Imprensa Nacional

PORTARIA MRE Nº 485, DE 21 DE SETEMBRO DE 2023

Institui a Política de Proteção de Dados Pessoais e Privacidade do Ministério das Relações Exteriores e dá outras providências.

A MINISTRA DE ESTADO, SUBSTITUTA, DAS RELAÇÕES EXTERIORES, no uso das atribuições que lhe conferem os incisos I e II do parágrafo único do art. 87 da Constituição Federal e tendo em conta o disposto na Lei nº 13.709, de 14 de agosto de 2018, resolve:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1º Instituir a Política de Proteção de Dados Pessoais e Privacidade (PPDP) do Ministério das Relações Exteriores (MRE).

Art. 2º Para efeitos desta Portaria, consideram-se:

I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração;

IV - agentes de tratamento: o controlador e o operador;

V - inventário de dados pessoais: processo pelo qual é possível conhecer de maneira aprofundada as atividades de tratamento de dados pessoais do órgão;

VI - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

VII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

VIII - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

IX - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;

X - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), na qualidade de encarregado;

XI - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

XII - suboperador: aquele que, após autorização formal e específica do controlador, é contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador;

XIII - agente público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego, função ou estágio nos órgãos ou nas entidades da administração pública federal;

XIV - eliminação: exclusão de dado pessoal ou de conjunto de dados pessoais armazenados em banco de dados, independentemente do procedimento empregado;

XV - transferência internacional de dados pessoais: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o País seja membro; e

XVI - aviso de privacidade: documento que contém informações sobre coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos usuários.

Art. 3º Esta Política regulamenta qualquer operação de tratamento de dados pessoais realizada pelos órgãos e unidades que integram a estrutura do Ministério das Relações Exteriores, no Brasil e no exterior, nos termos do artigo 3º da Lei n° 13.709, de 14 de agosto de 2018.

Art. 4º Cada sistema e aplicativo do Ministério das Relações Exteriores que realize tratamento de dados pessoais, inclusive de dados pessoais sensíveis, manterá aviso de privacidade próprio e termos de uso, de forma complementar a presente Política.

CAPÍTULO II

DA PROTEÇÃO DE DADOS E PRIVACIDADE

Seção I

Dos Princípios

Art. 5º A aplicação desta Política será pautada pela boa-fé e pela observância dos seguintes princípios:

I - finalidade;

II - adequação;

III - necessidade;

IV - livre acesso ao titular dos dados pessoais;

V - segurança;

VI - prevenção;

VII - não discriminação;

VIII - responsabilização e prestação de contas;

IX - qualidade e integridade dos dados; e

X - transparência.

Seção II

Do Objeto e da Finalidade

Art. 6º O tratamento de dados pessoais, inclusive de dados pessoais sensíveis, pelo Ministério das Relações Exteriores será promovido de forma a atender à finalidade pública, na busca do interesse público, com o objetivo de executar suas competências legal e institucional.

Art. 7º Poderão ser tratados dados pessoais dos agentes públicos lotados ou em exercício nas unidades organizacionais, no Brasil e no exterior, que compõem a estrutura do Ministério das Relações Exteriores, para fins de organização e funcionamento das equipes, e na busca de melhorias das atividades internas do Ministério.

Art. 8º. O tratamento de informações e dados contidos na documentação histórica de guarda permanente do Arquivo Histórico, em qualquer suporte, será realizado com base no inciso II do art. 7º e art. 11 da Lei nº 13.709, de 2018, e observará as disposições da Lei nº 8.159, de 8 de janeiro de 1991.

Art. 9º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da Lei nº 13.709, de 2018;

IV - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

V - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 1996 (Lei de Arbitragem);

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiros;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Art. 10. O consentimento previsto no inciso I do Art. 9º desta Portaria deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular e deverá referir-se a finalidades determinadas.

Seção III

Da Publicidade

Art. 11. O Ministério das Relações Exteriores publicará no seu portal eletrônico, na Internet, as hipóteses em que, no exercício de suas competências, realiza o tratamento de dados pessoais, inclusive de dados pessoais sensíveis, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.

Art. 12. Os avisos de privacidade próprios de cada sistema ou aplicativo a que se refere o art. 4º desta Portaria serão mantidos atualizados nos sítios oficiais na Internet, em local de fácil acesso, sob responsabilidade de cada área competente.

Art. 13. Em observância ao princípio da transparência, quando não for prejudicial à atividade do órgão, ou não oferecer riscos à integridade dos titulares dos dados, poderão ser divulgadas informações relativas ao vínculo dos agentes públicos com o Ministério das Relações Exteriores, tais como nome completo, cargo ou atividade exercida, lotação e local de exercício.

