Resolução Consuni nº 29, de 24 de março de 2022

Aprova a Política de Privacidade e Proteção de Dados Pessoais da Universidade Federal de Alfenas (UNIFAL-MG) e dá outras providências.

O Conselho Universitário da UNIFAL-MG (Consuni), no uso de suas atribuições estatutárias e regimentais, tendo em vista o que consta do Processo nº 23087.010725/2021-31 e o que ficou decidido em sua 307ª reunião ordinária, realizada em 24 de março de 2022,

Considerando a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados – LGPD);

Considerando a  Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI);

Considerando a Resolução nº 39, de 15 de dezembro de 2020, que aprova o Plano de Desenvolvimento Institucional (PDI) da UNIFAL-MG, para o exercício de 2021-2025, em especial, os seguintes objetivos estratégicos: G5 – Implantar ações/políticas e diretrizes de segurança da informação na UNIFAL-MG;

Considerando a Resolução nº 8, de 26 de março de 2018, que aprova a Política de Segurança da Informação e Comunicação (PSIC) da UNIFAL-MG e dá outras providências; e

Considerando a Política de Gestão de Riscos da UNIFAL-MG, portaria nº 888 de 4 de maio de 2017 da UNIFAL-MG no art. 3º inciso VII e ao que prescreve o artigo 17 da Instrução Normativa Conjunta MPOG/CGU nº 1, de 10/05/2016 (IN).

RESOLVE aprovar a Política de Privacidade e Proteção de Dados Pessoais (PPPDP) da UNIFAL-MG, nos seguintes termos:

 

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 1º Fica estabelecida a Política de Privacidade e Proteção de Dados Pessoais (PPPDP) da UNIFAL-MG que se constitui de um conjunto de conceitos, princípios, normas de tratamento, diretrizes e responsabilidades aplicáveis à privacidade e proteção dos dados pessoais tratados na Universidade.

Art. 2º Esta Resolução aplica-se a qualquer operação de tratamento de dados pessoais sob a responsabilidade da Universidade, excetuando-se as hipóteses previstas no art. 4º da LGPD.

Art. 3º Esta política tem por objetivo informar as categorias de dados pessoais processados, a forma de utilização destes dados e as medidas adotadas para mantê-los seguros.

Art. 4º As disposições desta Política se referem a dados pessoais contidos em qualquer suporte físico, seja eletrônico ou não.

 

CAPÍTULO II

DOS CONCEITOS E DOS PRINCÍPIOS

Art. 5º Para os fins desta Resolução, considera-se:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI – Controlador/Controladora: Reitor/Reitora da Universidade;

VII – operador/operadora : pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome da Universidade;

VIII – encarregado/encarregada: pessoa indicada pelo/pela Reitor/Reitora para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX – agentes de tratamento: o/a controlador/controladora e o/a operador/operadora;

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; e

XVII – relatório de impacto à proteção de dados pessoais (RIPD): documentação da reitoria que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios, conforme a LGPD:

I – finalidade;

II – adequação;

III – necessidade;

IV – livre acesso;

V – qualidade dos dados;

VI – transparência;

VII – segurança;

VIII – prevenção;

IX – não discriminação;

X – responsabilização e prestação de contas.

 

CAPÍTULO III

DAS NORMAS DE TRATAMENTO DE DADOS PESSOAIS

Art. 7º Na UNIFAL-MG será realizado o tratamento mínimo dos dados pessoais, necessário e imprescindível à garantia do interesse público e à execução de suas funções e atividades da Universidade, em conformidade com a legislação vigente.

Art. 8º Deve estar disponível, de modo claro e atualizado, no sítio eletrônico da Universidade no mínimo os seguintes documentos e orientações destinados à divulgação de informações sobre a privacidade e proteção de dados pessoais:

I – as hipóteses que fundamentam a realização do tratamento de dados pessoais na Universidade;

II – a previsão legal, a finalidade, os procedimentos e os fluxo e/ou mapas de processos do tratamento de dados pessoais;

III – a identificação Controlador/Controladora e o contato deste/desta;

IV – o nome do/da encarregado/encarregada e o contato deste/desta;

V – as responsabilidades dos/das operadores/operadoras envolvidos no tratamento e os direitos do titular da informação com menção expressa ao art. 18 da LGPD.

