Política de Privacidade da UFDPar
RESOLUÇÃO CONSUNI N° 100 DE 14 DE OUTUBRO DE 2024
Aprova a Política de Proteção de Dados Pessoais
e cria o Comitê Gestor de Proteção de Dados Pessoais
da Universidade Federal do Delta do Parnaíba.
O REITOR DA UNIVERSIDADE FEDERAL DO DELTA DO PARNAÍBA e PRESIDENTE DO CONSELHO UNIVERSITÁRIO (CONSUNI), no uso de suas atribuições legais, tendo em vista decisão do mesmo Conselho em reunião do dia 09 de outubro de 2024, e considerando:
- o Processo nº 23855.007132/2024-80 RESOLVE:
Art. 1º Aprovar a Política de Proteção de Dados Pessoais e criar o Comitê Gestor de Proteção de Dados Pessoais, no âmbito da Universidade Federal do Delta do Parnaíba (UFDPar), conforme disposto no Anexo Único desta Resolução. Art. 2º Esta Resolução entra em vigor na data de sua publicação.
João Paulo Sales Macedo
Reitor
ANEXO ÚNICO DA RESOLUÇÃO CONSUNI N° 100 DE 14 DE OUTUBRO DE 2024
POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DA UNIVERSIDADE FEDERAL DO DELTA DO PARNAÍBA
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1° A Política de Proteção de Dados Pessoais da UFDPar (PPDP/UFDPar) tem por objetivo apresentar as diretrizes normativas de tratamento de dados pessoais de toda a comunidade externa e interna desta Instituição Federal de Ensino Superior (IFES), com fundamento nos princípios e regras previstos no ordenamento jurídico pátrio acerca da matéria, com destaque para a Lei Federal n° 13.709, de 14 de agosto de 2018 (Lei de Proteção de Dados Pessoais) e outras orientações aplicáveis.
Art. 2° Esta Política se aplica aos agentes públicos (servidores, temporários, estagiários), visitantes, estudantes, colaboradores terceirizados e demais pessoas que direta ou indiretamente executam o tratamento de dados pessoais produzidos e/ou custodiados pela UFDPar.
§ 1° A Administração Superior, as unidades administrativas e acadêmicas serão responsáveis por garantir que os dados pessoais sejam protegidos, em todos os processos ao longo de todo o seu ciclo de coleta, transmissão e descarte, respeitando as medidas de proteção de dados e privacidade existentes.
§ 2° No caso de serviços ofertados pela UFDPar em outras plataformas, esta Política será aplicada de modo complementar ao da própria plataforma.
CAPÍTULO II
CONCEITOS E DEFINIÇÕES
Art. 3° Para os fins desta Política considera-se:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: tipo de dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - pessoa natural: ser humano, sujeito de direitos e deveres. A existência da pessoa natural termina com a morte, conforme art. 6º da Lei N° 10.406, de 10 de janeiro de 2022;
IV - medida técnica: controle relacionado à segurança cibernética, obtido por processo que possibilite a conformidade legal e normativa e a confidencialidade, disponibilidade e integridade dos dados pessoais;
V - medida administrativa: controle organizacional, físico ou procedimental, obtido por processo que possibilite a conformidade legal e normativa e a confidencialidade, disponibilidade e integridade dos dados pessoais;
VI - Relatório de Impacto à Proteção de Dados Pessoais (RIPD): documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
VII - processo de trabalho: conjunto de atividades laborais coordenadas que combinam recursos e competências para produzir uma saída que gera valor às partes interessadas ou demais processos de forma direta ou indireta;
VIII - dono de processo de trabalho: pessoa natural que toma decisões sobre como será o processo de trabalho, estipula as etapas, define o fluxo e tem o poder de extinguir o respectivo processo, quando necessário;
IX - chefia imediata: autoridade a qual o servidor está diretamente subordinado hierarquicamente, definida na estrutura organizacional;
X - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
XI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No contexto desta Política, o papel de controlador, nos termos da legislação competente, é exercido pela UFDPar;
XII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, com vínculo estatutário ou empregatício com o controlador;
XIII - encarregado pelo tratamento de dados pessoais (ETDP): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
XIV - agentes de tratamento: o controlador e o operador;
XV - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XVI - custodiante: pessoa natural representante de organização que zela transitoriamente, total ou parcialmente, pelos tratamentos dos dados que estão sob sua custódia; e
XVII - agente público: pessoa natural que exerce função em organização governamental, por intermédio de qualquer forma de investidura, vínculo, mandato, cargo ou emprego.
Parágrafo único. Ressalte-se que, a utilização do termo dado pessoal engloba as definições de dado pessoal e dado pessoal sensível, sempre que não determinado especificamente como sensível.
CAPÍTULO III
DOS PRINCÍPIOS
Art. 4° As operações de tratamento de dados pessoais deverão observar a boafé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII -segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração e comunicação ou difusão não autorizada pelo titular ou por ordem judicial;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 5° O objetivo da Política de Proteção de Dados Pessoais - PPDP é definir as principais normas, princípios, objetivos e diretrizes em relação à proteção de dados que são aplicáveis à UFDPar, para garantir o nível de privacidade e proteção aos dados pessoais determinados pela legislação atinente à matéria.
