Boletim de Serviço Eletrônico em 11/02/2022

Timbre

 

Conselho Universitário

RESOLUÇÃO CONSUN UFCSPA Nº 70, DE 10 DE fevereiro DE 2022

 

Aprova a Política de Proteção de Dados Pessoais no âmbito da Fundação Universidade Federal de Ciências da Saúde de Porto Alegre – UFCSPA.

O CONSELHO UNIVERSITÁRIO DA FUNDAÇÃO UNIVERSIDADE FEDERAL DE CIÊNCIAS DA SAÚDE DE PORTO ALEGRE – CONSUN, no uso de suas atribuições conferidas pelo Estatuto e Regimento Geral desta Universidade, em sessão ordinária realizada por videoconferência em 10 de fevereiro  de 2022, nos autos do processo nº 23103.216585/2021-68, considerando as disposições da Lei n° 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, da Lei n° 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação - LAI, as orientações proferidas pela Autoridade Nacional de Proteção de Dados - ANPD, e o parecer favorável da Câmara de Legislação e Normas, RESOLVE:

Art. 1º Aprovar a Política de Proteção de Dados Pessoais da Fundação Universidade Federal de Ciências da Saúde de Porto Alegre - UFCSPA, que passa a vigorar com a seguinte redação:

Disposições Gerais

Art. 2º A Política de Proteção de Dados Pessoais da UFCSPA visa estabelecer regras gerais sobre o tratamento e o uso de dados pessoais no âmbito da instituição, nos termos da Lei nº 13.709/18.

Art. 3º A Política de Proteção de Dados Pessoais da UFCSPA aplica-se a todos os titulares de dados, servidores, fornecedores, prestadores de serviços e demais colaboradores que, oficialmente, executem atividades vinculadas à atuação institucional e, no que couber, ao relacionamento da UFCSPA com órgãos e entidades públicos ou privados.

Art. 4º Para fins desta Política de Proteção de Dados Pessoais, considera-se:

I - agentes de tratamento: o controlador e o operador;

II - agente público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função nos órgãos e entidades da administração pública, direta e indireta;

III - agentes de Estado: inclui órgãos e entidades da administração pública além dos seus agentes públicos;

IV - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709/18 em todo o território nacional;

V - códigos maliciosos: qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;

IX - internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes;

X - sítios e aplicativos: sítios e aplicativos por meio dos quais o usuário acessa os serviços e conteúdos disponibilizados;

XI - terceiro: pessoa ou entidade que não participa diretamente em um contrato, em um ato jurídico ou em um negócio, ou que, para além das partes envolvidas, pode ter interesse num processo jurídico;

XII - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

XIII - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XIV - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XV - usuários (ou "usuário", quando individualmente considerado): todas as pessoas naturais que utilizarem os serviços da UFCSPA;

XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; e

XVII - violação de dados pessoais: é uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Art. 5º A gestão da proteção de dados pessoais na UFCSPA observará as seguintes diretrizes gerais:

I - gerir os riscos associados aos dados pessoais tratados pela UFCSPA ou em seu nome por terceiros;

II - adotar, desde a fase de concepção do serviço até a sua execução, medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; e

III - integrar as ações de proteção de dados pessoais, segurança da informação, gestão de riscos corporativos, governança de informações digitais, dados abertos e acesso à informação.

Dos Princípios

Art. 6º As atividades de tratamento de dados pessoais na UFCSPA deverão observar os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompativel com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados.

Estrutura Normativa

Art. 7º A estrutura normativa, que estabelecerá as diretrizes da Política de Proteção de Dados Pessoais na UFCSPA, será organizada da seguinte forma:

I - Política de Proteção de Dados Pessoais: resolução do Conselho Universitário que

define os princípios e as regras gerais acerca da proteção de dados a serem adotados pela gestão da UFCSPA, servindo como base para a elaboração das normas complementares e dos procedimentos internos;

II - Normas complementares de proteção de dados pessoais: atos normativos aprovados pelo Comitê Gestor de Segurança da Informação e Comunicação - CGSI de acordo com as diretrizes estabelecidas na Política de Proteção de Dados Pessoais e publicadas pela unidade competente sobre a matéria, apresentando as regras, os controles e os procedimentos específicos a serem implementados;

III - Procedimentos internos de proteção de dados pessoais: manuais de procedimentos ou instrumentos correlatos que orientam o disposto na Política de Proteção de Dados Pessoais e nas normas complementares, viabilizando sua aplicação imediata nos processos da UFCSPA.

