POLÍTICA GERAL DE PROTEÇÃO DE DADOS PESSOAIS E PRIVACIDADE DO MINISTÉRIO DO DESENVOLVIMENTO E ASSISTÊNCIA SOCIAL, FAMÍLIA E COMBATE À FOME

CAPÍTULO I

Diretrizes Gerais

Art. 1º A Política Geral de Proteção de Dados Pessoais e Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome tem a finalidade de estabelecer princípios e diretrizes para a implementação de ações que garantam a proteção de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas.

Art. 2º A Política Geral de Proteção de Dados Pessoais e Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome regulamenta a proteção de dados pessoais, para a qual o ministério é o agente de tratamento e abrange o meio utilizado para o tratamento, seja digital ou físico, e qualquer pessoa que realize operações de tratamento de dados pessoais em nome do órgão ou em suas dependências.

Art. 3º O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deverá estar apto a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, bem como a eficácia dessas medidas.

Art. 4º Os órgãos do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deverão promover revisões dos processos de trabalho com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados pessoais.

Art. 5º Os dados pessoais que forem coletados e tratados no sítio ou aplicativo mantidos pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome também devem ser administrados de acordo com as diretrizes desta política.

Parágrafo único. Normativos específicos devem ser elaborados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome para a gestão dos dados coletados a partir de sites e aplicativos.

Art. 6º O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome poderá utilizar arquivos (cookies) para registrar e gravar no computador do usuário as preferencias e navegações realizadas nas respectivas páginas para fins estatísticos e de melhoria dos serviços ofertados, respeitando o consentimento do titular.

Art. 7º É competência da Câmara Técnica de Proteção de Dados Pessoais - CTPD monitorar a implementação da Lei nº 13.709, de 14 de agosto de 2018, no âmbito do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, bem como monitorar o desenvolvimento da Política Geral de Proteção de Dados Pessoais e Privacidade - PGPDP/MDS, e propor o seu aperfeiçoamento.

Art. 8º O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve manter registro das operações de tratamento de dados pessoais que realizarem.

Art. 9º O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deverá elaborar o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) relacionado às operações de tratamento, e atualizá-lo quando necessário.

Art. 10. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deverá desenvolver e manter atualizados as políticas (avisos) de privacidade, que fornecerão informações sobre o processamento de dados pessoais em cada ambiente físico ou virtual, bem como detalhar as medidas de proteção de dados adotadas para salvaguardar esses dados pessoais.

Art. 11. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deverá estabelecer programa de treinamento e conscientização para que os colaboradores entendam suas responsabilidades e procedimentos na proteção de dados pessoais.

Art. 12. Serão formuladas regras de segurança, de boas práticas e de governança que definam procedimentos e outras ações referentes à privacidade e à proteção de dados pessoais.

CAPÍTULO II

Tratamento de Dados Pessoais

Seção I

Direitos do Titular

Art. 13. A aplicação desta Política deve ser pautada pela boa-fé e observância aos princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas, conforme estabelecido no art. 6º da Lei nº 13.709, de 14 de agosto de 2018, bem como outros princípios constitucionais que regem a Administração Pública Federal, zelando pela transparência pública e o dever de acesso à informação.

Art. 14. O tratamento de dados pessoais deverá ser realizado para o atendimento de sua finalidade pública, conforme o interesse público, com o objetivo de executar competências legais e de cumprir as atribuições legais do serviço público.

Art. 15. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome adotará mecanismos para que o titular do dado pessoal usufrua dos direitos assegurados pela Lei nº 13.709, de 14 de agosto de 2018 e normativos correlatos.

Art. 16. O tratamento de dados pessoais sensíveis deverá ser realizado somente nos termos da seção II do capítulo II da Lei nº 13.709, de 14 de agosto de 2018, e os procedimentos de segurança no tratamento destes dados devem ser estabelecidos conforme a Lei nº 13.709, de 14 de agosto de 2018 e demais normativos.

Art. 17. O tratamento de dados pessoais de crianças e de adolescentes deverá observar o disposto na Seção III do Capítulo II da Lei nº 13.709, de 14 de agosto de 2018, bem como poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei nº 13.709, de 14 de agosto de 2018, desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto.

Art. 18. O uso compartilhado de dados deverá observar o art. 26 da Lei nº 13.709, de 14 de agosto de 2018, bem como sua comunicação estará sujeita ao disposto no art. 27 da mesma lei.

Art. 19. No caso de transferência internacional de dados pessoais, deverá ser observado o que consta no Capítulo V da Lei nº 13.709, de 14 de agosto de 2018.

Seção II

Requerimentos

Art. 20. As manifestações decorrentes do exercício dos direitos dos titulares de dados pessoais a que se refere a Lei nº 13.709, de 14 de agosto de 2018 serão apresentadas junto à unidade de Ouvidoria-Geral do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, por intermédio da Plataforma Integrada de Ouvidoria e Acesso à Informação - Fala.BR.

