INSTRUÇÃO Nº 28, DE 02 DE MAIO DE 2024
Institui a Instrução de Proteção de Dados Pessoais (IPDP) no âmbito do Instituto de Pesquisa e Estatística do Distrito Federal, em observância à Lei Geral de Proteção de Dados Pessoais.
O DIRETOR-PRESIDENTE DO INSTITUTO DE PESQUISA E ESTATÍSTICA DO DISTRITO FEDERAL, no uso das atribuições legais que lhe confere o art. 28, do Decreto nº 42.036, de 27 de abril de 2021, que dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, instituidora da Lei Geral de Proteção de Dados Pessoais – LGPD, resolve:
Art. 1º A presente Instrução de Proteção de Dados Pessoais – IPDP tem como objetivo geral fornecer orientações sobre como gerenciar as diversas atividades e operações de tratamento de dados pessoais existentes no Instituto de Pesquisa e Estatística do Distrito Federal – IPEDF Codeplan, em observância ao art. 28 do Decreto Distrital nº 42.036, de 2021, que dispõe sobre a aplicação da Lei Federal nº 13.709, de 2018 – a Lei Geral de Proteção de Dados Pessoais.
Parágrafo único. A IPDP estabelece princípios e normas que devem nortear o tratamento de dados pessoais, físicos e digitais no IPEDF Codeplan, a fim de garantir a proteção da privacidade de seus titulares, bem como define papéis e diretrizes iniciais para obtenção da gradual conformidade do IPEDF Codeplan ao previsto na Lei nº 13.709, de 2018 e no Decreto Distrital nº 42.036, de 2021.
Art. 2º Para fins desta Instrução, considera-se:
I - AGENTES DE TRATAMENTO DE DADOS PESSOAIS: o controlador e o operador de dados pessoais;
II - CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. É o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais;
III - OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e conforme a finalidade por esse delimitada;
IV - BANCO DE DADOS: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - CONSENTIMENTO: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
VI - ENCARREGADO PELA PROTEÇÃO DE DADOS PESSOAIS: unidade, comissão ou servidor do IPEDF Codeplan formalmente designado pelo controlador cuja responsabilidade é garantir a conformidade do Instituto à LGPD e atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD;
VII - DADO ANONIMIZADO: dado que, considerados os meios técnicos razoáveis no momento do tratamento, perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado anonimizado não é considerado dado pessoal para os fins da LGPD;
VIII - DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural. Exemplos: nome, RG, CPF, gênero, data e local de nascimento, número do telefone, endereço residencial, endereço eletrônico (e-mail), dados de localização via GPS, placa de automóvel, imagem fotográfica ou computacional, cartão bancário, entre outros;
IX - DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural;
X - TITULAR DE DADOS PESSOAIS: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
XI - TRATAMENTO DE DADOS PESSOAIS: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração;
XII - USUÁRIOS: conselheiro, auditor, procurador, servidor ativo, prestador de serviço terceirizado, estagiário ou qualquer outro colaborador que tenha acesso, de forma autorizada, a dados pessoais produzidos ou custodiados pelo IPEDF Codeplan.
Art. 3º Esta Instrução regula a proteção de dados pessoais nas atividades administrativas e de controle externo do Instituto de Pesquisa e Estatística do Distrito Federal e se aplica a qualquer operação de tratamento de dados pessoais realizada pelo Instituto, independentemente de o meio ser físico ou eletrônico, ou do país onde estejam localizados os dados. Aplica-se, também, a todos os membros, servidores, empregados, colaboradores internos e externos e a quaisquer outras pessoas que realizam tratamento de dados pessoais em nome do Instituto, os quais devem observar as diretrizes e regras gerais estabelecidas no Instituto e são responsáveis por garantir a proteção de dados pessoais a que tenham acesso.
Parágrafo único: Os dados pessoais coletados e tratados no sítio eletrônico e nos sistemas do IPEDF Codeplan poderão ser regulados por atos normativos específicos, que deverão ser interpretados de acordo com esta Instrução.
Art. 4º Estabelecer princípios, diretrizes e responsabilidades para a condução das atividades e operações de tratamento de dados pessoais realizadas pelo Instituto de Pesquisa e Estatística do Distrito Federal, de forma a assegurar e reforçar o compromisso do Instituto com a aplicação da legislação e das normas de padronização de boas práticas de proteção de dados pessoais.
