resolução CD/ANPD Nº 20, DE 3 de outubro de 2024

O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS - ANPD, no uso das competências que lhe são conferidas pelo inciso I do art. 55-C da Lei nº 13.709, de 14 de agosto de 2018, pelo §1º do art. 3º do Anexo I do Decreto nº 10.474, de 26 de agosto de 2020, pelo inciso I e parágrafo único do art. 51 e pelos artigos 63 a 66 do Regimento Interno da ANPD, aprovado pela Portaria nº 1, de 8 de março de 2021, resolve:

Art. 1º Fica instituída a Política Interna de Proteção de Dados Pessoais da Autoridade Nacional de Proteção de Dados - ANPD, na forma do Anexo desta Resolução.

Art. 2º Esta Resolução entra em vigor na data de sua publicação.

WALDEMAR GONÇALVES ORTUNHO JUNIOR

Diretor-Presidente

ANEXO

POLÍTICA INTERNA DE PROTEÇÃO DE DADOS PESSOAIS DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS - ANPD

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1º Esta Política Interna de Proteção de Dados Pessoais estabelece princípios, diretrizes e regras para as operações de tratamento de dados pessoais realizadas no âmbito da Autoridade Nacional de Proteção de Dados - ANPD.

Art. 2º As disposições desta Política Interna de Proteção de Dados Pessoais aplicam-se a todos os servidores, colaboradores e terceiros que possuam algum vínculo com a ANPD.

Art. 3º A Política Interna de Proteção de Dados Pessoais alinha-se às estratégias da ANPD e articula-se com outros procedimentos internos que versam sobre proteção de dados pessoais e privacidade.

Art. 4º São objetivos desta Política:

I - assegurar e reforçar o cumprimento da legislação de proteção de dados pessoais e da sua respectiva regulamentação nos processos internos da ANPD;

II - promover a transparência, responsabilização e prestação de contas em relação ao tratamento de dados pessoais realizado pela ANPD; e

III - incentivar a adoção de boas práticas de proteção de dados pessoais na ANPD.

CAPÍTULO II

PRINCÍPIOS E DIRETRIZES

Art. 5º As atividades de tratamento de dados pessoais realizadas pela ANPD devem observar os fundamentos e princípios gerais de proteção de dados previstos nos arts. 2º e 6º da Lei nº 13.709, de 14 de agosto de 2018, respectivamente, bem como as seguintes diretrizes:

I - observância do disposto na Lei nº 13.709, de 14 de agosto de 2018, nesta Política e nos regulamentos expedidos pela ANPD;

II - adoção de medidas que visem a assegurar a privacidade desde a concepção e por padrão;

III - diligência contínua ao longo de todo o ciclo de tratamento do dado pessoal;

IV - boa-fé e ética no tratamento dos dados pessoais;

V - adoção de hipótese legal adequada para o devido tratamento de dados pessoais;

VI - adoção de medidas de segurança técnicas e administrativas apropriadas; e

VII - manutenção do registro das operações de tratamento de dados pessoais.

CAPÍTULO III

TRATAMENTO DE DADOS PESSOAIS

Art. 6º O tratamento de dados pessoais pela ANPD será realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

§ 1º A ANPD poderá tratar dados pessoais de acordo com as hipóteses legais previstas nos arts. 7º e 11 da Lei nº 13.709, de 14 de agosto de 2018.

§ 2º As informações sobre o tratamento de dados pessoais realizado pela ANPD, com destaque para as finalidades, hipóteses legais para o tratamento de dados pessoais, procedimentos e práticas adotadas para a execução das atividades, constam do Aviso de Privacidade da ANPD.

§ 3º A ANPD tratará apenas os dados pessoais necessários para atender às finalidades específicas do tratamento.

Art. 7º Os dados pessoais serão armazenados de forma segura, conforme padrões de segurança aplicáveis à hipótese, e de maneira que favoreça os meios para o exercício dos direitos do titular previstos na Lei nº 13.709, de 14 de agosto de 2018.

Parágrafo único. Os dados pessoais serão eliminados quando finalizado o tratamento, com base em uma das hipóteses descritas no art. 15 da Lei nº 13.709, de 14 de agosto de 2018, ressalvadas as situações previstas no art. 16 da referida lei.

