DOU 16/09/2022 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152022091600038
38
Nº 177, sexta-feira, 16 de setembro de 2022
ISSN 1677-7042
Seção 1
c) Minimização dos dados: deverá ser coletado apenas os dados realmente
necessários para atingir a finalidade informada ao titular, observando obter o mínimo de
informações pessoais; e
d) Limitação de uso, retenção e divulgação: Os dados somente poderão ser
retidos de acordo com a finalidade e pelo tempo apresentado ao titular de dados.
Portanto, o uso, retenção e divulgação somente ocorrerão diante das finalidades
identificadas pelo titular de dados, para os quais a lei permite ou por ele foram
consentidas.
4 ESTRUTURA DE GOVERNANÇA DE PROTEÇÃO DE DADOS PESSOAIS DO
CO M A E R
4.1 RESPONSABILIDADES CONFORME À LGPD
4.1.1 A Lei Geral de Proteção de Dados Pessoais trouxe, a partir de seu Artigo
5º, alguns papéis, a definição de suas atividades e as responsabilidades atinentes ao
tratamento
dos
dados pessoais,
além
de
apresentar
seus deveres
jurídicos.
O
entendimento adequado de tais atribuições é fundamental para sua efetiva execução. Os
atores envolvidos são, basicamente: o titular de dados pessoais, os agentes de tratamento,
divididos em controlador e operador, e o encarregado de dados.
4.1.2 O titular de dados pessoais é definido como "pessoa natural a quem se
referem os dados pessoais que são objeto de tratamento" (Art. 5º, V). Por intermédio da
LGPD, resta claro que os dados pertencem ao titular e que as instituições são somente
usuárias desses dados, mediante autorização pelo consentimento ou outra base legal
legítima e pelo tempo estritamente necessário para contemplar a finalidade pretendida.
4.1.3 O controlador, é definido pela Lei como a "pessoa natural ou jurídica, de
direito público ou privado, a quem competem as decisões referentes ao tratamento de
dados pessoais" (Art. 5º, VI). Na prática, é a figura que determina como deve ser realizado
o tratamento dos dados pessoais. É também o responsável pela indicação do encarregado
de dados (Art. 41).
4.1.4 O operador, por sua vez, é compreendido como "pessoa natural ou
jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em
nome do controlador" (Art. 5º, VII), ou seja, é aquele que realizará o tratamento conforme
definido pelo controlador. Cabe ao controlador verificar se as instruções foram seguidas
pelo operador.
4.1.5 Por fim, a LGPD apresenta a figura do encarregado. Este é visto como
peça-chave para a organização, vez que será responsável e atuará como canal de
comunicação entre o controlador, os titulares dos dados e a ANPD, inclusive para fins de
realização de consulta prévia, reforçando seu papel expressamente consignado na Lei.
Dessa forma, como determina o Art. 41, §1º, da referida Lei, a identidade e as informações
de contato do encarregado deverão ser divulgadas publicamente, de forma clara e
objetiva, preferencialmente no sítio eletrônico do controlador.
4.1.6 Considerando a magnitude e a complexidade de se estabelecer um
Programa de Governança em Privacidade em todo o COMAER, além da autonomia que os
ODS apresentam, entendeu-se como necessário que estes atores apresentados na LGPD
fossem expandidos de maneira que, dentro de cada estrutura, existissem agentes de
tratamento responsáveis pela efetiva implementação deste programa.
4.1.7 A seguir é apresentada a estrutura de Governança de Proteção de Dados
Pessoais do COMAER, a qual deve se inter-relacionar com a estrutura de Governança do
COMAER como um todo, prevista na DCA 16-1 "Governança no COMAER".
1_MD_16_002
Figura 2 - Estrutura de Governança de Proteção de Dados Pessoais do COMAER.
4.2 CONTROLADOR DO COMAER - CMTAER
Em observância à LGPD e conforme destacado no item 4.1.3, o Comandante da
Aeronáutica, na condição de dirigente máximo da instituição, é considerado o Controlador
do COMAER, sendo o responsável por determinar como deve ser realizado todo o
tratamento dos dados pessoais da Força. No entanto, para apoiá-lo nessa função,
compartilhando com ele essa responsabilidade, foi criada uma estrutura de Governança,
conforme a Figura 2.
4.3 COMITÊ DE GOVERNANÇA DIGITAL, SEGURANÇA DA INFORMAÇÃO E
PROTEÇÃO DE DADOS - CGDSIPD
Conforme o Art. 2º, §1º, IV do Decreto 10.332, de 28 de abril de 2020, o
Comitê de Governança Digital dos órgãos da Administração Pública Federal passará a
contar com a participação do Encarregado do Tratamento de Dados Pessoais do Órgão. No
COMAER, essa estrutura é denominada CGDSIPD. Caso algum assunto seja considerado de
interesse estratégico relacionado a privacidade de dados, o mesmo será levado ao
Controlador do COMAER.
