Aprova a Política de Privacidade do Instituto Nacional de Tecnologia da Informação - ITI.
O DIRETOR-PRESIDENTE SUBSTITUTO DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso da atribuição que lhe confere o Art. 13, do Decreto n.º 12.103, de 8 de julho de 2024, resolve:
Art. 1º Fica aprovada a Política de Privacidade do Instituto Nacional de Tecnologia da Informação - ITI.
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 2º Esta Política de Privacidade estabelece princípios, diretrizes e regras para as operações de tratamento de dados pessoais realizadas no âmbito do Instituto Nacional de Tecnologia da Informação - ITI.
Art. 3º As disposições desta Política de Privacidade aplicam-se a todos os servidores, colaboradores, bolsistas, e terceirizados, prestadores de serviço, empresas contratadas e outros que possuam algum vínculo com o ITI.
Art. 4º A Política de Privacidade alinha-se às estratégias do ITI e articula-se com outros procedimentos internos que versam sobre proteção de dados pessoais.
Art. 5º São objetivos desta Política:
I - assegurar e reforçar o cumprimento da Lei Geral de Proteção de Dados (LGPD) e a sua regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as normas internas do ITI;
II - promover a transparência, responsabilização e prestação de contas em relação ao tratamento de dados pessoais realizado pelo ITI; e
III - incentivar a adoção de boas práticas no tratamento de proteção de dados pessoais no ITI.
CAPÍTULO II
PRINCÍPIOS E DIRETRIZES
Art. 6º As atividades de tratamento de dados pessoais realizadas pelo ITI devem observar os fundamentos e princípios gerais de proteção de dados previstos nos artigos 2º e 6º da Lei nº 13.709, de 14 de agosto de 2018, respectivamente, bem como as seguintes diretrizes:
I - observância do disposto na LGPD, nos regulamentos e orientações expedidas pela ANPD e nas normas internas expedidas pelo ITI;
II - adoção de medidas que visem a assegurar a privacidade desde a concepção e por padrão;
III - diligência contínua ao longo de todo o ciclo de tratamento do dado pessoal;
IV - boa-fé e ética no tratamento dos dados pessoais;
V - adoção de hipótese legal adequada para o devido tratamento de dados pessoais;
VI - adoção de medidas de segurança técnicas e administrativas apropriadas; e
VII - manutenção do registro das operações de tratamento de dados pessoais.
CAPÍTULO III
TRATAMENTO DE DADOS PESSOAIS
Art. 7º O tratamento de dados pessoais pelo ITI será realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
§ 1º O ITI poderá tratar dados pessoais de acordo com as hipóteses legais previstas nos artigos 7º e 11 da Lei nº 13.709, de 14 de agosto de 2018.
§ 2º O ITI tratará apenas os dados pessoais necessários para atender às finalidades específicas do tratamento.
Art. 8º Os dados pessoais serão armazenados de forma segura, adotando padrões de segurança proporcionais ao tipo de dado e ao risco associado a operação de tratamento, e de maneira que favoreça os meios para o exercício dos direitos do titular previstos na Lei nº 13.709, de 14 de agosto de 2018.
Parágrafo único. Os dados pessoais serão eliminados após cumprida a finalidade finalizado do tratamento, com base em uma das hipóteses descritas no art. 15 da Lei nº 13.709, de 14 de agosto de 2018, ressalvadas as situações previstas no art. 16 da referida Lei.
Art. 9º O uso compartilhado de dados pessoais pelo ITI atenderá, prioritariamente, as finalidades específicas de execução de políticas públicas e atribuição legal, ou outra hipótese legal prevista nos art. 7º e 11, respeitados os princípios de proteção de dados pessoais elencados no art. 6º e o disposto no art. 26, § 1º e art. 27, todos da Lei nº 13.709, de 14 de agosto de 2018.