CAPÍTULO III

DOS TITULARES DE DADOS

Seção I

Dos Direitos dos Titulares

Art. 14. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da Constituição Federal, da Lei nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI).

Art. 15. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição, nos termos do inciso VI do caput do art. 18 da Lei nº 13.709, de 2018:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Portaria;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei nº 13.709, de 2018;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e

IX - revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.

§ 1º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído a agente de tratamento.

§ 2º O requerimento referido no § 1º deste artigo será atendido sem custos para o titular.

§ 3º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

§ 4º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.

Art. 16. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I - em formato simplificado, imediatamente; ou

II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data de recebimento do requerimento do titular.

§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.

§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:

I - por meio eletrônico, seguro e idôneo para esse fim; ou

II - sob forma impressa.

§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

Art. 17. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.

Seção II

Dos Requerimentos

Art. 18. As manifestações decorrentes do exercício dos direitos dos titulares de dados pessoais a que se refere a Lei nº 13.709, de 2018, serão apresentadas junto à Ouvidoria do Serviço Exterior.

Art. 19. O requerimento deverá apresentar elementos capazes de identificar a pessoa do interessado ou de quem o represente, conforme o disposto no art. 6º da Lei nº 9.784, de 29 de janeiro de 1999.

Art. 20. Será exigida a certificação de identidade, que ocorrerá:

I - virtualmente, caso o manifestante possua autenticação por meio do login único de acesso "gov.br" ou outro meio de certificação digital; ou

II - presencialmente, por meio de conferência de documento físico apresentado pelo manifestante junto à unidade de ouvidoria.

Parágrafo único. Os requerimentos apresentados de forma virtual por meio do login único de acesso "gov.br" deverão apresentar, no mínimo, o selo de segurança prata.

CAPÍTULO IV

DO TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS

Art. 21. O término do tratamento de dados pessoais pelo MRE ocorrerá nas seguintes hipóteses:

I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II - fim do período de tratamento;

III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no inciso IX do Artigo 15 desta Portaria, resguardado o interesse público; ou

IV - determinação da autoridade nacional.

Art. 22. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I - cumprimento de obrigação legal ou regulatória pelo controlador;

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - transferência a terceiros, desde que respeitados os requisitos de tratamento de dados dispostos nesta Portaria; ou

IV - uso exclusivo do controlador, vedado seu acesso por terceiros, e desde que anonimizados os dados.

CAPÍTULO V

DA REDE DE PROTEÇÃO DE DADOS PESSOAIS

Seção I

Do encarregado pelo tratamento de dados pessoais

Art. 23. O encarregado será o titular da Ouvidoria do Serviço Exterior, e o substituto será o Ouvidor do Serviço Exterior, substituto.

Art. 24. Compete ao encarregado:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da ANPD e adotar providências;

III - orientar os funcionários e os contratados do órgão, no Brasil e no exterior, a respeito das práticas a serem adotadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Seção II

Dos pontos focais

Art. 25. Os dirigentes das unidades relacionadas a seguir indicarão ao encarregado, no prazo de dez dias contados da publicação desta Portaria, servidores públicos, titular e suplente, para atuar como ponto focal da unidade para assuntos relacionados à Lei nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD):

I - Gabinete;

II - Secretaria Geral;

III - Secretarias;

IV - Assessoria Especial de Assuntos Parlamentares e Federativos;

V - Instituto Rio Branco;

VI - Agência Brasileira de Cooperação;

VII - Cerimonial; e

VIII - Corregedoria do Serviço Exterior.

Art. 26. Aos pontos focais indicados na forma do art. 25 compete zelar pela adequada aplicação da Lei nº 13.709, de 2018, em seu âmbito, cabendo-lhes, dentre outras atribuições que se fizerem necessárias:

I - receber e encaminhar às unidades os requerimentos de titulares previstos na Lei nº 13.709, de 2018;

II - controlar os prazos de resposta;

III - disseminar as orientações relativas à Lei n° 13.709, de 2018; e

IV - analisar as respostas recebidas, orientando as unidades subordinadas quanto à necessária qualidade das respostas.

Parágrafo único. As unidades são responsáveis pelo teor das respostas apresentadas, as quais serão encaminhadas à Ouvidoria do Serviço Exterior para fins de remessa ao interessado.

Seção III

Dos agentes de tratamento de dados pessoais

Art. 27. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.

Parágrafo único. As medidas relacionadas à segurança da informação deverão atender a Política de Segurança da Informação e Comunicações (POSIC) do Ministério das Relações Exteriores.

