PORTARIA Nº 82, DE 05 DE JUNHO DE 2024
Institui a Política de Privacidade e Proteção de Dados Pessoais da Controladoria-Geral do Distrito Federal – PPPD/CGDF.
O SECRETÁRIO DE ESTADO CONTROLADOR-GERAL DO DISTRITO FEDERAL, no uso das atribuições que lhe conferem os incisos I e V do Parágrafo Único do art. 105 da Lei Orgânica do Distrito Federal c/c os incisos VII e XVIII do art. 132 do Decreto distrital nº 42.830, de 17 de dezembro de 2021, e considerando a Lei federal nº 12.527, de 18 de novembro de 2011, a Lei distrital nº 4.990, de 12 de dezembro de 2012, a Lei federal nº 13.460, de 26 de junho de 2017, e a Lei federal nº 13.709, de 14 de agosto de 2018, e o disposto no Decreto distrital nº 34.276, de 11 de abril de 2013, e no Decreto distrital nº 45.771, de 8 de maio de 2024, resolve:
Art. 1º Fica aprovada a Política de Privacidade e Proteção de Dados Pessoais da Controladoria-Geral do Distrito Federal – PPPD/CGDF.
Art. 2º A Política de Privacidade e Proteção de Dados Pessoais tem como objetivo estabelecer princípios, diretrizes, conceitos, competências e responsabilidades referentes ao tratamento de dados pessoais no âmbito da Controladoria-Geral do Distrito Federal - CGDF, observados os direitos à privacidade, à autodeterminação informativa e ao livre desenvolvimento da personalidade das pessoas naturais.
Dos princípios e das diretrizes
Art. 3º As operações de tratamento de dados pessoais devem ser realizadas em conformidade com os fundamentos e princípios gerais de proteção de dados pessoais de que tratam os arts. 2º e 6º da Lei federal nº 13.709, de 2018, e com as seguintes diretrizes:
I - atuação proativa e preventiva, de forma a antecipar e prevenir situações de invasão de privacidade, com o objetivo de evitar danos, que podem ser irreversíveis;
II - boa governança, com vistas a proporcionar maior eficiência e qualidade no exercício das competências e atribuições legais da Controladoria-Geral do Distrito Federal no tratamento de dados pessoais;
III - compatibilidade entre as normas de transparência pública disciplinadas na Lei federal nº 12.527, de 2011, na Lei distrital nº 4.990, de 2012, e as normas regulamentadas pela Lei federal nº 13.709, de 2018, bem como os regramentos da Política de Segurança da Informação do GDF – PoSIC/GDF; e
IV - observância do ciclo de vida do dado pessoal, de modo que normas sobre o tratamento de dados pessoais deverão ser cumpridas desde a sua coleta até a sua eliminação.
Art. 4º Para efeitos desta política, são adotadas as seguintes definições:
I - Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
II - Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD;
III - Encarregado Setorial: pessoa física que atua como canal de comunicação entre o controlador, os titulares dos dados e o encarregado Governamental dentro da unidade gestora;
IV - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
V - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VI - Agentes de tratamento: o controlador e o operador;
VII - Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
VIII - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
IX - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
X - Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
XI - Ciclo de vida dos dados pessoais: todo o processo de tratamento dos dados pessoais, constituído pelas fases de coleta, retenção, processamento, compartilhamento e eliminação;
XII - Curadoria: gestão de base de dados realizada pelo Curador de Dados em benefício institucional;
XIII - Curador de Dados: servidor da Controladoria-Geral do Distrito Federal que irá gerir bases de dados internas e externas, designado pela autoridade máxima da respectiva Unidade Gestora de Base de Dados;
XIV - Unidade Gestora de Base de Dados: unidade da Controladoria-Geral do Distrito Federal que responde pela gestão de uma base de dados, interna ou externa, seja por possuir interesse direto na utilização dos dados para a consecução das suas atividades finalísticas, seja por possuir, preferencialmente, competência legal, normativa ou regimental pelo principal processo de trabalho relacionado à base de dados;
XV - Inventário de Dados Pessoais: documento de governança de dados pessoais que identifica todo o tratamento de dados pessoais em operações, nos processos, projetos e ativos da Controladoria-Geral do Distrito Federal, que serve de subsídio para o mapeamento de fluxo de dados, a análise de riscos de privacidade e a elaboração do relatório de impacto à proteção de dados pessoais;
XVI - Retenção: arquivamento ou armazenamento de dados pessoais independentemente do meio utilizado;
XVII - Termos de Uso para Serviços Públicos ou Contrato de Termo de Uso: termo ou contrato de adesão, com as regras e condições aplicáveis ao serviço, em que o prestador do serviço estabelece os direitos e obrigações de cada uma das partes;
XVIII - Comitê Permanente de Proteção de Dados Pessoais – CPPDP/CGDF: principal instância de governança, responsável por definir estratégias e diretrizes de proteção de dados pessoais, bem como conduzir a elaboração do Programa de Proteção de Dados Pessoais da Controladoria-Geral do Distrito Federal;
XIX - Autoridade Nacional de Proteção de Dados - ANPD: órgão federal responsável por fiscalizar a aplicar a Lei Geral de Proteção de Dados Pessoais.