Finalidade de utilização dos dados pessoais

Art. 8º O tratamento de dados pessoais pelas pessoas jurídicas de direito público, como é o caso da UFCSPA, deverá ser realizado para:

I - execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da Lei n° 13.709/18; e

II - atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Modalidades de tratamento dos dados pessoais

Art. 9º Com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, as seguintes modalidades de tratamento de dados pessoais serão realizadas pela UFCSPA:

I - acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;

II - armazenamento: ação ou resultado de manter ou conservar em repositório um dado;

III - arquivamento: ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotado a sua vigência;

IV - avaliação: analisar o dado com o objetivo de produzir informação;

V - classificação: maneira de ordenar os dados conforme algum critério estabelecido;

VI - coleta: recolhimento de dados com finalidade específica;

VII - compartilhamento: situações em que os dados pessoais são comunicados, difundidos, transferidos internacionalmente ou interconectados;

VIII - comunicação: transmitir informações pertinentes a políticas de ação sobre os dados;

IX - controle: ação ou poder de regular, determinar ou monitorar as ações sobre o dado;

X - difusão: ato ou efeito de divulgação, propagação, multiplicação dos dados;

XI - distribuição: ato ou efeito de disponibilização de dados de acordo com algum critério estabelecido;

XII - eliminação: ato ou efeito de excluir ou destruir dado do repositório;

XIII - extração: ato de copiar ou retirar dados do repositório em que se encontrava;

XIV - modificação: ato ou efeito de alteração do dado;

XV - processamento: ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado;

XVI - produção: criação de bens e de serviços a partir do tratamento de dados;

XVII - recepção: ato de receber os dados ao final da transmissão;

XVIII - reprodução: cópia de dado preexistente obtido por meio de qualquer processo;

XIX - transferência: mudança de dados de uma área de armazenamento para outra, ou para terceiro;

XX - transmissão: movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos, etc. e XXI - utilização: ato ou efeito do aproveitamento dos dados.

Competências

Art. 10. À UFCSPA, na qualidade de controladora, compete:

I - as decisões referentes ao tratamento de dados pessoais realizado na Universidade; e

II - comunicar à Autoridade Nacional de Proteção de Dados e ao titular de dados sobre a ocorrência de incidente de segurança, que possa acarretar risco ou dano relevante aos titulares.

Art. 11. Ao operador compete a realização do tratamento de dados pessoais em nome do controlador.

§ 1º Para os serviços ofertados pela Universidade, o controlador UFCSPA também atua como operador, ou seja, além de ser responsável pelas decisões referentes ao tratamento de dados pessoais, também realiza o tratamento de dados pessoais.

§ 2º Nos casos em que a UFCSPA não atuar como operador, deverá ser apresentando um termo específico, devendo o encarregado pelo tratamento de dados ser contatado para verificação da adequação à Lei n° 13.709/18 e à Política de Proteção de Dados Pessoais.

Art. 12. Ao encarregado pelo tratamento de dados compete:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providêcias;

II – enviar e receber comunicações da autoridade nacional e adotar providências; e

III – orientar, com apoio do CGSI, os servidores, fornecedores, prestadores de serviços e demais colaboradores a respeito das práticas a serem tomadas em relação à proteção de dados pessoais determinadas pela autoridade nacional.

§1º Compete à Reitoria indicar um servidor, que ficará encarregado do tratamento dos dados pessoais.

§2º A identidade e as informações de contato institucional do encarregado deverão ser divulgadas no site da UFCSPA.

Art. 13. O CGSI, instituído na Política de Segurança da Informação e Comunicação da UFCSPA, atuará na implantação de procedimentos estabelecidos na Lei n° 13.709/18 e nesta Política.

Parágrafo único. O encarregado pelo tratamento de dados deve ser membro permanente do CGSI.

Art. 14. Para assegurar boas práticas de governança na proteção de dados pessoais, o CGSI deverá:

I – coordenar as atividades para elaboração e atualização do inventário de dados pessoais; e

II – elaborar e manter atualizado o relatório de impacto à proteção de dados pessoais.

Da responsabilidade do agente de tratamento

Art. 15. A UFCSPA, no papel de custodiante das informações pessoais dos usuários, deverá:

I – aplicar as medidas técnicas e organizativas aptas a proteger os dados pessoais de acessos não autorizados e de situações de destruição, perda, alteração, comunicação ou difusão de tais dados;

II – adotar soluções que levem em consideração: as técnicas adequadas; os custos de aplicação; a natureza, o âmbito, o contexto e as finalidades do tratamento; e os riscos para os direitos e liberdades do usuário;

III – disponibilizar canais de atendimento ao público caso o usuário identifique alguma falha ou vulnerabilidade de segurança nos serviços; e

IV – publicar e informar ao usuário as futuras alterações na Política de Proteção de Dados Pessoais por meio do site institucional, conforme o princípio da publicidade estabelecido no artigo 37, caput, da Constituição Federal.

