• Portaria 1869/2024

    de 16 de setembro de 2024 - Política de Proteção de Dados Pessoais do CNPq

    Institui e regulamenta a Política de Proteção de Dados Pessoais do Conselho Nacional de Desenvolvimento Científico e Tecnológico.

    PORTARIA CNPq Nº 1.869, DE 16 DE SETEMBRO DE 2024

     

    Institui e regulamenta a Política de Proteção de Dados Pessoais
    do Conselho Nacional de Desenvolvimento
    Científico e Tecnológico - CNPq

     

              O Presidente do CONSELHO NACIONAL DE DESENVOLVIMENTO CIENTÍFICO E TECNOLÓGICO - CNPq, no uso das atribuições que lhe confere o Estatuto, aprovado pelo Decreto nº 11.229, de 7 de outubro de 2022 e tendo em vista a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018 e a Lei de Acesso à Informação (LAI), Lei nº 12.527, de 18 de novembro de 2011, e nos termos do Processo SEI nº 01300.002942/2024-96, resolve:

              Art. 1º  Institui e regulamenta a Política de Proteção de Dados Pessoais do Conselho Nacional de Desenvolvimento Científico e Tecnológico, como instrumento de formulação das regras de boas práticas e de governança no tratamento de dados pessoais.

     

    CAPÍTULO I
    DISPOSIÇÕES PRELIMINARES
     

              Art. 2º  A Política de Proteção de Dados Pessoais do CNPq - PROTEGE CNPq -  tem por objetivo estabelecer diretrizes, princípios e definir conceitos a serem seguidos por todas as pessoas e entidades que em algum momento realizam operações de tratamento de dados pessoais gerados, custodiados, manipulados, utilizados ou armazenados por este Conselho, visando o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD), e da Lei de Acesso à Informação (LAI), segundo as recomendações da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e demais normas em vigor.

              Art. 3º  A Política de Proteção de Dados Pessoais do CNPq tem a finalidade de orientar servidores e colaboradores a desenvolverem suas atividades pertinentes a cargos e funções públicas que, eventualmente ou rotineiramente, envolvam o tratamento de dados pessoais, estabelecendo compromissos e responsabilidades a serem observados quanto a proteção de dados pessoais, de modo a garantir o direito à privacidade de seus usuários.

              Art. 4º  Esta Política não se aplica ao tratamento de dados pessoais nos seguintes casos:

              I - realizado por pessoa natural, para fins exclusivamente particulares e não econômicos; e
              II - realizado para fins exclusivamente jornalísticos e artísticos.

              Parágrafo único.  O afastamento legal desta Política quando aplicado aos casos listados nos incisos I e II deverá ser devidamente justificado e documentado em Processo SEI.

              Art. 5º  O tratamento de dados pessoais poderá ser realizado nas seguintes hipóteses:

              I - mediante o fornecimento de consentimento do titular;
              II - para cumprimento de obrigação legal ou regulatória do CNPq (controlador);
              III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD.

              Art. 6º  Para efeitos desta Política, tendo como referência as definições apresentadas no art. 5º da LGPD e no Glossário de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República, Portaria GSI/PR nº 93, de 18 de outubro de 2021, considera-se:
              I - agentes de tratamento: o controlador ou o operador;
              II - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
              III - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
              IV - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
              V - encarregado: pessoa indicada pelo controlador, para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD);
              VI - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
              VII - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
              VIII - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
              IX - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o País seja membro;
              X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
              XI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
              XII - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
              XIV - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
              XV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
              XVI - relatório de impacto à proteção de dados pessoais: documentação do CNPq que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
              XVII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
              XVIII - dados pessoais de crianças e adolescentes: dados pessoais de crianças, a pessoa até doze anos de idade incompletos, e de adolescentes aqueles entre doze e dezoito anos de idade, segundo o Estatuto da Criança e do Adolescente (ECA), Lei nº 8.069, de 13 de julho de 1990.

