PORTARIA MJSP Nº 561, de 31 de dezembro de 2021

O MINISTRO DE ESTADO DA JUSTIÇA E SEGURANÇA PÚBLICA substituto, no uso das atribuições que lhe conferem os incisos I e II do parágrafo único do art. 87 da Constituição, c/c o inciso III do art. 1º do Decreto nº 8.851, de 20 de setembro de 2016, e tendo em vista o disposto na Lei nº 13.709, de 14 de agosto de 2018, na Lei nº 13.844, de 18 de junho de 2019, no Decreto nº 9.662, de 1º de janeiro de 2019, resolve:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1º Fica instituída, no âmbito do Ministério da Justiça e Segurança Pública (MJSP), a Política Geral de Proteção de Dados Pessoais, com o objetivo de definir e divulgar as regras de tratamento de dados pessoais, em consonância com a legislação aplicável.

Art. 2º Para efeitos desta Portaria, consideram-se:

I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - tratamento: toda operação realizada com dados pessoais;

IV - agentes de tratamento: o controlador e o operador;

V - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

VI - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

VII - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

VIII - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

IX - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

X - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;

XI - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), na qualidade de encarregado central;

XII - encarregado setorial: pessoa indicada pelo representante máximo dos órgãos específicos singulares, nomeada pelo controlador, e responsável para atuar como canal de comunicação entre os titulares de dados e a Autoridade Nacional de Proteção de Dados, fornecendo, sempre que necessário, informações ao encarregado previsto no inciso XI deste artigo;

XIII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

XIV - suboperador: aquele que, após autorização formal e específica do controlador, é contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador;

XV - agente público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego, função ou estágio nos órgãos ou nas entidades da administração pública federal;

XVI - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XVII - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o País seja membro; e

XVIII - aviso de privacidade: documento que contém informações sobre coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos usuários.

Art. 3º Cada sistema e aplicativo do Ministério da Justiça e Segurança Pública que realize o tratamento de dados pessoais, inclusive de dados pessoais sensíveis, manterá aviso de privacidade próprio e termos de uso, de forma complementar à presente Política Geral, devendo ser implementado no prazo estipulado no art. 33 desta Portaria.

Parágrafo único. A conformidade dos avisos e termos de que trata o caput serão avaliadas pelo Comitê de Governança de Dados Sistemas de Informação antes de sua publicação.

Art. 4º Compete a todas as unidades do Ministério da Justiça e Segurança Pública a adoção das medidas de proteção previstas nesta Portaria.

CAPÍTULO II

DA PRIVACIDADE E PROTEÇÃO DE DADOS

Seção I

Dos Princípios e das Diretrizes

Art. 5º A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da Lei nº 13.709, de 14 de agosto de 2018, bem como das seguintes diretrizes:

I - cooperação entre unidades;

II - supervisão e mitigação de riscos;

III - adoção das regras de boas práticas; e

IV - estabelecimento de relação de confiança com o titular e com os eventuais destinatários dos dados tratados.

Seção II

Do Objeto e da Finalidade

Art. 6º O tratamento de dados pessoais, inclusive dados pessoais sensíveis, pelo Ministério da Justiça e Segurança Pública é realizado para o atendimento de sua finalidade pública, e na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.

Art. 7º Poderão ser tratados dados pessoais dos agentes públicos lotados ou em exercício nos órgãos que compõem a estrutura do Ministério da Justiça e Segurança Pública para fins de organização e funcionamento das equipes, e na busca de melhorias das atividades internas do Ministério.

Parágrafo único. O tratamento a que se refere o caput se restringe aos dados estritamente necessários ao atendimento do interesse dos órgãos.

Art. 8º O tratamento de dados pessoais de interessados que atuem em processo administrativo observará as finalidades para qual foi realizado, visando à proteção dos direitos dos administrados e ao melhor cumprimento dos fins da Administração.

Art. 9º Esta Política se aplica a qualquer operação de tratamento de dados pessoais realizada pelos órgãos que integram a estrutura do Ministério da Justiça e Segurança Pública, nos termos do art. 3º da Lei nº 13.709, de 14 de agosto de 2018.

Art. 10. O tratamento de informações e dados contidos na documentação histórica de guarda permanente do Arquivo Nacional, em qualquer suporte, será realizado com base no inciso II do art. 7º e na alínea "a" do inciso II do art. 11 da Lei nº 13.709, de 2018, e observará as disposições da Lei nº 8.159, de 8 de janeiro de 1991.

Art. 11. O disposto nesta Portaria não se aplica:

I - ao tratamento de dados pessoais para fins exclusivos de segurança pública, atividades de investigação e repressão de infrações penais; e

II - ao tratamento de dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Política.

