Mudanças entre as edições de "Política de proteção de dados"

De Wiki Recife
Linha 1: Linha 1:
[[Category:Governança de Dados]]
<p style="margin-bottom: 0cm; line-height: 100%;">Este documento é parte integrante do [[Governanca de_Dados|Programa de Governança de Dados da Prefeitura do Recife]].<br></p>
<p style="margin-bottom: 0cm; line-height: 100%;">Este documento é parte integrante do [[Governanca de_Dados|Programa de Governança de Dados da Prefeitura do Recife]].<br></p>
<p style="margin-bottom: 0cm; line-height: 100%;"><br></p>
<p style="margin-bottom: 0cm; line-height: 100%;"><br></p>

Edição das 13h14min de 3 de agosto de 2021

Este documento é parte integrante do Programa de Governança de Dados da Prefeitura do Recife.


A proteção de dados envolve questões relacionadas ao sigilo e privacidade dos dados, e visa garantir também que dados pessoais sejam processados de acordo com os direitos dos titulares.


  1. Esta Política estabelece controles de segurança de privacidade apropriados e eficazes para proteger privacidade dos dados, e limitar ou conter o impacto de qualquer incidente envolvendo uma violação de privacidade dos dados.
  2. Esta Política se aplica.
    1. aos órgãos públicos integrantes da Administração direta do Poder Executivo Municipal;
    2. às autarquias, às fundações públicas, às empresas públicas, às sociedades de economia mista e às entidades controladas, direta ou indiretamente, pelo Município do Recife e vinculadas ao Poder Executivo Municipal;
    3. às instituições que recebam recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres, publicidade limitada à parcela dos recursos públicos oriundos do Município do Recife.
  3. Para os fins desta Política, considera-se:
    1. dado pessoal informação relacionada a pessoa natural identificada ou identificável;
    2. dado pessoal sensível dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
    3. dado anonimizado dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
    4. titular pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
    5. controlador pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
    6. agentes de tratamento o controlador e o operador;
    7. tratamento toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
    8. anonimização utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
    9. consentimento manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
    10. bloqueio suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
    11. eliminação exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
    12. transferência internacional de dados transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
    13. uso compartilhado de dados comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades municipais no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
    14. relatório de impacto à proteção de dados pessoais documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
    15. órgão de pesquisa órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
  4. A Prefeitura deve categorizar as informações e ativos de dados de acordo com as leis federais, estaduais e municipais aplicáveis, ordens executivas, diretivas, políticas, regulamentos, padrões e orientações.
  5. Todas as informações cobertas por esta política devem ser classificadas em uma das quatro categorias, de acordo com o nível de segurança exigido Em ordem decrescente de sensibilidade, essas categorias (ou "classificações de segurança") são "Confidenciais", "Pessoais e Sensíveis", e "Públicas".
    1. informações sigilosas são aquelas submetidas temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado;
    2. informações confidenciais incluem qualquer informação que a Prefeitura tenha obrigação contratual, legal ou regulatória de proteger da maneira mais rigorosa, por exemplo dados que incluam conteúdo protegidos por direitos autorais;
    3. informações pessoais são aquelas relacionadas à pessoa natural identificada ou identificável relativas à intimidade, vida privada, honra e imagem das pessoas;
    4. informações sensíveis são aquelas que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa;
    5. informações públicas são aquelas que não se encaixam em nenhuma das categorias anteriores.
  6. Todos os recursos de informação, sejam documentos físicos, bancos de dados eletrônicos ou outras coleções de informações, devem ser atribuídos a um nível de classificação de segurança de acordo com o conteúdo mais sensível neles contido.
  7. Sempre que possível, todos os dados devem ser classificados explicitamente, de modo que os usuários de quaisquer dados específicos estejam cientes de sua classificação.
  8. A classificação do sigilo de informações, no âmbito da Administração Pública Municipal, é de competência:
    1. no grau de ultrassecreto, das seguintes autoridades:
      1. Prefeito e Vice Prefeito;
      2. O Controlador Geral do Município do Recife;
