Propósito

A Política de Proteção de Dados Pessoais tem por objetivo estabelecer diretrizes, princípios e conceitos a serem seguidos por todas as pessoas e entidades que se relacionam com a SCDATA, que em algum momento realizam operações de tratamento de dados pessoais, visando o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) e outras normas vigentes.

Escopo

Instituir a Política de Proteção de Dados Pessoais (PPDP), no âmbito do(a) SCDATA, com a finalidade de estabelecer princípios e diretrizes para a implementação de ações que garantam a proteção de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas.

Esta Política regula a proteção de dados pessoais, que SCDATA é o agente de tratamento, bem como o meio utilizado para este tratamento, seja digital ou físico, além de qualquer pessoa que realize operações de tratamento de dados pessoais em seu nome ou em suas dependências.

 

Termos e definições

AGENTES DE TRATAMENTO: o controlador e o operador;

CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

ENCARREGADO: pessoa indicada pelo controlador e operador, para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD);

DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável;

DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

TRANSFERÊNCIA INTERNACIONAL DE DADOS: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

USO COMPARTILHADO DE DADOS: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

Declarações da política

Art. 1º. Fica instituída a Política de Proteção de Dados Pessoais da SCDATA, com a finalidade de estabelecer princípios e diretrizes para a implementação de ações que garantam a proteção de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas.

Art. 2º. Esta Política de Proteção de Dados Pessoais aplica-se a todas as unidades organizacionais do(a) SCDATA, e deverá ser observada por todos os usuários de informação, seja servidor ou equiparado, empregado, prestador de serviços ou pessoa habilitada pela administração, por meio da assinatura de Termo de Responsabilidade, para acessar os ativos de informação sob responsabilidade deste(a) SCDATA.

Art. 3°. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

CAPÍTULO I - Das Disposições Gerais

Art. 4° São objetivos da Política de Proteção de Dados Pessoais:

1. estabelecer medidas eficazes para o cumprimento das normas de proteção de dados pessoais e demonstrar a eficácia das mesmas;
2. estabelecer revisões de processos com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados pessoais;

• promover a administração dos dados pessoais coletados e tratados, em qualquer meio, físico ou digital, custodiados ou   sob      orientação            direta  ou indireta da SCDATA, de acordo com as diretrizes especificadas;

1. estabelecer a necessidade de criar e manter um registro de todas as operações de tratamento de dados pessoais realizados;
2. promover a adequada gestão do tratamento dos dados pessoais;
3. promover a criação de programas de treinamento e conscientização para que os colaboradores entendam suas responsabilidades e procedimentos na proteção de dados pessoais;

• promover a formulação regras de segurança, de boas práticas e de governança com objetivo de definir procedimentos e outras ações referentes a privacidade e proteção de dados pessoais;

Art. 5º A SCDATA registrará e gravará as preferencias e navegações realizadas nas respectivas páginas para fins estatísticos e de melhoria dos serviços ofertados, através de arquivos (cookies), respeitando o consentimento do titular.

Art. 6º São responsabilidades da SCDATA:

1. atender ao disposto nos normativos e publicações da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) que disciplinam o tratamento e a governança dos dados pessoais;
2. elaborar, quando couber, o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) relacionados às operações de tratamento, e atualizá-lo quando necessário;

• realizar o desenvolvimento e a atualização das políticas/avisos de privacidade, que tem por finalidade o fornecimento de informações sobre o tratamento de dados pessoais em cada ambiente físico ou virtual, bem como, especificar as medidas de proteção de dados adotadas para salvaguardar esses dados pessoais.

CAPÍTULO II - Tratamento de Dados Pessoais

Art. 7°. O tratamento de dados pessoais deve ser sempre realizado para o atendimento de sua finalidade pública, conforme o interesse público, com o objetivo de executar competências legais e de cumprir as atribuições legais do serviço público.

Art. 8°. As unidades organizacionais da SCDATA devem adotar mecanismos para que os titulares de dados pessoais usufruam dos direitos assegurados pela LGPD e normativos correlatos.

Art. 9°. O tratamento de dados pessoais sensíveis deve ocorrer somente nos termos da seção II do capítulo II da LGPD e são estabelecidos procedimentos de segurança no tratamento destes dados conforme orientações da LGPD e demais normativos.

Art. 10. O tratamento de dados pessoais de crianças e de adolescentes deve ser realizado nos termos da seção III do capítulo II da LGPD, bem como, pode ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da mesma lei, desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei. 

Art. 11. O uso compartilhado de dados pessoais deve ocorrer em estrita observância ao art. 26 da LGPD.

Parágrafo Único. As operações remanescentes de uso compartilhado de dados devem seguir o disposto no Art. 27 da LGPD.

