RESOLUÇÃO Nº 370, DE 21 DE JUNHO DE 2023
Institui a Política de Proteção de Dados Pessoais do Tribunal de Contas do Distrito Federal.
O PRESIDENTE DO TRIBUNAL DE CONTAS DO DISTRITO FEDERAL, no uso da competência que lhe confere o inciso L do art. 16 do Regimento Interno, tendo em vista o que consta do Processo nº 00600-00010971/2022-11-e, resolve:
Art. 1º Fica instituída, na forma do Anexo Único desta Resolução, a Política de Proteção de Dados Pessoais do Tribunal de Contas do Distrito Federal.
Art. 2º Esta Resolução entra em vigor na data de sua publicação.
A presente Política de Proteção de Dados Pessoais tem como objetivo geral fornecer orientações sobre como gerenciar as diversas atividades e operações de tratamento de dados pessoais existentes no Tribunal de Contas do Distrito Federal – TCDF. Esta Política representa importante instrumento de compliance do Tribunal à Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709, de 14 de agosto de 2018) e outras normas de padronização de boas práticas de proteção de dados pessoais.
AGENTES DE TRATAMENTO DE DADOS PESSOAIS: o controlador e o operador de dados pessoais.
• CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. É o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais.
• OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e conforme a finalidade por este delimitada.
BANCO DE DADOS: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
CONSENTIMENTO: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
ENCARREGADO PELA PROTEÇÃO DE DADOS PESSOAIS: unidade, comissão ou servidor do TCDF formalmente designado pelo controlador cuja responsabilidade é garantir a conformidade do Tribunal à LGPD e atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.
DADO ANONIMIZADO: dado que, considerados os meios técnicos razoáveis no momento do tratamento, perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado anonimizado não é considerado dado pessoal para os fins da LGPD.
DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural. Exemplos: nome, RG, CPF, gênero, data e local de nascimento, número do telefone, endereço residencial, endereço eletrônico (e-mail), dados de localização via GPS, placa de automóvel, imagem fotográfica ou computacional, cartão bancário etc.
DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural.
TITULAR DE DADOS PESSOAIS: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
TRATAMENTO DE DADOS PESSOAIS: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração.
USUÁRIOS: conselheiro, auditor, procurador, servidor ativo, prestador de serviço terceirizado, estagiário ou qualquer outro colaborador que tenha acesso, de forma autorizada, a dados pessoais produzidos ou custodiados pelo Tribunal.
Esta Política regula a proteção de dados pessoais nas atividades administrativas e de controle externo do TCDF e se aplica a qualquer operação de tratamento de dados pessoais realizada pelo Tribunal, independentemente de o meio ser físico ou eletrônico, ou do país onde estejam localizados os dados. Aplica-se, também, a todos os membros, servidores, colaboradores internos e externos e quaisquer outras pessoas que realizem tratamento de dados pessoais em nome do Tribunal, os quais devem observar as diretrizes e regras gerais estabelecidas por esta Política e são responsáveis por garantir a proteção de dados pessoais a que tenham acesso.
Os dados pessoais coletados e tratados no sítio eletrônico e nos sistemas do TCDF serão regulados por atos normativos específicos, que deverão ser interpretados de acordo com esta Política.
Estabelecer princípios, diretrizes e responsabilidades para a condução das atividades e operações de tratamento de dados pessoais realizadas pelo TCDF de forma a assegurar e reforçar o compromisso do TCDF com o cumprimento da legislação e das normas de padronização de boas práticas de proteção de dados pessoais.