     

    CAPÍTULO II
    DOS PRINCÍPIOS E OBJETIVOS
     

              Art. 7º  A Política de Proteção de Dados Pessoais, no âmbito do CNPq, tem como finalidade estabelecer princípios e diretrizes para a implementação de ações que garantam a proteção de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas.

              Art. 8º  O objetivo desta Política é regular a proteção de dados pessoais, considerando este Conselho como agente de tratamento, bem como o meio utilizado para este tratamento, sendo digital ou físico, além de qualquer pessoa que realize operações de tratamento de dados pessoais em seu nome ou em suas dependências.

              Art. 9º  A Política de Proteção de Dados Pessoais do CNPq tem como fundamentos:
              I - o respeito à privacidade;
              II - a autodeterminação informativa;
              III - a liberdade de expressão, de informação, de comunicação e de opinião;
              IV - a inviolabilidade da intimidade, da honra e da imagem;
              V - o desenvolvimento econômico e tecnológico e a inovação; e
              VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

              Art. 10.  As atividades de tratamento de dados pessoais devem ser guiadas pela boa fé e pelos seguintes princípios, conforme art. 6º da LGPD:
              I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
              II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
              III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
              IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
              V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
              VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
              VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
              VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos aos titulares em virtude do tratamento de dados pessoais;
              IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
              X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

            

    CAPÍTULO III
    DAS DIRETRIZES GERAIS
     

              Art. 11.  O CNPq deverá estar apto a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.

              Art. 12.  Em todas as Diretorias serão estabelecidas revisões de processos com o objetivo de aferir os riscos que envolvem o tratamento de dados pessoais.

              Art. 13.  Os dados pessoais que forem coletados e tratados nas Plataformas mantidas pelo CNPq também serão administrados de acordo com as diretrizes desta Política.

              Parágrafo único. Deverão ser elaborados normas específicas para a gestão dos dados coletados a partir de cada plataforma.

              Art. 14.  O CNPq poderá utilizar arquivos (cookies) para registrar e gravar no computador do usuário as preferências e navegações realizadas nas respectivas páginas para fins estatísticos e de melhoria dos serviços ofertados, respeitando o consentimento do titular.

              Art. 15.  É competência do Subcomitê de Proteção de Dados Pessoais (SPDP) a responsabilidade por gerenciar a implementação da LGPD no CNPq e a administração da Política de Proteção de Dados Pessoais e elaboração de documentos afetos ao tema.

              Art. 16.  O CNPq manterá registro das operações de tratamento de dados pessoais que realizar.

              Art. 17.  Deve ser elaborado o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) relacionados às operações de tratamento, e atualizado sempre que necessário.

              § 1º  O RIPD é a documentação que contém a descrição dos processos de tratamento de dados pessoais que podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados, inciso XVI, art. 6º desta norma.

              § 2º  O RIPD deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

              § 3º  A Autoridade Nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

              Art. 18.  O CNPq deverá desenvolver e manter atualizados as políticas/avisos de privacidade, que fornecerão informações sobre o processamento de dados pessoais em cada ambiente físico ou virtual, bem como detalhar as medidas de proteção de dados adotadas para salvaguardar esses dados pessoais.

              Art. 19.  Será estabelecido o programa de treinamento e conscientização para que os colaboradores entendam suas responsabilidades e procedimentos na proteção de dados pessoais.

              Art. 20.  A Política de Proteção de Dados Pessoais definirá regras de segurança, de boas práticas e de governança para regulamentar procedimentos e outras ações referentes a privacidade e proteção de dados pessoais.

     

    CAPÍTULO IV
    TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

    Seção I
    Das Regras Gerais

     

              Art. 21.  O CNPq adota as medidas necessárias para garantir os direitos dos titulares de dados pessoais submetidos a tratamento seguindo os princípios determinados pela LGPD e listados no art.8º desta Política.