Art. 5º O tratamento de dados pessoais pelo Instituto de Pesquisa e Estatística do Distrito Federal deve ser orientado pelos seguintes princípios:
I - Boa-fé: convicção de agir com correção e em conformidade com o Direito;
II - Finalidade: a finalidade do tratamento dos dados deve ser específica e informada explicitamente ao titular;
III - Adequação: o tratamento dos dados deve ser compatível com a finalidade pela qual são tratados;
IV - Necessidade: somente o mínimo de dados necessários para realizar a finalidade informada deve ser tratado. A abrangência deve limitar-se a dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;
V - Livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados pessoais bem como sobre a integralidade deles;
VI - Qualidade dos dados: os dados deverão ser exatos, claros, atualizados e relevantes, de acordo com a necessidade e finalidade do tratamento;
VII - Transparência: informações claras e facilmente acessíveis sobre o tratamento e os respectivos agentes de tratamento;
VIII - Segurança: medidas de proteção aos dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
IX - Prevenção: medidas para prevenir danos decorrentes do tratamento de dados pessoais;
X - Não discriminação: não é permitido o tratamento para fins discriminatórios, ilícitos ou abusivos;
XI - Responsabilização e prestação de contas: demonstração, pelo agente, de que adotou medidas eficazes que comprovem o cumprimento das normas de proteção de dados pessoais.
Art. 6º O tratamento de dados pessoais no âmbito do Instituto de Pesquisa e Estatística do Distrito Federal será realizado para o atendimento de sua finalidade pública, na persecução do interesse público, bem como das atribuições administrativas e será orientado pelas seguintes diretrizes:
I - cumprimento de obrigação legal ou regulatória, independentemente do consentimento do titular de dados pessoais, desde que sejam informadas as hipóteses em que o tratamento de dados é realizado sob essa base legal, a partir do fornecimento de informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades no sítio eletrônico do Instituto na internet;
II - obtenção do consentimento dos titulares para o tratamento de seus dados pessoais nas hipóteses em que a utilização não seja compulsória, ou seja, quando o tratamento não decorrer do cumprimento de obrigações e atribuições legais do Instituto;
III - transparência quanto às hipóteses em que, no exercício de suas competências, o IPEDF Codeplan realiza o tratamento de dados pessoais, de modo a propiciar o fornecimento de informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades no sítio eletrônico do Instituto na internet;
IV - manutenção de dados pessoais disponíveis, exatos, adequados, pertinentes, atualizados, sendo retificados ou eliminados mediante informação ou constatação de impropriedade ou face à solicitação de remoção, devendo a neutralização ou o descarte observar as condições previstas na Lei nº 13.709, de 2018 e no Decreto Distrital nº 42.036, de 2021;
V - compartilhamento de dados pessoais necessários à execução de políticas públicas previstas em legislação específica ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD;
VI - revisão, conforme sejam implementadas as respectivas diretrizes e constatada necessidade de novas previsões para conformidade do IPEDF Codeplan à LGPD e suas legislações correlatas;
VII - adoção de medidas para garantir a transparência do tratamento de dados pessoais baseado em seu legítimo interesse, inclusive por meio de relatório de impacto à proteção de dados pessoais, quando solicitado pela ANPD;
VIII - controle das atividades de tratamento de dados pessoais realizadas por fornecedores de produtos ou serviços, considerados operadores, que deverão aquiescer a esta Instrução mediante a adesão a cláusulas específicas definidas pelo IPEDF Codeplan em instrumento formal.
DO COMPARTILHAMENTO DE DADOS PESSOAIS
Art. 7º As operações que envolvam o compartilhamento de dados pessoais custodiados pelo Instituto de Pesquisa e Estatística do Distrito Federal com outros órgãos públicos e a transferência de dados a terceiros fora do setor público dependem da prévia celebração de acordo que contenha cláusulas que versem sobre a legitimidade do interessado para tratar os dados, bem como o atendimento aos princípios previstos no art. 6º da LGPD, ou de decisão do Diretor-Presidente do Instituto que autorize o acesso aos dados e estabeleça os requisitos definidos como condição para o compartilhamento, observado o contido no §1º, art. 26 da LGPD.