Art. 10º Nos casos em que o ITI realizar transferência internacional de dados, serão adotadas medidas para garantir que a operação de tratamento seja realizada em conformidade com a Lei nº 13.709, de 14 de agosto de 2018, e com o Regulamento de Transferência Internacional de Dados, aprovado pela Resolução CD/ANPD nº 19, de 23 de agosto de 2024.
Art. 11. O acesso aos dados pessoais ficará restrito às pessoas autorizadas e que necessitem realizar o tratamento desses dados para o desempenho de suas atividades no ITI.
Parágrafo único. O direito de acesso à informação pública, que porventura contenha dado pessoal, deverá ser compatibilizado com o direito à privacidade e à proteção de dados pessoais, nos termos da Lei nº 12.527, de 18 de novembro de 2011.
Art. 12. Os contratos, convênios ou instrumentos congêneres firmados pelo ITI deverão conter cláusulas específicas de proteção de dados pessoais, as quais estabelecerão os deveres e obrigações dos agentes de tratamento envolvidos na operação de tratamento, respeitados os princípios, os direitos dos titulares e o regime de proteção de dados previstos na Lei nº 13.709, de 14 de agosto de 2018.
Art. 13. O ITI adotará medidas de segurança, técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas que venham a causar a destruição, perda, alteração, ou qualquer forma de tratamento inadequado ou ilícito.
Art. 14. O ITI elaborará Relatório de Impacto de Proteção de Dados Pessoais - RIPD, nos casos em que as operações de tratamento puderem gerar riscos relevantes às liberdades civis e aos direitos fundamentais dos titulares, em conformidade com o art. 38 da Lei nº 13.709, de 14 de agosto de 2018 e com os regulamentos e guias expedidos pela Autoridade Nacional de Proteção de Dados (ANPD).
§ 1º Para a tomada de decisão mencionada no caput, deverão ser utilizados os parâmetros definidos pelo ITI.
§ 2º O Relatório de Impacto de Proteção de Dados Pessoais - RIPD, deverá ser elaborado pela unidade organizacional responsável pelo tratamento de dados que gera riscos ao titular com apoio e orientação de um Agente de Proteção de Dados Pessoais e do Encarregado do ITI.
CAPÍTULO IV
DIREITOS DOS TITULARES
Art. 15. O ITI adotará medidas para assegurar o exercício dos direitos dos titulares previstos na Lei nº 13.709, de 14 de agosto de 2018, e em eventuais normas complementares.
Art. 16. Os direitos dos titulares poderão ser exercidos mediante requerimento expresso do titular, ou de seu representante legalmente constituído, ao encarregado, pelo e-mail [email protected].
§ 1º A solicitação não gerará custos para o titular, e deverá ser atendida nos prazos e nos termos previstos em legislação específica.
§ 2º As solicitações relacionadas aos direitos dos titulares que porventura sejam recebidas por outro canal deverão ser encaminhadas ao encarregado para adoção das providências cabíveis.
CAPÍTULO V
RESPONSABILIDADES
Art. 17. Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os destinatários desta Política no desenvolvimento de suas atividades.
Art. 18. Para o efetivo cumprimento desta Política, ficam instituídas as responsabilidades do/a (s):
I - Comitê de Governança Estratégica;
II - Diretor-Presidente;
III - Encarregado;
IV - Agentes de Proteção de Dados Pessoais;
V - Chefias imediatas; e
VI - Colaboradores.
§ 1º O Comitê de Governança deliberará sobre as diretrizes estratégicas da governança de privacidade e proteção de dados pessoais.
§ 2º O Diretor-Presidente do ITI será responsável por:
I - designar o Encarregado; e
II - garantir os recursos necessários para implementação da governança em proteção de dados pessoais.
