DOU 30/08/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024083000157
157
Nº 168, sexta-feira, 30 de agosto de 2024
ISSN 1677-7042
Seção 1
Seção V
Do Tratamento de Dados Pessoais Sensíveis
Art. 15. O tratamento de dados pessoais sensíveis ocorrerá quando o titular ou
responsável legal consentir, de forma expressa, para finalidades específicas, sendo vedado
o tratamento com o intuito de interesses econômicos ou obtenção de vantagens.
Art. 16. Os documentos que contenham dados pessoais sensíveis devem
receber o tratamento previsto em lei e sua divulgação em quaisquer meios deverá ser
autorizada expressamente pelo controlador.
Parágrafo único. Considerando o que estabelece o art. 4º da Lei nº 13.709, de
2018, não se aplica o previsto no caput para os dados pessoais obtidos exclusivamente
para fins jornalísticos, artísticos, de segurança pública, defesa nacional, ou atividades de
investigação e repressão de infrações penais.
Art. 17. O tratamento de qualquer dado sensível, que não expresso na lei já
vigente, ou em termo de consentimento prévio ou não atrelado à atividade fim do IFG, fica
vedado a partir da publicação desta Resolução.
Parágrafo único. A exceção relacionada ao caput se aplica ao interesse da
Administração que,
atentando-se à legalidade e aos controles necessários, autoriza formalmente
seu tratamento em documento assinado pela autoridade máxima da Instituição.
Seção VI
Da base legal para o tratamento de dados pessoais sensíveis
Art. 18. O tratamento de dados sensíveis só poderá ocorrer nas seguintes
hipóteses:
- consentimento pelo titular, de forma expressa e destacada, para finalidades
específicas;
- sem fornecimento de consentimento do titular, nas hipóteses em que for
indispensável para:
cumprimento de obrigação legal ou regulatória pelo controlador;
tratamento
compartilhado
de
dados
necessários
à
execução,
pela
Administração, de políticas públicas previstas em leis ou regulamentos;
realização de estudos por órgão de pesquisa, considerando as regulamentações
legais e infralegais que regem o tema;
exercício regular de direitos, inclusive em contrato e em processo judicial,
administrativo e arbitral;
proteção da vida ou da incolumidade física do titular ou de terceiro;
tutela da saúde, exclusivamente, em procedimento realizado por profissionais
de saúde, serviços de saúde ou autoridade sanitária; ou
garantia da prevenção à fraude e à segurança do titular, nos processos de
identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de
prevalecerem direitos e liberdades fundamentais do titular, que exijam a proteção dos
dados pessoais.
§ 1º A solicitação de consentimento para tratamento de dados pessoais deve
ser clara, devendo descrever o objetivo e destacar outras solicitações, conforme art. 8º da
Lei nº 13.709, de 2018.
§ 2º O não consentimento individual ou revogação do consentimento torna-se
impeditivo para a realização da política pública ou ação individual, podendo gerar a
negativa, por parte do IFG, da adesão do titular à Política de Proteção, Uso e Tratamento
de Dados Pessoais ou a execução da ação específica individual.
§ 3º Na hipótese de revogação do consentimento, deve ser garantido que ela
ocorra por procedimento gratuito e facilitado.
Seção VII
Do Compartilhamento e da Transferência internacional de Dados
Art. 19. O compartilhamento de dados pessoais pelo IFG somente será
permitido para o cumprimento de suas obrigações legais ou para atendimento de políticas
públicas aplicáveis, observado o princípio da necessidade e dos procedimentos de
segurança, ficando o tratamento de dados pessoais sempre contíguo ao desenvolvimento
de atividades autorizadas pela Instituição.
Art. 20. A transferência internacional de dados pessoais no âmbito do IFG será
realizada de acordo com o estabelecido na Lei nº 13.709, de 2018, e nos termos das
demais legislações vigentes.
Seção VIII
Dos Registro de operações de tratamento
Art. 21. O IFG realizará registros de suas operações de tratamento de dados
pessoais a partir de categorias, cada uma delas descritas a partir de sua finalidade,
servindo de auxílio e suporte para a avaliação periódica da conformidade com o quadro
regulatório da proteção de dados pessoais.
Art. 22. O registro das operações de tratamento dos dados pessoais realizados
pelo IFG, acontecerá por meio do Inventário de Dados Pessoais, documento que registra as
seguintes informações:
- agentes de tratamento, com identificação do operador;
- finalidade da coleta, especificando o uso que o IFG faz do dado pessoal; III -
dados pessoais tratados e categorias dos titulares dos dados pessoais; IV -
compartilhamento dos dados pessoais;
V - transferência internacional; VI - hipótese e previsão legal; e VII - tempo de
retenção.
