PROGRAMA DE GOVERNANÇA EM PRIVACIDADE DO MINISTÉRIO DO DESENVOLVIMENTO E ASSISTÊNCIA SOCIAL, FAMÍLIA E COMBATE À FOME

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º O Programa de Governança em Privacidade observa as diretrizes regulatórias e da Alta Administração para a gestão do tratamento dos dados pessoais, nos meios físicos e digitais, manuais ou automatizados, com o propósito de promover a proteção dos dados pessoais e privacidade dos titulares no âmbito do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 2º O Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome tem objetivo de atender o disposto no inciso I do § 2º do art. 50 da Lei nº 13.709, de 14 de agosto de 2018.

CAPÍTULO II

DO PROGRAMA DE GOVERNANÇA EM PRIVACIDADE DO MINISTÉRIO DO DESENVOLVIMENTO E ASSISTÊNCIA SOCIAL, FAMÍLIA E COMBATE À FOME

Art. 3º O Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome orienta as ações do órgão no sentido de permitir melhoria do nível de maturidade e de conformidade com a Lei nº 13.709, de 14 de agosto de 2018.

Art. 4º O Comitê de Governança Digital - CGD é a instância da estrutura de governança do MDS responsável pela gestão do Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 5º A Câmara Técnica de Proteção de Dados Pessoais - CTPD é a instância da estrutura de governança do MDS responsável pela coordenação, supervisão e orientação das atividades e procedimentos relacionados ao Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 6º São atores do Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome:

I - titular: qualquer pessoa natural, protegida pelo princípio da autodeterminação informativa (inciso II do art. 2º da Lei nº 13.709, de 14 de agosto de 2018);

II - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (inciso VI do art. 5º da Lei nº 13.709, de 14 de agosto de 2018);

III - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (inciso VII do art. 5º da Lei nº 13.709, de 14 de agosto de 2018);

IV - encarregado: corresponde a uma pessoa natural investida nessa função e sua incumbência é de fazer a intermediação entre o titular e os agentes de tratamento, mas também entre esses agentes e a Autoridade Nacional de Proteção de Dados - ANPD (inciso VIII do art. 5º da Lei nº 13.709, de 14 de agosto de 2018);

V - Autoridade Nacional de Proteção de Dados: a entidade responsável pela missão de regular o setor de tratamento de dados pessoais; e

VI - Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos e da Autoridade Nacional de Proteção de Dados: a entidade responsável pelo Programa de Privacidade e Segurança da Informação - PPSI.

Art. 7º São etapas do Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, a serem implementadas:

I - Iniciação e Planejamento;

II - Construção e Execução; e

III - Monitoramento.

§ 1º As etapas são constituídas de marcos, que não exigem sua execução de forma sequencial, inclusive entre etapas.

§ 2º Podem ser definidos projetos, normativos internos, entre outras ações, para alcance dos resultados esperados no Programa.

§ 3º Os marcos de cada etapa podem ser de execução contínua ou pontual, conforme suas características.

Seção I

Da etapa de Iniciação e Planejamento

Art. 8º A etapa de Iniciação e Planejamento busca compreender as primeiras informações e os dados importantes que devem ser conhecidos, sendo constituída pelos seguintes marcos:

I - Nomeação do Encarregado;

II - Alinhamento de Expectativas com a Alta Administração;

III - Maturidade da Organização;

IV - Medidas de Segurança;

V - Estrutura Organizacional para Governança e Gestão da Proteção de Dados Pessoais;

VI - Inventário de Dados Pessoais; e,

VII - Levantamento de Contratos relacionados a Dados Pessoais.

§ 1º O Encarregado deve estar designado no início do Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

§ 2º No alinhamento de expectativas com a alta gestão, devem ser analisadas e priorizadas as ações mais urgentes para adequação à Lei nº 13.709, de 14 de agosto de 2018.

§ 3º A análise de maturidade e de medidas de segurança deve observar as orientações do Guia do Framework de Privacidade e Segurança da Informação da Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos, bem como do Guia de Boas Práticas da Lei nº 13.709, de 14 de agosto de 2018 do Comitê Central de Governança de Dados instituído pelo Decreto 10.046, de 9 de outubro de 2019.

§ 4º A realização de um Inventário de Dados Pessoais deve observar as orientações do Guia de Elaboração de Inventário de Dados Pessoais da da Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos.