§ 3º O Encarregado do ITI será responsável por:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - coordenar as ações de adequação das atividades da ITI à Lei nº 13.709, de 14 de agosto de 2018;
III - orientar os funcionários e os contratados do ITI a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;
IV - elaborar e submeter ao Comitê, para aprovação, a Política de Privacidade e o Programa "Governança em Privacidade"; e
V - monitorar, avaliar e propor a atualização desta Política.
§ 4º Os Agentes de Proteção de Dados Pessoais apoiarão o Encarregado no exercício de suas funções e serão designados pelos Diretores, ou Coordenador Geral, de suas áreas de trabalho.
§ 5º São responsabilidades das Coordenações e Unidades Independentes:
I - conscientizar os colaboradores sob sua supervisão em relação às boas práticas de privacidade, proteção de dados pessoais e segurança da informação, inclusive quanto às diretrizes desta Política;
II - garantir que todos os colaboradores de sua equipe compreendam e sigam os documentos orientadores aplicáveis ao ITI;
III - incorporar aos processos de trabalho de sua unidade boas práticas inerentes à privacidade, proteção de dados pessoais e segurança da informação;
IV - garantir a proteção de dados pessoais sob sua custódia, nos termos da Lei nº 13.709, de 14 de agosto de 2018, recorrendo ao encarregado quando necessário;
V - manter atualizado o inventário de tratamento de dados pessoais de sua área; e
VI - comunicar ao encarregado sobre incidente de segurança que possa acarretar risco ou dano relevante aos titulares sobre o qual venha a tomar conhecimento, seja suspeito ou confirmado.
§ 6º São responsabilidades dos servidores, colaboradores e terceiros:
I - estar ciente desta Política e segui-la, bem como as demais regulamentações em vigor relacionadas à privacidade, proteção de dados e segurança da informação;
II - assumir atitude proativa e engajada no que diz respeito à privacidade, à proteção de dados pessoais e à segurança da informação;
III - comunicar à chefia imediata sobre incidente de segurança que possa acarretar risco ou dano relevante aos titulares sobre o qual venha a tomar conhecimento, seja suspeito ou confirmado;
IV - preservar a integridade e guardar sigilo dos dados pessoais tratados para o exercício de suas atividades no ITI, quando incidente hipótese legal de restrição de acesso;
V - não disponibilizar nem dar acesso aos dados pessoais mantidos pelo ITI em hipóteses não previstas em lei ou para pessoas não autorizadas; e
VI - cumprir as normas, recomendações, e orientações relativas à segurança da informação, à privacidade e à proteção de dados.
CAPÍTULO VI
CONSCIENTIZAÇÃO E CAPACITAÇÃO
Art. 19. Como forma de garantir a disseminação do conhecimento, o Encarregado e os Agentes de Proteção de Dados Pessoais poderão:
I - sugerir e apoiar campanhas de conscientização de modo a aprimorar a cultura da proteção de dados pessoais e da privacidade; e
II - orientar o corpo funcional sobre práticas de conformidade de proteção de dados pessoais e de privacidade que devem ser implementadas por todos os integrantes da instituição.
Art. 20. As atividades de capacitação serão promovidas pelo Encarregado com o apoio da Diretoria de Planejamento, Orçamento e Administração e da Assessoria de Comunicação.
CAPÍTULO VII
PENALIDADES
Art. 21. As violações a esta Política são passíveis de aplicação das penalidades administrativas cabíveis.
§ 1º No caso de terceiros contratados ou prestadores de serviço, serão aplicadas as penalidades previstas nos respectivos contratos, convênios ou instrumentos congêneres.
§ 2º No caso de violações que impliquem atividades ilegais, ou que possam incorrer em risco ou dano relevante aos titulares de dados pessoais, ou em danos ao ITI, o infrator será responsabilizado pelos prejuízos causados, na forma da legislação pertinente.
CAPÍTULO VIII
DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 22. Esta Política de Privacidade deverá ser revisada a cada dois anos ou sempre que houver alteração normativa relevante.
Art. 23. Esta Portaria entra em vigor na data de sua publicação.