DOU 16/09/2022 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152022091600036
36
Nº 177, sexta-feira, 16 de setembro de 2022
ISSN 1677-7042
Seção 1
R E T I F I C AÇÕ ES
Na Ementa da Portaria GM-MD N° 4.792, de 12 de setembro de 2022,
publicada no DOU nº 176, de 15 de setembro de 2022, Seção 1 Página: 21, onde se lê:
"Altera o anexo da Portaria nº 1.346 /MD, de 28 de maio de 2014". leia-se: "Desclassifica
Produtos de Defesa."
Na Ementa da Portaria GM-MD n° 4.794, de 12 de setembro de 2022, publicada
no DOU nº 176, de 15 de setembro de 2022, Seção 1 Página: 21, onde se lê: "Desclassifica
Produtos Estratégicos de Defesa. leia-se: " Descredencia Empresas de Defesa."
COMANDO DA AERONÁUTICA
GABINETE DO COMANDANTE
PORTARIA GABAER Nº 357/GC3, DE 11 DE AGOSTO DE 2022
Aprova a Diretriz que dispõe sobre a Governança da
Proteção
de Dados
Pessoais
do Comando
da
Aeronáutica.
O COMANDANTE DA AERONÁUTICA, no uso das atribuições que lhe confere o
inciso I e XIV do Art. 23 da Estrutura Regimental do Comando da Aeronáutica, aprovada
pelo Decreto nº 6.834, de 30 de abril de 2009, e considerando o que consta no Processo
nº 67050.011022/2022-02, procedente do Estado-Maior da Aeronáutica, resolve:
Art. 1º Aprovar a reedição da DCA 16-6 "Governança da Proteção de Dados
Pessoais do Comando da Aeronáutica", que com esta baixa.
Art. 2º Revoga-se a Portaria nº 1.402/GC3, de 9 de dezembro de 2020,
publicada no Boletim do Comando da Aeronáutica nº 226, de 11 de dezembro de
2020.
Art. 3º Revoga-se a Portaria nº 197/GC3, de 15 de dezembro de 2021,
publicada no Boletim do Comando da Aeronáutica nº 232, de 20 de dezembro de
2021.
Art. 4º A entrada em vigor desta Portaria retroage a 1º de setembro de
2022.
Ten Brig Ar CARLOS DE ALMEIDA BAPTISTA JUNIOR
P R E FÁC I O
A Lei Geral de Proteção de Dados Pessoais (LGPD - Lei n° 13.709/2018) foi
promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a
livre formação da personalidade de cada indivíduo, por intermédio da regulação do
tratamento de dados pessoais, em meio físico ou digital, feito por pessoa física ou jurídica
de direito público ou privado, o qual abarca um amplo conjunto de operações efetuadas
em meios manuais ou digitais.
Nesse
contexto,
a
Governança
no
compartilhamento
de
dados
na
Administração Pública Federal, autárquica e fundacional também segue as diretrizes
estabelecidas no Decreto nº 10.046, de 9 de outubro de 2019, e precisa ser
compreendida à luz das restrições legais, dos requisitos de segurança da informação e
comunicações e do disposto pela LGPD.
Outrossim, com fundamento nesses dois diplomas legais, o Comitê Central de
Governança de Dados redigiu o Guia de Boas Práticas para orientar a implementação dos
princípios e regras da LGPD na Administração Pública Federal.
Sendo assim, o Estado-Maior da Aeronáutica (EMAER), por meio do estudo
desses três documentos, buscou consignar no presente documento importantes diretrizes
de Governança de Proteção de Dados Pessoais para todo o COMAER, a fim de que a
instituição como um todo busque promover um aperfeiçoamento de seus processos e
sistemas, com o escopo de adequá-los aos interesses da sociedade representados pelos
diplomas legais citados e pelo Ordenamento Jurídico brasileiro como um todo.
1 DISPOSIÇÕES PRELIMINARES
1.1 FINALIDADE
A finalidade precípua da presente publicação de Governança de Proteção de
Dados Pessoais do Comando da Aeronáutica é orientar o aperfeiçoamento dos processos
que envolvam o tratamento de dados pessoais à luz da Lei Geral de Proteção de Dados
Pessoais (LGPD) e das demais legislações em vigor relacionadas ao tema.
1.2 CONCEITUAÇÕES
Os termos e expressões empregados neste documento constam no Glossário
da Aeronáutica (MCA 10-4), no Glossário das Forças Armadas (MD35-G-01) e no Artigo 5º
da LGPD.
1.3 ÂMBITO
Esta diretriz aplica-se a todas as Organizações do Comando da Aeronáutica.
2 PRESSUPOSTOS NORMATIVOS
A seguir se descrevem as principais normas que fundamentam os preceitos
consignados na presente Diretriz.