§ 1º Os registros a que se referem o caput poderão ser consultados pelo titular
dos dados pessoais, bem como por autoridades públicas competentes para o acesso e
retenção dos dados em seu nome, resguardados os direitos do titular.
§ 2º O registro de tratamento criado a partir do Inventário de Dados Pessoais
será disponibilizado de forma facilitada, clara, adequada e ostensiva.
Art. 23. No desenvolvimento da ação de tratamento de dados pessoais a que
se refere o Inventário de Dados Pessoais, todos os setores das unidades que integram o
IFG deverão seguir o fluxo descrito neste dispositivo, elencando:
- o objetivo do tratamento;
- o responsável e os operadores;
- o método de anonimização (quando couber);
- o período de processamento (desde a coleta até a finalização, inclusive com
publicação); V - a finalização do tratamento; e
VI - o método de eliminação de dados.
Seção IX
Do Fim do Tratamento dos Dados
Art. 24. O término do tratamento de dados pessoais pelo IFG ocorrerá nas
seguintes hipóteses:
- verificação de que a finalidade foi alcançada ou de que os dados deixaram de
ser necessários ou pertinentes ao alcance da finalidade específica almejada;
- fim do período de tratamento;
- comunicação do titular quanto à revogação do seu consentimento, sendo
resguardado o interesse
público; ou
- determinação pela Autoridade Nacional de Proteção de Dados, quando
houver violação à proteção dos dados pessoais.
§ 1º Após atingido o fim específico a que se destina o dado pessoal, caberá ao
operador do dado a sua eliminação, ressalvada a necessidade de mantê-lo para fins da
legislação específica, seguindo a tabela de temporalidade de manutenção de dados de
áreas-meio, editadas pelo Conselho Nacional de Arquivos (Conarq), e das áreas-fim
editados pelas Instituições Federais de Ensino.
§ 2º No âmbito do IFG, somente a Comissão Permanente de Avaliação de
Documentos pode proceder a eliminação de documentos/dados, mediante a autorização
do controlador.
§
3º A
eliminação de
documentos que
não constem
da Tabela
de
Temporalidade de Documentos das atividades-meio, ou das Tabelas de Temporalidade de
Documentos das atividades-fim dos órgãos da Administração Pública Federal, será realizada
mediante autorização do Arquivo Nacional.
CAPÍTULO IV
DA PROTEÇÃO DOS DADOS
Seção I Disposições gerais
Art. 25. As normas de segurança da informação e prevenção contra incidentes
relativos ao uso e tratamento de dados pessoais estão contidas na Política de Segurança
da Informação e das Comunicações vigente no IFG, normativas internas e documentos
correlatos ao tema.
Art. 26. Todos os servidores, temporários, estagiários, terceirizados e indivíduos
que direta ou indiretamente realizam o tratamento de dados pessoais no IFG, são
responsáveis pela proteção dos dados pessoais de propriedade ou custodiados pela
Instituição.
Parágrafo
único. Os
agentes a
que se
refere o
caput devem
estar
comprometidos com o exposto nesta Resolução, devendo afirmar seu entendimento e
compromisso por meio de atestado de Responsabilidade ou Código de Ética do Servidor
Público, o qual deve informar as consequências legais da violação dos princípios gerais
deste documento, podendo haver responsabilização e sanções administrativas.
Art. 27. Durante o período de tratamento dos dados pessoais e dados pessoais
sensíveis, os operadores são responsáveis pela segurança da informação e das ações para
mitigação de riscos relacionadas.
Parágrafo único. Ao utilizar de ferramentas ou estrutura disponibilizada pelo
IFG para o tratamento dos dados pessoais, a responsabilidade do operador é solidária com
a Diretoria de Tecnologia de Informação (DTI), que deve manter rotinas de minimização de
riscos de segurança da informação relacionadas à custódia de dados pessoais e à
permissão de acessos, considerando inclusive o que preconiza a PoSIC.
Art. 28. É dever de todos os operadores de dados pessoais do IFG notificarem
o encarregado de dados sempre que observadas suspeitas de irregularidades em relação às
atividades de tratamento dos dados.
Art. 29. A prevenção da violação de dados pessoais é de responsabilidade de
todos os agentes a que se destina esta Resolução.