Art. 8º O uso compartilhado de dados pessoais pela ANPD atenderá a finalidades específicas de execução de políticas públicas e atribuição legal, respeitados os princípios de proteção de dados pessoais elencados no art. 6º e o disposto no art. 26, § 1º e art. 27, todos da Lei nº 13.709, de 14 de agosto de 2018.

Art. 9º Nos casos em que a ANPD realizar transferência internacional de dados, serão adotadas medidas para garantir que a operação de tratamento seja realizada em conformidade com a Lei nº 13.709, de 14 de agosto de 2018, e com o Regulamento de Transferência Internacional de Dados, aprovado pela Resolução CD/ANPD nº 19, de 23 de agosto de 2024.

Art. 10. O acesso aos dados pessoais ficará restrito às pessoas autorizadas e que necessitem realizar o tratamento desses dados para o desempenho de suas atividades na ANPD.

Parágrafo único. O direito de acesso à informação pública, que porventura contenha dado pessoal, deverá ser compatibilizado com o direito à privacidade e à proteção de dados pessoais, nos termos da Lei nº 12.527, de 18 de novembro de 2011.

Art. 11. Os contratos, convênios ou instrumentos congêneres firmados pela ANPD deverão conter cláusulas específicas de proteção de dados pessoais, as quais estabelecerão os deveres e obrigações dos agentes de tratamento envolvidos na operação de tratamento, respeitados os princípios, os direitos dos titulares e o regime de proteção de dados previstos na Lei nº 13.709, de 14 de agosto de 2018.

Art. 12. A ANPD adotará medidas de segurança, técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas que venham a causar a destruição, perda, alteração, ou qualquer forma de tratamento inadequado ou ilícito.

Art. 13. A ANPD elaborará á Relatório de Impacto de Proteção de Dados Pessoais - RIPD, nos casos em que as operações de tratamento possam gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais, às liberdades civis e aos direitos fundamentais dos titulares.

§ 1º Para a tomada de decisão mencionada no caput, deverão ser utilizados os parâmetros previstos nos documentos publicados pela ANPD.

§ 2º O Relatório de Impacto de Proteção de Dados Pessoais - RIPD, deverá:

I - ser elaborado pela unidade organizacional responsável pelo tratamento de dados que gera riscos ao titular com apoio e orientação da equipe do encarregado da ANPD; e

II - sugerir ou fornecer ações corretivas necessárias para evitar ou mitigar esses riscos.

CAPÍTULO IV

DIREITOS DOS TITULARES

Art. 14. A ANPD adotará medidas para assegurar o exercício dos direitos dos titulares previstos na Lei nº 13.709, de 14 de agosto de 2018, e em eventuais normas complementares.

Art. 15. Os direitos dos titulares poderão ser exercidos mediante requerimento expresso do titular, ou de seu representante legalmente constituído, ao encarregado.

§ 1º A solicitação não gerará custos para o titular, e deverá ser atendida nos prazos e nos termos previstos em legislação específica.

§ 2º As solicitações relacionadas aos direitos dos titulares que porventura sejam recebidas por outro canal deverão ser encaminhadas ao encarregado para adoção das providências cabíveis.

CAPÍTULO V

RESPONSABILIDADES

Art. 16. Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os destinatários desta Política no desenvolvimento de suas atividades.

Art. 17. Para o efetivo cumprimento desta Política, ficam instituídas as responsabilidades:

I - do Conselho Diretor;

II - do Diretor-Presidente;

III - do Encarregado;

IV - da Equipe do Encarregado;

V - das Chefias imediatas; e

VI - dos Colaboradores.

§ 1º O Conselho Diretor, órgão máximo de direção da ANPD, deliberará sobre as diretrizes estratégicas da governança de privacidade e proteção de dados pessoais.

§ 2º O Diretor-Presidente da ANPD será responsável por:

I - designar o Encarregado;

II - designar a Equipe do Encarregado; e

III - garantir os recursos necessários para implementação da governança em proteção de dados pessoais.