2.1 LEI 13.709/2018
A Lei 13.709, de 14 de agosto de 2018, a qual foi alterada pela Lei 13.853, de
8 de julho de 2019, e que é conhecida por Lei Geral de Proteção de Dados Pessoais
(LGPD), foi promulgada para proteger os direitos fundamentais de liberdade e de
privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre
o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa
física ou jurídica de direito público ou privado e engloba um amplo conjunto de
operações efetuadas sobre o ciclo de vida desses dados pessoais.
2.2 DECRETO 10.046/2019
O Poder Executivo promulgou o Decreto 10.046, de 9 de outubro de 2019, a
fim de dispor sobre a Governança no compartilhamento de dados no âmbito da
Administração Pública Federal e instituir o Comitê Central de Governança de Dados, com
fundamento na LGPD, além de também instituir o Cadastro Base do Cidadão, com base
no Art. 11 da Lei nº 13.444, de 11 de maio de 2017.
2.3 DCA 16-1/2019 GOVERNANÇA NO COMAER
O Estado-Maior da Aeronáutica consolidou na DCA 16-1 os princípios, a
organização e a dinâmica de funcionamento da Governança no Comando da Aeronáutica.
Esse documento é essencial uma vez que a própria DCA 16-6 descreve que a estrutura de
Governança de Proteção de Dados Pessoais do COMAER deve se inter-relacionar com a
estrutura de Governança do COMAER, prevista na DCA 16-1.
3 A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
3.1 CONSIDERAÇÕES BASILARES
3.1.1 A LGPD define, logo em seu Artigo 1º, o escopo de suas disposições, qual
seja, o tratamento de dados pessoais feito em meios físicos ou digitais, por pessoas físicas
ou jurídicas de direito público ou privado. As regras dispostas na lei têm por objetivo a
proteção da privacidade, da liberdade e do livre desenvolvimento da personalidade das
pessoas naturais.
3.1.2 Em função disso, o tratamento de dados pessoais se revela como ponto
central da Lei e merece maior dedicação em compreendê-lo. Antes mesmo de definir e
exemplificar o que é tratamento, salienta-se o conceito de dado pessoal, qual seja:
"informação relacionada a pessoa natural identificada ou identificável" (Art. 5º, inciso I da
LG P D ) .
3.1.3 Diferentemente da Lei de Acesso à Informação (Lei nº 12.527/2011), os
direitos e salvaguardas sobre dados pessoais da LGPD incidem sobre todos os tipos de
dados pessoais, observadas as legislações existentes, inclusive os regimes existentes de
transparência e acesso à informação.
3.1.4 Sendo assim, como é descrito nesta DCA, a tutela da lei se estende não
mais apenas aos dados pessoais sensíveis ou diretamente relacionados aos direitos de
personalidade, mas, em maior ou menor medida, a todos os dados pessoais.
3.1.5 O Decreto nº 10.046/2019 buscou agrupar esses dados pessoais em
categorias, o que torna mais racional a gestão de informações pelos órgãos e entidades
públicas. Desta forma, à taxonomia de dados pessoais já existente, soma-se o conteúdo
da tabela a seguir:
. Categorias
de
dados
pessoais
Descrição
. Atributos biográficos
Dados de pessoa natural relativos aos fatos da sua vida, tais como nome civil ou
social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil,
grupo familiar, endereço e vínculos empregatícios. Tais atributos poderão ser
considerados como dados pessoais sensíveis, se o seu conteúdo se referir à convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político.
. Atributos biométricos
Características biológicas e comportamentais mensuráveis da pessoa natural que
podem ser coletadas para reconhecimento automatizado, conforme Art. 2º, inciso II
do Decreto 10.046/2019, os quais, por definição legal, constituem-se em dados
pessoais sensíveis.
. Atributos genéticos
Características hereditárias da pessoa natural, obtidas pela análise de ácidos nucleicos
ou por outras análises científicas, os quais, por definição legal, constituem-se em
dados pessoais sensíveis.
. Dados cadastrais
Informações identificadoras perante os cadastros de órgãos públicos, tais como
atributos biográficos, em conjunto com dados como números de cadastro tais como
CPF, CNPJ, NIS, PIS, PASEP e Título de Eleitor.
Tabela 1 - Categorias de Dados Pessoais.
3.1.6 O dado pessoal é coletado para atender a uma finalidade específica e
pode, por exemplo, ser eliminado a pedido do titular dos dados (LGPD, Art. 18, IV), para
o cumprimento de uma sanção aplicada pela Autoridade Nacional de Proteção de Dados
(ANPD)(LGPD,
Art. 52,
VI)
ou
ao término
de
seu
tratamento (LGPD,
Art.
16),
compreendendo um ciclo que se inicia com a coleta e que determina a "vida" (existência)
do dado pessoal, durante um determinado período, de acordo com certos critérios de
eliminação.