§ 1º Os requerimentos de titulares previstos nos incisos I, II, VII e VIII do artigo 18 da Lei nº 13.709, de 14 de agosto de 2018, serão tratados nos procedimentos e prazos da Lei nº 12.527, de 18 de novembro de 2011.

§ 2º Os requerimentos de titulares previstos nos incisos III, IV, V, VI e IX do artigo 18 da Lei nº 13.709, de 14 de agosto de 2018, serão tratados nos procedimentos e prazos da Lei nº 13.460, de 26 de junho de 2017.

§ 3º A manifestação, a que se refere o caput, acolhida pelo Disque Social 121, será cadastrada, quando solicitado pelo titular, no Fala.BR.

Art. 21. O requerimento deverá apresentar elementos capazes de identificar a pessoa do interessado ou de quem o represente, conforme disposto no artigo 6º da Lei nº 9.784, de 29 de janeiro de1999.

Art. 22. Será exigida a certificação de identidade, que ocorrerá:

I - virtualmente, caso o manifestante possua autenticação por meio do "login único" de acesso "gov.br" ou outro meio de certificação digital; ou

II - presencialmente, por meio de conferência de documento físico apresentado pelo manifestante junto à unidade de Ouvidoria-Geral.

§ 1º Os requerimentos apresentados de forma virtual, por meio do "login único" de acesso "gov.br", deverão apresentar, no mínimo, o selo de segurança prata.

§ 2º Excepcionalmente, poderão ser adotados meios alternativos de certificação de identidade via cotejamento das informações inseridas em seu cadastro com informações disponíveis em outras fontes constantes de bases públicas.

Seção III

Pontos Focais

Art. 23. Os dirigentes dos órgãos e unidades do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome indicarão ao Encarregado um agente público que lhes seja diretamente subordinado para atuar como ponto focal, na qualidade de titular e suplente.

Art. 24. Com vistas à adequada aplicação da Lei nº 13.709, de 14 de agosto de 2018, no âmbito Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, são atribuições do ponto focal:

I - receber e encaminhar às unidades os requerimentos de titulares previstos na Lei nº 13.709, de 14 de agosto de 2018;

II - controlar os prazos de resposta estabelecidos nos §§ 1º e 2º do artigo 20 desta Portaria;

III - disseminar as orientações relativas à Lei nº 13.709, de 14 de agosto de 2018; e

IV - analisar as respostas recebidas, reorientando as unidades internas no âmbito de suas atribuições temáticas quanto à necessária qualidade das respostas.

Parágrafo único. As unidades são responsáveis pelo teor das respostas apresentadas, as quais serão encaminhadas à Ouvidoria-Geral para fins de remessa ao interessado.

Seção IV

Agentes de Tratamento

Art. 25. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.

Parágrafo único. As medidas relacionadas à segurança da informação deverão atender a Política de Segurança da Informação (POSIN) do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 26. O Operador deverá realizar o tratamento de dados para a finalidade estabelecida e segundo as instruções fornecidas pelo Controlador.

Parágrafo único. As unidades manterão relação atualizada de Operadores e Suboperadores junto ao respectivo Ponto Focal.

CAPÍTULO III

Conscientização, Capacitação e Sensibilização

Art. 27. Serão estabelecidos processos permanentes de conscientização, capacitação e sensibilização em proteção de dados e privacidade, que alcancem todos os agentes públicos que executem atividades no Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, de acordo com suas atribuições funcionais.

§ 1º As ações de qualificação e conscientização realizadas pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome visam manter os agentes públicos atualizados sobre os desenvolvimentos no ambiente regulatório, contratual e tecnológico que possam afetar a conformidade da privacidade e de proteção de dados pessoais.

§ 2º O Plano de Desenvolvimento de Pessoas do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome contemplará treinamento adequado sobre a temática de privacidade e de proteção de dados pessoais.

CAPÍTULO IV

Segurança e Boas Práticas

Art. 28. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve utilizar ferramentas de tecnologia da informação que sejam aderentes, por padrão e desde a concepção, às boas práticas em segurança da informação e privacidade.

Parágrafo único. Os sistemas de informação em uso na data da publicação desta norma devem ser gradativamente adaptados ao disposto nesta Política, conforme a priorização da área negocial responsável, observando a conveniência e oportunidade para o órgão e os riscos potenciais e efetivos para a proteção dos dados pessoais envolvidos.

Art. 29. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve manter uma base de conhecimento com documentos que apresentam condutas e recomendações que melhoram o gerenciamento de risco e que orientam na tomada de ações adequadas em caso de comprometimento de dados pessoais.

