SEI/CNMP - 0862735 - Portaria CNMP-PRESI

Timbre

CONSELHO NACIONAL DO MINISTÉRIO PÚBLICO

Institui a Política de Privacidade de dados dos usuários dos serviços públicos prestados pelo Conselho Nacional do Ministério Público.

O PRESIDENTE DO CONSELHO NACIONAL DO MINISTÉRIO PÚBLICO, no uso das atribuições que lhe conferem os arts. 130-A, § 2°, I, da Constituição Federal e os arts. 11 e 12 do Regimento Interno do Conselho Nacional do Ministério Público (Resolução nº 92, de 13 de março de 2013),

CONSIDERANDO a promulgação da EC 115/22, que acresceu o inciso LXXIX ao art. 5º da Constituição da República, positivando o direito à proteção de dados pessoais como direito fundamental do indivíduo;

CONSIDERANDO o sistema normativo para a proteção de dados pessoais estabelecido com a edição da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais);

CONSIDERANDO que o tratamento de dados pessoais deve observar os princípios da finalidade, adequação, necessidade, livre acesso, transparência, segurança, qualidade dos dados, prevenção, não discriminação, responsabilização e prestação de contas;

CONSIDERANDO que, nos termos do art. 50 da Lei 13.709/18, os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais;

CONSIDERANDO a necessidade de conferir publicidade aos procedimentos e práticas adotados pela instituição no tratamento de dados pessoais, a base legal aplicável, o propósito do tratamento, os direitos dos titulares, além das medidas de segurança da informação e privacidade adotadas para garantir a proteção dos dados pessoais; e

CONSIDERANDO que o exercício das competências do Conselho Nacional do Ministério Público, definidas na Constituição Federal, envolve a coleta de dados pessoais para o exercício do controle administrativo, financeiro e funcional de membros e órgãos do Ministério Público brasileiro, RESOLVE:

Art. 1º O tratamento de dados pessoais realizado nos sistemas, nos serviços e no Portal do CNMP deverá atender às finalidades institucionais do órgão, e refletir as regras estabelecidas nesta Política de Privacidade e na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).

Parágrafo único. A Política de Privacidade regulamenta a proteção de dados pessoais nas atividades finalísticas e administrativas desempenhadas pelo CNMP, assim como no relacionamento do órgão com membros, advogados, cidadãos, servidores, colaboradores, contratados e com público em geral.

I – dado pessoal: toda informação relacionada à pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

IV – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

V – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

VI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

VII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

IX – Controlador: pessoa jurídica responsável pela tomada de decisões sobre o tratamento de dados pessoais;

X – Operador: pessoa física ou jurídica responsável pelo tratamento de dados em nome do Controlador;

XI – Encarregado (também chamado de Data Protection Officer ou “DPO”): pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados – ANPD;

XII – cookies: pequenos arquivos de texto depositados pelo site servidor no computador do usuário para memorizar informações relativas à navegação.

Parágrafo único. Para efeitos da Política de Privacidade, o CNMP atuará como Controlador de dados pessoais.

Art. 3º O tratamento de dados pessoais no âmbito do CNMP deve ter como objetivo o cumprimento de atribuições legalmente estabelecidas, e deverá observar, além da finalidade pública, os princípios elencados no art. 6º da Lei nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais).

Art. 4º O arcabouço legal aplicável aos sistemas, serviços e Portal do CNMP compreende, dentre outras, as seguintes normas:

I – Lei nº 13.709, de 14 de agosto de 2018: Lei Geral de Proteção de Dados Pessoais;

III – Lei nº 12.527, de 18 de novembro de 2011: Lei de Acesso à Informação;

IV – Decreto nº 7.724, de 16 de maio de 2012: regulamenta a Lei de Acesso à informação;

V – Decreto nº 10.046, de 9 de outubro de 2019: dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal;

VI – Decreto nº 9.637, de 26 de dezembro de 2018: institui a Política Nacional de Segurança da Informação;

Art. 5º No exercício de suas atribuições constitucionais e legais o CNMP poderá proceder ao tratamento de dados pessoais independentemente do consentimento dos titulares, na forma prevista no art.7º, II, III, IV, V, VI, IX, art. 11, II, alíneas a, b, c, e art. 23 da Lei nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais).

Art. 6º Para o exercício de suas competências constitucionais, o CNMP realizará a sistematização de atos nos processos e procedimentos administrativos estabelecidos em seu Regimento Interno e no Regimento Interno da Ouvidoria Nacional do Ministério Público, observando as normas aplicáveis ao tratamento de dados pessoais de seus usuários.