Parágrafo único. O IPEDF Codeplan, como instituição científica, tecnológica e de inovação – ICT, pode estar sujeito à necessidade da transferência internacional de dados pessoais, de forma que deverá ser observado o disposto nos arts. 33 a 36 da LGPD.
DOS DIREITOS DO TITULAR DE DADOS PESSOAIS
Art. 8º O Instituto de Pesquisa e Estatística do Distrito Federal, no desempenho das atividades de tratamento de dados pessoais, reforça o seu compromisso de respeito aos direitos dos titulares de dados pessoais, garantindo-lhes, mediante requisição, a qualquer momento:
I - Direito de informação e de acesso aos dados: confirmar a existência de tratamento; ser informado acerca de entidades públicas e privadas com as quais o Instituto realizou uso compartilhado de dados; ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e receber uma cópia de todos os dados pessoais coletados e armazenados;
II - Direito de correção: corrigir dados pessoais que estejam incompletos, inexatos ou desatualizados, ressalvada a correção de dados custodiados;
III - Direito de anonimização, bloqueio ou exclusão: anonimizar, bloquear ou excluir dados pessoais desnecessários, excessivos ou tratados em desconformidade com o disposto na legislação. O titular pode solicitar a eliminação de dados tratados com o seu consentimento, salvo se houver um motivo legítimo para a sua manutenção;
IV - Direito de oposição: nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento, poderá apresentar ao IPEDF Codeplan uma oposição, que será analisada a partir dos critérios presentes na LGPD;
V - Direito à revogação do consentimento: revogar o seu consentimento. Ressalta-se que isso não afetará a legalidade de qualquer tratamento realizado antes da retirada;
Parágrafo único. As petições apresentadas pelos titulares de dados pessoais serão apreciadas pelo encarregado e deverão ser respondidas com agilidade, clareza e completude. As respostas deverão estar em formato simplificado e serão encaminhadas, preferencialmente, em meio digital, seguro e idôneo.
DOS PAPÉIS E RESPONSABILIDADES
Art. 9º Deverão ser considerados os seguintes papéis e responsabilidades no tratamento de dados pessoais e em todas as ações relativas a ele:
I - Controlador: O IPEDF Codeplan exerce funções e obrigações típicas de controlador de dados pessoais, nos termos do art. 5º, VI e IX, da LGPD. O Instituto deve manter registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse. Por determinação da ANPD, elaborará relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente às suas operações de tratamento de dados;
II - Operador: deverá seguir as diretrizes trazidas pelo IPEDF Codeplan, de modo a tratar os dados em conformidade com esta Instrução;
III - Encarregado: será formalmente designado pelo controlador e poderá corresponder a unidade, comissão ou servidor do IPEDF Codeplan. O encarregado deve fomentar a cultura de proteção de dados pessoais e a conformidade do Instituto à LGPD por meio da orientação e sensibilização, e atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados por meio do recebimento de reclamações e comunicação dos titulares e da ANPD;
IV - Usuários: deverão cumprir integralmente os termos desta Instrução, bem como as demais normas e procedimentos de proteção de dados pessoais aplicáveis. Quaisquer dúvidas ou pedidos de esclarecimento sobre a aplicação desta Instrução e sobre as atividades de tratamento serão encaminhadas ao encarregado. É dever dos usuários, quando exigido, formalizar ciência e aceite integral de disposições e condições específicas de tratamento;
Parágrafo único. Os agentes e usuários podem ser responsabilizados nas esferas administrativa, cível e penal na hipótese de violação ou tentativa de violação desta Instrução e das demais normas e procedimentos de proteção de dados pessoais, ainda que por omissão, observado, ainda, para o servidor, o disposto no art. 192 da Lei Complementar n° 840, de 23 dezembro de 2011.
DAS DIRETRIZES DE BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Art. 10. O Instituto de Pesquisa e Estatística do Distrito Federal adotará boas práticas de governança voltadas a orientar comportamentos adequados e a mitigar os riscos de comprometimento de dados pessoais. Os normativos concernentes à segurança da informação deverão especificar e determinar a adoção de medidas técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados, situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.