Art. 9º A aplicação das normas de privacidade e proteção dos dados pessoais deverá ser realizada durante todo o ciclo de existência destes na Universidade: acesso, coleta, avaliação, classificação, armazenamento, controle, extração, comunicação, distribuição, difusão, eliminação, modificação, processamento, produção, recepção, reprodução, transferência, transmissão, utilização e outros a serem criados pela legislação.

 

CAPÍTULO IV

DAS DIRETRIZES

Art. 10. Para adequar os processos e os procedimentos da Universidade à LGPD, deverão ser consideradas as seguintes diretrizes:

I – conscientização da comunidade universitária sobre privacidade e proteção de dados pessoais;

II – diagnóstico por meio do levantamento e do mapeamento dos fluxos de dados pessoais tratados na Universidade, bem como verificação da conformidade do tratamento dos dados com o previsto na LGPD;

III – elaboração dos Instrumentos Operacionais da Política, dos Instrumentos de Segurança dos Dados Pessoais e da Cartilha de Boas Práticas e Governança para implantação da PPPDP na Universidade.

Art. 11. São ações de conscientização da comunidade universitária sobre privacidade e proteção de dados pessoais, entre outras:

I – criação de um infográfico e/ou fluxograma indicando o percurso a ser seguido pela UNIFAL-MG para implantação da LGPD;

II- produção de material, oferta de oficinas e cursos para comunidade universitária;

III – realização de campanhas para esclarecimento e conscientização sobre a adequação da UNIFAL-MG a LGPD;

IV – divulgação no âmbito da UNIFAL-MG dos Instrumentos Operacionais da Política, dos Instrumentos de Segurança dos Dados Pessoais e da Cartilha de Boas Práticas e Governança.

 

CAPÍTULO V

DOS INSTRUMENTOS E DA CARTILHA DE BOAS PRÁTICAS

Art. 12. São Instrumentos Operacionais desta Política:

I – Programa de Privacidade e Proteção de Dados Pessoais (PPPDP);

II – inventário de Dados Pessoais;

III – Guia para elaboração de termos de uso e políticas de privacidade para utilização dos serviços fornecidos pela universidade.

Art. 13. São Instrumentos de Segurança dos Dados Pessoais com o objetivo de definir medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito:

I – Programa de Segurança dos Dados Pessoais;

II – Plano de riscos de segurança e privacidade;

III – Guia com os requisitos mínimos necessários de Segurança da Informação e Privacidade em contratações de Soluções de Tecnologia da Informação;

IV – Guia de Segurança em Aplicação Web;

V – Guia de Framework de Segurança.

Art. 14. As medidas de segurança, técnicas e administrativas, para proteção dos dados pessoais, devem aplicar no mínimo as regras abaixo:

I – devem ser consideradas desde a concepção e durante todo o ciclo de existência do tratamento dos dados pessoais;

II – serem proativas e não reativas;

III – adotarem a privacidade por padrão, garantindo que os dados pessoais sejam protegidos automaticamente em qualquer sistema ou procedimento;

IV – devem estar incorporadas ao projeto dos sistemas e dos processos;

V – respeitar a privacidade do titular da informação;

VI – dar visibilidade e transparência da proteção dos dados pessoais.

Art. 15. Deve ser elaborada uma Cartilha de Boas Práticas e de Governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Parágrafo Único. A Cartilha de Boas Práticas e de Governança deve ser objeto de campanhas informativas para a comunidade universitária, como também estar disponível no sítio eletrônico da UNIFAL-MG, visando disseminar cultura protetiva, com conscientização e sensibilização da comunidade universitária.

