ESTADO DE GOIÁS
UNIVERSIDADE ESTADUAL DE GOIÁS - UEG
GERÊNCIA DA ASSESSORIA DE GABINETE E COLEGIADOS
RESOLUÇÃO CsU N. 1047, DE 18 DE MAIO DE 2022
Institui a Política Geral de Proteção de Dados Pessoais, bem como o Comitê Gestor de Proteção de Dados Pessoais, e dá outras orientações para implementação da Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito da Universidade Estadual de Goiás (UEG).
O CONSELHO UNIVERSITÁRIO DA UNIVERSIDADE ESTADUAL DE GOIÁS (CsU/UEG), nos termos do art. 9º do Estatuto da Universidade Estadual de Goiás, aprovado pelo Decreto n. 9.593, de 17 de janeiro de 2020, no uso de suas atribuições legais, regimentais e estatutárias, e CONSIDERANDO:
1. a Emenda Constitucional n. 115, de 11 de fevereiro de 2022, que altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais;
2. a Lei Federal n. 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD);
3. a Lei Federal n. 13.460, de 26 de junho de 2017, que dispõe sobre participação, proteção e defesa dos direitos do usuário dos serviços públicos da administração pública;
4. a Lei Federal n. 12.527, de 18 de novembro de 2011, conhecida como Lei de Acesso à Informação (LAI);
5. a Lei Federal n. 9.507, de 12 de novembro de 1997, que regula o direito de acesso a informações e disciplina o rito processual do habeas data;
6. a Lei Estadual n. 18.025, de 22 de maio de 2013, que dispõe sobre o acesso à informação e institui o serviço de informação ao cidadão, no âmbito do Estado de Goiás;
7. a Lei Estadual n. 13.800, de 18 de janeiro de 2001, que regula o processo administrativo no âmbito da Administração Pública do Estado de Goiás;
8. a Resolução n. 4, de 14 de abril de 2020, do Comitê Central de Governança de Dados (CCGD), que disponibiliza o Guia de Boas Práticas para Implementação da Lei Geral de Proteção de Dados na Administração Pública Federal;
9. a Resolução n. 1, de 22 de abril de 2021, do Comitê Estadual de Tecnologia da Informação e Comunicação (CETIC), publicada no Diário Oficial/GO n. 23.540, de 28 de abril de 2021, que dispõe sobre a indicação do Encarregado pelo Tratamento de Dados Pessoais no âmbito dos órgãos e das entidades da administração pública estadual, direta, autarquias e fundacional;
10. a Resolução n. 1, de 4 de março de 2022, do Comitê Estadual de Tecnologia da Informação e Comunicação (CETIC), publicada no Diário Oficial/GO n. 23.757, de 15 de março de 2022, que institui a Política Estadual de Cibersegurança;
11. o Despacho n. 2.232/2020, da Procuradoria-Geral do Estado de Goiás (PGE/GO), que dispõe sobre questões de ordem prática para implementação da LGPD;
12. a Instrução Normativa n. 008/2017, da Secretaria de Gestão e Planejamento do Estado de Goiás, que estabelece as normas gerais de utilização do Sistema Eletrônico de Informações (SEI), no âmbito da administração direta, autárquica e fundacional do Poder Executivo;
13. o Processo SEI n. 202200020005408,
RESOLVE:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Instituir a Política Geral de Proteção de Dados Pessoais, em meios físicos ou digitais, no âmbito da Universidade Estadual de Goiás (UEG), como parte integrante de sua estrutura normativa, com o objetivo de conferir tratamento uniforme e concertado a todos os aspectos relacionados à proteção de dados pessoais e aos direitos de seus titulares.