Art. 11. Esta Instrução deverá ser revisada e aperfeiçoada permanentemente, conforme sejam implementadas as respectivas diretrizes e constatada necessidade de novas previsões para conformidade do Instituto de Pesquisa e Estatística do Distrito Federal à Lei Geral de Proteção de Dados e suas legislações correlatas, ante a ocorrência de alguma das condições estabelecidas abaixo:
I - edição ou alteração de leis ou regulamentos relevantes que impactem na mudança de diretrizes estratégicas desempenhadas pela gestão do IPEDF Codeplan;
II - expiração da data de validade do documento, se aplicável;
III - análises de risco em Relatório de Impacto de Proteção de Dados Pessoais que indiquem a necessidade de modificação desta Instrução para readequação da organização visando a prevenir ou mitigar riscos relevantes;
Art. 12. As informações classificadas e protegidas por sigilo, em seus diferentes graus (reservadas, secretas e ultrassecretas), continuam resguardadas pelos atos normativos a elas relacionados.
Art. 13. Esta Instrução entra em vigor na data de sua assinatura.
MODELO DE TERMO DE CONSENTIMENTO PARA TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS
Pelo presente instrumento eu _______________________________________________________, inscrita(o) no CPF sob o nº _______________, aqui denominado como Titular, autorizo expressamente que o Instituto de Pesquisa e Estatística do Distrito Federal – IPEDF Codeplan, doravante denominado Controlador, em razão da realização de estudos e pesquisas, disponha dos meus dados pessoais e dados pessoais sensíveis, de acordo com os artigos 7º e 11 da Lei nº 13.709, de 14 de agosto de 2018, conforme disposto neste termo.
3) Número e Imagem da Carteira de Identidade ou outro documento de identificação;
4) Número e Imagem do Cadastro de Pessoas Físicas – CPF;
5) Número de Inscrição Eleitoral;
8) Números de telefone, WhatsApp, e endereços eletrônicos.
CLÁUSULA SEGUNDA - FINALIDADE DO TRATAMENTO DE DADOS
O/A Titular autoriza, expressamente, que o Controlador utilize os dados pessoais e dados pessoais sensíveis listados nesse termo para as seguintes finalidades:
a) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; e
b) realização de estudos e pesquisas, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis.
CLÁUSULA TERCEIRA - RESPONSABILIDADE PELA SEGURANÇA DOS DADOS
O Controlador se responsabiliza por manter medidas de segurança técnicas e administrativas suficientes a proteger os dados pessoais do/a Titular, comunicando o/a Titular, caso aconteça qualquer incidente de segurança que possa acarretar risco ou dano relevante, conforme o artigo 48 da Lei nº 13.709, de 2018.
Fica permitido ao Controlador manter e utilizar os dados pessoais do/a Titular durante todo o período contratualmente firmado, para as finalidades relacionadas neste termo e, ainda, após o término da contratação para cumprimento da obrigação legal ou impostas por órgãos de fiscalização, nos termos do artigo 16 da Lei nº 13.709, de 2018.
CLÁUSULA QUARTA - TÉRMINO DO TRATAMENTO DOS DADOS
Fica permitido ao Controlador manter e utilizar os dados pessoais do/a Titular durante todo o período de duração do estudo ou pesquisa, conforme cronograma do projeto de estudo ou pesquisa, devendo o mesmo ser anexado ao presente termo.
CLÁUSULA QUINTA - DIREITO DE REVOGAÇÃO DO CONSENTIMENTO
O/A Titular poderá revogar seu consentimento, a qualquer tempo, por carta eletrônica ou escrita, conforme o § 5º do artigo 8º combinado com o inciso VI do caput do artigo 18 e com o artigo 16 da Lei nº 13.709, de 2018.
CLÁUSULA SEXTA - TEMPO DE PERMANÊNCIA DOS DADOS RECOLHIDOS
O/A Titular fica ciente de que o Controlador deverá permanecer com os seus dados pelo período de duração de todo o estudo ou pesquisa e pelo prazo prescricional.