Art. 30. Qualquer ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos dados pessoais dos titulares deve ser comunicada à Autoridade Nacional de Proteção de Dados - Autoridade Nacional de Proteção de Dados - ANPD dentro do prazo previsto pela Lei nº 13.709, de 14 de agosto de 2018.

Art. 31. Serão adotadas medidas técnicas e organizacionais de privacidade e proteção de dados, dispostas a seguir, com o objetivo de diminuir ou mitigar a existência de incidentes com os dados pessoais do titular:

I - o acesso aos dados pessoais é limitado as pessoas que realizam o tratamento;

II - as funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais são claramente estabelecidas e comunicadas;

III - são estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores de dados pessoais; e

IV - todos os dados pessoais são armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los.

Parágrafo único. As medidas dispostas no inciso III não impedem que sejam firmados termos específicos de responsabilidade para acesso à base de dados nas unidades do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 32. Observar, no que couber, as melhores práticas em matéria de proteção de dados pessoais e privacidade constantes do Framework de Privacidade e Segurança da Informação da Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos e as orientações da Autoridade Nacional de Proteção de Dados.

CAPÍTULO V

Auditoria e Conformidade

Art. 33. O cumprimento desta Política, bem como dos normativos que a complementam, deve ser avaliado periodicamente, por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de privacidade e proteção de dados pessoais e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.

Art. 34. As atividades, produtos e serviços desenvolvidos no Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome devem estar em conformidade com requisitos de proteção de dados pessoais e privacidade constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.

Art. 35. Os resultados de cada ação de verificação de conformidade devem ser documentados em relatório de avaliação de conformidade.

CAPÍTULO VI

Funções e Responsabilidades

Art. 36. Qualquer pessoa natural ou jurídica de direito público ou privado que tenha interação em qualquer fase do tratamento de dados pessoais deve garantir a privacidade e a proteção de dados pessoais, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 37. É dever dos agentes públicos e todos aqueles que executem atividade vinculada à atuação institucional no Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome:

I - ter ciência da obrigatoriedade do cumprimento desta Política;

II - atuar com responsabilidade, critério e ética para garantir a segurança das informações e dados a que têm acesso em razão do exercício das suas funções; e

III - comunicar formalmente e de imediato ao Encarregado a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar o comprometimento ou dano potencial ou efetivo aos titulares dos dados pessoais.

Parágrafo único. A prevenção da violação de dados é de responsabilidade de todos os destinatários desta Política.

Art. 38. A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais é do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, que, no exercício das atribuições típicas de controlador, determina as medidas necessárias para execução da Política Geral de Proteção de Dados Pessoais e Privacidade.

Art. 39. São atribuições do controlador:

I - observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela Lei nº 13.709, de 14 de agosto de 2018, e por normativos correlatos no momento de decidir sobre um futuro tratamento ou realizá-lo;

II - considerar o preconizado pelos art. 7º, art. 11 e art. 23 da Lei nº 13.709, de 14 de agosto de 2018, antes de realizar o tratamento de dados pessoais;

III - cumprir o previsto pelos art. 46 e art. 50 da Lei nº 13.709, de 14 de agosto de 2018, buscando à proteção de dados pessoais e sua governança;

IV - indicar um encarregado pelo tratamento de dados pessoais, divulgando a identidade e as informações de contato de forma clara e objetiva, preferencialmente no sítio institucional;

V - elaborar o inventário de dados pessoais a fim de manter registros das operações de tratamento de dados pessoais;

VI - reter dados pessoais somente pelo período necessário para o cumprimento da hipótese legal e finalidade utilizadas como justificativa para o tratamento de dados pessoais;

VII - criar e manter atualizados os avisos ou políticas de privacidade, que informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico ou virtual, e como os dados pessoais neles tratados são protegidos; e

VIII - requerer do titular a ciência com o termo de uso para cada serviço ofertado, informatizado ou não, que trate dados pessoais.

Parágrafo único. É vedado o tratamento de dados pessoais para fins não relacionados com as atividades desenvolvidas pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 40. São considerados operadores de dados pessoais as pessoas naturais ou jurídicas de direito público ou privado que realizam operações de tratamento de dados pessoais em nome do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Parágrafo único. Qualquer fornecedor de produtos ou serviços que, por algum motivo, realiza o tratamento de dados pessoais a eles confiados, é considerado operador e deve seguir as diretrizes estabelecidas nesta política, em especial o capítulo VIII.

Art. 41. São atribuições do operador:

I - observar os princípios estabelecidos no Art. 6º da Lei nº 13.709, de 14 de agosto de 2018, ao realizar tratamento de dados pessoais;

II - seguir as diretrizes estabelecidas pelo controlador; e

III - antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelo controlador cumprem os requisitos legais presentes nos art. 7º, art. 11 e art. 23 da Lei nº 13.709, de 14 de agosto de 2018.