§ 1° A PPDP/UFDPar atende ao determinado na Política de Segurança da Informação da UFDPar (Resolução CONSUNI nº 63 de 1º de março de 2024), da legislação em vigor e define as medidas técnicas e administrativas de proteção de dados e privacidade, que deverão ser observadas, desde a concepção do processo de trabalho ou serviço, até a sua execução, além de seguida pelos agentes públicos e prestadores de serviços, vinculados à UFDPar.
§ 2° As medidas técnicas e administrativas devem ser aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito e considerar a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, assim como os princípios previstos em legislação.
CAPÍTULO V
DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS
Art. 6° O(a) Encarregado(a) de Dados Pessoais, da UFDPar é o(a) responsável pelo adequado acompanhamento no tratamento de dados pessoais desta IFES, e terá, dentre suas atividades:
I - aceitar comunicações dos titulares, para lhe prestar esclarecimentos ou adotar providências necessárias;
II - receber comunicações, da Autoridade Nacional de Proteção de Dados (ANPD), assim como de outros Órgãos e Instituições, que tenham poderes para requerer informações sobre o tratamento de dados pessoais, e adotar as providências necessárias;
III - desenvolver atividades com objetivo de divulgação e promover eventos com a finalidade de orientar e sensibilizar a comunidade interna e externa da UFDPar, promovendo a cultura da proteção de dados pessoais;
IV - gerir disposições estabelecidas em normas complementares;
V - compor o Comitê Gestor de Proteção de Dados Pessoais (CGPDAP); e
VI - informar aos usuários ao tomar conhecimento de acidentes/vazamento de dados pessoais.
CAPÍTULO VI
DO COMITÊ GESTOR DE PROTEÇÃO DE DADOS PESSOAIS
Art. 7° Compete ao Comitê Gestor de Proteção de Dados Pessoais (CGPDP):
I - implementar mecanismos de tratamento e proteção dos dados pessoais no âmbito da UFDPar, com vistas a garantir o cumprimento da LGPD;
II - avaliar os procedimentos de tratamento e proteção dos dados existentes e propor estratégias e metas em observância à LGPD;
III - revisar a Política de Privacidade e Proteção de Dados Pessoais e as respectivas instruções normativas auxiliares, no mínimo a cada dois anos;
IV - promover ações de sensibilização junto à comunidade universitária, aos órgãos administrativos e aos parceiros da UFDPar sobre a aplicação da Política e normas relacionadas à privacidade e proteção de dados;
V - acompanhar a implantação e o cumprimento das ações regulamentadoras nos diversos órgãos da UFDPar;
VI - analisar, juntamente com o encarregado pelo tratamento de dados pessoais, casos de descumprimento das normas referentes à Política de Privacidade e Proteção de Dados Pessoais, instruí-las com base nas normativas pertinentes e notificar os responsáveis; e
VII - articular o intercâmbio de informação sobre a proteção de dados pessoais com outros órgãos públicos.
Art. 8° O Comitê Gestor de Proteção de Dados Pessoais (CGPDP), de natureza permanente, consultivo-propositivo, tem responsabilidade estratégica e deve ser composto pelo encarregado pelo tratamento de dados pessoais e por membros dos seguintes órgãos:
I- 1 (um) representante da Pró-Reitoria de Tecnologia da Informação e Comunicação;
II - 1 (um) representante da Pró-Reitoria de Pós-Graduação, Pesquisa e Inovação;
III - 1 (um) representante da Pró-Reitoria de Extensão;
IV - 1 (um) representante da Pró-Reitoria de Assuntos Estudantis;
V - 1 (um) representante da Pró-Reitoria de Administração;
VI - 1 (um) representante da Pró-Reitoria de Planejamento;
VII - 1 (um) representante da Pró-Reitoria de Graduação;
VIII - 1 (um) representante da Pró-Reitoria de Gestão de Pessoas;
IX - 1(um) representante discente da graduação; e
X - 1 (um) representante discente da Pós-Graduação.
Art. 9° O Comitê Gestor de Proteção de Dados Pessoais - CGPDP será presidido por um dos membros servidores públicos indicados no Art. 8°, mediante designação do Reitor da UFDPar.
Parágrafo único. Os representantes elencados nos incisos I a X serão indicados pelos dirigentes das respectivos(as) Unidades. Os membros do CGPDP terão mandato de dois anos.
CAPÍTULO VII
DO TRATAMENTO DE DADOS PESSOAIS
Seção I
Das Finalidades
Art. 10. Os dados pessoais devem ser tratados, com segurança e precauções, em conformidade com a legislação, adequados às seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória;
II - tratamento e uso compartilhado de dados necessários à execução de políticas públicas, previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
III - execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
IV - exercício regular de direitos em processo judicial, administrativo ou arbitral;
V - proteção da vida ou incolumidade física do titular ou terceiros;
VI - tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
VII - proteção de interesses legítimos do controlador ou de terceiros;
VIII - garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação;
IX - cumprimento de obrigação financeira com fornecedores, conveniados e titulares de benefícios, ou outorgados por estes;
X - proteção do crédito; e
XI - realização de estudos e pesquisas, em situações que a UFDPar assume o papel de órgão de pesquisa, com a coleta, a gestão e o armazenamento dos dados pessoais sob responsabilidade da UFDPar.