Art. 28. Os operadores deverão realizar o tratamento de dados para a finalidade previamente estabelecida e segundo as instruções fornecidas pelo controlador.

Parágrafo único. As unidades manterão relação atualizada de operadores e suboperadores junto ao respectivo ponto focal.

Seção IV

Das Sanções Administrativas

Art. 29. Os agentes de tratamento de dados, em razão das infrações cometidas às disposições previstas nesta Política, ficam sujeitos às sanções administrativas previstas pelo art. 52 da Lei Geral de Proteção de Dados Pessoais e aplicáveis pela ANPD, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.

DISPOSIÇÕES FINAIS

Art. 30. O Ministério das Relações Exteriores exercerá a função de controlador dos dados pessoais, inclusive dados pessoais sensíveis, tratados nos termos das suas competências legal e institucional.

Art. 31. As unidades do MRE, no Brasil e no exterior, que realizam tratamento de dados pessoais, inclusive dados pessoais sensíveis, elaborarão no prazo de 180 dias, prorrogável por igual período, uma única vez, mediante justificativa:

I - Listagem geral dos serviços e/ou processos de negócios que tratam dados pessoais;

II - Inventário de dados pessoais e dados pessoais sensíveis; e

III - Relatórios de impacto à proteção de dados pessoais, quando aplicável.

Art. 32. A conformidade da aplicação desta Política pelas unidades organizacionais do MRE será feita pelo Comitê Gestor de Proteção de Dados Pessoais (CGPD), que terá a seguinte composição

I - o encarregado pelo tratamento dos dados pessoais do MRE;

II - um representante do Gabinete;

III - um representante da Secretaria Geral;

IV - um representante da Secretaria de Gestão Administrativa; e

V - um representante do Departamento de Tecnologia e Gestão da Informação.

§1º A coordenação do Comitê caberá ao encarregado pelo tratamento de dados pessoais deste Ministério.

§2º Cada membro do CGPD terá um suplente, que o substituirá em suas ausências e seus impedimentos.

§3º A designação dos integrantes do Comitê será feita pela Secretaria Geral, por meio de Portaria específica.

§4° O Comitê Gestor de Proteção de Dados Pessoais poderá convidar representantes de outras áreas do Ministério das Relações Exteriores para participar das reuniões ordinárias e extraordinárias, com direito a voto.

Art. 33. Compete ao Comitê Gestor de Dados Pessoais:

a) Avaliar os mecanismos de tratamento e proteção dos dados pessoais;

b) Propor diretrizes, estratégias e metas para a conformidade do MRE às disposições da Lei nº 13.709, de 2018;

c) Supervisionar a execução dos planos, dos projetos e das ações aprovadas para viabilizar a implantação das diretrizes, estratégias e metas para a conformidade do MRE às disposições da Lei n° 13.709, de 2018;

d) Prestar orientações sobre o tratamento e a proteção de dados pessoais de acordo com as diretrizes estabelecidas pela Lei nº 13.709, de 2018, e os normativos internos deste órgão; e

e) Encaminhar relatório de atividades e estágio de adequação do MRE à Lei nº 13.709, de 2018, à Secretária-Geral das Relações Exteriores, até as datas de 30 de abril e 31 de outubro de cada ano.

Art. 34. Caberá ao encarregado pelo tratamento de dados pessoais do MRE ou, em seus impedimentos ou ausências, ao seu substituto como encarregado, presidir os trabalhos do Comitê e convocar as reuniões.

Art. 35. O Comitê Gestor de Proteção de Dados Pessoais se reunirá em caráter ordinário trimestralmente e em caráter extraordinário sempre que convocado pelo encarregado pelo tratamento de dados pessoais do MRE.

Art. 36. O quórum para a realização de reunião do Comitê será de maioria absoluta dos membros, e o quórum para tomada de decisão será de maioria simples.

Art. 37. A Ouvidoria do Serviço Exterior ficará encarregada de prestar o apoio administrativo necessário ao Comitê Gestor de Proteção de Dados Pessoais.

Parágrafo único. O Comitê Gestor de Proteção de Dados Pessoais aprovará na sua primeira reunião seu plano de trabalho e regimento interno.

Art. 38. A participação no Comitê Gestor de Proteção de Dados Pessoais será considerada prestação de serviço público relevante, não remunerada.

Art. 39. Fica revogada a Portaria MRE nº 372, de 12 de janeiro de 2022.

Art. 40. Esta Portaria entra em vigor no dia 2 de outubro de 2023.

MARIA LAURA DA ROCHA