Seção III

Da Transparência

Art. 12. O MJSP publicará no seu Portal Eletrônico, na internet, as hipóteses em que, no exercício de suas competências, realiza o tratamento de dados pessoais, inclusive de dados pessoais sensíveis, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.

Parágrafo único. Os órgãos que disponham de Encarregados Setoriais publicarão em seus respectivos portais eletrônicos as informações de que trata o caput deste artigo.

Art. 13. Os avisos de privacidade próprios de cada sistema ou aplicativo a que se refere o art. 3º serão mantidos atualizados nos sítios oficiais na internet, em local de fácil acesso, sob responsabilidade de cada área competente.

Art. 14. Em observância ao princípio da transparência, quando não prejudicial à atividade do órgão, ou não oferecer riscos à integridade dos titulares dos dados, poderão ser divulgadas informações relativas ao vínculo dos agentes públicos com o Ministério da Justiça e Segurança Pública, tais como nome completo, matrícula, Cadastro de Pessoas Físicas (CPF), cargo ou atividade exercida, lotação e local de exercício.

Parágrafo único. A divulgação prevista no caput deverá ocultar os três primeiros dígitos e os dois dígitos verificadores do CPF.

Art. 15. A divulgação de contratos administrativos, realizada em atendimento ao princípio da publicidade, publicará dados pessoais de terceiros.

CAPÍTULO III

DOS TITULARES DE DADOS

Seção I

Dos Direitos do Titulares

Art. 16. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da Constituição Federal, da Lei nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI).

Seção II

Dos Requerimentos

Art. 17. As manifestações decorrentes do exercício dos direitos dos titulares de dados pessoais a que se refere a Lei nº 13.709, de 2018, serão apresentadas junto à unidade de ouvidoria, conforme disposto na Portaria nº 581, de 9 de março de 2021, da Controladoria-Geral da União (CGU).

§ 1º Os requerimentos de titulares previstos nos incisos I, II, VII e VIII do art. 18 da Lei nº 13.709, de 14 de agosto de 2018, serão tratados nos procedimentos e prazos da Lei nº 12.527, de 18 de novembro de 2011.

§ 2º Os requerimentos de titulares previstos nos incisos III, IV, V, VI e IX do art. 18 da Lei nº 13.709, de 14 de agosto de 2018, serão tratados nos procedimentos e prazos da Lei nº 13.460, de 26 de junho de 2017.

Art. 18. O requerimento deverá apresentar elementos capazes de identificar a pessoa do interessado ou de quem o represente, conforme disposto no art. 6º da Lei nº 9.784, de 29 de janeiro de 1999.

Art. 19. Será exigida a certificação de identidade, que ocorrerá:

I - virtualmente, caso o manifestante possua autentificação por meio do login único de acesso "gov.br" ou outro meio de certificação digital; ou

II - presencialmente, por meio de conferência de documento físico apresentado pelo manifestante junto à unidade de ouvidoria.

Parágrafo único. Os requerimentos apresentados de forma virtual por meio do login único de acesso "gov.br" deverão apresentar no mínimo, o selo de segurança prata.

Art. 20. Excepcionalmente, poderão ser adotados meios alternativos de certificação de identidade via cotejamento das informações inseridas em seu cadastro com informações disponíveis em outras fontes constantes de bases públicas.

CAPÍTULO IV

DA REDE DE PROTEÇÃO DE DADOS PESSOAIS

Seção I

Da Rede

Art. 21. A Rede de Proteção de Dados Pessoais é constituída por todos os órgãos que integram a estrutura organizacional do Ministério, ficando organizada da seguinte forma:

I - Encarregado Central, que atuará nos órgãos a seguir:

a) órgãos de assistência direta e imediata ao Ministro de Estado da Justiça e Segurança Pública, descritos no inciso I do art. 2º do Anexo I do Decreto nº 9.662, de 1º de janeiro de 2019;

b) Secretaria Nacional de Justiça;

c) Secretaria Nacional do Consumidor;

d) Secretaria Nacional de Políticas sobre Drogas e Gestão de Ativos;

e) Secretaria Nacional de Segurança Pública;

f) Secretaria de Operações Integradas; e

g) Secretaria de Gestão e Ensino em Segurança Pública;

II - Encarregados Setoriais, que atuarão nos órgãos a seguir:

a) Polícia Federal;

b) Polícia Rodoviária Federal;

c) Departamento Penitenciário Nacional; e

d) Arquivo Nacional.

§ 1º Faculta-se às entidades vinculadas do Ministério da Justiça e Segurança Pública a adesão à Rede de Proteção de Dados Pessoais.

§ 2º A adesão de que trata o parágrafo anterior será obrigatória até que as entidades vinculadas do Ministério da Justiça e Segurança Pública instituam, no seu âmbito, Política Geral de Proteção de Dados Pessoais.