4.4 ENCARREGADO DO COMAER - EMAER (6SC)
O EMAER, aqui representado pelo Chefe da 6ª Subchefia (6SC) do Estado-Maior
da Aeronáutica, é o responsável por exercer a função de Encarregado do COMAER, tendo
como principal atribuição servir como um canal de comunicação qualificado entre a
estrutura de Governança de Proteção de Dados da organização, a ANPD, os titulares, bem
como com os demais órgãos de controle externo da Administração Pública Federal.
4.5 CONTROLADOR SETORIAL - ODGS
Os Órgãos de Direção Geral
e Setorial (ODGS), representado pelos
Comandantes/Chefes/Diretores/Secretário, devem exercer uma responsabilidade específica
e solidária pelo tratamento de dados afeto aos processos ou sistemas sob a gerência de
seus Órgãos, inclusive subordinados, sendo, pois, considerados como Controladores
Setoriais no COMAER. Embora tal figura não esteja explicitamente prevista na LGPD, ela
converge para o desiderato promovido pela referida Lei, de uma estrutura de Governança
de Proteção de Dados Pessoais efetiva e presente em todo o organograma institucional.
4.6 ENCARREGADO DE COORDENAÇÃO - REPRESENTANTE do ODGSA
Atuarão como Encarregado de Coordenação os indicados dos Órgãos de
Direção Geral, Setorial e Assistência Direta ao Comandante da Aeronáutica (ODGSA).
Assim, o Encarregado de Coordenação terá um papel importante na orientação dos
militares de sua unidade, além das OM Subordinadas, a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais, bem como executar as demais
atribuições determinadas pelo respectivo Controlador Setorial ou Controlador Orgânico,
além do pronto atendimento as solicitações que forem demandadas pelo Encarregado do
COMAER. Os Encarregados de Coordenação para o tema LGPD, a critério do ODGSA,
poderão atuar ainda como Elos de Coordenação para a Governança Digital e/ou Segurança
da Informação.
4.7 CONTROLADOR ORGÂNICO - CMT de OM
Para todas as demais Organizações Militares (OM), aqui representadas pelo seu
Comandante, este será considerado o Controlador Orgânico, pois diante da complexidade
e das dimensões da estrutura organizacional da FAB, além da autonomia que cada OM tem
de decidir como deverá ser realizado o tratamento dos dados pessoais, esse fato não o
impede de, quando aplicável, realizar esse tratamento seguindo a orientação dos
Controladores Setoriais para aquelas atividades sob sua responsabilidade, bem como
indicarem seus próprios "encarregados" ou "elos de coordenação" para auxiliarem os
respectivos Encarregados de Coordenação.
4.8 CONTROLADOR TÉCNICO - DTI
Uma vez que a Diretoria de Tecnologia da Informação da Aeronáutica, órgão
central do Sistema de Tecnologia da Informação, tem o papel fundamental na tomada de
decisão de como serão realizados e de quais meios de Tecnologia da Informação serão
empregados nos tratamentos de dados no âmbito de seus sistemas de informação e
infraestrutura tecnológica, a DTI atua intensamente no ciclo de vida do tratamento de
dados pessoais em sua fase digital, justificando a designação do Diretor como Controlador
Técnico do COMAER.
4.9 OUVIDORIA - CECOMSAER
O
Centro
de
Comunicação Social
da
Aeronáutica
(CECOMSAER)
deve
desempenhar a função de Canal de Comunicação da Governança de Dados do COMAER
conjuntamente com as suas atribuições afetas à Lei de Acesso à Informação e ao Decreto
n° 9.492, de 5 de setembro de 2018. Em consonância a isso, o CECOMSAER deve se valer
da estrutura do Sistema de Comunicação Social da Aeronáutica (SISCOMSAE) para distribuir
as demandas recebidas da sociedade que estão relacionadas à LGPD aos Encarregados do
COMAER e de Coordenação.
4.10 OPERADORES
Conforme descrito no item 4.1.4, os Operadores são empresas que realizam
tratamento de dados em nome do COMAER, aos quais se deve especial atenção quanto as
cláusulas contratuais sobre o respectivo tratamento e aos riscos envolvidos nessa relação
à luz da proteção de dados pessoais.
5 DISPOSIÇÕES GERAIS
A seguir são descritas as orientações gerais para todo o COMAER, acerca dos
principais aspectos da LGPD.
5.1 ASPECTOS GERAIS A SEREM CONSIDERADOS
5.1.1 É importante destacar que todo tratamento de dados pessoais que
necessite ser realizado deverá seguir as diretrizes da LGPD de forma justa e transparente,
além de ser desenvolvido para uma finalidade específica, explícita e legítima.
5.1.2 Além disso, devem ser observados os princípios e recomendações da
Privacidade desde a Concepção e Por Padrão, apresentados nos itens 3.7.6 e 3.7.7 desta
DCA, não só no âmbito dos sistemas da informação, mas em todas as atividades e
processos a serem executados.