§ 1º São objetivos específicos desta Política:
I - assegurar níveis adequados de proteção aos dados pessoais tratados pela UEG;
II - orientar a adoção de controles técnicos e administrativos para proteção de dados pessoais;
III - garantir aos titulares de dados pessoais os direitos fundamentais de liberdade e de privacidade, bem como o direito ao livre desenvolvimento da personalidade da pessoa natural;
IV - prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais;
V - minimizar os riscos de violação de dados pessoais tratados pela UEG e qualquer impacto negativo que resulte dessa violação; e
VI - fomentar a cultura de respeito à privacidade dos dados pessoais, por meio de ações transversais, envolvendo aspectos jurídicos, operacionais, estruturais e culturais.
§ 2º Para os fins desta Política, considera-se os conceitos constantes do Anexo.
Art. 2º Instituir, no âmbito da Universidade Estadual de Goiás (UEG), o Comitê Gestor de Proteção de Dados Pessoais (CGPDP), instância colegiada permanente, de caráter consultivo-deliberativo, a ser presidido pelo Encarregado pelo Tratamento de Dados Pessoais, de que trata o art. 12 desta Política, a fim de identificar e implementar as medidas necessárias à adequação da UEG às exigências da Lei Federal n. 13.709, de 14 de agosto de 2018.
§ 1º Compete ao comitê a que se refere o caput deste artigo:
I - promover a implementação e o acompanhamento desta Política;
II - supervisionar a execução dos planos, dos projetos e das ações relacionados à proteção de dados pessoais;
III - identificar os mecanismos de tratamento e proteção de dados existentes na Universidade;
IV - apoiar as unidades administrativas e acadêmicas na definição de procedimentos para o tratamento de dados pessoais e na interlocução com os titulares dos dados pessoais;
V - apoiar o mapeamento do ciclo de vida de tratamento dos dados pessoais, a identificação dos riscos e a definição de padrões e documentação de segurança da informação;
VI - orientar a elaboração do Relatório de Impacto à Proteção de Dados Pessoais;
VII - diagnosticar o grau de maturidade de proteção de dados pessoais na UEG;
VIII - propor ações de fomento à cultura de respeito à privacidade dos dados pessoais para garantir a segurança dos docentes, discentes, técnicos-administrativos, egressos, colaboradores, fornecedores, prestadores de serviço, candidatos de certames de qualquer ordem realizados pela UEG, e demais membros do público externo que se relacione com a Universidade;
IX - promover o intercâmbio de informações sobre a proteção de dados pessoais com outros órgãos e instituições, com especial atenção para a coordenação e o diálogo com a Autoridade Nacional de Proteção de Dados (ANPD);
X - apoiar o Encarregado pelo Tratamento de Dados Pessoais, para garantir a conformidade da UEG com às exigências da Lei Federal n. 13.709/2018 (LGPD).
§ 2º O comitê a que se refere o caput terá sua composição resolvida pelo Reitor, ouvido o Encarregado pelo Tratamento de Dados Pessoais, de acordo com as prioridades e o grau de maturidade no tocante à conformidade da UEG com as disposições da Lei Federal n. 13.709, de 14 de agosto de 2018, devendo ainda considerar a agenda regulatória estabelecida pela Autoridade Nacional de Proteção de Dados (ANPD).
§ 3º O comitê a que se refere o caput poderá, se necessário, subdividir-se e requisitar qualquer servidor da UEG para compor grupo de trabalho técnico e/ou temático, de natureza temporária, para auxiliar em seus trabalhos.
CAPÍTULO II
DOS FUNDAMENTOS E DOS PRINCÍPIOS
Art. 3º A disciplina de proteção de dados pessoais tem seus fundamentos previstos no art. 2º da Lei Federal n. 13.709/2018 (LGPD), a saber:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Art. 4º A aplicação desta Política será pautada pelo dever de boa-fé, cooperação entre as unidades administrativas e acadêmicas da UEG, mitigação de riscos, adoção de boas práticas, e observância aos princípios previstos no art. 6º da Lei Federal n. 13.709/2018 (LGPD), a saber:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO III
DA ABRANGÊNCIA DE APLICAÇÃO
Art. 5º Esta Política se aplica a qualquer operação de tratamento de dados pessoais realizada pela UEG, independentemente do meio ou do país onde estejam localizados os dados, desde que tenham sido coletados em território nacional.