O tratamento de dados pessoais pelo TCDF deve ser orientado pelos seguintes princípios:
Boa-fé: convicção de agir com correção e em conformidade com o Direito;
Finalidade: a finalidade do tratamento dos dados deve ser específica e informada explicitamente ao titular;
Adequação: os dados devem ser tratados de acordo com a finalidade informada e acordada com o titular;
Necessidade: somente o mínimo de dados necessários para realizar a finalidade informada deve ser tratado. A abrangência deve limitar-se a dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;
Livre acesso: acesso fácil e gratuito dos titulares à forma, duração do tratamento e integralidade (conteúdo) de seus dados pessoais;
Qualidade dos dados: os dados deverão ser exatos, claros, atualizados e relevantes, de acordo com a necessidade e finalidade do tratamento;
Transparência: informações claras e facilmente acessíveis sobre o tratamento e os respectivos agentes de tratamento;
Segurança: medidas de proteção aos dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção: medidas para prevenir danos decorrentes do tratamento de dados pessoais;
Não discriminação: não é permitido o tratamento para fins discriminatórios, ilícitos ou abusivos;
Responsabilização e prestação de contas: demonstração, pelo agente, de que adotou medidas eficazes que comprovem o cumprimento das normas de proteção de dados pessoais.
O tratamento de dados pessoais, no âmbito do TCDF, será realizado para o atendimento de sua finalidade pública, na persecução do interesse público e no exercício do controle externo e das competências constitucionais, legais e regulamentares, bem como das atribuições administrativas e será orientado pelas seguintes diretrizes:
a) cumprimento de obrigação legal ou regulatória, independentemente do consentimento do titular de dados pessoais, desde que sejam informadas as hipóteses em que o tratamento de dados é realizado sob essa base legal, a partir do fornecimento de informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, no sítio oficial do Tribunal na internet;
b) obtenção do consentimento dos titulares para o tratamento de seus dados pessoais nas hipóteses em que a utilização não seja compulsória, ou seja, quando o tratamento não decorrer do cumprimento de obrigações e atribuições legais do Tribunal;
c) transparência quanto às hipóteses em que, no exercício de suas competências, o Tribunal realiza o tratamento de dados pessoais, de modo a propiciar o fornecimento de informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, no sítio eletrônico do Tribunal na internet;
d) manutenção de dados pessoais disponíveis, exatos, adequados, pertinentes, atualizados, sendo retificados ou eliminados mediante informação ou constatação de impropriedade ou face à solicitação de remoção, devendo a neutralização ou o descarte observar as condições e os períodos da tabela de prazos de retenção de dados;
e) compartilhamento de dados pessoais em virtude do exercício de atividades voltadas ao estrito exercício das competências legais e constitucionais do Tribunal, ou para atendimento de políticas públicas aplicáveis ou respaldadas em contratos, convênios ou instrumentos congêneres;
f) revisão, em periodicidade mínima anual, de dados pessoais, com o intuito de avaliar a necessidade de manutenção, considerando-se o cumprimento de sua finalidade e o encerramento de seu prazo de retenção;
g) adoção de medidas para garantir a transparência do tratamento de dados pessoais baseado em seu legítimo interesse, inclusive por meio de relatório de impacto à proteção de dados pessoais, quando solicitado pela ANPD;
h) controle das atividades de tratamento de dados pessoais realizadas por fornecedores de produtos ou serviços, considerados operadores, que deverão aquiescer a esta Política mediante a adesão a cláusulas específicas definidas pelo TCDF em instrumento formal.
7. COMPARTILHAMENTO DE DADOS PESSOAIS
As operações que envolvam o compartilhamento de dados pessoais custodiados por bases de dados do TCDF com outros órgãos públicos e a transferência de dados a terceiro fora do setor público dependem da prévia celebração de acordo que contenha cláusulas que versem sobre a legitimidade do interessado para tratar os dados, bem como o atendimento aos princípios previstos no art. 6º da LGPD, ou de decisão do Tribunal que autorize o acesso aos dados e estabeleça os requisitos definidos como condição para o compartilhamento, observado o contido no § 1º do art. 26 da LGPD.
8. DIREITOS DO TITULAR DE DADOS PESSOAIS
O TCDF, no desempenho das atividades de tratamento de dados pessoais, reforça o seu compromisso de respeito aos direitos dos titulares de dados pessoais, garantindo-lhes, mediante requisição, a qualquer momento:
• Direito de informação e de acesso aos dados: confirmar a existência de tratamento; ser informado acerca de entidades públicas e privadas com as quais o Tribunal realizou uso compartilhado de dados; ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e receber uma cópia de todos os dados pessoais coletados e armazenados.