Art. 7º Para ter acesso aos sistemas e serviços disponibilizados no Portal do CNMP, os usuários deverão, de forma livre e consciente, fornecer seus dados pessoais.

§ 1º O CNMP, para o regular exercício do consentimento pelos titulares e para o adequado tratamento dos dados pessoais que lhe sejam submetidos, manterá, em seus canais de atendimento, Aviso de Privacidade, enunciando os fundamentos normativos do exercício das finalidades públicas inerentes aos órgãos do Conselho com informações a respeito de suas atribuições institucionais.

§ 2º O Aviso de Privacidade conterá informações acerca da necessidade da coleta, do tratamento e do uso compartilhado de dados pessoais, nos termos do art. 7º, II, III, V, VI, e IX, e dos arts. 23 a 27 da Lei nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais), bem como das ressalvas contidas no art. 4º do mesmo diploma legal.

Art. 8º O tratamento e o armazenamento de dados pessoais no âmbito do CNMP deverão ser realizados, preferencialmente, por meio das ferramentas de tecnologia da informação disponibilizadas pelo órgão, as quais deverão salvaguardar formas de atendimento aos direitos dos titulares das informações.

Art. 9º Aos titulares de dados pessoais será assegurado o acesso a informações claras, precisas e acessíveis acerca do tratamento de seus dados pessoais, na forma do art. 18 da Lei 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais), podendo ser solicitado a qualquer momento:

I – confirmação do tratamento dos dados: a confirmação da existência de tratamento de dados pessoais;

II – acesso aos dados: o acesso aos dados pessoais armazenados na base de dados do órgão;

III – correção de dados: a correção dos dados pessoais incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio e eliminação dos dados: a anonimização, bloqueio ou eliminação de dados pessoais considerados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais);

V — oposição ao tratamento dos dados: a paralisação do tratamento e eliminação dos dados pessoais tratados com consentimento, caso o titular se oponha ao tratamento, a sua finalidade ou a forma que está sendo realizado, ressalvado o disposto no parágrafo único.

VI – informação sobre compartilhamento de dados: as informações a respeito de com quais entidades públicas e privadas são realizados o uso compartilhado de dados;

VII – informação sobre o consentimento: as informações a respeito da possibilidade de não fornecer determinados consentimentos e sobre as consequências da negativa;

IX – acionamento das autoridades: o acionamento da Autoridade Nacional de Proteção de Dados – ANPD ou outro órgão que possua competência para resolver questões envolvendo a proteção de dados pessoais.

Parágrafo único. Na hipótese do inciso V, os dados não serão eliminados quando o tratamento foi realizado com amparo em base legal diversa do consentimento.

Art. 10. Os direitos dos titulares dos dados pessoais tratados no âmbito do CNMP poderão ser exercidos mediante requerimento registrado em formulário eletrônico, disponível na página da Ouvidoria Nacional do Ministério Público, o qual será direcionado internamente ao Encarregado pelo tratamento de Dados Pessoais por meio do Sistema Eletrônico de Informações – SEI.

§ 1º O Conselho Nacional do Ministério Público manterá em seu sítio eletrônico informações claras e precisas acerca da forma de exercício dos direitos dos titulares de dados pessoais.

§ 2º Deverá ser instituído registro formal dos pedidos de informações efetuados com fundamento no art. 18 da Lei nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais), o qual será custodiado e atualizado pela Ouvidoria Nacional do Ministério Público.

§ 3º O Encarregado pelo Tratamento de Dados Pessoais receberá os pedidos de informações, adotará junto ao Controlador as medidas cabíveis, e comunicará ao titular de dados as providências adotadas, por meio da Ouvidoria Nacional do Ministério Público.

Art. 11. Aos titulares de dados pessoais incumbe o dever de zelar pela veracidade dos dados pessoais fornecidos, bem como de manter sigilo do login e senha utilizados para acessar os sistemas do Conselho Nacional do Ministério Público.

Art. 12. Os dados pessoais tratados no âmbito do Conselho Nacional do Ministério Público devem ser mantidos exatos, adequados e atualizados, devendo ser retificados mediante solicitação do titular, ou quando verificada sua impropriedade.

Art. 13. O Conselho Nacional do Ministério Público deverá aplicar as medidas técnicas e organizacionais aptas a proteger os dados pessoais de acessos não autorizados e de situações de destruição, perda, alteração, comunicação ou difusão de tais dados.