§ 5º O Inventário de Dados Pessoais permite a observância do requisito de manutenção de registro das operações de tratamento de dados pessoais, bem como auxiliar no controle do atendimento aos princípios da Lei nº 13.709, de 14 de agosto de 2018.

§ 6º O levantamento dos contratos relacionados a dados pessoais ocorre a partir do levantamento dos serviços que tratam dados pessoais constantes do Inventário de Dados Pessoais, a que se refere o §4º.

Subseção I

Do Inventário de Dados Pessoais

Art. 9º Os Órgãos de Assistência Direta e Imediata ao Ministro, os Órgãos Específicos Singulares e as Unidades Gestoras de Bases de Dados devem assegurar a adoção de medidas eficazes para realização do Inventário de Dados Pessoais, o qual deve identificar o tratamento de dados pessoais nas atividades de competência da respectiva unidade, com especial atenção para os dados pessoais sensíveis definidos na Lei nº 13.709, de 2018, considerando todas as fases do ciclo de vida no Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

§ 1º O Inventário de Dados Pessoais deve ser iniciado por cada Órgão de Assistência Direta e Imediata ao Ministro, os Órgãos Específicos Singulares e as Unidades Gestoras de Bases de Dados, os quais devem identificar o tratamento de dados pessoais nas atividades de competência da respectiva unidade, após a publicação do Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome com atualização anual.

§ 2º Além das informações previstas no §1º, serão consignados no Inventário o compartilhamento de dados pessoais, inclusive de transferência internacional, com a identificação das instituições que compartilham dados pessoais com o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Seção II

Da etapa de Construção e Execução

Art. 10. A etapa de Construção e Execução busca promover a proteção dos direitos do titular em relação à privacidade e garantir que o desenvolvimento e implementação do Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome observe a legislação aplicável, sendo constituída pelos seguintes marcos:

I - Políticas e práticas para proteção da privacidade do cidadão;

II - Cultura de segurança e proteção de dados e Privacy by Design;

III - Relatório de Impacto à Proteção de Dados Pessoais - RIPD;

IV - Medidas e política de segurança da informação e política de proteção de dados e privacidade;

V - Adequação de cláusulas contratuais; e

VI - Termos de uso.

Subseção I

Políticas e Práticas de Proteção da Privacidade do Cidadão

Art. 11. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve adotar políticas e práticas para garantir a proteção da privacidade do cidadão, em conformidade com a Lei nº 13.709, de 14 de agosto de 2018, tais como:

I - informar aos titulares dos dados pessoais sobre a finalidade, a forma e a duração do tratamento, bem como sobre os direitos que lhes assistem;

II - obter o consentimento dos titulares dos dados pessoais sempre que necessário, de forma livre, informada e inequívoca, e, nesse caso, permitir a sua revogação a qualquer momento;

III - limitar o tratamento dos dados pessoais ao mínimo necessário para a realização das finalidades declaradas e respeitar os princípios da qualidade, transparência, segurança e prevenção;

IV - garantir que os dados pessoais sejam tratados de forma lícita, leal e compatível com as finalidades informadas;

V - assegurar aos titulares dos dados pessoais o exercício dos seus direitos de confirmação, acesso, retificação, anonimização, bloqueio, eliminação, portabilidade, informação, oposição e revisão de decisões automatizadas;

VI - adotar medidas técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou difusão indevida; e

VII - comunicar aos titulares dos dados pessoais e à Autoridade Nacional de Proteção de Dados a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante.

Subseção II

Cultura de segurança e proteção de dados e Privacy by Design

Art. 12. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve adotar as medidas necessárias para promover a cultura de segurança e proteção de dados pessoais e o princípio de Privacy by Design, que consiste na incorporação de práticas de privacidade e proteção de dados desde o início do desenvolvimento de produtos, serviços ou processos que envolvam tratamento de dados pessoais.