5.1.3 Quaisquer alterações que se façam necessárias nos processos de negócio
e nos sistemas de informação deverão ser alvo de uma avaliação de impacto à privacidade
para, previamente, entender o impacto de tais alterações no Programa de Governança em
Privacidade do COMAER.
5.1.4 Também é reforçada a necessidade de que todos os responsáveis por
processos de negócio que realizem o tratamento de dados pessoais façam o registro
dessas atividades de maneira padronizada e as mantenham atualizadas, a fim de permitir
um mapeamento de como cada processo de negócio realiza esse tratamento e com qual
fundamentação legal. Os Encarregados, tanto no nível COMAER quanto no nível dos
ODGSA, serão pontos focais quanto a orientações sobre as práticas a serem tomadas para
garantir a segurança e proteção dos dados pessoais.
5.1.5 Frise-se que é de competência do Encarregado de Coordenação a
avaliação de impacto à privacidade nos processos de negócio da Força, bem como o
registro das atividades e operações de tratamento que envolvam dados pessoais. Sendo da
competência do Controlador Técnico essa mesma avaliação de impacto nos sistemas de
informação do COMAER.
5.1.6 No que se refere as hipóteses de consentimento, no COMAER a maioria
dos processos de tratamento de dados internos não requerem consentimento. Portanto,
há que se analisar cada caso concreto, para se verificar a incidência da obrigatoriedade do
consentimento do titular de dados, especialmente nos processos que envolvam
informações de pessoas que não tenham vínculo institucional com a Organização.
5.1.7 Além disso, é importante levar em consideração que, para o caso de
dados pessoais de crianças e adolescentes, sempre será necessário o consentimento dos
seus responsáveis.
5.1.8 Por fim, os Órgãos do COMAER devem analisar em que medida as regras
e princípios
consignados nos dispositivos da
LGPD aplicam-se a
cada processo
organizacional sob a sua responsabilidade, porquanto a Lei somente alcança a sua
plenitude, quando aplicada a cada caso concreto. Neste contexto, é importante que todas
as Organizações se utilizem do método preconizado pela DCA 16-5 "Gestão por Processos
no COMAER", para realizarem o mapeamento de seus processos, analisando em que
medida a atividade administrativa ou operacional se vale do tratamento de dados pessoais
e em qual hipótese da Lei este tratamento se enquadra.
6 DISPOSIÇÕES ESPECÍFICAS
A seguir são descritas as orientações específicas para os ODGSA, a fim de que
se promovam as adaptações que necessariamente devem ser realizadas na sua estrutura
e nos seus processos organizacionais, a fim de implementar os requisitos da LG P D.
6.1 ESTADO-MAIOR DA AERONÁUTICA - EMAER
Observar o que se segue:
a)
executar todas
as
atividades
esperadas do
Encarregado,
conforme
orientações do Art. 41 da LGPD;
b) avaliar, monitorar e direcionar as atividades relacionadas ao Programa de
Governança da Proteção de Dados Pessoais, bem como ao processo de adequação do
COMAER à LGPD;
c) assessorar o Comandante da Aeronáutica nas decisões afetas ao integral
cumprimento da LGPD;
d) receber reclamações e solicitações dos titulares dos dados pessoais,
prestando esclarecimentos e adotando providências, com subsídios dos Encarregados de
Coordenação, sempre que for o caso; e
e) representar a instituição, no tocante à privacidade e proteção de dados,
perante a sociedade como um todo, bem como junto à ANPD e aos demais órgãos de
controle externo da Administração Pública Federal.
6.2 TODOS OS ODGSA
A seguir, são descritas as atribuições comuns a todos os ODGSA e OM
subordinadas:
a) nomear o Encarregado de Coordenação, para que ele exerça a função
descrita no item 4.6 desta DCA;
b) inventariar todos os processos de negócios que realizam tratamento de
dados pessoais sob sua responsabilidade através do Registro das Operações de Tratamento
de Dados (RTD), como orientado no item 3.5 desta DCA;
c) identificar todos os processos de negócio que realizam tratamento de dados
pessoais sob sua responsabilidade, que tenham como finalidade exclusiva a segurança
pública, defesa nacional, segurança do Estado, para o caso de ser necessária a elaboração
de Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para estes processos;
d) elaborar, quando determinado pela ANPD ou pelo Encarregado do COMAER,
Relatório de Impacto à Proteção de Dados Pessoais (RIPD), referente a suas operações de
tratamento de dados;
e) manter contratos e normativos internos que orientem quanto ao tratamento
de dados pessoais adequados aos princípios e requisitos da LGPD;
f) manter atualizados todos os Registros de Operação de Tratamento de Dados
(RTD), o Plano de Ação, o Plano de Respostas e o Relatório de Impacto à Proteção de
Dados Pessoais (quando aplicável), bem como todas as medidas técnicas e administrativas
implementadas para proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, ou qualquer
forma de
tratamento inadequado
ou ilícito,
sempre em
condições de
serem
disponibilizados ao Encarregado do COMAER, para o atendimento tempestivo, sempre que
necessário e solicitado por este;
Fechar