3.1.7 É fundamental destacar que a LGPD considera como tratamento toda
operação realizada com dados pessoais, como "coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento,
eliminação, avaliação
ou
controle
da informação,
modificação,
comunicação, transferência, difusão ou extração" (Art. 5º, inciso X da LGPD).
3.1.8 Esse rol de atividades apresentados na Lei é meramente exemplificativo,
ou seja, quaisquer outras atividades que envolverem dados pessoais também serão
consideradas como tratamentos, mesmo que esteja fora dessa lista.
3.1.9 Sendo assim, toda e qualquer operação com o dado pessoal deve ter ao
menos uma hipótese legal autorizativa e deve adotar as medidas necessárias para melhor
proteção do conteúdo pessoal em operação, com especial zelo relacionado aos princípios
que a LGPD destaca em seu Artigo 6º.
3.1.10 O primeiro desses princípios é a finalidade, ou seja, o tratamento tem
que ser realizado para fins legítimos, específicos, explícitos e informados ao titular do
dado. É importante também que o tratamento seja adequado e necessário, bem como
que seja de livre acesso aos titulares a consulta sobre a forma, duração e integralidade
de seus dados pessoais. Além disso, é preciso que os dados pessoais mantenham a
qualidade, com exatidão, clareza e precisão, sendo relevante também a transparência no
tratamento e a utilização de medidas de segurança e prevenção contra danos aos
titulares. É vedada, ainda, a utilização do tratamento para fins discriminatórios. Por fim,
o agente de tratamento é responsável e deve prestar contas do cumprimento das normas
pertinentes na realização das operações com dados pessoais.
3.2 O CICLO DE VIDA DOS DADOS PESSOAIS
3.2.1 Para implementar o correto tratamento dos dados pessoais e as medidas
correlatas, o órgão precisa conhecer esses dados que gerencia e quais processos,
projetos, serviços e ativos perpassam o ciclo de vida do tratamento dos dados
pessoais.
3.2.2 Entende-se por ciclo de vida do tratamento dos dados pessoais todas as
ações realizadas desde a coleta do dado até sua eliminação ou descarte. Este ciclo é
composto por cinco grandes fases, onde cada uma das atividades de tratamento de dados
está inserida.
1_MD_16_001
Figura 1 - Ciclo de vida do tratamento de dados pessoais.
3.2.3 A primeira fase do ciclo de vida do tratamento dos dados se dá através
da coleta, onde os dados são produzidos ou recepcionados independente do meio utilizado
(documento em papel, documento eletrônico, sistema de informação etc.).
3.2.4 Uma vez coletados os dados entram na segunda etapa do ciclo de vida
que é a retenção. Nesta fase são realizadas o arquivamento ou armazenamento de dados
pessoais independente do meio utilizado (documento em papel, documento eletrônico,
banco de dados, arquivo de aço etc.).
3.2.5 Estes dados também passam pelo processamento, que é representado por
qualquer operação que envolva classificação, utilização, reprodução, processamento,
avaliação ou controle da informação e extração e modificação de dados pessoais retidos
pelo controlador.
3.2.6 O compartilhamento, por sua vez, envolve qualquer operação de
transmissão, distribuição, comunicação, transferência, difusão e uso compartilhado de
dados pessoais.
3.2.7 Por fim, a eliminação é qualquer operação que visa excluir um dado ou
conjunto de dados pessoais armazenados em banco de dados, em virtude do tratamento
da LGPD. Quando se tratar da eliminação de documentos arquivísticos, devem ser levadas
em consideração as recomendações constantes no item 3.3 desta DCA.
. Dados Pessoais
. Fase do ciclo de tratamento
Operações de tratamento - LGPD, Art. 5º, X
. Coleta
Coleta, produção, recepção
. Retenção
Arquivamento e armazenamento
. Processamento
Classificação, utilização, reprodução, processamento, avaliação ou controle da
informação, extração e modificação
. Compartilhamento
Transmissão, distribuição, comunicação, transferência e difusão
. Eliminação
Eliminação
Tabela 2 - Relacionamento das fases do ciclo de vida X operações sobre dados
pessoais.
3.3 TÉRMINO DO TRATAMENTO
3.3.1 Uma vez que o dado pessoal coletado alcançou a finalidade para o qual
foi coletado este não deve mais permanecer sob tratamento da organização. Desta forma
cada dado pessoal coletado para uma determinada finalidade terá um marco que
representará o término de seu tratamento.
3.3.2 Nos termos da LGPD, o término do tratamento de dados pessoais ocorre
em quatro hipóteses:
a)exaurimento da finalidade para os quais os dados foram coletados ou quando
estes deixam de ser necessários ou pertinentes para o alcance desta finalidade;
Fechar