§ 3º O Encarregado da ANPD será responsável por:

I - elaborar e submeter ao Conselho Diretor, para aprovação, Programa de Governança em Privacidade;

II - coordenar as ações de adequação das atividades da ANPD à Lei nº 13.709, de 14 de agosto de 2018, e aos Regulamentos emitidos pela ANPD;

III - prestar assistência e orientação na elaboração, definição e implementação, conforme o caso, nas hipóteses descritas no art. 16 do Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais, aprovado pela Resolução CD/ANPD nº 18, de 16 de julho de 2024.

IV - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

V - orientar os funcionários e os contratados da Autoridade a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;

VI - monitorar o cumprimento desta Política;

VII - avaliar e propor a atualização desta Política; e

VIII - executar as demais atribuições determinadas pela ANPD.

§ 4º A Equipe do encarregado o apoiará no exercício de suas funções.

§ 5º São responsabilidades das Chefias imediatas:

I - conscientizar os colaboradores sob sua supervisão em relação às boas práticas de privacidade, proteção de dados pessoais e segurança da informação, inclusive quanto às diretrizes desta Política;

II - garantir que todos os colaboradores de sua equipe compreendam e sigam os documentos orientadores aplicáveis à ANPD;

III - incorporar aos processos de trabalho de sua unidade boas práticas inerentes à privacidade, proteção de dados pessoais e segurança da informação;

IV - garantir a proteção de dados pessoais sob sua custódia, nos termos da Lei nº 13.709, de 14 de agosto de 2018, recorrendo ao encarregado quando necessário;

V - manter o encarregado atualizado acerca das operações de tratamento de dados pessoais que realize;

VI - informar ao encarregado caso sejam encontradas inconsistências em registros que cheguem ao seu conhecimento; e

VII - comunicar ao encarregado sobre incidente de segurança que possa acarretar risco ou dano relevante aos titulares sobre o qual venha a tomar conhecimento, seja suspeito ou confirmado.

§ 6º São responsabilidades dos servidores, colaboradores e terceiros:

I - estar ciente desta Política e segui-la, bem como as demais regulamentações em vigor relacionadas à privacidade, proteção de dados e segurança da informação;

II - assumir atitude proativa e engajada no que diz respeito à privacidade, à proteção de dados pessoais e à segurança da informação;

III - comunicar à chefia imediata sobre incidente de segurança que possa acarretar risco ou dano relevante aos titulares sobre o qual venha a tomar conhecimento, seja suspeito ou confirmado;

IV - preservar a integridade e guardar sigilo dos dados pessoais tratados para o exercício de suas atividades na ANPD, quando incidente hipótese legal de restrição de acesso;

V - não disponibilizar nem dar acesso aos dados pessoais mantidos pela ANPD em hipóteses não previstas em lei ou para pessoas não autorizadas; e

VI - cumprir as normas, recomendações, e orientações relativas à segurança da informação, à privacidade e à proteção de dados.

CAPÍTULO VI

CONSCIENTIZAÇÃO E CAPACITAÇÃO

Art. 18. Como forma de garantir a disseminação do conhecimento, o encarregado e a sua equipe poderão:

I - sugerir e apoiar campanhas de conscientização de modo a aprimorar a cultura da proteção de dados pessoais e da privacidade; e

II - orientar o corpo funcional sobre práticas de conformidade de proteção de dados pessoais e de privacidade que devem ser implementadas por todos os integrantes da instituição.

Art. 19. As atividades de capacitação serão promovidas pela Coordenação-Geral de Administração

CAPÍTULO VII

PENALIDADES

Art. 20. As violações a esta Política são passíveis de aplicação das penalidades administrativas cabíveis.

§ 1º No caso de terceiros contratados ou prestadores de serviço, serão aplicadas as penalidades previstas nos respectivos contratos, convênios ou instrumentos congêneres.

§ 2º No caso de violações que impliquem atividades ilegais, ou que possam incorrer em risco ou dano relevante aos titulares de dados pessoais, ou em danos à ANPD, o infrator será responsabilizado pelos prejuízos causados, na forma da legislação pertinente.

Este texto não substitui o original publicado nos veículos oficiais (Diário Oficial da União - DOU e Boletim de Serviço - BS).