             Art. 22.  O tratamento de dados pessoais pelo CNPq, fundação pública (Lei nº 6.129, de 6 de novembro de 1974), deverá ser realizado, visando o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que obedecidas as regras estabelecidas na LGPD, tais como:
              I - sejam informadas as hipóteses, indicadas no art. 26 desta norma, em que, no exercício de suas competências, o CNPq realiza o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução de suas atividades, publicadas em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
              II - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, de modo que o operador realize o tratamento segundo as instruções fornecidas pelo Controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

            Art. 23.  Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

              Art. 24.  O uso compartilhado de dados pessoais pelo CNPq deve atender a finalidades específicas de execução de políticas públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 10 desta norma.

              § 1º  É vedado ao CNPq transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
              I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na LAI;
              II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta norma;
              III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
              IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

              § 2º  Os contratos e convênios de que trata o inciso III do § 1º deste artigo deverão ser comunicados ao encarregado de dados do CNPq, que fará a devida comunicação à Autoridade Nacional.

              Art. 25.  O CNPq adotará mecanismos para que o titular do dado pessoal usufrua dos direitos assegurados pela LGPD e normativos correlatos por meio da Ouvidoria (ouvidoria@cnpq.br).

              Art. 26.  O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
              I - mediante o fornecimento de consentimento pelo titular;
              II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
              III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD;
              IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
              V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;                    VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
              VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
              VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
              VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
              IX - quando necessário para atender aos interesses legítimos do CNPq ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
              X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

              § 1º  O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

              § 2º  É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na LGPD.

              § 3º  O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na LGPD.

              § 4º  A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas na LGPD, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

              § 5º  O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na LGPD.

              § 6º  Na hipótese de tratamento de dados pessoais e dados pessoais sensíveis para a realização de estudos por órgão de pesquisa, deverá ser exigida a assinatura de Termo de Responsabilidade, Anexo I desta política, e  garantida, sempre que possível, a anonimização dos dados pessoais e de dados pessoais sensíveis, sem a qual o tratamento não deverá ser autorizado.

              § 7º  Na hipótese de um estudante de graduação ou de pós-graduação solicitar o acesso a dados pessoais detidos pelo CNPq par fins de realização de estudos e pesquisa, inclusive par fins de subsidiar a elaboração de monografias, dissertações, teses ou relatórios de pesquisa, o acesso poderá ser concedido, observadas as normas aplicáveis ao caso concreto, desde que seja apresentado ao CNPq o Termo de ciência e responsabilidade, anexo II, assinado por um funcionário competente da Instituição de ensino, preferencialmente o professor orientador ou o coordenador do curso.

              § 8º  O acesso à informação pessoal por terceiro fica condicionado à assinatura de um Termo de Responsabilidade destinado a Pessoas físicas, Anexo III, que deverá informar a finalidade, a destinação e o tipo de tratamento a ser aplicado aos dados, o qual servirá para fundamentar a autorização, conforme art. 61 do Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a LAI, observadas as normas aplicáveis e a pertinência do caso concreto, garantida a anonimização dos dados pessoais.

              Art. 27.  O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses, nos termos da Seção II do Capítulo II da LGPD:
              I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
              II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
              a) cumprimento de obrigação legal pelo controlador;
              b) tratamento compartilhado de dados necessários à execução de políticas públicas previstas em leis ou regulamentos;
              c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
              d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
              e) proteção da vida ou da incolumidade física do titular ou de terceiro; e
              f) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos do titular e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

              Parágrafo único. Devem ser estabelecidos procedimentos de segurança para o tratamento de dados pessoais sensíveis.


    Seção II
    Do tratamento de dados de crianças e adolescentes

     

              Art. 28.  O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da referida lei (redação dada pelo Enunciado CD/ANPD Nº 01, de 22 de maio de 2023).

              § 1º  O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, devidamente comprovado.

              § 2º  No tratamento de dados de que trata o caput deste artigo, o CNPq deverá manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos do titular dos dados.

              § 3º  Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento expresso dos pais ou responsáveis.

              § 4º  O CNPq não deverá condicionar a participação dos titulares de que trata o § 1º deste artigo ao fornecimento de informações pessoais além das estritamente necessárias à atividade fim.