Parágrafo único. As medidas referidas no caput deste artigo incluem, mas não se limitam a:

I - promover ações de capacitação e conscientização dos agentes públicos com o intuito de promover uma cultura de segurança e proteção de dados pessoais, bem como de Privacidade desde a Concepção (privacy by design);

II - comunicar os objetivos, metas e indicadores utilizados pelo Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;

III - divulgar o papel do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome como custodiante dos dados e sua responsabilidade ao tratar os dados pessoais dos titulares;

IV - disponibilizar as informações do Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome de forma clara, eficiente e acessível; e

V - orientar os agentes públicos e demais partes interessadas sobre as boas práticas de segurança da informação e proteção de dados pessoais.

Subseção III

Relatório de Impacto à Proteção de Dados Pessoais

Art. 13. Compete a cada Órgão de Assistência Direta e Imediata ao Ministro, os Órgãos Específicos Singulares e as Unidades Gestoras de Bases de Dados a elaboração do Relatório de Impacto à Proteção de Dados Pessoais com a descrição dos tratamentos de dados pessoais que podem gerar riscos aos direitos e às garantias fundamentais dos titulares, inclusive das liberdades civis dos titulares, com destaque para as salvaguardas e medidas mitigadoras dos riscos apontados pelo documento.

§ 1º O Relatório de Impacto à Proteção de Dados Pessoais deve ser elaborado anualmente considerando riscos críticos e eventuais ocorrências de incidentes relatados pela Equipe de Tratamento e Resposta a Incidentes Cibernéticos.

§ 2º Serão consideradas suscetíveis de causar elevado risco aos direitos e às garantias fundamentais dos titulares de dados pessoais as operações de tratamento que, entre outros, envolverem:

I - limitação no exercício dos direitos dos titulares de dados pessoais;

II - dados pessoais sensíveis de terceiras pessoas;

III - dados pessoais de crianças e adolescentes;

IV - dados biométricos e genéticos;

V - a localização ou o comportamento dos titulares de dados pessoais, inclusive no local de trabalho;

VI - dados que possam colocar em risco a vida, a saúde ou a segurança dos titulares de dados pessoais;

VII - o tratamento massivo de dados pessoais acessíveis publicamente ou tornados manifestamente públicos pelos próprios titulares;

VIII - a combinação de dados ou conjunto de dados de fontes diferentes; e

IX - decisões automatizadas que envolvam dados pessoais.

§ 3º As orientações constantes do Guia/Modelo de Elaboração de Relatório de Impacto à Proteção de Dados Pessoais, da Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos, serão observadas na elaboração do Relatório de Impacto à Proteção de Dados Pessoais.

Subseção IV

Medidas e Política de Segurança da Informação e Política de Privacidade

Art. 14. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve adotar medidas e política de segurança da informação e política de privacidade adequadas para garantir a proteção dos dados pessoais tratados no desempenho de sua missão institucional, em conformidade com o disposto na Lei nº 13.709, de 2018, no Decreto nº 10.046, de 2019, e nas demais normas aplicáveis.

§ 1º As medidas e políticas de segurança da informação e privacidade devem considerar os princípios, os direitos e as garantias previstos na Lei nº 13.709, de 2018, bem como os riscos envolvidos no tratamento dos dados pessoais, levando em conta a natureza, o escopo, o contexto e as finalidades do tratamento.

§ 2º As medidas e políticas de segurança da informação e privacidade devem abranger, entre outros aspectos:

I - a definição de responsabilidades, atribuições e competências dos agentes de tratamento de dados pessoais;

II - o destaque e elucidação das questões relacionadas à diferença entre o titular e o custodiante do dado pessoal, bem como as obrigações quanto ao fornecimento de informações aos titulares com relação ao tratamento dos dados pessoais, termo de uso e política de privacidade;

III - a adoção de procedimentos e mecanismos de controle para prevenir, detectar, remediar e comunicar incidentes de segurança que possam afetar os dados pessoais;

IV - a realização de análises de impacto à proteção de dados pessoais, sempre que o tratamento puder resultar em riscos relevantes aos titulares;

V - a implementação de boas práticas e padrões de segurança da informação e privacidade, tais como criptografia, anonimização, pseudonimização, minimização, qualidade e atualização dos dados; e

VI - a revisão periódica das medidas e políticas de segurança da informação e privacidade, visando a sua adequação e aperfeiçoamento.

§ 3º A necessidade de investimento em segurança da informação, de forma a implementar sistemas de proteção efetivos de prevenção, detecção e remediação de vazamento de dados pessoais, deve ser avaliada para verificar potenciais impactos na implementação do programa de governança em privacidade.