Parágrafo único. O tratamento a que se refere o caput deste artigo se estende aos dados pessoais dos docentes, discentes, egressos, técnicos-administrativos, colaboradores, fornecedores, prestadores de serviço, candidatos de certames de qualquer ordem realizados pela UEG, e público externo que se relacione com as atividades desenvolvidas pela Universidade, desde que realizado em consonância com a legislação aplicável.
Art. 6º São igualmente considerados como dados pessoais, para os fins desta Política, aqueles utilizados para formação de perfil pessoal, profissional, comportamental, educacional, socioeconômico, consumerista, ou relativo a qualquer aspecto da personalidade de determinada pessoa natural, se identificada, tais como:
I - notas;
II - desempenho escolar ou esportivo;
III - frequência escolar ou esportiva;
IV - aptidões físicas;
V - ocorrências médicas e psicológicas;
VI - frequência aos serviços de assistência estudantil; e
VII - relação de livros emprestados junto às bibliotecas da UEG.
Art. 7º Os dados anonimizados não serão considerados dados pessoais para os fins desta Política, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
Parágrafo único. A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
Art. 8º O disposto nesta Política não se aplica ao tratamento de dados pessoais:
I - realizado para fins exclusivamente jornalísticos e artísticos;
II - realizado para fins exclusivamente acadêmicos, quando feito por órgão de pesquisa;
III - realizado para para fins exclusivos de segurança pública, atividades de investigação e repressão de infrações disciplinares; e
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Política.
Parágrafo único. A definição de finalidade acadêmica a que se refere o inciso II deste artigo compreende as atividades realizadas no âmbito dos cursos e programas desta Universidade, nos termos do art. 44 da Lei Federal n. 9.394/1996 (Lei de Diretrizes e Bases da Educação), bem como a definição de órgão de pesquisa também se amolda à UEG, conforme caracterização constante do Anexo.
CAPÍTULO IV
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO
Seção I
Do Controlador
Art. 9º O Controlador é a UEG, representada pelo Reitor, a quem compete as decisões referentes ao tratamento de dados pessoais, e deverá:
I - manter registro das operações de tratamento de dados pessoais que realizar, em concurso com os Operadores, especialmente quando baseado no seu legítimo interesse, cujas premissas estão delineadas no art. 10 da Lei Federal n. 13.709/2018 (LGPD);
II - adotar, em concurso com os Operadores, medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
III - elaborar Relatório de Impacto à Proteção de Dados Pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, quando solicitado pela Autoridade Nacional de Proteção de Dados (ANPD);
IV - instruir os Operadores quanto aos tratamentos de dados pessoais; e
V - indicar Encarregado pelo Tratamento de Dados Pessoais;
Parágrafo único. O Conselho Universitário atuará como co-controlador quando, por força de resolução, deliberar sobre o tratamento de dados pessoais.
Art. 10. O Reitor, na qualidade de autoridade máxima da Universidade, por força da Resolução n. 1/2021, do Comitê Estadual de Tecnologia da Informação e Comunicação (CETIC), deverá assegurar ao Encarregado pelo Tratamento de Dados Pessoais:
I - acesso direto à alta administração;
II - pronto apoio das unidades administrativas e unidades acadêmicas no atendimento;
III - contínuo aperfeiçoamento relacionados aos temas de privacidade e proteção de dados pessoais, de acordo com os conhecimentos elencados no inciso II do parágrafo único do art. 12 desta Política, observada a disponibilidade orçamentária e financeira da UEG.
Parágrafo único. Para fins do inciso I deste artigo, considera-se como alta administração os titulares das unidades administrativas básicas no Estado, conforme previsto na Lei Estadual n. 20.491/2019 (Lei de Organização Administrativa do Poder Executivo Goiano).