Brasília/DF, _____ de ______________ de ____
_________________________________________
MODELO DE TERMO DE CONFIDENCIALIDADE
O INSTITUTO DE PESQUISA E ESTATÍSTICA DO DISTRITO FEDERAL – IPEDF CODEPLAN, autarquia em regime especial, pessoa inscrita no CNPJ sob o n.º 47.020.286/0001-30, sediado na SAM - Bloco H, Brasília -DF, CEP: 70.620-080 e, de outro lado (Nome), (Nacionalidade), (Estado civil), (Profissão), inscrito no CPF sob o nº XXX.XXX.XXX-XX, (Endereço), doravante simplesmente designado/a “Operador/a”.
Considerando que, para bom e fiel desempenho das atividades de (especificar as atividades e, em caso de bolsista, indicar o projeto de pesquisa) faz-se necessária a disponibilização de informações técnicas e confidenciais, incluídas as de dados de pessoas, físicas e jurídicas, bem como de projetos, as partes identificadas acima celebram entre si o presente Termo de Confidencialidade.
O objeto do presente termo é a proteção das INFORMAÇÕES CONFIDENCIAIS e DADOS PESSOAIS disponibilizadas pelo IPEDF Codeplan, em razão da relação existente entre as partes (especificar se relação de emprego, programa de bolsa de pesquisa ou contrato de prestação de serviços).
CLÁUSULA SEGUNDA – DAS DEFINIÇÕES
Todas as informações pessoais e técnicas obtidas através da relação existente com o IPEDF Codeplan e relacionadas a dados pessoais e projetos de estudos e pesquisas serão tidas como CONFIDENCIAIS E SIGILOSAS.
2.1 Dados pessoais: Todas as informações relacionadas a uma pessoa identificada ou identificável. São os dados de identificação, como nome, RG, CPF, endereço, telefone, e-mail, endereço de IP, entre outros;
2.2 Tratamento de dados: São todas as operações realizadas com dados pessoais das pessoas naturais, assim entendidos como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
CLÁUSULA TERCEIRA – DA RESPONSABILIDADE
a) a manter sigilo e não utilizar as informações confidenciais a que tiver acesso em virtude de tratamento de dados, para gerar benefício próprio exclusivo e/ou unilateral, presente ou futuro, ou para o uso de terceiros;
b) a não efetuar nenhuma gravação ou cópia da documentação a que tiver acesso; e
c) a não repassar as informações confidenciais a que tiver acesso, responsabilizando-se por todas as pessoas, físicas ou jurídicas, que vierem a ter acesso às informações, por seu intermédio.
3.1 As informações confidenciais confiadas aos operadores somente poderão ser abertas a terceiro, mediante consentimento prévio e por escrito do IPEDF Codeplan ou, em caso de determinação judicial, hipótese em que o/a Operador/a deverá informar de imediato, por escrito, ao IPEDF Codeplan.
3.2 As informações abarcadas pelo presente Termo incluem, mas não se limitam, a informações relativas a processos, metodologias, dados, produtos, planejamentos internos e demais questões relativas aos projetos de pesquisa desenvolvidos pelo IPEDF Codeplan.
CLÁUSULA QUARTA – DAS INFORMAÇÕES NÃO CONFIDENCIAIS
Não configura informação confidencial aquela:
a) que já era de domínio público;
b) que vier a se tornar de domínio público, sem a quebra deste contrato;
c) que não é mais tratada como confidencial pelo Instituto.
CLÁUSULA QUINTA – DA GUARDA DAS INFORMAÇÕES
Todas as informações de confidencialidade e sigilo previstas neste termo terão validade, continuará válida e exigível por prazo indeterminado e perdurará independentemente do término da relação existente com o IPEDF Codeplan.
CLÁUSULA SEXTA – DAS OBRIGAÇÕES
a) usar tais informações apenas com o propósito de bem e fiel cumprir os fins do IPEDF Codeplan;
b) manter o sigilo relativo às informações confidenciais e revelá-las apenas aos operadores ou diretores, empregados e/ou prepostos do IPEDF Codeplan que estejam diretamente envolvidos nas atividades e que tiverem necessidade de ter conhecimento sobre elas;
c) proteger as informações confidenciais que lhe foram divulgadas, usando o mesmo grau de cuidado utilizado para proteger suas próprias informações confidenciais;
d) manter procedimentos administrativos adequados à prevenção de extravio ou perda de quaisquer documentos ou informações confidenciais, devendo comunicar ao IPEDF Codeplan, imediatamente, a ocorrência de incidentes desta natureza, o que não excluirá sua responsabilidade.