              § 5º  O CNPq deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança e adolescente, consideradas as tecnologias disponíveis.

              § 6º  As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

              § 7º  O CNPq deverá manter em sua guarda cópia do documento referente ao consentimento para o tratamento de dados de crianças e adolescentes assinado por um dos pais ou responsável, conforme estabelecido no § 1º, mesmo que solicitado por uma Instituição parceira.

              § 8º  Nos casos em que o consentimento for assinado por responsável legal, deverá ser anexada cópia do comprovante do ato que designa a responsabilidade sob o menor legalmente estabelecida.

              § 9º  O documento de consentimento de um dos pais ou responsável legal devidamente assinado, que trata o § 1º, deve ser anexado ao Currículo Lattes do bolsista, bem como o ato de designação de seu responsável legal.
     

    Seção III
    Da transferência internacional de dados pessoais


              Art. 29.  A transferência internacional de dados pessoais somente é permitida nos seguintes casos, observadas as recomendações do Capítulo V da LGPD:
    I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei;
              II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei, na forma de:
              a) cláusulas contratuais específicas para determinada transferência;
              b) cláusulas-padrão contratuais;
              c) normas corporativas globais;
              d) selos, certificados e códigos de conduta regularmente emitidos;
              III - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
              IV - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
              V - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 da LGPD para que sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
              VI - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta, de outras finalidades; ou
              IX - quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 26 desta norma, para o cumprimento de obrigação legal ou regulatória pelo controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.

              Parágrafo único.  Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à Autoridade Nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.

              Art. 30.  O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 29 desta Política deverá ser avaliado pela autoridade nacional, que levará em consideração:
              I - as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;
              II - a natureza dos dados;
              III - a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos na LGPD;
              IV - a adoção de medidas de segurança previstas em regulamento;
              V - a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
              VI - outras circunstâncias específicas relativas à transferência.

              Art. 31.  A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 29 desta norma, será realizada pela autoridade nacional.

              § 1º  Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios da LGPD.

              § 2º  Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.

              § 3º  A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.

              § 4º  Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com a LGPD, submetidos a revisão ou anulados.

              § 5º  As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador quanto as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.

              § 6º  A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como a boa fé e os princípios que regem esta norma, art. 10.

              § 7º  As medidas de segurança, técnicas e administrativas, deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

              Art. 32.  As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 29 deste normativo deverão ser comunicadas ao encarregado de dados do CNPq que fará a comunicação a autoridade nacional.

     

    CAPÍTULO V
    CONSCIENTIZAÇÃO, CAPACITAÇÃO E SENSIBILIZAÇÃO


              Art. 33.  As pessoas que possuem acesso aos dados pessoais no âmbito deste Conselho, seja servidor ou colaborador, devem fazer parte de programas de conscientização, capacitação e sensibilização em matérias de privacidade e proteção de dados pessoais.

              Parágrafo único.  A conscientização, capacitação e sensibilização em privacidade e proteção de dados pessoais deve ser adequada aos papéis e responsabilidades desempenhados na execução de suas atividades laborais.


    CAPÍTULO VI
    SEGURANÇA E BOAS PRÁTICAS


              Art. 34.  A segurança e o conjunto de boas práticas visam prevenir violações de privacidade e segurança, cumprir normas e regulamentações, bem como proteger a privacidade e promover a confiança dos titulares de dados pessoais.

              Art. 35.  O CNPq deve criar e manter uma base de conhecimento com documentos que apresentam condutas e recomendações que melhoram o gerenciamento de risco e que orientam na tomada de ações adequadas em caso de comprometimento de dados pessoais.

              Parágrafo único. Todo servidor deverá observar as medidas de segurança de acesso recomendadas pela Política de Segurança da Informação (PoSIN), Portaria CNPq nº 1.019 de 30 de agosto de 2022.

              Art. 36.  Qualquer ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos dados pessoais dos titulares confiados ao CNPq deve ser comunicado ao encarregado de dados deste Conselho que fará a comunicação à ANPD dentro do prazo previsto pela LGPD.

