Portaria nº 14.167/ASTEC, DE 21 de março de 2024
|
Aprova Norma Complementar nº 9 que disciplina o uso compartilhado de dados pessoais entre a Agência Nacional de Aviação Civil e outros entes. |
O GERENTE TÉCNICO DE INOVAÇÃO E INFORMAÇÃO, na qualidade de Presidente do Comitê de Segurança da Informação e Proteção de Dados Pessoais da Agência Nacional De Aviação Civil - CSIP/ANAC, no uso das atribuições que lhe conferem o art. 3º, inciso IV, da Portaria nº 5.805, de 30 de agosto de 2021, tendo em vista o disposto na Portaria nº 13.665, de 22 de janeiro de 2024, e na Portaria nº 13.755, de 29 de janeiro de 2024,
Considerando as regras, princípios e disposições previstas na Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD;
Considerando o disposto no Decreto nº 10.046, de 9 de outubro de 2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal;
Considerando o disposto na Instrução Normativa nº 172, de 2 de agosto de 2021, que institui a Política de Proteção de Dados Pessoais - PoPD no âmbito da Agência Nacional de Aviação Civil - ANAC;
Considerando o disposto na Instrução Normativa nº 128, de 6 de novembro de 2018, que institui a Política de Segurança da Informação - PoSI no âmbito da ANAC;
Considerando o disposto na Instrução Normativa nº 115, de 14 de agosto de 2017, que institui a Política de Governança de Informações Digitais - PGID da ANAC; e
Considerando o que consta do processo nº 00058.012582/2023-14,
RESOLVE:
Art. 1º Instituir, nos termos do Anexo desta Portaria, a Norma Complementar nº 9, que disciplina o uso compartilhado de dados pessoais entre a Agência Nacional de Aviação Civil - ANAC e outros entes.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
VITOR MATEUS SILVA RAMOS
ANEXO À PORTARIA 14.167/ASTEC, DE 21 DE MARÇO DE 2024.
NORMA COMPLEMENTAR Nº 9
USO COMPARTILHADO DE DADOS PESSOAIS ENTRE A ANAC E OUTROS ENTES
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Esta Norma Complementar tem por objetivo disciplinar e conferir segurança jurídica ao uso compartilhado de dados pessoais nos quais a ANAC figura como Controladora, em conformidade com os princípios e disposições constantes da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) e demais normativos que versam sobre o tema.
CAPÍTULO II
DAS DEFINIÇÕES
Art. 2º Para os fins desta Norma Complementar, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
IV - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
V - ponto focal: servidor designado pelo chefe de Unidade Diretamente Vinculada à Diretoria - UDVD para coordenar as atividades relacionadas à LGPD no âmbito de sua unidade;
VI - curador de dados: servidor público, designado pelo chefe da UDVD, com a responsabilidade de gerenciar ativos de informação específicos; e
VII - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Parágrafo único. Os demais termos relacionados ao uso compartilhado de dados pessoais são os definidos no Glossário de Segurança da Informação, conforme a Portaria GSI/PR nº 93, de 18 de outubro de 2021.
CAPÍTULO III
DO ESCOPO DE APLICAÇÃO
Art. 3º Esta Norma Complementar aplica-se a qualquer compartilhamento de dados pessoais em que a ANAC atue como Controladora, seja com entidades públicas ou privadas, nacionais ou internacionais.
Parágrafo único. O órgão ou entidade pública ou privada que receber os dados pessoais compartilhados pela ANAC também atuará como Controlador dos dados no âmbito de sua atuação.
CAPÍTULO IV
DOS PRINCÍPIOS E DIRETRIZES
Art. 4º O uso compartilhado de dados pessoais pela ANAC deverá observar os princípios estabelecidos na LGPD, dentre os quais:
I - finalidade: os dados pessoais devem ser compartilhados apenas para fins específicos, legítimos e previamente determinados, de acordo com as competências da ANAC;
II - necessidade: o uso compartilhado deve se limitar ao mínimo necessário para atingir a finalidade pretendida, levando em consideração o princípio da minimização de dados;
III - transparência: deve ser garantida a transparência em relação ao uso compartilhado de dados pessoais, informando os titulares dos dados sobre a finalidade, a base legal e os destinatários do compartilhamento, quando aplicável;
IV - segurança: medidas técnicas e organizacionais adequadas devem ser adotadas para proteger os dados pessoais compartilhados contra acesso não autorizado, perda, alteração ou destruição; e
V - prestação de contas: a ANAC deve manter registros adequados do compartilhamento de dados pessoais, considerando a autodeterminação afirmativa.