Art. 16. Para melhorar o gerenciamento de riscos e a segurança cibernética, além dos Instrumentos operacionais, Instrumentos de Segurança dos Dados Pessoais e Cartilha de Boas Práticas, a PPPDP deve seguir os documentos abaixo, no que for aplicável a proteção de dados pessoais:

I – E-ping – Padrões de Interoperabilidade de Governo Eletrônico;

II – ABNT NBR ISO/IEC 27001:2013 – Sistemas de gestão da segurança da informação;

III – ABNT NBR ISO/IEC 27002: 2013 – Código de Prática para controles de segurança da informação;

IV – ABNT NBR ISO/IEC 27005:2019 – Gestão de riscos de segurança da informação;

V – ABNT NBR ISO/IEC 31000:2018 – Gestão de riscos – Diretrizes;

VI – ABNT NBR ISO/IEC 27701:2019 – Técnicas de segurança;

VII – Normativos do Gabinete de Segurança Institucional da Presidência da República;

VIII – Resolução nº 25, de 27 de abril de 2007, dos e Resolução nº 32, de 17 de maio de 2010, ambas do Conselho Nacional de Arquivo;

IX – Resolução nº 39, de 29 de abril de 2014, alterada pela Resolução nº 43 de 04 de setembro de 2015, do Conselho Nacional de Arquivos.

 

CAPÍTULO VI

DO COMITÊ GESTOR DA PPPDP

Art. 17. O Comitê Gestor da Política de Privacidade e Proteção de Dados Pessoais (CGPPPDP), de natureza permanente e consultivo-deliberativa, será instituído em até 30 (trinta) dias após a publicação desta Resolução e composto pelos seguintes integrantes:

I – Encarregado/Encarregada, que o presidirá;

II – 01 (um/uma) da Reitoria, que não seja o/a Controlador/Controladora;

III – 01 (um/uma) representante da Pró-Reitoria de Assuntos Comunitários e Estudantis;

IV – 01 (um/uma) representante da Pró-Reitoria de Administração e Finanças;

V – 01 (um/uma) representante da Pró-Reitoria de Planejamento, Orçamento e Desenvolvimento Institucional;

VI – 01 (um/uma) representante da Pró-Reitoria de Extensão;

VII – 01 (um/uma) representante da Pró-Reitoria de Gestão de Pessoas;

VIII – 01 (um/uma) representante da Pró-Reitoria de Graduação;

IX – 01 (um/uma) representante da Pró-Reitoria de Pesquisa e Pós-Graduação;

X – 01 (um/uma) representante da Agência de Inovação e Empreendedorismo;

XI – 01 (um/uma) representante do Sistema de Bibliotecas;

XII – 01 (um/uma) representante do Centro de Educação Aberta e à Distância

XIII – 01 (um/uma) representante da  Diretoria de Processos Seletivos

XIV – 01 (um/uma) representante do Departamento de Registros Gerais e Controle Acadêmico;

XV – 01 (um/uma) representante da Diretoria de Relações Internacionais e Interinstitucionais

XVI – 01 (um/uma) representante do Núcleo de Tecnologia de Informação

XVII – 01 (um/uma) representante da Procuradoria Jurídica;

XVIII – 01 (um/uma) representante do campus de Varginha;

XIX – 01 (um/uma) representante do campus de Poços de Caldas;

XX – 01 (um/uma) representante discente indicado/indicada pelo Diretório Central dos Estudantes (DCE).

§ 1º Os/as integrantes terão mandato de 2 (dois) anos permitida a recondução por igual período.

§ 2º Poderão ser convidados/convidadas colaboradores eventuais, sem o direito de voto, especificamente para prestar esclarecimento sobre determinado objeto de análise do comitê.

§ 3º A presidência designará um/uma secretário/secretária entre os/as integrantes do comitê.

Art. 18. As reuniões do CGPPPDP ocorrerão:

I – ordinariamente, no mínimo mensalmente, conforme calendário preestabelecido pela presidência;

II – extraordinariamente, por convocação da presidência ou um terço dos/das integrantes, com antecedência mínima de 3 (três) dias úteis.

§ 1° Na convocação constará a pauta dos assuntos a serem tratados, a indicação do local ou endereço eletrônico para acesso remoto, data e horário da reunião.

§ 2° Qualquer matéria urgente ou de alta relevância poderá, ser colocada em discussão, ainda que não conste na pauta de convocação, desde que justificada e aprovado pelo pleno.

§ 3° O quórum das reuniões ordinárias e extraordinárias do CGPPPDP é de maioria absoluta de seus/suas integrantes e o quórum de aprovação é de maioria simples dos presentes com o voto de qualidade da presidência em caso de empate.

