e elaborado pela Comissão de Privacidade e Proteção de Dados Pessoais (CPPDP).
Art. 34. O registro mantido pelo mapeamento de dados envolve descrever informações em relação ao tratamento de dados pessoais a ser realizado pelo CEFET-MG, como:
I – atores envolvidos (agentes de tratamento e o encarregado);
II – finalidade (o que a instituição faz com o dado pessoal);
III – hipótese (arts. 7º e 11 da LGPD);
IV – previsão legal;
V – dados pessoais tratados pelo CEFET-MG;
VI – categoria dos titulares dos dados pessoais;
VII – tempo de retenção dos dados pessoais;
VIII – instituições com as quais os dados pessoais são compartilhados;
IX – transferência internacional de dados (Art. 33 da LGPD);
X – medidas de segurança atualmente adotadas.
Art. 35. O Relatório de Impacto à Proteção dos Dados Pessoais (RIPD) representa documento fundamental a fim de demonstrar que os dados pessoais coletados, tratados, usados, compartilhados e quais medidas são adotadas para mitigação dos riscos que possam afetar as liberdades civis e direitos fundamentais dos titulares desses dados.
Art. 36. Com base nas disposições da lei serão considerados essenciais para a elaboração deste RIPD:
I. descrição do processo de tratamento;
II. descrição dos tipos de dados pessoais coletados;
III. método de coleta dos dados pessoais;
IV. riscos na proteção de dados pessoais;
V. medidas de salvaguarda e mitigação de riscos e metodologia para garantir a segurança das informações;
V. análise do Controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
ᅠ
CAPÍTULO VI
DO COMPARTILHAMENTO DE DADOS COM INSTITUIÇÕES INTERNACIONAIS
ᅠ
Art. 37. Nas hipóteses em que o CEFET-MG seja autorizado a tratar dados pessoais independentemente do consentimento do titular de dados, será permitido à instituição a transferência de dados pessoais para outros países, em conformidade com o disposto na LGPD, desde que, alternativamente, sejam respeitadas as seguintes disposições:
I – o país seja classificado como tendo um nível adequado de proteção de dados atribuído pela ANPD ou a transferência seja autorizada pela ANPD;
II – enquanto não houver lista de países de nível adequado divulgada pela ANPD, o país seja classificado pela Comissão Europeia, por meio de uma decisão de Adequação, como país de nível adequado aos critérios da General Data Protection Regulation (GDPR)
III – o agente de tratamento de dados pessoais internacional ofereça ao CEFET-MG pelo menos uma das salvaguardas abaixo:
a) códigos de conduta regularmente emitidos ou binding corporate rules aprovados pela Comissão Europeia;
b) cláusulas contratuais padrão emitidas pela ANPD ou pela Comissão Europeia;
c) selos e certificados de conformidade ou adequação à proteção de dados pessoais concedidos por entidades reconhecidas pela ANPD ou pela Comissão Europeia.
Art. 38. Nas hipóteses em que o CEFET-MG seja autorizado a tratar dados pessoais com base no consentimento, será permitido à instituição a transferência de dados pessoais para outros países desde que obtenha consentimento explícito e destacado dos titulares de dados pessoais para realização de operações de transferência internacional de dados pessoais, com informação prévia sobre o caráter internacional da operação.
Art. 39. Caso o país não apresente nível adequado de proteção de dados reconhecido ou não haja salvaguardas da conformidade do agente de tratamento, tais informações deverão ser prestadas ao titular de dados pessoais previamente, a fim de que consinta com os riscos da operação.
Art. 40. O CEFET-MG se compromete em informar os titulares de dados pessoais em suas plataformas digitais sobre a ocorrência de operações de transferência internacional de dados pessoais, designando o conjunto de dados encaminhados, a finalidade do envio e o seu destino.
ᅠ
CAPÍTULO VII
DA SEGURANÇA E VIOLAÇÃO DE DADOS
ᅠ
Art. 41. As normas de segurança da informação e prevenção contra incidentes de dados pessoais deverão estar contempladas na Política de Segurança da Informação e Comunicação do CEFET-MG e nas normativas internas e documentos correlatos ao tema.
Art. 42. A prevenção da violação de dados é de responsabilidade de todos os destinatários desta Política.
Art. 43. É dever de todos os servidores notificarem o Encarregado sempre que observadas suspeitas de irregularidade em relação às atividades de tratamento de dados pessoais ou da ocorrência efetiva das seguintes condutas:
I – tratamento de dados pessoais sem a autorização por parte do CEFET-MG no âmbito das que desenvolve;
II – operação de tratamento de dados pessoais realizada sem base legal que a justifique;
III – operação de tratamento de dados pessoais que seja realizada em desconformidade com a Política de Segurança da Informação e Comunicação (POSIC) do CEFET-MG, com os normativos internos e documentos correlatos ao tema.
IV – eliminação, alteração ou destruição não autorizada pelo CEFET-MG de dados pessoais contidas em plataformas digitais ou de acervos físicos;
V – qualquer outra violação desta Política ou de qualquer um dos princípios de proteção de dados previstos no art. 6º da Lei 13.709/18.
ᅠ
CAPÍTULO VI
DA FISCALIZAÇÃO E DESCUMPRIMENTO
ᅠ
Art. 44. O Encarregado de dados pessoais, juntamente com a CPPDP, deverá definir os procedimentos e mecanismos de fiscalização do cumprimento desta Política.
Art. 45. Denúncias ou reclamações sobre ilegalidades no tratamento de dados pessoais ou incidente de segurança que possa acarretar risco ou dano relevante aos titulares, devem ser recebidas pelo Encarregado de dados pessoais, que tomará as seguintes providências:
I. notificar à ANPD;
II. notificar o Diretor Geral do CEFET-MG;
III. notificar o Titular do dado;
IV. notificar ao órgão correcional para abertura de processo de sindicância;
V. identificar o impacto do dano ou da violação à legislação de proteção de dados pessoais e elaborar medidas técnicas para a proteção dos dados pessoais.
Parágrafo único. O canal institucional para recebimento de denúncias ou reclamações é o sistema Fala.Br.
Art. 46. É vedado aos agentes que realizam tratamento de dados em nome do CEFET-MG a utilização de dados pessoais para fins particulares, transferência de dados pessoais para terceiros não autorizados ou conceder acesso de qualquer outra maneira imprópria a pessoas não autorizadas.
Parágrafo único. A inobservância da presente PPPDP acarretará a apuração das responsabilidades previstas nas normas internas do CEFET-MG e na legislação em vigor, podendo haver responsabilização penal, civil e administrativa.
ᅠ
CAPÍTULO VIII
DAS DISPOSIÇÕES FINAIS
ᅠ
Art. 47. A presente política deverá ser revisada e atualizada quando houver alteração de legislação.
Art. 48. Independentemente da revisão ou atualização desta Política, deverá ser elaborado anualmente um Plano de Gestão de Riscos relativos à proteção de dados pessoais, identificando vulnerabilidades e respectivos Planos de Ação.
Art. 49. As solicitações de informações pelos titulares, os pedidos voluntários de revogação do consentimento ou eliminação de dados onde existiu consentimento deverão ser realizadas por meio da plataforma Fala.BR ou encaminhadas ao Encarregado de Dados Pessoais.
Art. 50. Os casos omissos deverão ser encaminhados ao Controlador.
Art. 51. Esta Resolução entra em vigor na data de sua publicação.