Tratamento de Dados Pessoais

O Conselho Nacional de Desenvolvimento Científico e Tecnológico – CNPq, em cumprimento ao que dispõe o inciso I do art. 23 da Lei nº 13.709, de 2018 (LGPD), informa as hipóteses em que realiza o tratamento de dados pessoais para atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências ou cumprir suas atribuições legais do serviço público, destacando as previsões legais, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.

O CNPq trata dados para

• Cumprir Obrigação Legal ou Regulatória
• Executar Políticas Públicas

Medidas de Segurança adotadas pelo CNPq 

• Implementa a LGPD, a Política de Segurança de Informação e as Normas Correlatas
• Implementa o Programa de Privacidade de Dados como Prioridade 1 no Planejamento Estratégico do CNPq
• Conta com Estrutura de Governança, pelo Comitê de Segurança da Informação - CSI
• Protege a identidade e os elementos de identificação dos manifestantes
• Capacita e orienta permanentemente seus servidores 
• Implementa mecanismos de rastreabilidade e de restrição de acesso nos sistemas
• Atualiza e controla recursos computacionais
• Implementa mecanismos de rastreabilidade e de restrição de acesso nos sistemas
• Executa backups rotineiramente
• Realiza inventários e avalia riscos quanto ao tratamento de dados pessoais nos sistemas e processos

Informações importantes

O CNPq trata:

Dados pessoais

Os dados pessoais coletados pelo CNPq são dados autodeclarados, depositados na Plataforma Lattes por meio do Currículo Lattes. A Portaria CNPq 1.464 de 24 de outubro de 2023, estabelece o Termo de Uso e a Política de Privacidade da Plataforma Lattes do CNPq.

Os dados pessoais são coletados com a finalidade de permitir que o usuário seja beneficiado pelas políticas públicas executadas pelo CNPq, considerando que os dados ao serem manuseados são preferencialmente anonimizados.

Dados pessoais sensíveis

De acordo com a LGPD, art. 5º, II , dado pessoal sensível é aquele sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

O CNPQ coleta dados sensíveis como sexo, origem racial e etnia, além de dados sobre paternidade e adoção, que são tratados de forma anonimizada para execução de políticas públicas.

Dados pessoais de crianças e adolescentes

Os dados de crianças e adolescentes são coletados em observância ao melhor intesesse do menor, prioritariamente com o consentimento dos pais ou responsáveis legais ou amparado pelo art. 7º e 11, conforme o ENUNCIADO CD/ANPD Nº 1, DE 22 DE MAIO DE 2023.

Os dados de crianças e adolescentes são tratados visando a execução de políticas públicas e o uso compartilhado de dados de crianças e adolescentes ocorre exclusivamente para avaliação e estudos por órgãos de pesquisa, de modo anonimizado.

1. Finalidade de Tratamento de dados do CNPq

O tratamento de dados pessoais pelo CNPq destina-se ao exercício de suas competências legais, bem como para o tratamento e uso compartilhado de dados necessários ao acompanhamento, monitoramento e execução de políticas públicas.

2. Bases legais que fundamentam o tratamento de dados do CNPq

Sem prejuízo do tratamento não alcançado pelo escopo da Lei nº 13.709, de 2018, identifica-se como bases preponderantes para o tratamento de dados pessoais no âmbito do CNPq o disposto nos incisos I, II e III do art. 7º da Lei nº 13.709, de 2018:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: 

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador; 

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

Excepcionalmente, o CNPq trata dados pessoais por meio de consentimento do titular, previsto no art. 7º,I.

O tratamento de dados pessoais sensíveis pelo CNPq está amparado nas hipóteses indicadas no art.11 I e II (a e b), como segue:

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

3. Compartilhamento de dados

O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais (Consultar Guia Tratamento de dados pessoais pelo Poder Público).

O CNPq, conforme o art. 7º, II, da LGPD, compartilha dados pessoais “para o cumprimento de obrigação legal ou regulatória pelo controlador”. A mesma hipótese está prevista no art. 11, ii, a, que rege o tratamento de dados sensíveis.

Outra hipótese de compartilhamento de dados pelo CNPq decorre da hipótese prevista nos arts 7º, IV e 11, II.c, permitindo o acesso a dados pessoais e pessoais sensíveis para fins de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais (Consultar Guia de Tratamento de dados pessoais para fins acadêmicos e para a realização de estudos e pesquisas).

É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

 I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) ;

II - (VETADO);

III - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.

IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou        (Incluído pela Lei nº 13.853, de 2019)      Vigência

V - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.   (Incluído pela Lei nº 13.853, de 2019)  

4. Medidas de segurança adotadas pelo CNPq

Em complemento à Política de Segurança da Informação e Comunicações, o CNPq constituiu a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR), com o objetivo de coordenar as atividades de tratamento e resposta a incidentes de segurança ocorridos na Rede do CNPq.

Também foi aprovada a Política de Backup e Restauração de Dados Digitais do Conselho Nacional de Desenvolvimento Científico e Tecnológico – CNPq, que tem objetivo instituir diretrizes, responsabilidades e competências que visam a segurança, proteção e disponibilidade dos dados digitais custodiados pelo CNPq, para se manter a continuidade do negócio. Além de estabelecer mecanismos que permitam a guarda dos dados e sua eventual restauração em casos de indisponibilidades ou perdas por erro humano, ataques, catástrofes naturais ou outras ameaças, no sentido de assegurar a missão institucional do CNPq.