Seção II
Dos Operadores
Art. 11. Os Operadores são responsáveis por realizar o tratamento de dados pessoais, em nome do Controlador, e deverão:
I - seguir as instruções do Controlador;
II - manter registro das operações de tratamento de dados pessoais que realizar, em concurso com o Controlador, especialmente quando baseado no legítimo interesse desse, cujas premissas estão delineadas no art. 10 da Lei Federal n. 13.709/2018 (LGPD);
III - adotar, em concurso com o Controlador, medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; e
IV - participar das capacitações promovidas pela UEG e pela Escola de Governo para exercer as atividades que envolvam o tratamento de dados pessoais com eficiência, ética, critério e responsabilidade.
Parágrafo único. No âmbito da UEG, qualquer unidade organizacional, seja administrativa ou acadêmica, que realize o tratamento de dados pessoais é um Operador, representado pela chefia desta unidade, desde que designado formalmente pelo Controlador.
Seção III
Do Encarregado pelo Tratamento de Dados Pessoais
Art. 12. O Encarregado pelo Tratamento de Dados Pessoais é responsável por:
I - receber as reclamações e comunicações dos titulares, respondê-las e adotar providências;
II - receber as comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar as providências necessárias;
III - orientar todos os servidores e demais colaboradores da UEG sobre as práticas a serem adotadas em relação à proteção de dados pessoais; e
IV - executar outras atribuições determinadas pelo Controlador ou estabelecidas em normas complementares da Autoridade Nacional de Proteção de Dados (ANPD).
Parágrafo único. O Encarregado a que se refere o caput deste artigo, de acordo com o disposto na Resolução n. 1/2021 - CETIC e no Despacho n. 2.232/2020 - PGE/GO [1]:
I - desenvolverá atividades semelhantes àquelas que normalmente são desenvolvidas no âmbito da Ouvidoria, nos termos do Decreto Estadual n. 9.270/2018 (Dispõe sobre as Ouvidorias no âmbito do Poder Executivo);
II - deverá possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de risco, governança de dados e acesso à informação no setor público; e
III - não deverá ser gestor ou responsável por sistemas de informação da UEG.
Art. 13. A identidade e as informações de contato do Encarregado pelo Tratamento de Dados Pessoais deverão ser divulgadas publicamente, de forma clara e objetiva, no sítio eletrônico da UEG.
CAPÍTULO V
DO TRATAMENTO DE DADOS PESSOAIS PELA UEG
Seção I
Da Finalidade Pública
Art. 14. O tratamento de dados pessoais, inclusive de dados pessoais sensíveis, bem como de crianças e adolescentes, pela UEG deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
§ 1º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 32 desta Política.
§ 2º Seja como for, o cumprimento do interesse público deve ser identificado em algumas das hipóteses de tratamento de dados pessoais, guardar conformidade com os fundamentos e princípios desta Política, além de observar os regimes especiais de proteção, que dispõem sobre os dados sensíveis e o tratamento de dados de crianças e adolescentes.
Seção II
Das Hipóteses de Tratamento de Dados Pessoais
Art. 15. O tratamento de dados pessoais somente poderá ser realizado, em conjunto ou isoladamente, nas seguintes hipóteses:
I - mediante o consentimento do titular;
II - para o cumprimento de obrigação legal ou regulatória;
III - para a execução de políticas públicas, incluindo o tratamento e uso compartilhado de dados;
IV - para a realização de estudos por órgão de pesquisa, assegurada a anonimização dos dados pessoais sempre que possível;
V - para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII - para a proteção da vida ou da segurança física do titular ou de terceiro;
VIII - para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender a legítimo interesse do Controlador ou de terceiro;
X - para a proteção de crédito, inclusive quanto ao disposto na legislação pertinente; e
XI - para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências do serviço educacional ou cumprir suas atribuições legais.