§ 1° Os donos de processos de trabalho devem realizar a identificação das finalidades do tratamento dos dados pessoais, incluindo a identificação do motivo, a proporcionalidade e a base legal para o seu uso.
§ 2° A adequação da proporcionalidade do tratamento e do tipo de acesso ao dado pessoal é de responsabilidade do dono do processo ou da chefia imediata.
§ 3° Excepcionalmente, novas finalidades para tratamento de dados pessoais podem ser identificadas a partir de consulta aos editais no site Institucional da UFDPar.
Art. 11. A UFDPar reserva o direito de realizar tratamentos de dados pessoais para atender o legítimo interesse desta IFES. Nessa hipótese, conforme previsto em legislação, somente será realizado o tratamento de dados pessoais estritamente necessários às finalidades legítimas consideradas a partir de situações concretas, que incluem, mas não se limitam:
I - ao apoio e promoção de atividades; e
II - à proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
Parágrafo único. A UFDPar reserva o direito de realizar o tratamento de dados pessoais em vídeo de monitoramento, para proteção à vida, à incolumidade física de titulares ou terceiros e para finalidades legítimas, em situações concretas de apoio a essa finalidade e salvaguarda do bem público, com tratamento de dados pessoais proporcionais à finalidade e acesso restrito a agentes públicos com atribuições relativas a essa finalidade.
Art. 12. Quando o tratamento de dados pessoais for condição para o fornecimento de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular determinados em legislação.
Seção II
Do Consentimento
Art. 13. O fundamento da autodeterminação informativa, conforme estabelecido pela Lei Geral de Proteção de Dados (LGPD), manifestado por meio do “consentimento”, será aplicado em situações excepcionais, não abrangidas pelas finalidades especificadas nos incisos I a XI do art. 10 desta Resolução.
§ 1° O consentimento é uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, sendo vedado o condicionamento do consentimento a direitos do titular.
§ 2° O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado.
§ 3° Ao ser revogado o consentimento pelo titular é vedada a continuidade do tratamento dos dados pessoais obtidos por intermédio desse e a continuidade de processos de trabalho que dependam desses dados pessoais.
§ 4° Na hipótese de tratamento de dados por intermédio de consentimento, se houver mudança da identificação do controlador, forma, compartilhamento ou finalidade do tratamento de dados pessoais, o controlador deverá informarpreviamente o titular sobre as mudanças, podendo o titular revogar o consentimento, caso discorde das alterações.
§ 5° O consentimento deve referir a finalidades específicas, sendo vedadas as autorizações genéricas para tratamento de dados pessoais.
§ 6° Caso o consentimento seja fornecido por escrito, esse deverá constar em cláusula destacada das demais cláusulas.
§ 7° Deverá constar no consentimento os eventuais compartilhamentos de dados pessoais com controladores conjuntos e operadores.
§ 8° Deverá ser fornecido ao titular, no ato de solicitação do consentimento, informações sobre a possibilidade de não fornecer consentimento e as consequências dessa negativa.
§ 9° Cabe ao responsável pela obtenção do consentimento o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na legislação competente.
Seção III
Das Diretrizes
Art. 14. O tratamento de dados está limitado aos dados pessoais proporcionais e não excessivos, com propósitos legítimos, específicos, explícitos, tempestivos e informados ao titular. Para tal, utilizar-se-á medidas técnicas e administrativas para proteger os dados de acessos não autorizados, de situações acidentais, ilícitas e da ocorrência de danos.
§ 1° Os dados pessoais não devem estar acessíveis fisicamente ou digitalmente a pessoas não autorizadas.
§ 2° Os locais e os meios que processam e/ou armazenam dados pessoais são de acesso restrito às pessoas autorizadas e devem ser implementados procedimentos de controle de acesso em locais que ainda não os possuam.
§ 3° Os dados pessoais não devem ser fornecidos a qualquer pessoa sem o consentimento do respectivo titular desses dados, exceto dados de crianças, adolescentes ou pessoas com incapacidade civil, quando fornecidos ao responsável legal devidamente identificado. Os demais tratamentos dos dados pessoais devem ser permitidos apenas às pessoas que precisam obrigatoriamente utilizá-los durante o período de suas atribuições laborais na UFDPar, conforme previsto no Art.10.
§ 4° O descarte de equipamento ou material que conste ou armazene dados pessoais deve ser realizado de forma a não permitir a leitura desses dados após o descarte.
§ 5° O envio de dados pessoais sob tutela da UFDPar às entidades, associações, sindicatos e demais entidades deve ser realizado com o consentimento do titular dos dados pessoais, ou conforme obrigação legal, ou obrigação contratual de interesse do titular respeitando as determinações da legislação competente, em especial, as disposições referentes às transferências internacionais de dados pessoais.
Art. 15. Conforme a Política de Segurança da Informação da UFDPar, o acesso às informações produzidas ou custodiadas pela UFDPar, que não sejam de domínio público, deve ser limitado às atribuições necessárias do usuário ao desempenho de suas funções.