Art. 5º O uso compartilhado de dados pessoais pela ANAC deve ser realizado em conformidade com as seguintes diretrizes:
I - avaliação de riscos;
II - formalização de instrumentos, contendo no mínimo as informações estabelecidas no modelo do Anexo desta Norma Complementar; e
III - monitoramento e revisão: a ANAC deve estabelecer mecanismos de monitoramento e revisão periódica do uso compartilhado de dados pessoais, a fim de verificar a conformidade com as disposições da LGPD, identificar eventuais riscos e promover a melhoria contínua das práticas de proteção de dados.
CAPÍTULO V
DOS REQUISITOS E PROCEDIMENTOS PARA O USO COMPARTILHADO DE DADOS PESSOAIS
Art. 6º O uso compartilhado de dados pessoais com os órgãos e as entidades da administração pública federal direta, autárquica e fundacional e os demais Poderes da União, seguirá, além das diretrizes estabelecidas nesta Norma Complementar, as diretrizes do Decreto nº 10.046, de 9 de outubro de 2019;
Art. 7º O compartilhamento de dados pessoais constantes de bases de dados controladas pela ANAC para entidades privadas somente poderá ocorrer nas seguintes situações:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observados o direito à preservação da intimidade e da privacidade da pessoa natural, a proteção dos dados e as normas e o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI);
II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da LGPD;
III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
§ 1º A entidade privada que receber dados pessoais provenientes das bases de dados da ANAC deverá fornecer relatório anual detalhando os tratamentos realizados, a finalidade e as medidas de segurança adotadas.
§ 2º A ANAC somente realizará compartilhamento de dados sensíveis com entidades privadas após a elaboração de relatório de análise de impacto pelo ponto focal e avaliação prévia do Encarregado pelo Tratamento de Dados Pessoais.
Art. 8º O uso compartilhado com entidades públicas ou privadas será formalizado por meio da instauração de processo administrativo.
Art. 9º Do processo administrativo de que trata o art. 9º desta Norma Complementar deverá constar análise técnica contendo, no mínimo:
I - descrição dos dados pessoais de forma objetiva e detalhada;
II - indicação de finalidade específica;
III - avaliação da compatibilidade entre a finalidade original do dado quando foi coletado e a finalidade do uso compartilhado, conforme o caso;
IV - indicação da base legal que autorize o uso compartilhado;
V - definição do período (duração) do uso compartilhado dos dados, de forma fundamentada, e esclarecimento sobre a possibilidade de conservação ou a necessidade de eliminação após o término do tratamento;
VI - relatório de impacto à proteção de dados pessoais, caso necessário;
VII - definição de responsabilidades e de procedimentos relativos ao atendimento de solicitações de titulares, incluindo informações sobre o direito de acesso, correção, exclusão e restrição de dados, bem como o direito de retirar o consentimento, se for o caso;
VIII - indicação de eventual ônus financeiro da operação;
IX - identificação das funções e responsabilidades dos agentes de tratamento;
X - descrição das medidas técnicas e administrativas adotadas para proteger os dados pessoais de incidentes de segurança; e
XI - comprovação de mecanismos de proteção dos dados pessoais contra perda, destruição, falsificação, acesso não autorizado ou outras ameaças.
§ 1º Os pontos focais dos dados envolvidos no tratamento realizarão a análise técnica referida no caput.
§ 2º Os pontos focais deverão verificar com os curadores de dados se as regras de compartilhamento estão de acordo com os princípios estabelecidos no art. 4º da Instrução Normativa nº 115, de 14 de agosto de 2017;
§ 3º A análise técnica subsidiará decisão administrativa do chefe da UDVD, que poderá autorizar o tratamento dos dados mediante celebração de contrato, convênio ou termo de uso compartilhado de dados conforme modelo constante do Anexo desta Norma Complementar.