§ 1º A hipótese a que se refere o inciso I deste artigo tem caráter residual, sendo o consentimento exigido apenas quando a UEG não enquadrar o tratamento de dados pessoais em qualquer outra hipótese que autorize o tratamento, ressalvadas as hipóteses em que o consentimento for expressamente exigido pela legislação competente, e deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, referindo-se a finalidades específicas, sendo nulas as autorizações genéricas, e poderá ser revogado a qualquer momento pelo titular, sendo sua exigência dispensada para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Política.
§ 2º A hipótese a que se refere o inciso II deste artigo requer uma análise casuística, caso a caso, visto que as atividades da UEG já contam com previsão legal, não podendo a presente hipótese ser usada indiscriminadamente, de forma que o Controlador de dados deverá observar eventual incidência das demais hipóteses de tratamento.
§ 3º A hipótese a que se refere o inciso III deste artigo deverá ser utilizado quando o tratamento de dados for realizado com a finalidade específica de execução de políticas públicas, que deverá contar com a indicação do ato normativo (lei ou regulamento) ou instrumento negocial (contrato, convênio, ou instrumento congênere) que institui a referida política pública.
§ 4º A hipótese a que se refere o inciso VI deste artigo assegura o direito que as partes de um processo litigioso têm de produzir provas umas contras as outras, ainda que estas se refiram a dados pessoais de adversários, ou seja, não cabe oposição ao tratamento de dados pessoais no contexto dos processos judiciais, administrativos e arbitrais.
Seção III
Do Tratamento de Dados Pessoais Sensíveis
Art. 16. O tratamento de dados sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos do titular.
Parágrafo único. As hipóteses a que se refere o inciso II deste artigo atraem para o Controlador um ônus de justificação sobre a real necessidade de tratamento de dados pessoais sensíveis.
Seção IV
Do Tratamento de Dados Pessoais de Crianças e de Adolescentes
Art. 17. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, com consentimento expresso e destacado dado por pelo menos um dos pais ou pelo responsável legal, além de ser específico quanto à finalidade do tratamento.
§ 1º A UEG deve realizar todos os esforços razoáveis para verificar se o consentimento a que se refere o caput deste artigo foi efetivamente dado pelos pais ou responsável legal, considerando as tecnologias disponíveis.
§ 2º Poderão ser coletados dados pessoais de crianças e adolescentes sem o consentimento a que se refere o caput deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiros.
§ 3º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos usuários, com uso de recursos audiovisuais quando adequados, de forma a proporcionar a informação necessária aos pais ou responsável legal e adequada ao entendimento da criança e do adolescente.
Seção V
Da Tratamento de Dados Pessoais de Servidores
Art. 18. Poderão ser tratados dados pessoais dos servidores lotados ou em exercício na UEG para fins de organização do serviço, funcionamento das equipes, e elaboração de perfil profissional, desde que o tratamento se restrinja aos dados estritamente necessários ao atendimento do interesse da Universidade.
Art. 19. Em observância ao princípio da transparência, quando não prejudicial à atividade da Universidade, ou não oferecer riscos aos titulares dos dados, poderão ser divulgadas informações relativas ao vínculo dos agentes públicos com a UEG, tais como nome completo, Cadastro de Pessoa Física (CPF), cargo ou atividade exercida, lotação, remuneração, agenda pública, e outros.
Parágrafo único. A divulgação do CPF prevista no caput deverá ocultar os três primeiros dígitos e os dois dígitos verificadores.
Seção VI
Da Tratamento de Dados Pessoais no Sistema Eletrônico de Informações
Art. 20. Todo servidor ativo da UEG, com cadastro no Sistema Eletrônico de Informações (SEI), ao juntar ou elaborar um documento, deve observar se o documento contém informação sigilosa ou pessoal e registrar no SEI a sinalização do adequado nível de acesso, devendo observar o interesse público da informação e utilizar o critério menos restritivo possível, nos termo da legislação vigente.
Parágrafo único. Em observância ao critério menos restritivo possível, a mera identificação pessoal deverá ser feita nos termos do parágrafo único do art. 19 desta Política, a fim de assegurar a publicidade como preceito geral e o sigilo como exceção.