6.1 O/A Operador/a fica, desde já, proibido de produzir cópias ou backup, por qualquer meio ou forma, de qualquer dos documentos a ele/a fornecidos ou documentos que tenham chegado ao seu conhecimento em virtude da relação existente com o IPEDF Codeplan.
6.2 O/A Operador/a fica, desde já, proibido de realizar a divulgação indevida de qualquer dado ou informação considerada confidencial, o que, caso ocorra, acarretará as penalidades previstas em lei, podendo ser responsabilizado administrativamente por qualquer ato que viole as obrigações contidas neste Termo.
6.2 O/A Operador/a deverá devolver, íntegros e integralmente, todos os documentos a ele/a fornecidos, inclusive as cópias porventura necessárias, na data estipulada pelo IPEDF Codeplan para entrega, ou quando não for mais necessária à manutenção das informações confidenciais, comprometendo-se a não reter quaisquer reproduções, cópias ou segundas vias, sob pena de incorrer nas responsabilidades previstas neste instrumento.
6.3 O/A Operador/a deverá destruir todo e qualquer documento por ele produzido que contenha informações confidenciais, quando não mais for necessária a manutenção dessas informações confidenciais, comprometendo-se a não reter quaisquer reproduções, sob pena de incorrer nas responsabilidades previstas neste instrumento.
6.4 O/A Operador/a tem ciência de que os compromissos firmados acima incluem todas as informações, incluindo as apresentadas de forma escrita, verbal ou por quaisquer outros meios, obtidas pelo pesquisador no âmbito de sua atividade profissional.
CLÁUSULA SÉTIMA – DAS DISPOSIÇÕES ESPECIAIS
Ao assinar o presente instrumento, o/a Operador/a manifesta sua concordância no seguinte sentido:
a) todas as condições, termos e obrigações ora constituídas serão regidas pelo presente Termo, bem como pela legislação e regulamentação pertinentes;
b) o presente termo só poderá ser alterado mediante a celebração de novo termo, posterior e aditivo;
c) as alterações do número, natureza e quantidade das informações confidenciais disponibilizadas pelo IPEDF Codeplan não descaracterizarão ou reduzirão o compromisso ou as obrigações pactuadas neste Termo de Confidencialidade, que permanecerá válido e com todos os seus efeitos legais em qualquer das situações tipificadas neste instrumento;
d) o acréscimo, complementação, substituição ou esclarecimento de qualquer das informações confidenciais disponibilizadas para o/a Operador/a, em razão do presente objetivo, serão incorporadas a este Termo, passando a fazer dele parte integrante, para todos os fins e efeitos, recebendo também a mesma proteção descrita para as informações iniciais disponibilizadas, não sendo necessário, nessas hipóteses, a assinatura ou formalização de Termo Aditivo.
Este termo tornar-se-á válido a partir da data de sua efetiva assinatura pelas partes.
8.1 As disposições deste instrumento devem, contudo, ser aplicadas retroativamente a qualquer informação confidencial que possa já ter sido divulgada, antes da data de sua assinatura.
CLÁUSULA NONA – DAS PENALIDADES
A não-observância de quaisquer das disposições de confidencialidade estabelecidas neste instrumento, sujeitará o/a Operador/a infrator/a, como também ao agente causador ou facilitador, por ação ou omissão de qualquer daqueles relacionados nesse Termo, ao pagamento, ou recomposição, de todas as perdas e danos comprovados pelo IPEDF Codeplan, bem como as de responsabilidade civil e criminal respectivas, as quais serão apuradas em regular processo administrativo ou judicial.
O foro competente para dirimir quaisquer dúvidas ou controvérsias resultantes da execução deste Instrumento é o de Brasília/DF, caso não sejam solucionadas administrativamente.
E por estarem assim justas e acordadas, as partes assinam o presente Termo em 2 (duas) vias de igual teor e forma, juntamente com 2 (duas) testemunhas.
Brasília/DF, _____ de ______________ de ____
___________________________________
___________________________________
___________________________________
Nome, RG e assinatura da testemunha
___________________________________
Nome, RG e assinatura da testemunha
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ORIENTAÇÕES SOBRE INCIDENTE DE SEGURANÇA COM DADOS PESSOAIS DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
O que é um incidente de segurança com dados pessoais?