DOS DIREITOS E DAS GARANTIAS DOS TITULARES DE DADOS PESSOAIS
Art. 5º Os direitos conferidos aos titulares de dados serão assegurados durante o ciclo de vida dos dados pessoais no âmbito das unidades orgânicas da Controladoria-Geral do Distrito Federal.
Art. 6º O tratamento de dados pessoais, em regra, terá como finalidade o cumprimento de suas obrigações e atribuições legais, bem como a execução de políticas públicas desenvolvidas pelo Poder Executivo distrital.
§ 1º Caso seja necessário o tratamento de dados pessoais para finalidade distinta daquelas previstas no caput, o tratamento será submetido à aprovação prévia do Comitê Permanente de Proteção de Dados Pessoais para avaliação e orientação.
§ 2º A avaliação de que trata o § 1º considerará o disposto na legislação aplicável e os seguintes critérios, além dos elencados nesta Portaria:
II - natureza da relação entre o titular e a Controladoria-Geral do Distrito Federal;
III - natureza dos dados pessoais envolvidos;
IV - consequências que o tratamento dos dados pessoais poderá ter para o seu titular;
V - existência de salvaguardas informacionais adequadas;
VI - necessidade de ciência do titular do dado.
Do exercício dos direitos pelos titulares de dados pessoais
Art. 7º Qualquer pessoa natural, ou seu representante legal, cujo dado pessoal seja objeto de tratamento pela Controladoria-Geral do Distrito Federal poderá exercer os direitos previstos na Lei federal n° 13.709, de 2018, por meio dos canais oficiais de Ouvidoria.
§ 1º As manifestações de que trata o caput deste artigo serão encaminhadas ao Encarregado Setorial, excetuadas as denúncias que seguirão fluxo próprio quanto ao juízo de admissibilidade e posterior envio ao Encarregado caso haja materialidade.
§ 2º Quando necessário, o Encarregado Setorial encaminhará a demanda a outras unidades da Controladoria-Geral do Distrito Federal que possam complementar informações à resposta.
§ 3º O Encarregado Setorial consolidará as informações recebidas e elaborará a resposta, que será encaminhada à Ouvidora-Geral do Distrito Federal – OGDF, para comunicação ao demandante.
Art. 8º As unidades orgânicas da Controladoria-Geral do Distrito Federal deverão assegurar a adoção de medidas para a atualização dos dados pessoais constantes de sua base de dados originária de tratamento deste órgão, de maneira a possibilitar aos titulares o devido exercício do direito de acesso, correção, limitação e eliminação de dados.
§ 1º O exercício do direito à correção de dados pessoais incompletos, inexatos ou desatualizados terá como objetivo alterar erros formais contidos em registros e bancos de dados originários da Controladoria-Geral do Distrito Federal e não deverá resultar no comprometimento da integridade e da autenticidade de documentos.
§ 2º O atendimento às demandas relacionadas ao exercício de direitos pelos titulares de dados pessoais será realizado com o apoio dos Curadores de Dados vinculados às bases de dados sob sua curadoria.
§ 3º Os responsáveis pelo atendimento a demandas relacionadas ao exercício de direitos pelos titulares de dados pessoais, em caso de dúvidas, poderão solicitar manifestação do Comitê Permanente de Proteção de Dados Pessoais.
Art. 9º Os incidentes de segurança que possam acarretar risco ou danos aos titulares de dados pessoais sob responsabilidade da Controladoria-Geral do Distrito Federal ou de seus operadores, se confirmados, serão encaminhados imediatamente ao encarregado setorial da CGDF da seguinte forma:
I - pela Subcontroladoria de Tecnologia da Informação e Comunicação – SUBTI, no caso de incidentes cibernéticos;
II - pelas demais unidades que identificaram o incidente, no caso de documentos em meio físico.
Parágrafo único. A Controladoria-Geral do Distrito Federal, dentro de sua competência, promoverá a imediata adoção das medidas corretivas relativas aos incidentes confirmados.
Art. 10. O Controlador deverá comunicar ao encarregado setorial, à Autoridade Nacional de Proteção de Dados e ao titular, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da Lei nº 13.709, de 2018 e em consonância com o art. 6º, inciso XI, do Decreto distrital nº 45.771, de 2024.