§ 4º Qualquer procedimento que envolva uso compartilhado de dados pessoais deverá, obrigatoriamente, ser informado ao Encarregado pelo Tratamento de Dados Pessoais da ANAC para ciência e acompanhamento.
§ 5º Os pontos focais acompanharão o envio do relatório anual pelas entidades privadas e encaminharão ao Encarregado pelo Tratamento de Dados Pessoais da ANAC.
Art. 10. Será vedado às entidades públicas e privadas o compartilhamento dos dados pessoais fornecidos pela ANAC.
Art. 11. O uso compartilhado de dados pessoais deverá ser efetivado, preferencialmente, por meio de interface de programação de aplicação (API - Application Programming Interface) ou por meios que permitam identificar e registrar todas as operações realizadas, os dados pessoais, o operador, o momento da utilização e a finalidade.
§ 1º Caso não seja possível realizar o compartilhamento por meio de API, a ANAC compartilhará os dados pessoais por meio de extração periódica na base de dados, a ser definida no termo de compartilhamento.
§ 2º Em nenhuma hipótese a ANAC fornecerá acesso direto e integral à sua base de dados.
Art. 12. As entidades que receberem os dados compartilhados deverão possuir mecanismos de proteção dos dados pessoais contra perda, destruição, falsificação, acesso não autorizado ou outras ameaças.
Art. 13. As entidades que receberem os dados compartilhados, no âmbito de suas competências e de acordo com a criticidade do dado tratado, poderão estabelecer outros controles, regras e boas práticas e outros aspectos relacionados à segurança da informação, que deverão ser previamente informados à ANAC.
CAPÍTULO VI
DA TRANSFERÊNCIA INTERNACIONAL DE DADOS
Art. 14. Qualquer transferência internacional de dados pessoais controlados pela ANAC e armazenados em qualquer suporte, eletrônico ou físico, deverá observar o disposto no Capítulo V da LGPD e o procedimento estabelecido no art. 10 desta Norma Complementar.
Parágrafo único. As transferências internacionais de dados pessoais somente poderão ser realizadas após análise prévia do Encarregado pelo Tratamento de Dados Pessoais da ANAC e aprovação do Comitê de Segurança da Informação e Proteção de Dados Pessoais - CSIP da ANAC.
Art. 15. A transferência de dados pessoais para nuvem (cloud) fora do território nacional deverá observar o disposto na Norma Complementar nº 8, instituída pela Portaria nº 9.675/STI, de 3 de novembro de 2022.
CAPÍTULO VII
DAS RESPONSABILIDADES DA ANAC
Art. 16. Compete à ANAC:
I - divulgar a relação de compartilhamentos de dados pessoais realizados em seu sítio eletrônico;
II - manter registros adequados do compartilhamento de dados pessoais, considerando a autodeterminação afirmativa;
III - fornecer ao titular dos dados pessoais as informações detalhadas dos compartilhamentos realizados, sempre que solicitado; e
IV - manter atualizado seu Aviso de Privacidade com as informações sobre o compartilhamento de dados.
CAPÍTULO VIII
DAS RESPONSABILIDADES DA ENTIDADE QUE RECEBER OS DADOS PESSOAIS COMPARTILHADOS
Art. 17. A entidade que receber dados pessoais compartilhados pela ANAC será responsável pelos danos causados pelo tratamento que descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções estabelecidas no instrumento de formalização do compartilhamento.
Art. 18. A entidade deverá preservar a integridade, guardar sigilo das informações e zelar pelos dados compartilhados, utilizando-os somente para os fins previstos no instrumento de formalização do compartilhamento.
Art. 19. A entidade deverá implementar meios práticos para permitir que os titulares exerçam seu direito de gerenciamento dos dados pessoais.
Art. 20. A entidade será responsável por comunicar os titulares dos dados pessoais e a ANPD qualquer incidente de segurança que possa acarretar risco ou dano relevante, nos termos da LGPD.
Parágrafo único. A entidade deverá informar a ANAC sobre qualquer incidente de segurança envolvendo os dados pessoais compartilhados.