§ 1° Qualquer forma de uso em conformidade com a legislação competente, que extrapole as atribuições necessárias ao desempenho das atividades, necessitará de prévia autorização formal, pelo custodiante.
§ 2° Se autorizado formalmente, o acesso às informações produzidas ou custodiadas pela UFDPar, que não sejam de domínio público, está condicionado ao aceite do termo de sigilo e responsabilidade.
Art. 16. Convênios, contratos e instrumentos congêneres, que envolvam o compartilhamento de dados pessoais, somente podem ser efetivados com controladores e operadores em conformidade com as normas legais competentes à proteção de dados pessoais e privacidade, no âmbito da UFDPar.
Parágrafo único. Os instrumentos mencionados no caput devem estipular, no mínimo, os papéis e responsabilidades de cada parte em relação aos dados pessoais tratados durante a vigência do acordo e as medidas necessárias ao atendimento das determinações legais relativas à proteção de dados pessoais e à privacidade.
Art. 17. Conforme as normas legais competentes ao tema, o tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.
Seção IV
Dados de Saúde
Art. 18. Os dados pessoais, dados sensíveis e anonimizados, relacionados a fatos e ocorrências médicas e de saúde, receberão atenção cautelosa e adequada, em todas as etapas de seu tratamento e poderão ter normativas específicas.
Art. 19. Dados pessoais poderão ser compartilhados com terceiros, externos à UFDPar, quando do cumprimento de medidas para a proteção da vida, da incolumidade física do titular ou de terceiro, para a tutela de sua saúde e mediante obediência à Política de Dados Abertos da UFDPar.
Art. 20. As instituições, departamentos e órgãos auxiliares da UFDPar, que realizam o tratamento de dados pessoais relacionados à saúde, poderão adotar diretrizes próprias para o tratamento de dados pessoais, por meio de termos e políticas específicas, desde que aprovadas pelo Comitê de Dados Pessoais, Comitê de Governança e pelo Conselho Universitário.
Art. 21. O tratamento de Dados Pessoais fornecidos no ato de inscrição em concursos públicos externos, obedecerá às políticas regidas nesta Resolução. Parágrafo único. Todos os dados pessoais, fornecidos pelo respectivo titular, poderão ser compartilhados com o contratante, para cumprimento de contrato ou obrigação legal, após assinatura de termo de responsabilidade próprio.
Art. 22. Os dados pessoais coletados nos concursos externos, realizados pela UFDPar, no momento da inscrição do participante, poderão ser acessados pelos agentes ou instituições responsáveis pela organização do evento, com os seguintes propósitos:
I - processamento da inscrição e participação do candidato;
II - envio de comunicações prévias e posteriores, sobre o evento;
III - envio de comunicações futuras, referentes a eventos ou atividades relacionadas; e
IV - confecção de certificados ou atestados de participação.
§ 1° Os dados não serão compartilhados com terceiros, não descritos nestes termos, ou que não possuam relação acadêmica com o evento, sem a autorização do participante.
§ 2° Eventualmente, mediante autorização do participante, os dados da inscrição poderão ser compartilhados com empresas e instituições patrocinadoras ou apoiadoras do evento.
Art. 23. Os dados anonimizados poderão ser tratados pela UFDPar, ou pelos responsáveis do certame e utilizados, sem prévio consentimento do titular.
Seção VI
Dados de Crianças e Adolescentes
Art. 24. O tratamento de dados pessoais de crianças e adolescentes será realizado com o consentimento específico de, ao menos, um dos pais, ou do responsável legal.
§ 1° De acordo com o Estatuto da Criança e do Adolescente, considera-se criança, a pessoa até doze anos de idade incompletos, e adolescente, aquela entre doze e dezoito anos de idade.
§ 2° Um dos pais ou o responsável legal poderá agir em nome da criança ou adolescente, na disposição de direitos relacionados à privacidade de dados pessoais.
Seção VII
Dados em Pesquisa
Art. 25. Os dados pessoais coletados em pesquisas e projetos, realizadas por docentes, estudantes e agentes universitários da UFDPar, deverão obedecer às disposições desta Política, assim como regulamentações dispostas em normas específicas, a exemplo do Comitê de Ética em Pesquisa envolvendo seres humanos.
§ 1° Quando da realização de pesquisas, forem adquiridos dados pessoais, deverá ser obtida a autorização do seu respectivo titular, para o tratamento de dados, apresentando, de forma clara, o objetivo na utilização dessas informações, mediante o aceite de um termo de consentimento, salvo quando os dados adquiridos, sejam anonimizados.
§ 2° A utilização de dados pessoais, dispostos em bancos de dados previamente armazenados antes da vigência da LGPD, com o propósito da realização de pesquisas, análises, relatórios, deverá observar as práticas de proteção e privacidade dos dados.
Art. 26. Pesquisas desenvolvidas por pesquisadores não pertencentes à UFDPar, que preveem em seu escopo a coleta de dados pessoais, só poderão ser realizadas na Instituição, após aprovação do Departamento e/ou Programa de Pós-Graduação envolvido, obedecendo, ainda, aos termos da presente Política, devendo assinar, adicionalmente, um termo de compromisso para o adequado tratamento de dados pessoais.