Das obrigações de transparência ativa
Art. 11. A Controladoria-Geral do Distrito Federal divulgará, em seção específica de seu sítio na internet, informações quanto ao tratamento de dados pessoais de pessoas naturais, em especial:
I - as competências legais e finalidades específicas que legitimam as operações de tratamento de dados pessoais realizadas no âmbito do órgão;
II - os órgãos e entidades públicas ou privadas com os quais é realizado o uso compartilhado de dados pessoais, inclusive nos casos em que houver a transferência e custódia internacional de dados pessoais, bem como os destinatários do compartilhamento, inclusive de transferência internacional;
III - os operadores que realizam tratamento de dados pessoais em nome da Controladoria-Geral do Distrito Federal;
IV - os direitos garantidos aos titulares de dados pessoais e a forma como eles poderão ser exercidos no âmbito do órgão por meio dos canais oficiais de ouvidoria;
V - a Política de Privacidade e Proteção de Dados Pessoais da Controladoria-Geral do Distrito Federal;
VI - os Termos de Uso dos Serviços Públicos ofertados pela Controladoria-Geral do Distrito Federal.
DO INVENTÁRIO DE DADOS PESSOAIS
Art. 12. Cada unidade orgânica da Controladoria-Geral do Distrito Federal deverá elaborar o inventário de dados pessoais, assegurando a adoção de medidas eficazes para sua realização, identificando o tratamento de dados pessoais nas atividades de competência da respectiva unidade, com especial atenção para os dados pessoais sensíveis definidos na Lei federal nº 13.709, de 2018, considerando todas as fases do ciclo de vida no órgão, observada sua revisão anual.
§ 1º O compartilhamento de dados pessoais, inclusive de transferência internacional, a identificação das instituições que compartilham dados pessoais com a Controladoria-Geral do Distrito Federal, bem como as instituições com as quais este órgão compartilhou dados pessoais, serão consignados no inventário de que trata o caput.
§ 2º Os dados pessoais registrados nas bases de dados da Controladoria-Geral do Distrito Federal serão identificados pelos Curadores de Dados, em relação às bases de dados sob sua curadoria, e marcados no Catálogo de Dados, quando disponível.
DO RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS
Art. 13. Compete a cada unidade orgânica da Controladoria-Geral do Distrito Federal, com apoio do encarregado setorial, a elaboração do Relatório de Impacto à Proteção de Dados Pessoais - RIPD, previsto no inciso XVII do caput do art. 5º da Lei federal nº 13.709, de 2018, com a descrição dos tratamentos de dados pessoais que podem gerar riscos elevados aos direitos e às garantias fundamentais dos titulares, inclusive das liberdades civis, com destaque para as salvaguardas e medidas mitigadoras dos riscos apontados pelo documento.
§ 1º O Relatório de Impacto à Proteção de Dados Pessoais será validado, anualmente, pelo Comitê Permanente de Proteção de Dados Pessoais, ou quando solicitado ao controlador pela Autoridade Nacional de Proteção de dados.
§ 2º Serão consideradas suscetíveis de causar elevado risco aos direitos e às garantias fundamentais dos titulares de dados pessoais as operações de tratamento que, entre outros, envolver:
I - limitação no exercício dos direitos dos titulares de dados pessoais;
II - dados pessoais sensíveis de terceiras pessoas;
III - dados pessoais de crianças e adolescentes;
IV - dados biométricos e genéticos;
V - localização ou o comportamento dos titulares de dados pessoais, inclusive no local de trabalho;
VI - dados que possam colocar em risco a vida, a saúde ou a segurança dos titulares de dados pessoais;
VII - tratamento massivo de dados pessoais acessíveis publicamente ou tornados manifestamente públicos pelos próprios titulares;
VIII - combinação de dados ou conjunto de dados de fontes diferentes;
IX - decisões automatizadas que envolvam dados pessoais.
Art. 14. Os atos de compartilhamento de dados pessoais entre a Controladoria-Geral do Distrito Federal e os órgãos e as entidades públicas ou privadas e a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro devem cumprir o previsto nos Capítulos IV e V da Lei federal nº 13.709, de 2018, observadas as seguintes diretrizes:
I - propósitos legítimos, específicos e explícitos;
II - tratamento limitado ao estritamente necessário para atingir a finalidade e os propósitos pretendidos;
III - realização por sistemas eletrônicos de segurança, com autorização prévia do Comitê Permanente de Proteção de Dados Pessoais.
§ 1º Toda transferência internacional de dados pessoais será realizada somente nos casos previstos pelo art. 33 da Lei federal nº 13.709, de 2018.
§ 2º A transferência internacional será formalizada em procedimento administrativo específico e motivado, salvo quando comprometer o sigilo da cooperação jurídica internacional entre órgãos públicos de inteligência, investigação e de persecução.