Seção II
Da segurança dos dados
Art. 30. Com vistas a mitigar situações de riscos e contribuir com a segurança
dos dados pessoais,
fica vedado:
- realizar o tratamento de dados pessoais por motivos particulares, cuja
finalidade não esteja atribuída às competências do cargo, setor, normativa, contrato ou
lei;
- guardar documentos, físicos ou digitais, que contenham dados pessoais, em
unidade ou local próprio, fora das dependências do IFG, exceto se houver contrato firmado
com o Controlador;
- realizar o tratamento de dados pessoais para terceiros, cuja finalidade não
esteja atribuída às competências do cargo, setor, normativa, contrato ou lei;
- criar e guardar documentos, físicos ou digitais, originais ou cópias, que
contenham dados pessoais, sem que esse conste no Inventário de Dados Pessoais;
- encaminhar documentos que contenham dados pessoais, por meios que não
garantam a confidencialidade, a privacidade, a segurança e a rastreabilidade;
- omitir qualquer situação que possa ferir os fundamentos, princípios e direitos
dos titulares dos dados pessoais, sendo necessário a comunicação imediata ao encarregado
de dados;
- utilizar de aplicativos de comunicação instantânea não licenciados para fazer
tratamento de dados pessoais;
- fornecer a senha de acesso de sistemas do IFG, ou quaisquer outros sistemas
vinculados a atividades institucionais para terceiros, bem como deixar senhas salvas, ou o
acesso de forma automática;
- eliminar documentos públicos, sendo esse procedimento de competência da
Comissão Permanente de Avaliação de Documentos do IFG;
- deixar documentos que contenham dados pessoais expostos a terceiros de
forma permanente ou temporária; e
- realizar tratamento de dados pessoais em desacordo com esta Política de
Proteção, Uso e Tratamento de Dados Pessoais e com a Lei nº 13.709, de 2018.
Seção III
Da segurança dos dados em sistemas informatizados
Art. 31. As soluções de tecnologias da informação utilizadas pelo IFG devem ser
adequadas para cumprir sua finalidade perante às necessidades de proteção de dados
pessoais.
Art. 32. Os sistemas utilizados para o tratamento de dados pessoais devem ser
estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas
e de governança, aos princípios gerais previstos na Lei nº 13.709, de 2018, e às demais
normas regulamentares.
§ 1º Cabe à Diretoria de Tecnologia da Informação do IFG implantar todos os
mecanismos, tecnologias, processos e práticas necessários para assegurar a proteção dos
dados pessoais.
§ 2º A Diretoria de Tecnologia da Informação do IFG deve garantir que o
desenvolvimento
interno ou
externo e
as
aquisições de
softwares garantam
o
cumprimento dos requisitos de segurança da informação, proteção de dados pessoais e
controle de acesso previstos nesta Resolução e nas demais normas da Instituição.
Art. 33. O IFG deve estabelecer regras de autenticação para acesso lógico,
inclusive com a adoção de mecanismos de segurança que garantam acesso exclusivo por
meio de credenciais, nível hierárquico e função compatíveis com o grau de classificação de
cada dado ou informação.
§ 1º As regras a que se refere o caput devem estipular mecanismos para a
revisão periódica das autorizações de acesso a dados e informações, no mínimo em razão
de contratações, exonerações ou alterações de cargos e funções.
§ 2º Os agentes de tratamento devem acessar os dados pessoais estritamente
necessários ao desempenho de atividades no âmbito do setor que integrem.
§ 3º Os servidores lotados no IFG, técnico-administrativos e docentes, que
estiverem em exercício em outra Instituição devem ter seus respectivos acessos
bloqueados imediatamente após a suspensão de seus serviços no âmbito do IFG.
Art. 34. Todo acesso a dados pessoais deverá ter registro passível de auditoria,
contendo, no
mínimo:
I - identificação do agente responsável; II - data e horário;
III - dispositivo de origem; IV - objeto do acesso; ou V - operação realizada.
Art. 35. Esta Política de Proteção, Uso e Tratamento de Dados Pessoais aplica-
se à segurança de dados pessoais em sistemas informatizados utilizados no âmbito do
I FG .
Art. 36. O IFG não utiliza cookies para armazenar informações sobre a
navegação dos internautas em suas páginas ou portais na Internet.
Art. 37. O IFG não vincula qualquer informação pelo uso de sua rede sem fio
como tipo do dispositivo de acesso, IP, localização etc., às informações pessoais do
usuário.
Seção IV
Do vazamento de dados
Art. 38. O IFG exime-se de responsabilidade em caso de vazamento de dados
por ação dolosa ou culposa exclusivamente imputável ao usuário ou a terceiros.
Parágrafo único. O IFG deve comunicar aos usuários caso ocorra algum tipo de
violação da segurança de seus dados pessoais.
Art. 39. A denúncia ou informação de vazamento de dados pessoais ou
incidentes de segurança devem ser apurados conforme normativa expedida pela Comissão
Permanente de Gestão da Proteção de Dados Institucionais do IFG.
Fechar