Parágrafo único. É proibida a decisão unilateral do operador quanto aos meios e finalidades utilizados para o tratamento de dados pessoais.

Art. 42. O Encarregado será o titular da Ouvidoria-Geral do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Parágrafo único. Nos casos de impedimentos, afastamentos ou na vacância do cargo, as funções do Encarregado serão exercidas pelo substituto legal do Ouvidor-Geral.

Art. 43. São atribuições do encarregado pelo tratamento de dados pessoais:

I - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações e requisições da Autoridade Nacional de Proteção de Dados e adotar providências;

III - orientar os colaboradores da organização a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;

IV - executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares; e

V - emitir parecer sobre temas suscitados pelas áreas técnicas do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e relacionados à proteção de dados pessoais e privacidade, no prazo de até 30 (trinta) dias, nos termos do inciso III, exceto em casos de urgência, devidamente justificada, quando o prazo será de até 5 (cinco) dias para conclusão.

CAPÍTULO VII

Tratamento de Dados Pessoais para Fins Acadêmicos, Estudos e Pesquisas

Art. 44. É legítimo o tratamento posterior de dados pessoais, quando realizado para fins de investigação científica, histórica ou estatística, se compatível com as finalidades que justificaram o tratamento original pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 45. Serão avaliados, entre outros aspectos relevantes:

I - a natureza dos dados pessoais, adotando-se maior cautela quando abrangidos dados sensíveis;

II - as expectativas legítimas dos titulares e os possíveis impactos do tratamento posterior sobre seus direitos;

III - os princípios da Lei nº 13.709, de 14 de agosto de 2018, em especial os da finalidade, adequação, necessidade, transparência e não discriminação;

IV - as medidas de prevenção e segurança apropriadas; e

V - os padrões éticos aplicáveis à hipótese.

Art. 46. Será garantida a anonimização dos dados pessoais sempre que possível.

CAPÍTULO VIII

Contratos, Convênios, Acordos e Instrumentos Congêneres

Art. 47. Os contratos, convênios, acordos e instrumentos similares que de alguma forma envolvam o tratamento de dados pessoais, devem incorporar cláusulas específicas em total conformidade com a presente Política Geral de Proteção de Dados Pessoais e Privacidade e que contemplem:

I - requisitos mínimos de segurança da informação;

II - observância dos Termos de Responsabilidade, Sigilo e Confidencialidade estabelecidos pelo Contratante;

III - elaboração de RIPD quando for o caso;

IV - adesão aos protocolos de acesso aos ativos de informação disponibilizados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;

V - atendimento à Política de Segurança da Informação (POSIN) do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome no que couber;

VI - determinação de que o operador não processe os dados pessoais para finalidades que divergem da finalidade principal informada pelo controlador;

VII - requisitos de proteção de dados pessoais que os operadores de dados pessoais devem atender;

VIII - condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do controlador; e

IX - diretrizes especificas sobre o uso de subcontratados pelo operador para execução contratual que envolva tratamento de dados pessoais.

Art. 48. São adotadas medidas rigorosas com o propósito de assegurar que os terceiros e processadores de dados pessoais contratados estão plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração do acordo entre as partes envolvidas.

CAPÍTULO IX

Penalidades

Art. 49. Ações que violem a Política Geral de Proteção de Dados Pessoais e Privacidade poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 50. Os agentes de tratamento de dados, em razão das infrações cometidas às disposições previstas nesta Política, ficam sujeitos às sanções administrativas previstas pelo artigo 52 da Lei nº 13.709, de 14 de agosto de 2018, e aplicáveis pela Autoridade Nacional de Proteção de Dados, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.

Art. 51. Os casos de descumprimento desta Política deverão ser registrados e comunicados ao encarregado do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome para ciência e tomada das providências cabíveis.

CAPÍTULO X

Disposições Finais

Art. 52. A Câmara Técnica de Proteção de Dados Pessoais - CTPD poderá expedir instruções complementares, no âmbito de suas competências, que detalharão suas particularidades e procedimentos relativos à Proteção de Dados Pessoais e Privacidade alinhados às diretrizes emanadas pelo Comitê de Governança Digital - CGD, bem como pelo Comitê Interno de Governança do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome - CIGMDS e aos respectivos Planos Estratégicos Institucionais do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 53. As dúvidas sobre a Política Geral de Proteção de Dados Pessoais e Privacidade e seus documentos devem ser submetidas à Câmara Técnica de Proteção de Dados Pessoais.

Art. 54. Esta política deverá ser revisada no período de 2 (dois) anos, a partir do início de sua vigência.

Art. 55. Os casos omissos serão resolvidos pela Comitê Interno de Governança do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.