Art. 27. Para a realização de pesquisas com seres humanos, ainda que estes participem da comunidade universitária, mesmo que o projeto tenha tido aprovação do Comitê de Ética em Pesquisa com seres humanos, deverá o pesquisador obedecer aos termos desta Política.
Parágrafo único. Na realização de pesquisas, entrevistas ou preenchimento de formulários, que contenham dados pessoais, o pesquisador deverá obter, antecipadamente, a expressa autorização do participante, mediante a assinatura de um termo de consentimento para o tratamento de dados pessoais, além do preenchimento do Termo de Consentimento Livre e Esclarecido.
Art. 28. Na inscrição para publicação de artigos acadêmicos em revistas científicas da UFDPar, serão observadas as políticas apresentadas no Portal de Periódicos da Instituição.
Art. 29. Os dados e imagens coletados em atividades acadêmicas, ou por monitoramento institucional de proteção, poderão ser utilizados para fins de divulgação de atividades institucionais ou para instruir procedimento administrativo e judicial.
Art. 30. As solicitações, relativas aos direitos previstos em legislação competente a proteção de dados pessoais e privacidade, devem ser realizadas conforme orientações que constam na área “Tratamento de Dados Pessoais” do site da UFDPar.
Art. 31. Em pesquisas que a UFDPar apenas intermedeia o contato entre o pesquisador e o respondente, deve ser obtido:
I - consentimento prévio do destinatário de e-mails, concernente ao envio de convites a pesquisas não relacionadas diretamente ao vínculo com a UFDPar; e
II - consentimento dos respondentes da pesquisa, para o tratamento dos dados pessoais coletados.
Art. 32. Conforme determinado em legislação, é vedada a identificação de pessoas em publicações de pesquisas sem o consentimento específico do titular para esse fim.
Parágrafo único. Sempre que possível, os dados pessoais devem ser tratados de forma anonimizada em pesquisas.
Seção VIII
Dados Pessoais Acadêmicos e Profissionais
Art. 33. As informações sobre o tratamento de dados pessoais pela UFDPar são apresentadas, compreendendo a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução desse tratamento, em cumprimento ao disposto no inciso I do Art. 23 da Lei nº 13.709/2018 (LGPD - Lei Geral de Proteção de Dados Pessoais), da seguinte forma:
I - discente: dados para identificação, dados acadêmicos, dados necessários à reserva de vaga e política de cotas, dados necessários a benefícios e direitos, dados necessários ao cumprimento de obrigação legal ou regulatória e políticas públicas;
II - servidores (ativos/inativos): dados para identificação, dados necessários à reserva de vaga e política de cotas, dados necessários a benefícios e direitos, dados necessários ao cumprimento de obrigação legal ou regulatória;
III - colaboradores: dados para identificação, dados necessários à reserva de vaga e política de cotas, dados necessários a benefícios e direitos, dados necessários ao cumprimento de obrigação legal ou regulatória;
IV - colaboradores terceirizados: dados para identificação, dados necessários a benefícios e direitos, dados necessários ao cumprimento de obrigação legal ou regulatória;
V - fornecedores ou conveniados: dados para identificação, dados necessários à classificação da organização, dados necessários ao cumprimento de obrigação legal, financeira ou regulatória;
VI - candidatos em processos seletivos e licitatórios: dados para identificação, dados necessários à reserva de vaga e política de cotas, dados necessários a benefícios e direitos;
VII - familiares de alunos: dados para identificação do aluno, dados necessários à reserva de vaga e política de cotas, quando aplicável ao caso. Dados necessários ao cumprimento de obrigação legal ou regulatória e políticas públicas;
VIII - familiares de servidores: dados para identificação, dados necessários a benefícios e direitos, dados necessários ao cumprimento obrigação legal ou regulatória;
IX - familiares de candidatos em processos seletivos ou licitatórios: dados para identificação, dados necessários à reserva de vaga e política de cotas, quando aplicável ao caso;
X - participantes de eventos: dados para identificação, dados necessários a benefícios e direitos;
XI - usuários de serviços disponibilizados pela UFDPar à comunidade: dados para identificação, dados necessários ao uso do serviço.
Art. 34. A utilização, pelo titular dos dados, usuário do sistema, de determinadas funcionalidades do serviço, dependerá do fornecimento e meios de tratamento dos seguintes dados pessoais:
§ 1° Dos dados pessoais:
I - nome completo;
II - nome social;
III - data de nascimento;
IV - sexo;
V - filiação;
VI - nacionalidade;
VII - naturalidade;
VIII - número de inscrição no CPF;
IX - estado civil;
X - endereço de e-mail;
XI - endereço;
XII - número de telefone;
XIII - RG;
XIV - foto do titular;
XV - dados bancários;
XVI - dados de saúde;
XVII - dados socioeconômicos;
XVIII - dados étnico-raciais;
XIX - informações técnicas (endereço IP e identificação de dispositivos).