              § 1º  A comunicação ao encarregado de dados do CNPq sobre incidente de segurança que possa acarretar risco ou dano relevante ao titular deverá ser feita imediatamente após o conhecimento do fato, que deverá ser comunicado à chefia imediata.

              § 2º  A fim de preservar os direitos dos titulares e minimizar os possíveis prejuízos que um incidente de segurança possa causar, define-se que a comunicação à ANPD seja feita o mais breve possível, em até 2 (dois) dias úteis da ciência do fato.

              Art. 37.  Serão adotadas medidas técnicas e organizacionais de privacidade e proteção de dados, dispostas a seguir, com o objetivo de diminuir ou mitigar a ocorrência de incidentes com os dados pessoais do titular:
              I - o acesso aos dados pessoais fica limitado às pessoas que realizam o tratamento;
              II - as funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais devem ser claramente estabelecidas e comunicadas;
              III - serão estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores de dados pessoais;
              IV - todos os dados pessoais deverão ser armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los;
              V - os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
              VI - os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Política em relação aos dados pessoais, mesmo após o seu término.

              Parágrafo único.  A comunicação ao encarregado de dados do CNPq nos casos de ocorrência de incidentes envolvendo dados pessoais, deverá ser feita no mesmo padrão estabelecido para a comunicação da própria ANPD e deverá mencionar, no mínimo:
              I - a descrição da natureza dos dados pessoais afetados;
              II - as informações sobre os titulares envolvidos;
              III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
              IV - os riscos relacionados ao incidente;
              V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
              VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo, constatado.

              Art. 38.  Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Portaria e às demais normas regulamentares.

     

    CAPÍTULO VII
    AUDITORIA E CONFORMIDADE


              Art. 39.  O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de privacidade e proteção de dados pessoais e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.

              Art. 40.  As atividades, produtos e serviços desenvolvidos no CNPq devem estar em conformidade com requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.

              Art. 41.  Os resultados de cada ação de verificação de conformidade devem ser documentados em relatório de avaliação de conformidade.

              Art. 42.  Todas as Diretorias do CNPq devem manter atualizados e devidamente registrados todos os riscos a proteção de dados pessoais relacionados às suas competências, de modo a acompanhar a conformidade de suas ações de tratamento de dados pessoais aos princípios e diretrizes estabelecidos nesta Política, da LGPD e da PoSIN.

              Art. 43.  Os relatórios de conformidade devem ser elaborados anualmente, ao fim de cada exercício, e devidamente encaminhados ao Subcomitê de Proteção de Dados Pessoais, que submeterá a deliberação do Comitê de Segurança da Informação.

              Parágrafo único. O relatório de conformidade anual deve conter o registro das atividades de tratamento de dados realizadas no período e sua conformidade com as normas de proteção de dados pessoais desta política, incluindo a LGPD e normas afins.

     

    CAPÍTULO VIII
    FUNÇÕES E RESPONSABILIDADES


              Art. 44.  Qualquer pessoa natural ou jurídica de direito público ou privado que tenha interação em qualquer fase do tratamento de dados pessoais deve garantir a privacidade e a proteção de dados pessoais, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pelo CNPq.

     

    Seção I
    Do Controlador             
     

              Art. 45.   A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais é do CNPq que no exercício das atribuições típicas de controlador determina as medidas necessárias para executar a Política de Proteção de Dados Pessoais dentro de sua estrutura organizacional.

