Página 59 da Seção 1 do Diário Oficial da União (DOU) de 22 de Junho de 2022

Diário Oficial da União
há 2 meses
Por que esse conteúdo está aqui?
O Jusbrasil não cria, edita ou altera o conteúdo exibido. Replicamos somente informações que foram veiculadas pelos órgãos oficiais.Toda informação aqui divulgada é pública e pode ser encontrada, também, nos sites que publicam originalmente esses diários.

Art. 21. A publicação dos atos sigilosos, se for o caso, limitar-se-á ao seu respectivo número, data de produção e classificação, prazo de classificação e indicação do dispositivo legal que fundamenta a classificação.

CAPÍTULO VIII

DO TRATAMENTO DE DADOS PESSOAIS PARA OS PROJETOS DE ENSINO, PESQUISA E EXTENSÃO DO IFTO

Art. 22. O tratamento de dados pessoais é permitido quando esses dados são necessários à realização de programas, projetos e ações de ensino, pesquisa e extensão do IFTO, conforme disposto no art. , inciso IV, e no art. 11, inciso II, alínea c, da LGPD.

§ 1º O responsável ou o coordenador do projeto deve seguir o fluxo descrito neste dispositivo, elencando objetivo do tratamento, responsável e operadores, método de anonimização (quando couber), período de processamento (desde a coleta até a finalização, inclusive com publicação), finalização do tratamento e método de eliminação de dados.

§ 2º A responsabilização administrativa, civil e criminal quanto ao descumprimento da LGPD e dos normativos, como em caso de vazamento de dados, é do coordenador do projeto e dos servidores participantes do projeto, assim como o consequente tratamento de dados pessoais, exceto quando possível a comprovação prevista no § 1º do art. 10 da LGPD.

§ 3º Quando houver necessidade de coleta de dados pessoais individuais para realização de programas, projetos e ações de ensino, pesquisa e extensão do IFTO, principalmente através de formulários digitais ou em papel, caso não possam ser justificados dentro das Políticas Públicas, deverá constar termo de consentimento. Se forem justificados dentro das Políticas Públicas, deverão constar em editais e chamamentos o objetivo do tratamento dos dados e o período em que os dados serão tratados, em conformidade com a LGPD, sem prejuízo das regras previstas pelo Comitê de Ética em Pesquisa do IFTO.

§ 4º A responsabilidade de acesso aos participantes da pesquisa é de responsabilidade do pesquisador, não cabendo ao IFTO divulgação em listas de e-mail ou repasse de e-mails referentes aos participantes, bem como é vedada a divulgação de telefones ou endereços sem o consentimento do titular.

CAPÍTULO IX

DO TRATAMENTO DE DADOS PESSOAIS NO INGRESSO DE ESTUDANTES ATRAVÉS DE MATRÍCULAS E BOLSAS E DO TRATAMENTO DE DADOS DE MENORES

Art. 23. Os dados pessoais coletados durante o período de matrícula, físicos ou eletrônicos, deverão ser armazenados de forma segura. Não será necessário termo de consentimento quando os dados forem solicitados em conformidade com o art. 8º, § 2º, desta Instrução Normativa.

Parágrafo único. Em caso de necessidade de consentimento para participações em outros programas institucionais que não se justifique dentro da finalidade pública precípua, deverá ser solicitado o consentimento do titular. O modelo de termo de consentimento deverá informar sobre o papel do controlador e sobre o tratamento de dados pessoais.

Art. 24. A simples publicação do nome dos alunos matriculados em determinado curso não viola seus direitos à privacidade, visto que seu vínculo com o IFTO decorre de aprovação em processo seletivo que prevê ampla divulgação dos aprovados, imprescindível para garantir a lisura da seleção e a fiscalização, além do monitoramento e do controle das ações da Administração Pública.

Art. 25. No tratamento de dados de menores que não se justifique dentro da finalidade prevista no art. , § 2º, desta Instrução Normativa, deverá ser observado, pelas áreas educacionais responsáveis, o art. 14, §§ 1º e , da LGPD.

§ 1º Caberá às pró-reitorias e às áreas de ensino da Reitoria, dentro de suas atribuições e responsabilidades em relação aos dados pessoais e sensíveis que estiverem sob responsabilidade de suas políticas públicas, normatizar as rotinas institucionais unificadas para o órgão, que deverão ser ajustadas para atender à LGPD, ao Guia Orientativo de Tratamento de Dados Pessoais pelo Poder Público, expedido pela ANPD, e a esta Instrução Normativa.

§ 2º Sempre que necessário, deve-se observar os termos previstos nesta Instrução Normativa, na Lei Geral de Proteção de Dados e nas Normas Gerais expedidas pela ANPD, bem como submeter as normas de segurança implementadas para apreciação da Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO, após nomeada pelo seu gestor máximo.