Art. 14. No tratamento de dados pessoais deverão ser observadas boas práticas de governança e de segurança da informação, devendo ser fornecidas, de forma transparente e de fácil acesso, informações sobre a previsão legal, a finalidade, e os procedimentos adotados para o tratamento de dados no âmbito do órgão.

Parágrafo único. Para a garantia da segurança, serão adotadas soluções que levem em consideração as técnicas adequadas, os custos de aplicação, a natureza, o âmbito, o contexto, as finalidades do tratamento e os riscos para os direitos e liberdades do usuário.

Art. 15. Em toda operação de tratamento de dados pessoais deverão ser adotadas medidas a fim de garantir que os dados sejam tratados com confidencialidade, dentro dos limites legalmente previstos.

Art. 16. Sempre que possível, os dados pessoais devem ser mantidos em formato interoperável e estruturado para uso compartilhado.

Art. 17. Os dados pessoais tratados no âmbito do CNMP deverão ser eliminados após cumprirem sua finalidade, no prazo e forma previstos nas Tabelas de Temporalidade de Documentos do Conselho Nacional do Ministério Público.

Art. 18. As unidades deste Conselho, estabelecidas em seu Regimento Interno, assim como os membros e os servidores, obrigam-se a garantir a segurança da informação em relação aos dados pessoais a que tenham acesso, atendendo às orientações do controlador e aos preceitos legais.

Art. 19. O fornecimento dos dados pessoais a terceiros e a sua utilização para finalidades diversas daquelas para as quais foram coletados poderão ocorrer mediante consentimento do seu titular ou, ainda, nas hipóteses de tratamento para a execução das competências constitucionais e regimentais do CNMP, e de compartilhamento com órgãos ou entidades para a execução de atividades de interesse público.

Parágrafo único. Os dados pessoais dos usuários dos serviços públicos prestados pelo CNMP poderão servir como parâmetro de consulta para o público externo, com o objetivo específico da coleta de informações processuais.

Art. 20. O portal do CNMP poderá utilizar cookies primários, essenciais para a navegação no sítio eletrônico e uso de seus recursos, além de cookies temporários que estabelecem controle de idioma e segurança ao tempo da sessão.

§ 1º Serão utilizados cookies persistentes que coletam e armazenam a ciência e concordância sobre o uso de cookies no sítio eletrônico, bem como cookies de terceiros, que coletam informações sobre o uso do site, a fim de possibilitar análise e melhorias nos serviços.

§ 2º Será disponibilizada a Política de Cookies no portal do CNMP, a fim de garantir transparência sobre o seu uso e colher o consentimento do titular.

Art. 21. Os contratos firmados pelo CNMP com terceiros deverão observar as disposições da presente Política de Privacidade, obrigando-se as partes a informar os dados de contato dos respectivos Encarregados pelo Tratamento de Dados Pessoais.

Art. 22. Os contratos, acordos, convênios e instrumentos congêneres firmados no âmbito deste Conselho deverão contemplar cláusulas específicas sobre a proteção de dados pessoais, definidas e aprovadas pelo Controlador.

Art. 23. O tratamento de dados pessoais de crianças e adolescentes deverá observar o princípio do melhor interesse e garantir a máxima proteção do titular.

§ 1º O tratamento de dados pessoais de criança depende do consentimento específico de, pelo menos, um dos pais ou de seu responsável legal, obrigando-se o Controlador a realizar esforços razoáveis, consideradas as tecnologias disponíveis, para a verificação da higidez do consentimento.

§ 2º Poderão ser coletados dados pessoais de crianças, independentemente de consentimento, quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção.

Art. 24. O Controlador, representado no Conselho Nacional do Ministério Público pela Presidência, é competente para tomada de decisões referentes ao tratamento de dados pessoais.

Art. 25. Operador, no âmbito deste Conselho, é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.

Parágrafo único. Os prestadores de serviços, fornecedores de produtos e demais parceiros que tratarem dados pessoais a eles confiados pelo Conselho Nacional do Ministério Público são considerados operadores para fins legais e devem aderir à presente Política de Privacidade, devendo fornecer, a qualquer tempo, informações ao Controlador acerca do tratamento de dados pessoais sob sua responsabilidade, bem como comunicar qualquer incidente de segurança ao Encarregado no prazo de 48 (quarenta e oito horas).

Art. 26. O Encarregado pelo Tratamento de Dados Pessoais será designado pelo Controlador, dentre membros do Ministério Público, e deverá exercer as funções definidas em lei, além de dirimir as dúvidas suscitadas acerca da aplicação da Lei nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais).