§ 2° Da forma do fornecimento:
I - nome completo: informado pelo titular;
II - nome social: informado pelo titular;
III - data de nascimento: informado pelo titular;
IV - sexo: informado pelo titular;
V - filiação: informado pelo titular;
VI - nacionalidade: informado pelo titular;
VII - naturalidade: informado pelo titular;
VIII - número de inscrição no CPF: informado pelo titular;
IX - estado civil: informado pelo titular;
X - endereço de e-mail: informado pelo titular;
XI - endereço: informado pelo titular;
XII - número de telefone: informado pelo titular;
XIII - RG: informado pelo titular;
XIV - foto do titular: informado pelo titular;
XV. dados bancários: informado pelo titular;
XVI - dados de saúde: informados pelo titular ou obtido no setor de saúde vinculado ao prestador do serviço;
XVII - dados socioeconômicos: informado pelo titular; XVIII - dados étnico-raciais: Informado pelo titular;
XIX - informações técnicas (endereço IP e identificação de dispositivos).
§ 3° Da finalidade do fornecimento:
I - nome completo: registros acadêmicos, funcionais e contratuais;
II - nome social: registros acadêmicos, funcionais e contratuais;
III - data de nascimento: registros acadêmicos, funcionais e contratuais;
IV - sexo: registros acadêmicos, funcionais e contratuais;
V - filiação: registros acadêmicos, funcionais e contratuais;
VI - nacionalidade: registros acadêmicos, funcionais e contratuais;
VII - naturalidade: registros acadêmicos, funcionais e contratuais;
VIII - número de inscrição no CPF: registros acadêmicos, funcionais e contratuais;
IX - estado civil: registros acadêmicos, funcionais e contratuais;
X - endereço de e-mail: registros acadêmicos, funcionais e contratuais;
XI - endereço: registros acadêmicos, funcionais e contratuais;
XII - número de telefone: registros acadêmicos, funcionais e contratuais;
XIII - RG: registros acadêmicos, funcionais e contratuais;
XIV - foto do titular: registros acadêmicos, funcionais e contratuais;
XV - dados bancários: depósito de bolsas/pagamento de salário e proventos;
XVI - dados de saúde: aprimoramento do serviço público de educação;
XVII - dados socioeconômicos: registros acadêmicos e funcionais;
XVIII - dados étnico-raciais: registros acadêmicos e funcionais;
XIX - informações técnicas (endereço IP e identificação de dispositivos).
§ 4° Do tratamento dos dados fornecidos:
I - nome completo: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
II - nome social: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
III - data de nascimento: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
IV - sexo: armazenamento, arquivamento, coleta, eliminação, processamento, recepção, reprodução, transferência, transmissão e utilização;
V - filiação: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
VI - nacionalidade: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
VII - naturalidade: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
VIII - número de inscrição no CPF: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
IX - estado civil: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
X - endereço de e-mail: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
XI - endereço: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
XII - número de telefone: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
XIII - RG: armazenamento, arquivamento, coleta, eliminação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização;
XIV - registro de acesso: armazenamento, arquivamento, coleta, eliminação, processamento, recepção, reprodução, transferência, transmissão e utilização;
XV - foto do titular: armazenamento, arquivamento, coleta, eliminação, processamento, recepção, reprodução, transferência, transmissão e utilização;
XVI - dados bancários: armazenamento, utilização e transferência;
XVII - dados de saúde: armazenamento, utilização e transferência;
XVIII - dados socioeconômicos: armazenamento, utilização e transferência;
XIX - dados étnico-raciais: armazenamento, utilização e transferência;
XX - informações técnicas (endereço IP e identificação de dispositivos).
Art. 35. Os dados pessoais são coletados das seguintes formas pela UFDPar:
I - obtido de terceiros (Login Único, Google, dados do SiSU, ENEM, SIGAA, etc);
II - informado pelo usuário;
III - câmera de dispositivos;
IV - cookies;
V - localização de dispositivo;
VI - microfone de dispositivo e obtido pelo dispositivo de acesso;
VII - após autorização do usuário.
§ 1° Cookies são pequenos arquivos de texto enviados pelo site ao computador do usuário e que nele ficam armazenados, com informações relacionadas à navegação do site, contudo, determinados tipos de cookies podem ser utilizados somente para que o serviço funcione corretamente.
§ 2° As informações eventualmente armazenadas em cookies também são consideradas dados pessoais e todas as regras previstas nesta Política de Privacidade também são a estas aplicáveis. A UFDPar sempre enviará mensagem informando o uso de cookies e permite a retirada da permissão de coleta desse tipo de dados ao usuário.
Art. 36. A transferência internacional de dados pessoais para organizações no exterior, o armazenamento de dados pessoais em locais fora do território brasileiro e outras formas de tratamento internacional de dados pessoais somente serão permitidas
para os casos em que o país ou organismo internacional proporcionarem um grau de proteção de dados adequado ao previsto em legislação brasileira concernente a transferência e tratamento de dados pessoais.
Parágrafo único. Os dados pessoais do titular são compartilhados internamente, entre as unidades acadêmicas e administrativas, estritamente para o cumprimento do dever legal e nos limites de suas atribuições institucionais.
Seção IX
Da retenção de dados pessoais
Art. 37. A retenção de dados pessoais na UFDPar finaliza nas seguintes ocasiões:
I - exaurimento da finalidade para os quais os dados foram coletados ou prescindibilidade destes à finalidade;
II - fim do período de tratamento, que inclui o período de arquivamento previsto em lei e normativos internos apropriados;
III - revogação do consentimento ou a pedido do titular; e
IV - por aplicação de sanção prevista em lei ou decisão judicial.