§ 3º As pró-reitorias e áreas de ensino deverão atuar em conjunto com os gestores dos campi nessa normatização para melhor sistematização e compreensão das particularidades da Governança do órgão, respeitadas as particularidades e a autonomia concedida à Reitoria como órgão central e de mentoreamento, consultando, sempre que necessário, a Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO.

§ 4º O responsável legal do menor deverá autorizar, mediante termo de consentimento, conforme o Anexo III desta Instrução Normativa, a utilização dos dados do menor para fins de participação em projetos diversos dos previstos nas políticas públicas estabelecidas em lei.

CAPÍTULO X

DA COMISSÃO PERMANENTE DE GERENCIAMENTO DE DADOS INSTITUCIONAIS DO IFTO

Art. 26. Após a publicação desta Instrução Normativa, será instituída a Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO, a ser nomeada pelo gestor máximo do órgão, com o objetivo de avaliar o processo de abertura de dados públicos, as ações de tratamento de dados e a adequação à Lei Geral de Proteção de Dados, assessorando o encarregado de dados em suas atividades descritas no art 4º desta Instrução Normativa.

Art. 27. A Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO será composta por:

I - presidente do Comitê Gestor de Tecnologia da Informação;

II - ouvidor do IFTO;

III - um membro da Diretoria de Tecnologia de Informação;

IV - encarregado de dados do IFTO;

V - um membro de cada uma das pró-reitorias do Instituto Federal do Tocantins; e

VI - um membro da Diretoria de Gestão de Pessoas.

Parágrafo único. Deverão ser designados, preferencialmente, servidores que ocupem cargo de gestão, considerando que esse tema envolve a governança pública.

Art. 28. A Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO deverá auxiliar o controlador, no âmbito de suas competências, formulando regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento e os procedimentos, incluindo verificações nas reclamações e petições de titulares, para melhoria nos processos de gerenciamento de dados em conformidade com esta Instrução Normativa, a LGPD e as solicitações e instruções da ANPD.

Parágrafo único. A Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO deverá, sempre que necessário, propor melhorias nas normas de segurança, nos padrões técnicos, nas obrigações específicas para os diversos envolvidos no tratamento, propor ações educativas, incentivar melhoria nos mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Art. 29. A Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO avaliará, em etapa pertinente, conforme fluxo para o tratamento de dados pessoais, as consultas sobre Tratamento de Dados Pessoais para as obrigações legais, políticas públicas ou processo de contratação, conforme o art. 6º, e para os projetos de pesquisa, ensino e extensão do IFTO, conforme previsto no art. 30, emitindo parecer:

I - favorável à publicação, quando da não existência de dados pessoais ou dos casos contidos no art. e no art. 11 da LGPD;

II - condicional, com indicações de alteração no processo de tratamento de dados; ou

III - desfavorável, quando da impossibilidade de adequação do processo de tratamento de dados aos critérios da LGPD.

Parágrafo único. Fica dispensada a emissão do Parecer da Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO quando puder ser verificado, em normatização ou legislação pacificada referente ao tema, como deverá ser realizado o tratamento daquele dado, ficando a gestão responsável por informar a base legal. A dispensa fica condicionada, desde que não haja espaços para discricionariedade na atuação da Administração Pública.

CAPÍTULO XI

DO PERCURSO PARA O TRATAMENTO DE DADOS PESSOAIS NO ÂMBITO DO IFTO

Art. 30. Em conformidade com a Lei Geral de Proteção de Dados e com a Lei de Acesso a Informacao, compete aos gestores do IFTO e aos responsáveis pelos Setores de Controle do IFTO, ao receberem um Pedido de Acesso à Informação através de Transparência Passiva, ou seja, através do Serviço de Informação ao Cidadão do IFTO, verificar, ao emitir a resposta aos pedidos de acesso à informação relativos à sua unidade ou setor, se existem informações pessoais sensíveis e protegidas pela Lei nº 12.527, de 2011, e pela Lei nº 13.709, de 2018, de forma que as informações a serem repassadas aos solicitantes não exponham os dados pessoais ou dados sensíveis, observando, sempre que necessário, de forma complementar, esta Instrução Normativa.

Parágrafo único. Esta Instrução Normativa ou a LGPD não poderão ser avocadas indevidamente para negar informações previstas como públicas na Lei de Acesso a Informacao, devendo ser protegidos somente os dados previstos em legislação específica ou base legal. Deverão ser observados, primeiramente, os arts. e 31 da Lei de Acesso a Informacao e, posteriormente, verificados os casos de proteção de dados previstos na LGPD.