              Art. 46.  São atribuições do Controlador:
              I - observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela LGPD e por normativos correlatos no momento de decidir sobre um futuro tratamento ou realizá-lo;
              II - considerar as hipóteses de tratamento de dados pessoais e dados pessoais sensíveis, como preconizado pelos arts. 7º, 11 e 23 da LGPD, considerando exclusivamente o atendimento da finalidade pública do CNPq, na persecução do interesse público e com o objetivo de executar as competências legais ou atribuições do serviço público prestado antes de realizar o tratamento de dados pessoais;
              III - cumprir o previsto pelos art. 46 e 50 da LGPD buscando à proteção de dados pessoais e sua governança;
              IV - indicar um encarregado pelo tratamento de dados pessoais, divulgando a identidade e as informações de contato do encarregado de forma clara e objetiva, preferencialmente no sítio institucional.
              V - elaborar o inventário de dados pessoais a fim de manter registros das operações de tratamento de dados pessoais;
              VI - reter dados pessoais somente pelo período necessário para o cumprimento da hipótese legal e finalidade utilizadas como justificativa para o tratamento de dados pessoais;
              VII - criar e manter atualizados os avisos ou políticas de privacidade, que informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico ou virtual, e como os dados pessoais neles tratados são protegidos;
              VIII - requerer do titular a ciência com o Termo de Uso para cada serviço ofertado, informatizado ou não, que trate dados pessoais

              Parágrafo único.  É vedado qualquer tratamento de dados pessoais para fins não relacionados com as atividades desenvolvidas pela organização ou por pessoa não autorizada formalmente pelo CNPq.
     

    Seção II
    Dos operadores de dados pessoais


              Art. 47.  São considerados operadores de dados pessoais as pessoas naturais ou jurídicas de direito público ou privado, que realizam operações de tratamento de dados pessoais em nome do CNPq:
              I - qualquer fornecedor de produtos ou serviços, que por algum motivo, realiza o tratamento de dados pessoais a eles confiados nas dependências físicas ou virtuais do CNPq; e
              II - Instituição Científica, Tecnológica e de Inovação (ICT), Fundação de Apoio, Agências de Fomento, Núcleo de Inovação Tecnológica (NIT), Institutos Nacionais de Ciência e Tecnologia (INCT) e órgãos de pesquisa habilitados para acesso ao Extrator Lattes do CNPq, assim definidas de acordo com a Resolução CNPq nº 1, de 4 de outubro de 2023.

              Parágrafo único. Todos os operadores de dados pessoais do CNPq devem seguir as diretrizes estabelecidas nesta Política, e demais normas correlatas estabelecidas por este Conselho.

              Art. 48.  São atribuições do operador:
              I - observar os princípios estabelecidos no Art. 6º da LGPD, ao realizar tratamento de dados pessoais.
              II - seguir as diretrizes estabelecidas pelo CNPq, enquanto controlador;
              III - antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelo CNPq cumprem os requisitos legais presentes nos arts. 7º, 11 e 23 da LGPD;
              IV - zelar pela segurança e privacidade dos dados pessoais durante o tratamento e após o seu término;
              V - manter o registro de todas as operações de tratamento de dados pessoais que realizar;
              VI - comunicar, oficial e imediatamente ao encarregado de dados, a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa comprometer o direito do titular de dados pessoais; e
              VII - assinar acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com o controlador.

              Parágrafo único.  É proibida a decisão unilateral do operador quanto aos meios e finalidades utilizados para o tratamento de dados pessoais, que deverá ser realizado em conformidade com as instruções fornecidas pelo CNPq.
     

    Seção III
    Do encarregado de dados


              Art. 49.  O CNPq deverá indicar encarregado pelo tratamento de dados pessoais.

              Parágrafo único.  A identidade e as informações de contato do encarregado pelo tratamento de dados pessoais deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do CNPq.

              Art. 50.  São atribuições do encarregado de proteção de dados:
              I - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
              II - receber comunicações e requisições da ANPD e adotar providências; e
              III - orientar os servidores e colaboradores do CNPq a respeito das práticas a serem adotadas em relação à proteção de dados pessoais.

     

    Seção IV
    Do Subcomitê de Proteção de Dados Pessoais

     

              Art. 51.  Compete ao Subcomitê de Proteção de Dados Pessoais (SPDP), prover, orientar e acompanhar quando necessário às ações de privacidade e proteção de dados pessoais do CNPq, de acordo com os objetivos estratégicos e com as leis e regulamentos pertinentes, além de:
              I - assessorar a implementação da proteção de dados pessoais;
              II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre proteção de dados pessoais;
              III - participar da elaboração de normas internas de privacidade e proteção de dados pessoais e propor atualizações e alterações nestes dispositivos;
              IV - incentivar a conscientização, capacitação e sensibilização das pessoas que desempenham qualquer atividade de tratamento de dados pessoais dentro do CNPq;
              V - analisar os relatórios de conformidade emitidos pelas Diretorias; e
              VI - emitir Avisos de Privacidade.