      3. Secretários Municipais
    2. no grau de secreto e reservado, das autoridades referidas no inciso I, dos Presidentes de autarquias, fundações, empresas públicas e sociedades de economia mista.
  9. O Escritório de Governança de Dados deve documentar os resultados da categorização de segurança (incluindo justificativa de suporte).
  10. As informações sigilosas, confidenciais, pessoais e sensíveis devem ser protegidas contra acesso uso, modificação ou destruição não autorizado Todos os membros da administração pública do Recife compartilham a responsabilidade de proteger a confidencialidade e segurança dos dados.
  11. Os requisitos de privacidade e informações confidenciais também se aplicam a atividades de blogs e mídias sociais Como tal, membros da administração pública de Recife estão proibidos de revelar qualquer informação sigilosa, confidencial, pessoal ou sensível ou qualquer outro material protegido de divulgação por estatutos, regras, normas, contratos e políticas aplicáveis quando envolvidos em atividades de blog e/ou mídia social.
  12. Os órgãos e entidades municipais são dispensados de obter consentimento do titular dos dados quando o tratamento dos dados tiver finalidade:
    1. cumprimento de obrigação legal ou regulatória pelo controlador;
    2. tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos.
  13. Os órgãos e entidades municipais devem identificar os elementos mínimos de dados pessoais a que são relevantes e necessários para cumprir a finalidade de coleta legalmente autorizada Devendo também limitar a coleta e retenção de dados pessoais aos elementos mínimos identificados para os fins descritos.
  14. O consentimento, quando exigido pelos órgãos públicos, será medida excepcional e deverá se referir a finalidades determinadas e comunicadas claramente ao titular do dado.
  15. Para os casos cujo consentimento é obrigatório, devem ser fornecidos os meios apropriados para que o titular dos dados autorize a coleta, uso, manutenção e compartilhamento de seus dados pessoais antes de sua coleta.
  16. Os meios apropriados devem permitir que os indivíduos entendam as consequências das decisões de aprovar ou recusar a autorização da coleta, uso, disseminação e retenção de seus dados pessoais.
  17. Os órgãos e entidades municipais devem obter o consentimento, quando viável e apropriado, dos indivíduos antes de qualquer novo uso ou divulgação de dados pessoais coletados anteriormente.
  18. Ao solicitar consentimento, os órgãos e entidades municipais devem descrever em seus avisos de privacidade os fins para os quais os dados são coletados, usados, mantidos e compartilhados.
  19. A notificação de privacidade deve informar sobre:
    1. atividades que afetam a privacidade, incluindo a coleta, uso, compartilhamento, proteção, manutenção e descarte de dados pessoais;
    2. sua autoridade para coletar dados pessoais;
    3. a capacidade de acessar os dados pessoais e de ter os dados pessoais alteradas ou corrigidas, se necessário;
    4. os dados pessoais que a Prefeitura do Recife coleta e a(s) finalidade(s) para a qual coleta essas informações;
    5. como a Prefeitura do Recife usa os dados pessoais internamente se a Prefeitura compartilha dados pessoais com entidades externas, as categorias dessas entidades e as finalidades desse compartilhamento;
    6. se os titulares têm a capacidade de consentir com usos específicos ou compartilhamento de dados pessoais e como exercer tal consentimento;
    7. como os titulares podem obter acesso a dados pessoais; e
    8. como os dados pessoais serão protegidos.
  20. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.
  21. As práticas de uso e tratamento dos dados também devem estar publicamente disponíveis para que os titulares e partes interessadas possam verificar compatibilidade do tratamento com as finalidades informadas aos titulares, de acordo com o contexto do tratamento.
  22. Outra informação a ser publicada é a identidade e informações de contato do encarregado As atividades do encarregado consistem em:
    1. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
    2. receber comunicações da autoridade nacional e adotar providências;
    3. orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
    4. executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
  23. Os órgãos e entidades municipais devem revisar os avisos públicos para refletir as mudanças na prática ou política que afetam os dados pessoais ou alterações nas suas atividades de tratamento que afetem a privacidade, antes ou assim que possível após a mudança.
  24. O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de outras características previstas em regulamentação para o atendimento do princípio do livre acesso da LGDP.
  25. Os órgãos e entidades municipais devem publicar regras e regulamentos que regem como um titular pode solicitar acesso aos registros mantidos pela Prefeitura, de acordo com as leis e regulamentos aplicáveis.