CAPÍTULO IX
DAS RESPONSABLIDADES DO PONTO FOCAL
Art. 21. Compete aos pontos focais:
I - realizar a análise técnica que subsidiará a decisão sobre o compartilhamento dos dados pessoais, conforme disposto no art. 10 desta Norma Complementar;
II - acompanhar o envio do relatório anual pelas instituições privadas e comunicar ao Encarregado pelo Tratamento de Dados Pessoais, nos termos do § 3º do art. 10 desta Norma Complementar;
III - elaborar o relatório de impacto para análise dos riscos relacionados ao compartilhamento de dados pessoais sensíveis e comunicar o Encarregado pelo Tratamento de Dados Pessoais; e
IV - manter atualizados os Avisos de Privacidade Específicos dos serviços de suas unidades com as informações sobre o compartilhamento de dados.
CAPÍTULO X
DAS DISPOSIÇÕES FINAIS
Art. 22. Será vedado qualquer compartilhamento de dados pessoais que não esteja em conformidade com o disposto nesta Norma Complementar.
Art. 23. A ANAC fornecerá treinamentos sobre boas práticas em compartilhamento de dados pessoais aos pontos focais.
Art. 24. A ANAC deverá adequar todas as operações de tratamento de uso compartilhado de dados pessoais que já estiverem sendo realizadas aos dispositivos desta Norma Complementar em até 12 (doze) meses após a entrada em vigor desta Norma Complementar.
Art. 25. Os casos omissos serão resolvidos pelo CSIP da ANAC e apoiado pelo Comitê de Tecnologia da Informação, quando for necessário.
ANEXO À NORMA COMPLEMENTAR Nº 9
MODELO DE TERMO DE COMPARTILHAMENTO DE DADOS PESSOAIS
CLÁUSULA PRIMEIRA – DO OBJETO
O presente Termo de Compartilhamento de Dados Pessoais tem por objeto o estabelecimento das condições relacionadas ao cumprimento da Lei nº 13.709, de 14 de agosto de 2018, doravante denominada Lei Geral de Proteção de Dados - LGPD, acerca do compartilhamento da base de dados xxxxxxx entre a Agência Nacional de Aviação Civil - ANAC e xxxxxx (entidade).
PARÁGRAFO ÚNICO. As informações compartilhadas entre as partes serão única e exclusivamente utilizadas para atender a finalidades institucionais, prerrogativas administrativas, bem como para possibilitar o cumprimento de obrigação legal ou regulatória.
CLÁUSULA SEGUNDA – DA FINALIDADE E DA BASE LEGAL
Este Termo de Compartilhamento de Dados destina-se ao compartilhamento de dados xxxxx (citar a base de dados), visando ÚNICA E EXCLUSIVAMENTE a xxxx (descrever a finalidade), conforme autoriza a Lei nº xxx em seu(s) art. (dispositivo legal que fundamenta o compartilhamento).
PARÁGRAFO ÚNICO. O/A xxxx (entidade) reconhece que qualquer tratamento de dados pessoais que extrapole as finalidades previstas neste Termo e as determinações legais será de sua responsabilidade exclusiva.
PARÁGRAFO SEGUNDO. A xxxx (entidade) poderá utilizar os dados para levantamentos estatísticos e pesquisas relevantes à gestão da execução do serviço público prestado.
CLÁUSULA TERCEIRA – TIPOS DE DADOS COMPARTILHADOS
Será compartilhada a base de dados xxxx que contém xxxx (descrever os dados pessoais que serão compartilhados).
CLÁUSULA QUARTA – DAS OBRIGAÇÕES DAS PARTES
As partes obrigam-se a compartilhar quaisquer informações complementares de interesse mútuo que venham a ter conhecimento ao longo da vigência deste termo.
PARÁGRAFO PRIMEIRO. Em conformidade ao art. 48 da LGPD, a entidade comunicará imediatamente ao titular e à Autoridade Nacional de Proteção de Dados - ANPD a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante ao titular.
PARÁGRAFO SEGUNDO. As partes se obrigam a não praticar ou permitir qualquer ação que comprometa a integridade da base de dados correspondente.
PARÁGRAFO TERCEIRO. As cláusulas desse Termo não isentam as partes das obrigações às quais estão sujeitas em decorrência da LGPD ou outras leis ou normas de privacidade.