§ 3º Os acordos vigentes de que trata o caput deverão ser revistos pelas unidades interessadas, de modo que estejam adequados à disciplina desta Portaria.
DAS COMPETÊNCIAS E RESPONSABILIDADES
Art. 15. A governança da Proteção de Dados Pessoais na Controladoria-Geral do Distrito Federal será assegurada pelo Comitê Permanente de Proteção de Dados Pessoais, que:
I - prestará apoio e orientação ao Encarregado Setorial, para fins da execução das competências previstas no art. 41 da Lei federal nº 13.709, de 2018;
II - coordenará as ações para elaboração do Guia de Boas Práticas e Governança no Tratamento de Dados Pessoais da Controladoria-Geral do Distrito Federal, nos termos do art. 50 da Lei federal nº 13.709, de 2018.
Art. 16. Compete ao Comitê Permanente de Proteção de Dados Pessoais, com apoio de unidades orgânicas da Controladoria-Geral do Distrito Federal:
I - propor a metodologia do Inventário de Dados Pessoais da Controladoria-Geral do Distrito Federal e de avaliação e revisão de riscos;
II - coordenar a execução do Inventário dos dados pessoais;
III - monitorar os níveis de riscos e a efetividade das medidas de controle;
IV - supervisionar a elaboração do Relatório de Impacto à Proteção de Dados Pessoais;
V - orientar quanto à adequação de contratos, convênios e instrumentos congêneres com relação à proteção de dados pessoais;
VI - elaborar planos de capacitação e de comunicação periódicos para difusão da cultura da proteção de dados pessoais.
Art. 17. Compete à Subcontroladoria de Gestão Interna – SUBGI/CGDF:
I - implementar orientações e procedimentos internos de contratações, em conformidade com a Lei federal nº 13.709, de 2019, nos termos definidos pelo Comitê Permanente de Proteção de Dados Pessoais;
II - revisar e adequar os contratos que envolvam as atividades de tratamento de dados pessoais;
III - adequar as atividades de gestão de pessoas que envolvem o tratamento de dados pessoais, em conformidade com a Lei federal nº 13.709, de 2018;
Art. 18. São deveres dos servidores com acesso aos dados pessoais tratados na Controladoria-Geral do Distrito Federal:
I - zelar pelos direitos dos titulares de dados pessoais, por meio da observância e cumprimento desta política e dos atos e ações decorrentes da sua implementação;
II - zelar pela segurança da informação em relação aos dados pessoais, mesmo após o término do seu tratamento, em observância à Política de Segurança da Informação e Comunicação do GDF – PoSIC/GDF;
III - participar de ações de capacitação e iniciativas relacionadas à proteção de dados pessoais promovidas ou divulgadas pela Controladoria-Geral do Distrito Federal;
IV - comunicar formalmente ao Encarregado Setorial qualquer incidente ou ameaça à proteção de dados pessoais, inclusive cibernética, imediatamente após sua ciência;
Art. 19. À Unidade Gestora de Base de Dados caberá:
I - indicar seus curadores de dados, ao menos um por base, mantendo a indicação atualizada;
II - fomentar a curadoria de dados e de metadados junto aos seus respectivos Curadores;
III - realizar atendimento as demandas relacionadas ao exercício de direitos pelos titulares de dados pessoais.
Art. 20. Ao Curador de Dados caberá:
I - acompanhar o ciclo de vida dos dados armazenados na Controladoria-Geral do Distrito Federal, visando à manutenção de dados com nível razoável de utilidade;
II - indicar os dados pessoais a serem eliminados das bases de dados sob sua curadoria, respeitada a tabela de temporalidade;
III - apoiar o atendimento a demandas relacionadas ao exercício de direitos pelos titulares de dados pessoais em relação às bases de dados sob sua curadoria.
Art. 21. A Controladoria-Geral do Distrito Federal assume o compromisso de revisar a presente Política periodicamente e, a seu critério, promover modificações que atualizem suas disposições de modo a reforçar o compromisso permanente do órgão com a privacidade e a proteção de dados pessoais, sem prejuízo dos direitos dos Titulares garantidos pela legislação em vigor.
Parágrafo único. Eventuais atualizações e alterações serão comunicadas pelo canal oficial do órgão (www.cg.df.gov.br).
Art. 22. Sempre que o titular dos dados tiver alguma dúvida sobre esta Política de Privacidade e Proteção de Dados Pessoais, poderá requerer esclarecimentos por meio dos canais oficiais da Ouvidoria Geral do Distrito Federal.
Art. 23. Esta Portaria entra em vigor na data de sua publicação.
Este texto não substitui o publicado no DODF nº 108, seção 1, 2 e 3 de 10/06/2024 p. 24, col. 2