§ 4º A Segurança da Informação é definida pela Política de Segurança da Informação e Comunicações do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome - POSIC/MDS.

§ 5º A Proteção de Dados e Privacidade é definida pela Política Geral de Proteção de Dados e Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome - PGPDP/MDS.

Subseção V

Adequação de Cláusulas Contratuais

Art. 15. Deve ser realizada a revisão de cláusulas contratuais relacionadas a contratos, convênios e outros instrumentos mapeados pelo Inventário de Dados Pessoais que, para a sua execução, realize tratamento de dados pessoais, de modo a atender as disposições da Lei nº 13.709, de 14 de agosto de 2018.

Parágrafo único. O contrato, convênio ou outro instrumento deve apresentar informações claras e objetivas, abordando, se pertinente:

I - a delimitação clara e objetiva das responsabilidades do controlador e operador;

II - a forma que é realizada a coleta e o tratamento de dados;

III - a existência da possibilidade de o titular acessar os seus dados coletados;

IV - a forma que é realizada a correção, bloqueio ou eliminação de dados mediante solicitação do titular;

V - a existência da possibilidade de revogação do consentimento dado pelo titular;

VI - o detalhamento de quem tem acesso aos dados, o responsável por seu uso e tratamento, a forma de armazenamento e as particularidades de possíveis auditorias; e

VII - as medidas de proteção e segurança dos dados coletados e armazenados pela contratada.

Subseção VI

Termo de Uso e Política de Privacidade

Art. 16. O Termo de Uso e Política de Privacidade devem ser constantemente atualizados a fim de refletir, de modo claro e preciso, as regras aplicáveis ao serviço e as finalidades de coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos titulares.

§ 1º O Termo de Uso é um documento que fornece uma descrição detalhada do serviço, das condições e das regras aplicáveis a ele.

§ 2º A Política de Privacidade faz parte do Termo de Uso e consiste na prestação de informações ao titular sobre o tratamento dos dados pessoais e a privacidade fornecida.

§ 3º As orientações constantes do Guia de elaboração de Termo de Uso e Política de Privacidade, da Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos, serão observadas na elaboração de Termo de Uso e Política de Privacidade.

Seção III

Da etapa de Monitoramento

Art. 17. A etapa de Monitoramento busca acompanhar a conformidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome à Lei nº 13.709, de 14 de agosto de 2018, por meio de atividades de coleta, análise de informações, elaboração de relatórios e apresentações de resultados e é constituída pelos seguintes marcos:

I - Indicadores de Performance;

II - Gestão de Incidentes;

III - Análise dos Resultados; e

IV - Reporte de resultados.

§ 1º Sem prejuízo do uso de indicadores de performance específicos, serão adotados os indicadores constantes do Guia do Framework de Privacidade e Segurança da Informação da SGD/MGI:

I - de Maturidade por Controle (iMC);

II - de Maturidade de Privacidade (iPriv); e

III - de Maturidade de Segurança da Informação (iSeg)

§ 2º O procedimento de gestão de incidentes do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome será estabelecido em normativo próprio.

§ 3º Deve ser estabelecido uma estrutura de divulgação de resultados para a alta direção, bem como comunicado a evolução das ações e resultados obtidos pelo Programa de Governança em Privacidade para os agentes públicos, de modo a reforçar e fortalecer a cultura de privacidade no Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

CAPÍTULO III

DAS DISPOSIÇÕES GERAIS

Art. 18. O Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve incorporar, no que couber, as orientações, da Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos e da Autoridade Nacional de Proteção de Dados, relacionadas ao cumprimento das disposições da Lei nº 13.709, de 14 de agosto de 2018.

Art. 19. O Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve ser contínuo e constantemente monitorado, devendo ser atualizado sempre que necessário, considerando, no mínimo, os resultados e informações constantes de relatórios, resultados dos Indicadores de Performance, da Gestão de Incidentes, entre outros.

Art. 20. O plano de ação de implementação do Programa de Governança em Privacidade do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve ser elaborado e atualizado pela Câmara Técnica de Proteção de Dados Pessoais e aprovado pelo Comitê de Governança Digital.

Art. 21. Os casos omissos ou as excepcionalidades serão solucionados pelo Comitê de Governança Digital.