  26. Inventário e Uso de Dados
    A Prefeitura deve estabelecer, manter e atualizar, em uma frequência definida, um inventário que contém uma lista de todos os ativos de dados que contenham dados pessoais.
  27. O inventário deve ter uma capacidade de indexação ou recuperação para auxiliar e agilizar o processo de busca e recuperação de dados
  28. Compartilhamento de Dados
    O controlador que obtiver o consentimento e necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas em Lei.
  29. O compartilhamento dentro da administração pública no âmbito da execução de políticas públicas e atribuição legal é previsto na lei e dispensa o consentimento específico.
  30. Órgãos e Entidades municipais devem aderir esta política de proteção aos dados e às diretrizes federais e estaduais aplicáveis para o processamento adequado de solicitações relacionadas à privacidade.
  31. O compartilhamento de dados pelos órgãos e entidades municipais observará as seguintes diretrizes:
    1. a informação da Prefeitura será compartilhada da forma mais ampla possível, observadas as restrições legais, os requisitos de segurança da informação e comunicações e o disposto na Lei Geral de Proteção de Dados Pessoais;
    2. o compartilhamento de dados sujeitos a sigilo implica a assunção, pelo recebedor de dados, dos deveres de sigilo e auditabilidade impostos ao custodiante dos dados;
    3. os mecanismos de compartilhamento, interoperabilidade e auditabilidade devem ser desenvolvidos de forma a atender às necessidades de negócio dos órgãos e entidades municipais para facilitar a execução de políticas públicas orientadas por dados;
    4. os órgãos e entidades municipais colaborarão para a redução dos custos de acesso a dados no âmbito do poder executivo de Recife, inclusive, mediante o reaproveitamento de recursos de infraestrutura por múltiplos órgãos e entidades municipais;
    5. nas hipóteses em que se configure tratamento de dados pessoais, serão observados o direito à preservação da intimidade e da privacidade da pessoa natural, a proteção dos dados e as normas e os procedimentos previstos na legislação; e
    6. a coleta, o tratamento e o compartilhamento de dados por cada órgão serão realizados nos termos do disposto no art 23 da Lei Geral de Proteção de Dados Pessoais.
  32. Quando o tratamento de dados pessoais envolver a obrigação legal de difusão destes em transparência ativa, estes devem ser publicados em formato interoperável e estruturado para o uso compartilhado, em cumprimento ao disposto no art 25 da LGPD e como já previa o art 8 º, §3 da Lei nº 12 527 2011 a Lei de Acesso à Informação.
  33. Anonimização e Pseudonimização
    Dado anonimizado é o dado relativo a um titular que não possa ser identificado. A não identificação da relação entre o dado e seu proprietário decorre da utilização da técnica de anonimização, a fim de impossibilitar a associação entre estes, seja de forma direta ou indireta.
  34. É importante ressaltar que, ainda que o dado esteja anonimizado, uma vez observada a possibilidade de reversão do processo que obteve a anonimização, este processo deixa de ser assim considerado e passa a ser considerado pseudonimização. Esses processos, de acordo com a legislação em vigor, devem ser utilizados, sempre que possível, por meio da aplicação de meios técnicos razoáveis e disponíveis na ocasião do tratamento dos dados.
  35. Correção e Alteração de Dados
    Órgãos e entidades municipais devem fornecer um processo para que os titulares tenham dados pessoais imprecisos mantidos pelos órgãos e entidades municipais sejam corrigidos ou alterados, tendo em vista o princípio da Qualidade dos Dados disposto na Lei Geral de Proteção de Dados Pessoais.
  36. Processos e procedimentos também devem ser estabelecidos para disseminar as correções ou alterações dos dados pessoais a outros usuários autorizados dos dados pessoais, como parceiros externos de compartilhamento de informações Quando viável e apropriado, os órgãos e entidades municipais responsáveis pela correção e alteração deve notificar os titulares afetados de que suas informações foram corrigidas ou alteradas.
  37. A Prefeitura deve implementar um processo para receber e responder a reclamações, preocupações ou perguntas de indivíduos sobre as práticas de privacidade de dados implementadas pela administração pública de Recife.
  38. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
    1. cumprimento de obrigação legal ou regulatória pelo controlador;
    2. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
    3. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na Lei Geral de Proteção a Dados Pessoais ou;
    4. uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Disponível em “https://wikirecife.recife.pe.gov.br/index.php?title=Política_de_proteção_de_dados&oldid=371