Art. 12. A transferência internacional de dados pessoais deve observar o disposto no Capítulo V da LGPD.

CAPÍTULO III - Conscientização, Capacitação e Sensibilização

Art. 13. Os servidores da SCDATA, com acesso a dados pessoais devem participar de programas de conscientização, capacitação e sensibilização em matérias de privacidade e proteção de dados pessoais, objetivando adequar o tema aos seus papeis e responsabilidades.

CAPÍTULO IV - Segurança e Boas Práticas

Art. 14.  Considerando a necessidade de mitigar incidentes com dados pessoais, devem ser adotadas as seguintes medidas técnicas e organizacionais de privacidade e proteção de dados: 

1. o acesso aos dados pessoais deve estar limitado as pessoas que realizam o tratamento.
2. as funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais devem ser claramente estabelecidas e comunicadas;

• devem ser estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores de dados pessoais;

1. todos os dados pessoais devem estar armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los.

Art. 15. Qualquer ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos dados pessoais dos titulares deve ser comunicada a Autoridade Nacional de Proteção de Dados (ANPD) dentro do prazo previsto pela LGPD. 

Art. 16. As unidades organizacionais da SCDATA devem manter uma base de conhecimento com documentos que apresentam condutas e recomendações que melhoram o gerenciamento de risco e orientam na tomada de decisões adequadas em casos de comprometimento de dados pessoais.

CAPÍTULO V - Auditoria e Conformidade

Art. 17. O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de privacidade e proteção de dados pessoais e da garantia das cláusulas de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.  

Art. 18. As atividades, produtos e serviços desenvolvidos na SCDATA devem observar os requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes para estarem em conformidade.  

Art. 19. Os resultados de cada ação de verificação de conformidade devem ser documentados em relatório de avaliação de conformidade.

CAPÍTULO VI - Funções e Responsabilidades

Art. 20. Qualquer pessoa natural ou jurídica de direito público ou privado que tenha interação em qualquer fase do tratamento de dados pessoais deve assegurar a privacidade e a proteção de dados pessoais que trata, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pela SCDATA.

Art. 21. Compete ao Comitê de Proteção de Dados Pessoais (CPDP):

1. promover a proteção de dados pessoais e a adequação da SCDATA à LGPD;
2. constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre proteção de dados pessoais;

• participar da elaboração da Política de Proteção de Dados Pessoais e das demais normas internas de privacidade e proteção de dados pessoais, além de propor atualizações e alterações nestes dispositivos;

1. a responsabilidade por gerenciar a implementação da LGPD dentro da organização e a administração da Política de Proteção de Dados Pessoais
2. incentivar a conscientização, capacitação e sensibilização das pessoas que desempenham qualquer atividade de tratamento de dados pessoais dentro da SCDATA.

Art. 22. O Comitê de Proteção de Dados Pessoais (CPDP) é constituído no mínimo por:  

1. gestor de Segurança da Informação;
2. o encarregado pelo tratamento de dados pessoais;

• um representante da Secretaria-Executiva ou estrutura equivalente;

1. um representante do departamento de tecnologia da informação;
2. um representante do departamento jurídico;
3. um representante da ouvidoria;

• um representante da unidade de controle interno ou estrutura equivalente;
• um representante de cada unidade finalística.

Art. 23. A presidência do Comitê de Proteção de Dados Pessoais (CPDP) será exercida pelo titular/representante da Secretária-Executiva da SCDATA. 

Art. 24. A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais é da SCDATA que no exercício das atribuições típicas de controlador determina as medidas necessárias para executar a Política de Proteção de Dados Pessoais dentro de sua estrutura organizacional.

Art. 25. Compete ao controlador:

1. observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela LGPD e por normativos correlatos no momento de decidir sobre um futuro tratamento ou realizá-lo;
2. considerar o preconizado pelos art. 7º, art. 11 e art. 23 antes de realizar o tratamento de dados pessoais;

• cumprir o previsto pelos art. 46 e art. 50 da LGPD buscando à proteção de dados pessoais e sua governança;

1. indicar um encarregado pelo tratamento de dados pessoais, divulgando a identidade e as informações de contato do encarregado de forma clara e objetiva, preferencialmente no sítio institucional;
2. elaborar o inventário de dados pessoais a fim de manter registros das operações de tratamento de dados pessoais;
3. reter dados pessoais somente pelo período necessário para o cumprimento da hipótese legal e finalidade utilizadas como justificativa para o tratamento de dados pessoais;

• criar e manter atualizados os avisos ou políticas de privacidade, que informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico ou virtual, e como os dados pessoais neles tratados são protegidos; e
• requerer do titular a ciência com o termo de uso para cada serviço ofertado, informatizado ou não, que trate dados pessoais.
• 1º É vedado qualquer tratamento de dados pessoais para fins não relacionados com as atividades desenvolvidas pela organização ou por pessoa não autorizada formalmente pela SCDATA.