§ 4º As deliberações do CGPPPDP, registradas em ata pela secretaria serão enviadas ao/a Controlador/Controladora para conhecimento e formalização, quando for o caso, com abrangência para toda a instituição.

 

CAPÍTULO VII

DAS RESPONSABILIDADES

Art. 19. Compete ao Consuni aprovar a PPPDP.

Art. 20. Compete ao/a Controlador/Controladora:

I – designar o/a Encarregado/Encarregada pelas informações relativas aos dados pessoais;

II – instituir o Comitê Gestor da Privacidade e Proteção de Dados Pessoais (CGPPPDP)

III – aprovar o RIPD, inclusive de dados sensíveis, referente a suas operações de tratamento de dados na Universidade;

IV – aprovar os Instrumentos Operacionais da Política, os Instrumentos de Segurança dos Dados Pessoais e a Cartilha de Boas Práticas e Governança.

Art. 21. Compete ao/a Encarregado/Encarregada:

I – receber as reclamações e comunicações dos titulares da informação, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os/as servidores/servidoras da Universidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV – executar as demais atribuições determinadas pelo/pela controlador/controladora ou estabelecidas em normas complementares a esta política.

Art. 22. Compete ao CGPPPDP:

I – sugerir ao/a Controlador/Controladora revisão da Política de Privacidade;

II – propor ao/a Controlador/Controladora os Instrumentos Operacionais da Política, os Instrumentos de Segurança dos Dados Pessoais e a Cartilha de Boas Práticas e Governança;

III – promover ações de conscientização para a comunidade universitária sobre proteção de dados pessoais;

IV – encaminhar para a Comissão de elaboração do Plano de Desenvolvimento Institucional (PDI) o relatório sobre a implantação da PPPDP, até junho do último ano de cada PDI da UNIFAL-MG.

Art. 23. Compete à Auditoria Interna / Comissão Fiscalizadora da PPPDP:

I – elaborar e submeter à aprovação ao/a Controlador/Controladora o RIPD, inclusive de dados sensíveis, referente a suas operações de tratamento de dados na Universidade;

II – fiscalizar a implantação da PPPDP.

Art. 24. Compete aos/as Operadores/Operadoras:

I – documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais e comunicar a sua Chefia Imediata e ao/a Encarregado/Encarregada, qualquer acesso indevido a dados pessoais que tenha conhecimento;

II – proteger a privacidade dos dados pessoais durante o tratamento;

III -coletar somente o mínimo necessário de dados pessoais para execução das atividades;

IV – capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade;

V – realizar o tratamento dos dados pessoais segundo as instruções fornecidas pelo controlador e demais normas previstas nesta política.

 

CAPÍTULO VIII

DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 25. A Política de Privacidade e Proteção de Dados Pessoais deve ser revista a cada 36 (trinta e seis) meses, a partir da data de sua publicação, ou ante a ocorrência de algumas das seguintes condições:

I – edição ou alteração de leis e/ou regulamentos relevantes;

II – alterações significativas de infraestrutura tecnológica da Universidade, por exemplo, mudança de armazenamento em data center;

III – análises de risco em relatório de impacto de proteção de dados pessoais que indique a necessidade de modificação no documento para readequação da organização visando prevenir ou mitigar riscos relevantes.

Art. 26. O CGPPPDP, no prazo de 180 dias após a aprovação da PPPDP, deverá apresentar os Instrumentos Operacionais da Política para apreciação e aprovação do/da Controlador/Controladora.

Art. 27. Os casos omissos relativos à Política serão analisados pelo CGPPPDP e submetidos à apreciação do Consuni.

Art. 28. Esta Resolução entra em vigor na data de sua publicação.

 

SANDRO AMADEU CERVEIRA

Presidente do Consuni

Este texto não substitui o publicado em 24.03.2022 na página Resoluções do Consuni – 2022.

Disponível em https://www.unifal-mg.edu.br/portal/wp-content/uploads/sites/52/2022/03/Resolucao-Consuni-no-29-de-24-de-marco-de-2022.pdf