Art. 31. Em caso de tratamento de dados não previstos dentro das finalidades públicas anteriormente autorizadas, fica definido o fluxo necessário para a realização do tratamento de dados, devendo-se respeitar as seguintes etapas:

I - a solicitação de tratamento de dados pessoais é enviada para a Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO, através de processo de trabalho referente à autorização dos projetos de ensino, pesquisa e extensão, ou pelo operador solicitante, por e-mail;

II - a análise será procedida pela Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO, que emitirá parecer sobre o tratamento desses dados, positivo ou negativo, sem prejuízo do previsto no art. 29, parágrafo único; e

III - sempre que possível, a administração do IFTO informará antecipadamente em seus contratos, editais e quaisquer documentos a finalidade do tratamento dos dados pessoais, mesmo que visem ao cumprimento de obrigação legal do IFTO como controlador, conforme o art. , inciso II, da LGPD.

Art. 32. Para os casos em que será necessário o consentimento do titular, de acordo o art. da LGPD, fica definido o seguinte fluxo para a realização do tratamento de dados:

I - a solicitação de tratamento de dados pessoais deverá ser enviada para a Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO, através de processo instituído referente à autorização dos projetos de ensino, pesquisa e extensão ou pelo operador solicitante;

II - a análise deverá ser feita pela Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO, que emitirá parecer favorável, condicional ou desfavorável à publicação. A emissão do parecer levará sempre em consideração os aspectos legais da LGPD e os manuais expedidos pela ANPD;

III - o operador solicitante deverá coletar termos de responsabilidade dos operadores participantes do tratamento de dados;

IV - o operador solicitante deverá efetuar o encaminhamento dos documentos e termos de responsabilidade ao encarregado de dados do IFTO, que deve manter controle das ações de tratamento de dados, seus operadores e titulares de dados;

V - a execução do tratamento dos dados deverá ser comunicada ao encarregado de dados do IFTO em caso de não conformidade com o planejamento durante a execução e manutenção de controle de lista de titulares; e

VI - a finalização do tratamento dos dados e a sua eliminação, se necessária, deverá ocorrer observando as instruções expedidas pela ANPD e as normas gerais da LGPD.

Art. 33. A análise da Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO deverá observar os seguintes critérios:

I - solicitações sobre o tratamento de dados pessoais de formas atípicas das previstas em obrigações legais, políticas públicas ou processos de contratação, ressalvados os casos já previstos nesta Instrução Normativa;

II - casos de tratamento de dados pessoais para os projetos de ensino, pesquisa e extensão do IFTO;

III - casos que tenham necessidade de tratamento de dados pessoais, quando não seja possível o tratamento dos dados sem a custódia, ante o objeto da solicitação;

IV - a necessidade de tratamento de dados pessoais quando o titular tratarse de crianças e adolescentes, bem como o processo de consentimento pelo responsável e substituição de contato, conforme versa o art. 14 da LGPD; e

V - a segurança quanto à custódia de dados e o processo de finalização do tratamento de dados devem ser considerados, incluindo a sua eliminação quando houver necessidade, em respeito aos arts. 15 e 16 da LGPD.

Art. 34. O dados pessoais do titular de dados poderão ser conservados pelo IFTO desde que observadas as finalidades previstas no art. 16 da LGPD:

I - cumprimento de obrigação legal ou regulatória pelo controlador;

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou

IV - uso exclusivo do controlador, vedado seu acesso por terceiro e desde que anonimizados os dados.

CAPÍTULO XII

DA RESPONSABILIZAÇÃO E DO FLUXO QUANDO DO DESCUMPRIMENTO

Art. 35. A responsabilização ocorrerá em razão do exercício de atividade de tratamento de dados pessoais que causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, buscando a reparação ao titular, conforme o art. 42 da LGPD.

Art. 36. A denúncia ou a reclamação a partir de titulares ou de notificação de órgão de controle devem ser recebidas pelo encarregado de dados do IFTO que, apoiado pela Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO ou pelos Setores de Controle do IFTO, dará os encaminhamentos que forem necessários, conforme o caso:

I - notificação à ANPD;

II - notificação ao reitor do IFTO;

III - notificação ao órgão correcional para abertura de processo de sindicância, buscando

identificação de responsáveis; e

IV - estudo com o objetivo de identificar o impacto do dano ou da violação à legislação de proteção de dados pessoais, culminando com parecer técnico.

CAPÍTULO XIII

DA SEGURANÇA DOS DADOS DURANTE O TRATAMENTO

Art. 37. Durante o período de tratamento de dados, os operadores são responsáveis pela segurança da informação e das ações para mitigação de riscos de acesso.

Parágrafo único. Quando o operador fizer uso de ferramentas ou estrutura disponibilizada pelo IFTO para tratamento dos dados, o Comitê Gestor de Segurança da Informação e a Diretoria de Tecnologia de Informação deverão manter rotinas de minimização de riscos de segurança da informação relacionados a custódia de dados e permissão de acessos.

Art. 38. O Comitê Gestor da Segurança da Informação terá como atribuição assessorar as atividades relacionadas à segurança da informação, quando consultado pela Comissão Permanente de Gerenciamento de Dados Institucionais do IFTO.