§ 1° Na incidência das hipóteses do caput, os dados pessoais devem ser eliminados, exceto nas seguintes circunstâncias:
I - remanesça o cumprimento de obrigação legal ou regulatória pela UFDPar;
II - dados pessoais necessários à realização de estudos pela UFDPar, enquanto órgão de pesquisa, nos termos da legislação aplicável, desde que, no momento de obtenção dos respectivos dados, tenha sido especificado ao titular essa finalidade, as circunstâncias e os tratamentos, e que seja garantida, sempre que possível, a anonimização dos dados; e
III - uso exclusivo pela UFDPar, vedado seu acesso por terceiro, e desde que anonimizados os dados.
§ 2° A eliminação dos dados pessoais e o descarte de documentos e dispositivos que contenham dados pessoais deve ser realizada de modo seguro e irreversível, impedindo a recuperação dos dados pessoais ou posterior reidentificação do titular.
Art. 38. Deve-se considerar que os dados pessoais coletados pelo Poder Público constituem arquivo público, conforme legislação concernente, e a eliminação deverá obedecer aos procedimentos de gestão arquivísticas, suas regulamentações e demais prazos pertinentes à legislação de arquivos.
§ 1° O período de retenção de documentos físicos ou digitais, que contenham dados pessoais, deve estar de acordo com o Código de Classificação de Documentos de Arquivo (CCD), concernente às atividades meio e às atividades-fim do Poder Executivo Federal e conforme Tabelas de Temporalidade e Destinação de Documentos de Arquivo (TTDD), aprovados pelo Arquivo Nacional, conforme legislação concernente.
§ 2° As dúvidas sobre a temporalidade de retenção e sobre a eliminação de documentos físicos ou digitais, com dados pessoais, devem ser encaminhadas à Comissão Permanente de Avaliação de Documentos (CPAD) ou à Comissão Permanente de Avaliação de Documentos Sigilosos (CPADS) da UFDPar ou equivalente ao órgão, conforme a característica do dado pessoal.
CAPÍTULO VIII
DOS RELATÓRIOS DE IMPACTO
Art. 39. Os donos de processos de trabalho precisam elaborar Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para processos de trabalho que tratam dados pessoais, sempre que existir a possibilidade de impacto relevante na privacidade dos dados pessoais resultantes de:
I - uma nova tecnologia, serviço ou outra nova iniciativa em que dados pessoais e dados pessoais sensíveis sejam ou devam ser tratados;
II - rastreamento da localização dos indivíduos, ou qualquer ação de tratamento que vise a formação de perfil comportamental de pessoa natural identificável;
III - tratamento que possa resultar risco relevante a dados pessoais sensíveis;
IV - processamento de dados pessoais usados para decisões automatizadas que possam ter efeitos legais, incluídas as decisões destinadas a definir o perfil pessoal, profissional, de consumo e de crédito ou aspectos de personalidade;
V - tratamento de dados pessoais de crianças e adolescentes;
VI - tratamento de dados pessoais que possa resultar em dano patrimonial, moral, individual ou coletivo aos titulares de dados, em caso de incidente por acesso indevido;
VII - alterações em leis e regulamentos aplicáveis à privacidade, política e normas internas, operação do sistema de informações, propósitos e meios para tratar dados, fluxos de dados novos ou alterados, dentre outros;
VIII - tratamento devido a interesse legítimo do controlador; e
IX - reformas administrativas que resultem em nova estrutura organizacional resultante da incorporação, fusão ou cisão de órgãos ou entidades.
CAPÍTULO IX
PRIVACIDADE DESDE A CONCEPÇÃO
Art. 40. A privacidade e a proteção de dados devem ser consideradas desde a concepção e durante todo o ciclo de vida de softwares, serviços, processos ou produtos.
§ 1° Os procedimentos e salvaguardas relativas ao caput devem ser proativos e preventivos
.§ 2° Devem ser estabelecidas normas sistemáticas para reconhecer projetos de privacidade inadequados, antecipar práticas inapropriadas de privacidade e corrigir quaisquer impactos negativos, antes que ocorram.
§ 3° A privacidade deve ser o padrão de softwares desenvolvidos e práticas de processos de trabalho, para garantir que os dados pessoais sejam protegidos inerentemente, mitigando ações do titular à proteção de sua privacidade.
§ 4° O desenvolvimento de software deve implementar medidas adequadas a garantia do processamento de dados pessoais necessários ao cumprimento das finalidades previamente definidas.
§ 5° Os padrões de segurança aplicados devem garantir a confidencialidade, a integridade e a disponibilidade dos dados pessoais durante todo o seu ciclo de tratamento, incluindo, entre outros, métodos de destruição segura, criptografia apropriada e métodos seguros de controle de acesso e registro de operações.
§ 6° Os softwares desenvolvidos devem realizar o registro de operações com dados pessoais, que permita identificar, no mínimo, o tipo de operação realizada, os dados pessoais envolvidos, o usuário que realizou a operação e o momento da operação.