Um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
O art. 46 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
O que fazer em caso de um incidente de segurança com dados pessoais?
- Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis. Vide Formulário de Comunicação de Incidente de Segurança com Dados Pessoais, constante do sítio eletrônico da ANPD;
- Comunicar ao encarregado (Art. 5º, VIII da LGPD);
- Comunicar ao controlador, se você for o operador, nos termos da LGPD;
- Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); e
- Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).
Quem deve fazer a comunicação de incidentes?
O art. 48, da Lei Geral de Proteção de Dados determina que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Recomenda-se que os controladores adotem posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Ressalte-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.
Embora a responsabilidade e a obrigação pela comunicação à ANPD sejam do controlador, caso excepcionalmente sejam apresentadas informações pelo operador, serão devidamente analisadas pela ANPD.
O que comunicar à Autoridade Nacional de Proteção de Dados?
As informações devem ser claras e concisas. Além do que prescreve o § 1º do artigo 48, da Lei Geral de Proteção de Dados, recomenda-se que a comunicação contenha as seguintes informações, disponíveis no formulário de comunicação de incidentes de segurança com dados pessoais da ANPD:
- Identificação e dados de contato de:
- Entidade ou pessoa responsável pelo tratamento.
- Encarregado de dados ou outra pessoa de contato.
- Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.
- Informações sobre o incidente de segurança com dados pessoais:
- Data e hora do incidente e sua duração.
- Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros.
- Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados.
- Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento.
- Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados.
- Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD.
- Resumo das medidas implementadas até o momento para controlar os possíveis danos.
- Possíveis problemas de natureza transfronteiriça.
- Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais poderão ser fornecidas posteriormente.
No momento da comunicação preliminar deverá ser informado à ANPD se serão fornecidas mais informações posteriormente, bem como quais meios estão sendo utilizados para obtê-las. A ANPD também poderá requerer informações adicionais a qualquer momento.
Em que situação e o que comunicar ao titular dos dados?
Sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados.
Critérios mais objetivos serão objeto de futura regulamentação e não poderão ser aqui exigidos sob pena de se inovar na Lei Geral de Proteção de Dados. De toda forma, pode-se extrair da lei que a probabilidade de risco ou dano relevante para os titulares será maior sempre que o incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade. Da mesma forma, deve-se considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.
O controlador deverá avaliar internamente a relevância do risco ou dano do incidente de segurança para determinar se deverá comunicar à ANPD e ao titular. Para tanto, sugere-se responder internamente às seguintes perguntas:
1. Ocorreu um incidente de segurança relacionado a dados pessoais?
☐ Não – Não é necessário comunicar a ANPD se não houve incidente de segurança relacionado a dados pessoais.
2. Existe um risco ou dano relevante aos direitos e liberdades individuais dos titulares afetados em razão do incidente de segurança?
☐ Sim – Comunique à ANPD e ao titular.
☐ Não – A comunicação à ANPD não será necessária se o responsável pelo tratamento puder demonstrar, de forma irrefutável, que a violação da segurança dos dados pessoais não constitui um risco relevante para os direitos e liberdades do titular dos dados.
Qual o prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?
A Lei Geral de Proteção de Dados determina que a comunicação do incidente de segurança seja feita em prazo razoável (art. 48, § 1º), conforme será definido pela ANPD. Embora não tenha havido regulamentação nesse sentido, a realização da comunicação demonstrará transparência e boa-fé e será considerada em eventual fiscalização.
Enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.
Tal interregno foi estabelecido com parâmetro na definição de comunicação já existente no Decreto nº 9936/2019 e em virtude da necessidade de gerenciamento dos incidentes de segurança com dados pessoais por parte da ANPD e das consequências danosas que podem ocorrer em razão do atraso nas ações de contenção ou mitigação.
Como comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?
Preencha o formulário eletrônico disponível no site da Autoridade Nacional de Proteção de Dados e envie por meio de Peticionamento Eletrônico - Usuário Externo. Para maiores informações sobre o envio acesse: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.
Este texto não substitui o publicado no DODF nº 90, seção 1, 2 e 3 de 13/05/2024 p. 4, col. 1