SEI/DNOCS - 1598795

Ministério da Integração e DO Desenvolvimento Regional
DEPARTAMENTO NACIONAL DE OBRAS CONTRA AS SECAS

Ministério da Integração e do Desenvolvimento Regional - MDR
Departamento Nacional de Obras Contra as Secas – DNOCS

Art. 1º Aprovar a Política de Proteção de Dados Pessoais do Departamento Nacional de Obras Contra as Secas – DNOCS, na forma do Anexo I desta Portaria, de observância obrigatória no âmbito dessa Autarquia Federal.

Documento assinado eletronicamente por Fernando Marcondes de Araújo Leão, Diretor Geral, em 22/03/2024, às 14:57, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://sei.dnocs.gov.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 1598795 e o código CRC EAA543ED.

Art. 1º O DNOCS deverá estar apto a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.

Art. 2º Devem ser estabelecidas revisões de processos com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados pessoais.

Art. 3º Os dados pessoais que forem coletados e tratados no site ou aplicativo mantido pelo DNOCS também devem ser administrados de acordo com as diretrizes desta política. Normativos específicos devem ser elaborados para a gestão destes dados coletados a partir de sites e aplicativos.

Art. 4º O DNOCS poderá utilizar arquivos (cookies) para registrar e gravar no computador do usuário as preferencias e navegações realizadas nas respectivas páginas para fins estatísticos e de melhoria dos serviços ofertados, respeitando o consentimento do titular.

Art. 5º É competência do CGD a responsabilidade por gerenciar a implementação da LGPD dentro da organização e a administração da Política de Proteção de Dados Pessoais.

Art. 6º O DNOCS deve manter registro das operações de tratamento de dados pessoais que realizarem.

Art. 7º Deve ser elaborado o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) relacionados às operações de tratamento, e atualizá-lo quando necessário.

Art. 8º O DNOCS deverá desenvolver e manter atualizados as políticas/avisos de privacidade, que fornecerão informações sobre o processamento de dados pessoais em cada ambiente físico ou virtual, bem como detalhar as medidas de proteção de dados adotadas para salvaguardar esses dados pessoais.

Art. 9º Será estabelecido o programa de treinamento e conscientização para que os colaboradores entendam suas responsabilidades e procedimentos na proteção de dados pessoais;

Art. 10 Serão formuladas regras de segurança, de boas práticas e de governança que definam procedimentos e outras ações referentes a privacidade e proteção de dados pessoais.

Art. 11. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da LGPD.

Art. 12. O tratamento de dados pessoais deverá ser realizado para o atendimento de sua finalidade pública, conforme o interesse público, com o objetivo de executar competências legais e de cumprir as atribuições legais do serviço público.

Art. 13. O DNOCS adotará mecanismos para que o titular do dado pessoal usufrua dos direitos assegurados pela LGPD e normativos correlatos.

Art. 14. Deverá ser realizado o tratamento de dados pessoais sensíveis somente nos termos da seção II do capítulo II da LGPD e devem ser estabelecidos procedimentos de segurança no tratamento destes dados conforme a LGPD e demais normativos.

Art. 15. Deverá ser realizado o tratamento de dados pessoais de crianças e de adolescentes nos termos da seção III do capítulo II da LGPD, bem como, poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.

Art. 16. O uso compartilhado de dados deverá observar o art. 26 da LGPD bem como sua comunicação estará sujeita ao que consta no art. 27 da mesma lei.

Art. 17. No caso de transferência internacional de dados pessoais deverá ser observado o que consta no Capítulo V da LGPD.

Art. 18. As pessoas que possuem acesso aos dados pessoais no DNOCS devem fazer parte de programas de conscientização, capacitação e sensibilização em matérias de privacidade e proteção de dados pessoais.

I - A conscientização, capacitação e sensibilização em privacidade e proteção de dados pessoais deve ser adequada aos papéis e responsabilidades das pessoas.

Art. 19. O DNOCS deve manter uma base de conhecimento com documentos que apresentam condutas e recomendações que melhoram o gerenciamento de risco e que orientam na tomada de ações adequadas em caso de comprometimento de dados pessoais.

Art. 20. Qualquer ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos dados pessoais dos titulares deve ser comunicada a Autoridade Nacional de Proteção de Dados (ANPD) dentro do prazo previsto pela LGPD.

Art. 21. Serão adotadas medidas técnicas e organizacionais de privacidade e proteção de dados, dispostas a seguir, com o objetivo diminuir ou mitigar a existência incidentes com os dados pessoais do titular:

I - o acesso aos dados pessoais é limitado as pessoas que realizam o tratamento.

II - as funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais são claramente estabelecidas e comunicadas;

III - são estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores de dados pessoais;

IV - todos os dados pessoais são armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los

Art. 22. O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de privacidade e proteção de dados pessoais e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.

Art. 23. As atividades, produtos e serviços desenvolvidos no DNOCS devem estar em conformidade com requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.

Art. 24. Os resultados de cada ação de verificação de conformidade devem ser documentados em relatório de avaliação de conformidade.