              Art. 52. O Subcomitê de Proteção de Dados Pessoais de terá a seguinte composição:
              I - o Coordenador do Comitê de Segurança da Informação;
              II - o encarregado pelo tratamento de dados pessoais;
              III - um representante da Assessoria de Gestão Estratégica e Governança - AEG;
              IV - um representante da Coordenação-Geral de Tecnologia da Informação - CGETI;
              V - um representante da Auditoria Interna;
              VI - um representante da Ouvidoria;
              VII - um representante da Gerência de Plataformas e Serviços Digitais - GPLAT/DASD;
              VIII - um representante da Diretoria de Cooperação Institucional     - DCOI;
              IX - um representante da Diretoria Científica - DCTI; e
              X - um representante da Diretoria de Gestão Administrativa - DADM.

              V - um representante da Ouvidoria;

              VI - um representante da Gerência de Plataformas e Serviços Digitais - GPLAT/DASD;

              VII - um representante da Diretoria de Cooperação Institucional - DCOI;

              VIII - um representante da Diretoria Científica - DCTI; 

              IX - um representante da Diretoria de Gestão Administrativa - DADM; e

              X - o presidente da Comissão Permanente de Avaliação de Documentos Sigilosos - CPADS  [1]

         

              Art. 53.  A coordenação do SPDP será exercida pelo(a) Coordenador(a) do Comitê de Segurança da Informação e, na sua ausência pelo encarregado(a) pelo tratamento de dados pessoais do CNPq.

     

    CAPÍTULO IX
    CONTRATOS, CONVÊNIOS, ACORDOS E INSTRUMENTOS CONGÊNERES

     

              Art. 54.  O controlador deve observar rigorosamente se as medidas por ele definidas com o propósito de cumprir os requisitos de privacidade e proteção de dados estão sendo respeitadas por terceiros, que por meio de contratos, convênios ou quaisquer instrumentos afins realizam atividades de tratamento de dados do CNPq.

              Art. 55.  Os contratos, convênios, acordos e instrumentos similares atualmente em vigor, que de alguma forma envolvam o tratamento de dados pessoais, devem incorporar cláusulas específicas em total conformidade com a presente Política de Proteção de Dados Pessoais e que contemplem:
              I - requisitos mínimos de segurança da informação;
              II - determinação de que o operador não processe os dados pessoais para finalidades que divergem da finalidade principal informada pelo CNPq;
              III - requisitos de proteção de dados pessoais que os operadores de dados pessoais devem atender;
              IV - condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do controlador; e
              V - diretrizes especificas sobre o uso de subcontratados pelo operador para execução contratual que envolva tratamento de dados pessoais.

              Art. 56.  Devem ser adotadas medidas rigorosas com o propósito de assegurar que os terceiros e processadores de dados pessoais contratados por este Conselho estejam plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração do acordo entre as partes envolvidas.


    CAPÍTULO X
    DO TÉRMINO DO TRATAMENTO DE DADOS

     

              Art. 57.  O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
              I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
              II - fim do período de tratamento;
              III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, resguardado o interesse público; ou
              IV - determinação da autoridade nacional, quando houver violação ao disposto na LGPD.

              Art. 58.  Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
              I - cumprimento de obrigação legal pelo CNPq;
              II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
              III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta política; ou
              IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

     

    CAPÍTULO XI
    DOS DIREITOS DO TITULAR

     

              Art. 59.  Toda pessoa natural tem assegurada a titularidade de seus dados pessoais informados ao CNPq e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Política.