Art. 22. O Encarregado Central será o titular da Ouvidoria-Geral do Ministério da Justiça e Segurança Pública. (Alterado pela Portaria MJSP nº 462, de 12 de setembro de 2023)

"Art. 22. O Encarregado Central e seu substituto serão designados por ato do Ministro de Estado da Justiça e Segurança Pública." (NR) (Redação dada pela Portaria MJSP nº 462, de 12 de setembro de 2023)

Parágrafo único. Nos casos de impedimentos, afastamentos ou na vacância do cargo, as funções do Encarregado Central serão exercidas pelo substituto legal da Ouvidoria-Geral.

Art. 23. Os dirigentes máximos dos órgãos de que trata o inciso II do art. 21 e das entidades que aderirem, nos termos do parágrafo único do art. 21, encaminharão, no prazo de quinze dias contados da publicação desta Portaria, a indicação dos Encarregados Setoriais, e respectivos suplentes, observando-se o perfil definido na Instrução Normativa SGD/SEDGG/ME nº 117, de 19 de novembro de 2020, da Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia.

Parágrafo único. A indicação de que trata o caput deverá ser comunicada por ofício ao Gabinete do Ministro de Estado da Justiça e Segurança Pública.

Art. 24. Ao Encarregado Central e Setoriais compete:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais e adotar providências;

III - orientar os funcionários e os contratados do órgão ou entidade a respeito das práticas a serem adotadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

Parágrafo único. O Encarregado Central poderá solicitar esclarecimentos aos Encarregados Setoriais, sempre que necessário ao desempenho de suas atribuições.

Seção II

Dos Pontos Focais

Art. 25. Os dirigentes das unidades referidas no inciso I do art. 21 indicarão ao Encarregado Central, no prazo de dez dias contados da publicação desta Portaria, servidor público que lhe seja diretamente subordinado para atuar como ponto focal, na qualidade de titular e suplente.

Art. 26. Aos pontos focais indicados na forma do art. 25 compete zelar pela adequada aplicação da Lei nº 13.709, de 2018, em seu âmbito, cabendo-lhes, dentre outras atribuições que se fizerem necessárias:

I - receber e encaminhar às unidades os requerimentos de titulares previstos na Lei nº 13.709, de 2018;

II - controlar os prazos de resposta, nos moldes dos §§ 1º e 2º do art. 17;

III - disseminar as orientações relativas à Lei nº 13.709, de 2018; e

IV - analisar as respostas recebidas, reorientando as unidades internas quanto à necessária qualidade das respostas.

Parágrafo único. As unidades são responsáveis pelo teor das respostas apresentadas, as quais serão encaminhadas à Ouvidoria-Geral para fins de remessa ao interessado.

Seção III

Dos Agentes de Tratamento de Dados Pessoais

Art. 27. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.

Parágrafo único. As medidas relacionadas à segurança da informação deverão atender a Política de Segurança da Informação (POSIN) dos órgãos integrantes da Rede de Proteção de Dados Pessoais.

Art. 28. Os Operadores deverão realizar o tratamento de dados para a finalidade previamente estabelecida e segundo as instruções fornecidas pelo Controlador.

Parágrafo único. As unidades manterão relação atualizada de Operadores e Suboperadores junto ao respectivo Ponto Focal.

Art. 29. Os órgãos que compõem a Rede de Proteção de Dados Pessoais do MJSP poderão requisitar informações acerca dos dados pessoais confiados a seus fornecedores e prestadores de serviços terceirizados.

Seção IV

Das Sanções Administrativas

Art. 30. Os agentes de tratamento de dados, em razão das infrações cometidas às disposições previstas nesta Política, ficam sujeitos às sanções administrativas previstas pelo art. 52 da Lei Geral de Proteção de Dados e aplicáveis pela Autoridade Nacional de Proteção de Dados, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 31. O Ministério da Justiça e Segurança Pública exercerá a função típica de controlador dos dados pessoais, inclusive dados pessoais sensíveis, tratados nos termos das suas competências legal e institucional.

Art. 32. O Comitê de Governança de Dados e Sistemas da Informação é a instância colegiada de apoio ao desenvolvimento das disposições contidas nesta Portaria.

Art. 33. As unidades que tratam dados pessoais, inclusive dados pessoais sensíveis, elaborarão no prazo de noventa dias, prorrogável por igual período, mediante justificativa, o Relatório de Impacto à Proteção de Dados Pessoais.

Art. 34. Esta Portaria entra em vigor em 10 de janeiro de 2022.

MÁRCIO NUNES DE OLIVEIRA

Este texto não substitui o original publicado nos veículos oficiais (Diário Oficial da União - DOU e Boletim de Serviço - BS).