Art. 26. São considerados operadores de dados pessoais as pessoas naturais ou jurídicas de direito público ou privado, que realizam operações de tratamento de dados pessoais em nome do controlador.

Parágrafo único. Quaisquer fornecedores de produtos ou serviços, que por algum motivo, realizam o tratamento de dados pessoais a eles confiados, são considerados operadores e devem seguir as diretrizes estabelecidas nesta política, em especial o capítulo VII.

Art. 27. Compete ao operador: 

1. observar os princípios estabelecidos no art. 6º da LGPD, ao realizar tratamento de dados pessoais.
2. seguir as diretrizes estabelecidas pelo controlador;

• antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelo controlador cumprem os requisitos legais presentes nos art. 7º, art. 11 e art. 23 da LGPD;

Parágrafo único. Não é competência do operador decidir unilateralmente quanto aos meios e finalidades utilizados para o tratamento de dados pessoais.

Art. 28. Compete ao encarregado de proteção de dados:  

1. receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
2. receber comunicações e requisições da ANPD e adotar providências;

• orientar os colaboradores da organização a respeito das práticas a serem adotadas em relação à proteção de dados pessoais; e

1. executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.

Parágrafo único: Ao receber comunicações da ANPD, o encarregado adotará as medidas necessárias para o atendimento da solicitação e para o fornecimento de informações pertinentes, adotando, dentre outras, as seguintes providências:

1. encaminhar internamente a demanda para as unidades competentes
2. fornecer orientação e a assistência necessárias ao agente de tratamento; e

• indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.

Art. 29 O encarregado de proteção de dados prestará assistência e orientação ao agente de tratamento na elaboração, definição, e implementação de:

1. registro e comunicação de incidente de segurança;
2. registro das operações de tratamento de dados pessoais;

• relatório de impacto à proteção de dados pessoais;

1. mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
2. medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
3. processos e políticas internas que assegurem o cumprimento da LGPD, e dos regulamentos e orientações da ANPD;

• instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;
• transferências internacionais de dados;

1. regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da LGPD.
2. produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e
3. outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.

Art.30 Compete ao agente de tratamento:

1. prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos;
2. solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais;

• garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

1. assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos; e
2. garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização.

CAPÍTULO VII - Contratos, Convênios, Acordos e Instrumentos Congêneres

Art. 31. Os contratos, convênios, acordos e instrumentos similares atualmente em vigor, que de alguma forma envolvam o tratamento de dados pessoais, precisam incorporar cláusulas específicas em total conformidade com a presente Política de Proteção de Dados Pessoais e que contemplem minimamente:

1. requisitos mínimos de segurança da informação.
2. determinação de que o operador não processe os dados pessoais para finalidades que divergem da finalidade principal informada pelo controlador.

• requisitos de proteção de dados pessoais que os operadores de dados pessoais devem atender.

1. condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do controlador
2. diretrizes especificas sobre o uso de subcontratados pelo operador para execução contratual que envolva tratamento de dados pessoais.

Art. 32. As unidades organizacionais da SCDATA devem adotar medidas rigorosas com o propósito de assegurar que os terceiros e processadores de dados pessoais contratados estejam plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração do acordo entre as partes envolvidas.

CAPÍTULO VIII - Penalidades

Art. 33. Ações que violem a Política de Proteção de Dados Pessoais poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 34. Casos de descumprimento desta Política serão registrados e comunicados ao gestor de Segurança da Informação para ciência e tomada das providências cabíveis.

CAPÍTULO IX - Disposições Finais

Art. 35. Os integrantes do Comitê de Proteção de Dados Pessoais (CPDP) poderão expedir instruções complementares, no âmbito de suas competências, que detalharão suas particularidades e procedimentos relativos à Proteção de Dados Pessoais alinhados às diretrizes emanadas pelo CPDP e aos respectivos Planos Estratégicos Institucionais da SCDATA.

Art. 36. As dúvidas sobre a Política de Proteção de Dados Pessoais e seus documentos serão submetidas ao Comitê de Proteção de Dados Pessoais (CPDP).

Art. 37. Esta política será revisada no período de 1 ano, a partir do início de sua vigência. 

Art. 38. Os casos omissos serão resolvidos pelo gestor de Segurança da Informação. 

Art. 39. Esta política entra em vigor na data de sua publicação.