CLÁUSULA QUINTA – DAS ATRIBUIÇÕES DA ANAC
Compete a ANAC:
I - disponibilizar a xxxx (entidade) e manter atualizados os dados especificados na CLÁUSULA TERCEIRA deste Termo;
II - informar a xxxx (entidade), para devidas providências, os casos identificados como suspeitos de irregularidades, obtidos por meio de processo de monitoramento;
III - disponibilizar aos titulares dos dados, informações claras, precisas e facilmente acessíveis sobre a realização do compartilhamento e sobre como exercer seus direitos.
CLÁUSULA SEXTA – DAS ATRIBUIÇÕES DA ENTIDADE RECEPTORA DOS DADOS PESSOAIS COMPARTILHADOS
Compete à entidade que receber os dados pessoais compartilhados:
I - utilizar as informações compartilhadas exclusivamente para as finalidades inerentes ao presente termo;
II - manter integral observância e fiel cumprimento ao presente termo;
III - manter a rastreabilidade das ações executadas em seu sistema, devendo informar a ANAC qualquer alteração identificada nos dados compartilhados;
IV - implementar meios práticos para permitir que os titulares exerçam seu direito de gerenciamento dos dados pessoais;
V - preservar a integridade, guardar sigilo das informações e zelar pelos dados pessoais compartilhados, utilizando-os somente para os fins previstos pela ANAC;
VI - possuir mecanismos de proteção dos dados pessoais contra perda, destruição, falsificação, acesso não autorizado ou outras ameaças;
VII - comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares; e
VIII - informar a ANAC sobre qualquer incidente de segurança envolvendo os dados pessoais compartilhados.
CLÁUSULA SÉTIMA – DA RESPONSABILIDADE E CONFIDENCIALIDADE
A quebra da confidencialidade das informações disponibilizadas por meio deste termo, fora das hipóteses ora autorizadas, sujeitará o infrator às sanções penais, civis e administrativas previstas na legislação pertinente.
PARÁGRAFO PRIMEIRO. A autorização de acesso direto aos dados a serem disponibilizados somente poderá ser concedida aos servidores, empregados, estagiários e terceirizados devidamente cadastrados dos partícipes.
PARÁGRAFO SEGUNDO. A xxxx (entidade) será responsabilizada isoladamente pelos danos que vier a dar causa em razão do descumprimento do presente termo e de obrigações previstas na legislação.
CLÁUSULA OITAVA – DAS DESPESAS
O presente termo não ensejará qualquer transferência de créditos orçamentários ou recursos financeiros entre as partes.
CLÁUSULA NONA – DA VIGÊNCIA
O presente instrumento vigorará a partir da data de sua assinatura, até xx/xx/xxxx data após a qual os dados deverão ser eliminados em conformidade com o disposto (citar fundamento para eliminação) /armazenados pelo prazo de xx anos conforme determina (fundamento para guarda).
CLÁUSULA DÉCIMA – DISPOSIÇÕES GERAIS E HIPÓTESES ADICIONAIS PARA O TÉRMINO DESTE INSTRUMENTO
Caso qualquer das PARTES venha a ser responsabilizada por Passivos de Dados Pessoais decorrentes de ação ou omissão causado pela outra PARTE, a PARTE culpada deverá ressarcir integralmente a PARTE inocente por todas e quaisquer despesas, inclusive honorários advocatícios, custas e despesas judiciais.
PARÁGRAFO PRIMEIRO. Na hipótese de superveniência de Lei à qual estejam sujeitas as PARTES, as PARTES acordam em negociar de boa-fé as adaptações deste Termo para que se mantenha em conformidade com as Leis e normas de privacidade e proteção de dados pessoais.
PARÁGRAFO SEGUNDO. Sem prejuízo do disposto neste Termo, as PARTES se obrigam a observar e cumprir a LGPD, bem como a observar e cumprir normas e procedimentos que vierem a ser publicados e/ou requeridos por entidades reguladoras, inclusive pela ANPD, no âmbito do tratamento dos dados pessoais.
ENTIDADE RECEPTORA DOS DADOS PESSOAIS COMPARTILHADOS
________________________________________________________________________________________
Publicado em 22 de março de 2024 no Boletim de Pessoal e Serviço - BPS v.19, nº 12, de 18 a 22 de março de 2024