§ 7° Deve-se garantir aos titulares, independentemente da prática ou tecnologia envolvida, o tratamento de acordo com as precauções e finalidades declaradas, as quais devem ser objeto de verificação dos seguintes aspectos:
I - responsabilização: coleta de dados com dever à proteção dos dados coletados. Ao transferir dados pessoais para terceiros, medidas de proteção à privacidade devem ser asseguradas por contratos ou por instrumentos formais;
II - transparência: informações sobre as políticas e processos relacionados ao tratamento de dados pessoais devem estar disponíveis à consulta pelos titulares;
III - conformidade: devem ser estabelecidas etapas de monitoramento, avaliação e verificação da conformidade com as políticas e procedimentos de privacidade; e
IV - minimização dos dados: deve ser obtido o mínimo necessário de informações pessoais para atender a finalidade das bases legais que justificam a coleta. Quando a necessidade ou uso de dados pessoais não forem claros, o padrão deve ser a maior proteção à privacidade.
CAPÍTULO X
REQUISIÇÕES E AUDITORIAS DE ENTIDADES FISCALIZADORAS
Art. 41. As requisições provenientes de entidades fiscalizadoras devem ser notificadas ao Encarregado pelo Tratamento de Dados Pessoais (ETDP), quando relativas ao tratamento e proteção de dados pessoais e à privacidade.
Parágrafo único. O Encarregado pelo Tratamento de Dados Pessoais (ETDP) deve orientar os envolvidos a respeito dos procedimentos que podem ser adotados.
Art. 42. A perda, roubo, furto ou extravio de dispositivo eletrônico ou material impresso da UFDPar contendo dados pessoais ou qualquer outro evento de violação de acesso aos dados pessoais deve ser notificado ao Time de Resposta a Incidentes de Segurança da UFDPar (TRISE), sob a responsabilidade da Divisão de Datacenter e Segurança da Informação e da Diretoria de Sistemas e Infraestrutura de TIC da PróReitoria de Tecnologia da Informação e Comunicação (PROTIC).
§ 1° O TRISE analisará as informações do evento e, caso as informações sejam relativas ao caput, um incidente será criado e encaminhado ao Gestor de Segurança da Informação da UFDPar e ao ETDP.
§ 2° Caso o incidente tenha ocasionado risco ou dano relevante aos titulares, o respectivo incidente deverá ser notificado aos titulares dos dados pessoais e à ANPD, no prazo de 2 (dois) dias úteis a partir da ciência do fato.
§ 3° A comunicação dos incidentes do caput à ANPD deve ser realizada pela UFDPar, por intermédio do ETDP, após decisão do Reitor, e deve ser realizada conforme regulamentado na legislação aplicável.
§ 4° As decisões relativas aos incidentes avaliados, serão registradas e armazenadas pelo ETDP, conjuntamente as seguintes informações:
I - a descrição dos incidentes ou eventos;
II - as informações, processos e sistemas envolvidos;
III - as medidas técnicas e de segurança utilizadas para a proteção das informações;
IV - os riscos relacionados ao incidente;
V - Os motivos da demora, em caso de comunicação fora do prazo; e
VI - as medidas que foram ou que serão adotadas para reverter, para mitigar os danos e para evitar reincidências.
Art. 43. A gestão de incidentes envolvendo dados pessoais que acarretem risco ou dano relevante aos titulares ou à privacidade deve respeitar o determinado pela legislação e pela Política de Tratamento de Incidentes de Segurança da Informação da UFDPar.
Art. 44. A UFDPar se compromete a aplicar as medidas técnicas e organizativas aptas a proteger os dados pessoais de acessos não autorizados e de situações de destruição, perda, alteração, comunicação ou difusão de tais dados.
Art. 45. Para a garantia da segurança das informações, serão adotadas soluções que levem em consideração:
I - as técnicas adequadas;
II - os custos de aplicação;
III - a natureza, o âmbito, o contexto e as finalidades do tratamento; e
IV - os riscos para os direitos e liberdades do titular.
Art. 46. A UFDPar se exime de responsabilidade por culpa exclusiva de terceiro, como em caso de ataque de hackers ou crackers, ou culpa exclusiva do titular dos dados, como no caso em que o mesmo transfere seus dados a terceiro.
§ 1° O serviço UFDPar se compromete, ainda, a comunicar o titular dos dados, usuário do serviço, em prazo adequado caso ocorra algum tipo de violação da segurança de seus dados pessoais que possa lhe causar um alto risco para seus direitos e liberdades pessoais.
§ 2° A violação de dados pessoais é uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
CAPÍTULO XII
DAS DISPOSIÇÕES FINAIS
Art. 47. Os processos de trabalho que envolvem dados pessoais que originem violações a direitos estão sujeitos às sanções previstas na legislação competente. A ausência de providências ou a não observância das determinações legais pode acarretar em repercussões negativas à UFDPar e em sanções administrativas, civis e penais, isolada ou cumulativamente, aos responsáveis, nos termos da legislação aplicável, assegurado aos envolvidos o contraditório e a ampla defesa.
Art. 48. A UFDPar se reserva o direito de modificar, a qualquer momento, as presentes normas, especialmente para adaptá-las às evoluções do serviço da Universidade e às leis que tratam da proteção de dados pessoais, disponibilizando as novas funcionalidades no site.
Art. 49. Esta Política entrará em vigor na data de vigência da Resolução que o aprovou.