Parágrafo único. Ao Encarregado deverão ser asseguradas independência e autonomia necessárias ao bom desempenho de suas funções, garantindo-se apoio técnico, jurídico e administrativo, com estrutura de apoio à governança e gestão.

I – implementar, capacitar, conscientizar, estabelecer responsabilidades e monitorar a conformidade da atuação do CNMP com a Política Nacional de Proteção de Dados Pessoais e com a presente Política de Privacidade;

II – receber e analisar os pedidos encaminhados pelos titulares dos dados pessoais, como reclamações e comunicações, prestar esclarecimentos e adotar providências relacionadas ao tratamento de dados pessoais;

III – elaborar e manter inventário de dados pessoais que documente quais dados foram coletados, os motivos do tratamento e o órgão detentor da base de dados;

IV – solicitar a confecção de Relatórios de Impacto à Proteção de Dados Pessoais e monitorar sua realização;

VII – executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

Art. 28. A identidade e as informações de contato do Encarregado deverão ser divulgadas de forma clara e objetiva no sítio eletrônico do Conselho Nacional do Ministério Público.

Art. 29. Considera-se Controlador Conjunto aquele que é conjuntamente responsável com o Controlador por determinar as finalidades e os meios de tratamento de dados pessoais.

§ 1º Os Controladores Conjuntos devem estabelecer, por meio do instrumento adequado e de modo transparente, as respectivas responsabilidades pelo cumprimento de suas obrigações em matéria de proteção de dados pessoais, notadamente no que diz respeito aos direitos do titular e aos seus deveres de prestar informações.

§ 2º Nos casos de responsabilidade conjunta, será assegurado ao titular de dados exercer os seus direitos perante quaisquer dos Controladores.

Art. 30. O CNMP deverá realizar periodicamente o mapeamento ou inventário das bases de dados pessoais, por meio do monitoramento contínuo e avaliações periódicas dos processos de trabalho desenvolvidos institucionalmente.

Art. 31. O compartilhamento de dados pessoais deverá ser realizado mediante instrumento formal, observando as normas da presente política de privacidade.

Art. 32. Deverá ser mantido registro independente dos dados pessoais compartilhados, com a indicação da natureza, propósito, duração e responsáveis pelo tratamento.

Art. 33. Na realização do inventário de dados pessoais, deverão ser identificados os processos e mecanismos técnicos pelos quais são colhidas as informações necessárias ao atendimento dos direitos dos titulares de dados pessoais.

Art. 34. O Conselho deverá manter controle sobre as origens dos dados pessoais coletados e sobre os canais de sua captura, tais como: sítio eletrônico, parceiros, empresas, órgão públicos, servidores e público externo.

Art. 35. O inventário das bases de dados pessoais não importa nem autoriza o acesso ao seu conteúdo, devendo ser criados procedimentos específicos para identificação e classificação das bases de dados sigilosas e confidenciais.

Art. 36. Os Conselheiros, membros, servidores, terceirizados, estagiários e outras pessoas vinculadas a este Conselho devem preservar a segurança da informação dos dados pessoais sob a sua custódia, atendendo às orientações do Controlador e aos preceitos normativos que regem a matéria.

Art. 37. A ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais deve ser comunicada de imediato ao Encarregado pelo Tratamento de Dados Pessoais e ao Secretário de Tecnologia da Informação, para adoção das providências previstas no Plano de Resposta à Violação de Dados Pessoais no CNMP.

Art. 38. Caberá ao Comitê de Governança da Proteção de Dados Pessoais (CGPDAP), na forma do art. 3º, incisos V e VI, da Portaria CNMP-PRESI nº 25, de 19 de janeiro de 2023, dirimir as dúvidas suscitadas na aplicação desta Portaria, sendo os casos omissos decididos pelo Presidente.

Art. 39. Fica revogada a Portaria CNMP-PRESI nº 180, de 7 de outubro de 2020, publicada no Caderno Eletrônico do CNMP, Caderno Administrativo, de 7 de outubro de 2020.

Documento assinado eletronicamente por Antônio Augusto Brandão de Aras, Presidente do Conselho Nacional do Ministério Público, em 07/08/2023, às 17:18, conforme § 3º do art. 4º do Decreto nº 10.543, de 13 DE NOVEMBRO DE 2020, e Portaria CNMP-PRESI Nº 77, DE 8 DE AGOSTO DE 2017.

A autenticidade do documento pode ser conferida no site https://sei.cnmp.mp.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0 informando o código verificador 0862735 e o código CRC 2D0D87D5.