Art. 16 A fim de atender determinação proferida em processo judicial ou administrativo, nos limites desta, está a Instituição autorizada a compartilhar informações necessárias para investigações ou tomar medidas relacionadas a atividades ilegais, suspeitas de fraude ou ameaças potenciais contra pessoas, bens ou sistemas que sustentam os serviços ou de outra forma necessária.

Art. 17. A responsabilidade e o ressarcimento de danos pela UFCSPA são estabelecidos no art. 42 e seguintes da Lei nº 13.709/18.

Direitos do titular de dados

Art. 18. O titular dos dados pessoais possui os seguintes direitos:

I - direito de confirmação e acesso: direito de obter a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de acessar os seus dados pessoais;

II - direito de retificação: direito de solicitar a correção de dados incompletos, inexatos ou desatualizados;

III - direito à limitação do tratamento de dados: direito de limitar o tratamento de seus dados pessoais, podendo exigir a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei nº 13.709/18;

IV - direito de oposição: direito de, a qualquer momento, se opor ao tratamento de dados por motivos relacionados com a sua situação particular, com fundamento em uma das hipóteses de dispensa de consentimento ou em caso de descumprimento ao disposto na Lei nº 13.709/18;

V - direito de portabilidade dos dados: direito de realizar a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI - direito de não ser submetido a decisões automatizadas: o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade;

VII - direito do acesso à informação: é dever do Estado garantir o direito de acesso à informação, que será franqueada, mediante procedimentos objetivos e ágeis, de forma transparente, clara e em linguagem de fácil compreensão; e

VIII - direito do respeito à intimidade: o tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.

Obrigações do titular de dados

Art. 19. O titular de dados possui as seguintes obrigações:

I - veracidade das informações: o usuário se responsabiliza pela precisão e veracidade dos dados informados e reconhece que a inconsistência destes poderá implicar a impossibilidade de se utilizar os serviços da UFCSPA;

II - exclusividade do cadastramento: o login e a senha só poderão ser utilizados pelo usuário cadastrado. Ele se compromete em manter o sigilo da senha, que é pessoal e intransferível, não sendo possível, em qualquer hipótese, a alegação de uso indevido, após o ato de compartilhamento;

III - necessidade de atualização dos dados: o usuário dos serviços é responsável pela atualização das suas informações pessoais e consequências na omissão ou erros nas informações pessoais cadastradas; e

IV - responsabilidade em caso de dano: o usuário é responsável pela reparação de todos e quaisquer danos, diretos ou indiretos (inclusive decorrentes de violação de quaisquer direitos de outros usuários, de terceiros, inclusive direitos de propriedade intelectual, de sigilo e de personalidade), que sejam causados à administração pública, a qualquer outro usuário, ou, ainda, a qualquer terceiro, inclusive em virtude do descumprimento do disposto nesta Política de Proteção de Dados Pessoais de qualquer ato praticado a partir de seu acessos aos serviços disponibilizados pela UFCSPA.

Parágrafo único. Caso o usuário viole a Política de Proteção de Dados Pessoais, ou seja investigado em razão de má conduta, o órgão poderá restringir seu acesso.

Práticas de Governança

Art. 20. Em consonância com a presente Política, o CGSI deverá elaborar um plano de ação com o objetivo de comunicar e sensibilizar a comunidade acadêmica acerca da aplicação da Lei nº 13.709/18.

Penalidades

Art. 21. O descumprimento das disposições constantes nesta Política e nas normas complementares sobre proteção de dados pessoais caracteriza violação de dever funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo das responsabilidades civil e penal.

Disposições finais e transitórias

Art. 22. Os casos omissos serão resolvidos pelo CGSI.

Art. 23.  Esta Resolução entra em vigor na data de sua publicação.

Publique-se no Boletim de Serviço Eletrônico.

Porto Alegre, 11 de fevereiro de 2022.

LUCIA CAMPOS PELLANDA

Presidente do CONSUN


logotipo

Documento assinado eletronicamente por Lucia Campos Pellanda, Presidente do Conselho Universitário, em 11/02/2022, às 15:39, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.


QRCode Assinatura

A autenticidade deste documento pode ser conferida no site https://sei.ufcspa.edu.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 1322796 e o código CRC 7C72D49D.