Art. 25. Qualquer pessoa natural ou jurídica de direito público ou privado que tenha interação em qualquer fase do tratamento de dados pessoais deve garantir a privacidade e a proteção de dados pessoais, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pela organização.

Art. 26. Compete ao Comitê de Governança Digital prover orientação e o patrocínio necessários às ações de privacidade e proteção de dados pessoais no DNOCS, de acordo com os objetivos estratégicos e com as leis e regulamentos pertinentes.

II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre proteção de dados pessoais;

III - participar da elaboração da Política de Proteção de Dados Pessoais e das demais normas internas de privacidade e proteção de dados pessoais, além de propor atualizações e alterações nestes dispositivos;

IV - incentivar a conscientização, capacitação e sensibilização das pessoas que desempenham qualquer atividade de tratamento de dados pessoais dentro do DNOCS.

Art. 27. A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais é do DNOCS que no exercício das atribuições típicas de controlador determina as medidas necessárias para executar a Política de Proteção de Dados Pessoais dentro de sua estrutura organizacional.

I - observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela LGPD e por normativos correlatos no momento de decidir sobre um futuro tratamento ou realizá-lo;

II - considerar o preconizado pelos art. 7º, art. 11 e art. 23 antes de realizar o tratamento de dados pessoais;

III - cumprir o previsto pelos art. 46 e art. 50 da LGPD buscando à proteção de dados pessoais e sua governança;

IV - indicar um encarregado pelo tratamento de dados pessoais, divulgando a identidade e as informações de contato do encarregado de forma clara e objetiva, preferencialmente no sítio institucional.

V - elaborar o inventário de dados pessoais a fim de manter registros das operações de tratamento de dados pessoais;

VI - reter dados pessoais somente pelo período necessário para o cumprimento da hipótese legal e finalidade utilizadas como justificativa para o tratamento de dados pessoais;

VII - criar e manter atualizados os avisos ou políticas de privacidade, que informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico ou virtual, e como os dados pessoais neles tratados são protegidos;

VIII - requerer do titular a ciência com o termo de uso para cada serviço ofertado, informatizado ou não, que trate dados pessoais.

§ 1º É vedado qualquer tratamento de dados pessoais para fins não relacionados com as atividades desenvolvidas pela organização ou por pessoa não autorizada formalmente pelo DNOCS.

Art. 29. São considerados operadores de dados pessoais as pessoas naturais ou jurídicas de direito público ou privado, que realizam operações de tratamento de dados pessoais em nome do controlador.

Parágrafo único. Qualquer fornecedor de produtos ou serviços, que por algum motivo, realiza o tratamento de dados pessoais a eles confiados, são considerados operadores e devem seguir as diretrizes estabelecidas nesta política, em especial o capítulo VII.

I - observar os princípios estabelecidos no Art. 6º da LGPD, ao realizar tratamento de dados pessoais.

III - antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelo controlador cumprem os requisitos legais presentes nos art. 7º, art. 11 e art. 23 da LGPD;

Parágrafo único. É proibida a decisão unilateral do operador quanto aos meios e finalidades utilizados para o tratamento de dados pessoais.

I - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

III - orientar os colaboradores da organização a respeito das práticas a serem adotadas em relação à proteção de dados pessoais.

Art. 32. Os contratos, convênios, acordos e instrumentos similares atualmente em vigor, que de alguma forma envolvam o tratamento de dados pessoais, devem incorporar cláusulas específicas em total conformidade com a presente Política de Proteção de Dados Pessoais e que contemplem:

II - determinação de que o operador não processe os dados pessoais para finalidades que divergem da finalidade principal informada pelo controlador.

III - requisitos de proteção de dados pessoais que os operadores de dados pessoais devem atender.

IV - condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do controlador

V - diretrizes especificas sobre o uso de subcontratados pelo operador para execução contratual que envolva tratamento de dados pessoais.

Art. 33. São adotadas medidas rigorosas com o propósito de assegurar que os terceiros e processadores de dados pessoais contratados estão plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração do acordo entre as partes envolvidas.

Art. 34. Ações que violem a Política de Proteção de Dados Pessoais poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 35. Casos de descumprimento desta Política deverão ser registrados e comunicados ao Comitê de Governança Digital para ciência e tomada das providências cabíveis.

Art. 36. Os integrantes do CGD poderão expedir instruções complementares, no âmbito de suas competências, que detalharão suas particularidades e procedimentos relativos à Proteção de Dados Pessoais alinhados às diretrizes emanadas pelo Comitê de Governança Institucional e aos respectivos Planos Estratégicos Institucionais do DNOCS.

Art. 37. As dúvidas sobre a Política de Proteção de Dados Pessoais e seus documentos devem ser submetidas ao CGD.

Art. 38. Esta política deverá ser revisada no período de 2(dois) anos , a partir do início de sua vigência.

Art. 39. Os casos omissos serão resolvidos pelo Comitê de Governança Digital(CGD)

Eu li e entendi a Política de Proteção de Dados Pessoais do DNOCS. Entendo que se eu violar as diretrizes estabelecidas nesta Política, posso enfrentar ações legais e/ou disciplinares de acordo com as leis aplicáveis e as normas internas do DNOCS.

__________________________________________________________________________________