• Direito de correção: corrigir dados pessoais que estejam incompletos, inexatos ou desatualizados, ressalvada a correção de dados custodiados.
• Direito de anonimização, bloqueio ou exclusão: anonimizar, bloquear ou excluir dados pessoais desnecessários, excessivos ou tratados em desconformidade com o disposto na legislação. Ademais, o titular pode solicitar a eliminação de dados tratados com o seu consentimento, salvo se houver um motivo legítimo para a sua manutenção.
• Direito de oposição: nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento, poderá apresentar ao TCDF uma oposição, que será analisada a partir dos critérios presentes na LGPD.
• Direito à revogação do consentimento: revogar o seu consentimento. Entretanto, ressalta-se que isso não afetará a legalidade de qualquer tratamento realizado antes da retirada. Na hipótese de revogação do consentimento, talvez não seja possível fornecer determinados serviços. Sendo esse o caso, o titular de dados pessoais será informado.
As petições apresentadas pelos titulares de dados pessoais serão apreciadas pelo encarregado e deverão ser respondidas com agilidade, clareza e completude. Além disso, as respostas deverão estar em formato simplificado e serão encaminhadas, preferencialmente, em meio digital, seguro e idôneo.
Controlador: O TCDF exerce funções e obrigações típicas de controlador de dados pessoais, nos termos do art. 5º, VI e IX, da LGPD. O Tribunal deve manter registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse. Ademais, por determinação da ANPD, elaborará relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados.
Operador: deverá seguir as diretrizes trazidas pelo TCDF, de modo a tratar os dados em conformidade com esta Política.
Encarregado: será formalmente designado pelo controlador e poderá corresponder a unidade, comissão ou servidor do TCDF. O encarregado deve fomentar a cultura de proteção de dados pessoais e a conformidade do Tribunal à LGPD, por meio da orientação e sensibilização, e atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados por meio do recebimento de reclamações e comunicação dos titulares e da ANPD.
Usuários: deverão cumprir integralmente os termos desta Política, bem como as demais normas e procedimentos de proteção de dados pessoais aplicáveis. Quaisquer dúvidas ou pedidos de esclarecimento sobre a aplicação desta Política e sobre as atividades de tratamento serão encaminhadas ao encarregado. É dever dos usuários, quando exigido, formalizar ciência e aceite integral de disposições e condições específicas de tratamento.
Os agentes e usuários podem ser responsabilizados nas esferas administrativa, cível e penal na hipótese de violação ou tentativa de violação desta Política e das demais normas e procedimentos de proteção de dados pessoais, ainda que por omissão, observado ainda para o servidor o disposto no art. 192 da Lei Complementar n° 840, de 23 dezembro de 2011.
10. DIRETRIZES DE BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
O TCDF adotará boas práticas de governança voltadas a orientar comportamentos adequados e a mitigar os riscos de comprometimento de dados pessoais. Os normativos concernentes à segurança da informação deverão especificar e determinar a adoção de medidas técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados, situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.
A partir da data de sua publicação, a presente Política pode ser revista em intervalos planejados não superiores a 12 (doze) meses e deverá ser revisada ante a ocorrência de alguma das condições estabelecidas abaixo:
• edição ou alteração de leis ou regulamentos relevantes que impactem na mudança de diretrizes estratégicas desempenhadas pela gestão do TCDF;
• alteração de diretrizes estratégicas desempenhadas pela gestão do TCDF;
• expiração da data de validade do documento, se aplicável;
• mudanças significativas na arquitetura de tecnologia aplicável;
• análises de risco em Relatório de Impacto de Proteção de Dados Pessoais que indiquem a necessidade de modificação desta Política para readequação da organização visando a prevenir ou mitigar riscos relevantes.
Este texto não substitui o publicado no DODF nº 124, seção 1, 2 e 3 de 04/07/2023 p. 20, col. 2