              Art. 60. O titular dos dados pessoais tem direito a obter do CNPq, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
              I - confirmação da existência de tratamento;
              II - acesso aos dados;
              III - correção de dados incompletos, inexatos ou desatualizados;
              IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
              V - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses de interesse público;
              VI - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
              VII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
              VIII - revogação do consentimento, a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.

              § 1º  O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o CNPq perante a autoridade nacional.

              § 2º  O titular pode opor-se ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Política.

              § 3º  Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído e encaminhado ao CNPq em formato digital por meio da Ouvidoria, da Central de Atendimento ou por intermédio do encarregado de dados, devidamente informados em seu sítio eletrônico.

              § 4º  Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o CNPq enviará ao titular resposta em que poderá:
              I - comunicar que não é o agente de tratamento dos dados e indicar, sempre que possível, o agente ou operador; ou
              II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

              § 5º  O requerimento referido no § 2º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.

              § 6º  O CNPq deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional, procedimentos que deverão ser registrados nos respectivos processos.

              § 7º  O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.

     

    CAPÍTULO XII
    PENALIDADES

     

              Art. 61.  Ações que violem a Política de Proteção de Dados Pessoais do CNPq poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

              Art. 62.  Casos de descumprimento desta Política deverão ser registrados e comunicados ao Encarregado de dados para ciência e tomada das providências cabíveis a depender da análise concreta de cada caso e dos riscos à proteção dos dados pessoais:
              I - comunicar a Autoridade Nacional (ANPD);
              II - cientificar o Presidente do CNPq;
              III - apurar os possíveis impactos do dano ao titular do dado;
              IV - cientificar o órgão correcional, nas hipóteses de indícios de infração disciplinar;
              V - indicar as possíveis medidas de proteção;
              VI - comunicar o titular do dado pessoal; e
              VII - recomendar ajustes e melhorias para aprimorar as medidas de proteção de dados pessoais.

              Parágrafo único.  Os casos de descumprimento desta Política deverão ser levados à ciência do Subcomitê de Proteção de Dados Pessoais (SPDP) para acompanhamento.

     

    CAPÍTULO XIII
    DISPOSIÇÕES FINAIS

     

              Art. 63.  O Subcomitê de Proteção de Dados Pessoais poderá expedir instruções complementares, no âmbito de suas competências, que detalharão suas particularidades e procedimentos relativos à Proteção de Dados Pessoais alinhados às diretrizes emanadas desta Política e aos respectivos Planos Estratégicos Institucionais do CNPq, desde que devidamente informados e autorizados pelo Comitê de Segurança da Informação (CSI).

              Art. 64.  As dúvidas sobre a Política de Proteção de Dados Pessoais e seus documentos devem ser submetidas ao encarregado de dados, que caso julgue necessário encaminhará ao Subcomitê de Proteção de Dados Pessoais.

              Art. 65.  A Política de Proteção de Dados Pessoais e todos os normativos relacionados à matéria deverão ser amplamente divulgados a todos servidores e colaboradores do CNPq, quando da admissão e disponibilizados em repositórios eletrônicos de fácil acesso, permitindo sua consulta a qualquer tempo.

              Art. 66.  Esta Política deverá ser revisada sempre que necessária, não excedendo o período de três anos, contados a partir do início de sua vigência.

              Art. 67.  Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação, ouvido o Subcomitê de Proteção de Dados Pessoais e homologados pelo Presidente do CNPq.

              Art. 68.  Esta Política entra em vigor 30 (trinta) dias após sua publicação.

     

    (Assinado eletronicamente)
    RICARDO MAGNUS OSÓRIO GALVÃO
    Presidente

    Publicada no DOU, de 17 de setembro de 2024, seção 1, página 181.


    Anexo I da Política de Proteção de Dados Pessoais do CNPq
    Anexo II da Política de Proteção de Dados Pessoais do CNPq
    Anexo III da Política de Proteção de Dados Pessoais do CNPq

     

    [1] Nova Redação dada pela Portaria CNPq nº 2.208, de 2 de abril de 2025. 

     
    Ler na íntegra