Seção VII
Do Uso Compartilhado de Dados Pessoais
Art. 21. O uso compartilhado de dados pessoais pela UEG deve atender a finalidades específicas de execução de políticas públicas e atribuições legais, sendo obrigatório o registro das comunicações internas a que se referem tais dados, respeitados os princípios de proteção de dados elencados no art. 4º desta Política.
§ 1º É vedado à UEG transferir a entidades privadas dados pessoais constantes de base de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal n. 12.527/2011 (Lei de Acesso à Informação) e na Lei Estadual n. 18.025/2013 (Lei de Acesso à Informação Goiana);
II - nos casos em que os dados forem acessíveis publicamente;
III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
IV - na hipótese de a transferência de dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
§ 2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD).
§ 3º Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e, se for o caso, à disseminação e ao acesso das informações pelo público em geral.
Seção VIII
Da Transparência
Art. 22. A UEG publicará em seu sítio eletrônico as hipóteses em que, no exercício de suas competências, realiza o tratamento de dados pessoais, fornecendo informações claras, atualizadas e ostensivas sobre:
I - finalidade específica do tratamento;
II - procedimentos, práticas, forma e duração do tratamento;
III - identificação e informações de contato do Controlador;
IV - identificação e informações de contato do Encarregado;
V - informações acerca do uso compartilhado de dados pelo Controlador e a finalidade;
VI - responsabilidades dos agentes que realizam o tratamento, e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 32 desta Política.
§ 1º Quando o tratamento de dados pessoais sensíveis for realizado sem o consentimento do titular, seja para cumprimento de obrigação legal ou regulatória, seja para execução de políticas públicas, com fundamento nas alíneas “a” e “b” do inciso II do art. 16 desta Política, será dada publicidade à referida dispensa de consentimento.
§ 2º Quando o tratamento de dados pessoais envolver a obrigação legal de difusão destes em transparência ativa, independente de requerimento, estes devem ser publicados em formato interoperável e estruturado para o uso compartilhado, em cumprimento ao disposto no art. 25 da Lei Federal n. 13.709/2018 (LGPD), bem como disposto no art. 8º, § 3º, da Lei Federal n. 12.527/2011 (Lei de Acesso à Informação).
Art. 23. O resultado dos processos seletivos para os cursos e programas da UEG será público, sendo obrigatórios a divulgação da relação nominal dos classificados, a respectiva ordem de classificação e o cronograma das chamadas para matrícula, de acordo com os critérios para preenchimento das vagas constantes do edital, assegurado o direito do candidato, classificado ou não, a ter acesso a suas notas ou indicadores de desempenho em provas, exames e demais atividades da seleção e a sua posição na ordem de classificação de todos os candidatos.
Parágrafo único. A relação nominal a que se refere o caput deste artigo será acompanhada do CPF dos classificados, com ocultação dos três primeiros dígitos e os dois dígitos verificadores, nos mesmos moldes do parágrafo único do art. 19 desta Política.
Seção IX
Do Término do Tratamento de Dados
Art. 24. O tratamento de dados pessoais deverá ser finalizado quando:
I - for alcançada a finalidade para a qual os dados foram coletados ou quando esses dados deixarem de ser necessários ou pertinentes para a finalidade específica almejada;
II - o período de tratamento chegar ao fim;
III - houver pedido de revogação do consentimento feito pelo titular, resguardado o interesse público; ou
IV - por determinação da Autoridade Nacional de Proteção de Dados (ANPD), quando houver violação à Lei Federal n. 13.709/2018 (LGPD).
Art. 25. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos legais de tratamento de dados pessoais; ou
IV - uso exclusivo pela UEG, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Parágrafo único. A eliminação a que se refere o caput deste artigo deve ocorrer de acordo com regulamentação específica, com observância da sistemática estabelecida pela Lei Federal n. 8.159/1991 (Política Nacional de Arquivos Públicos e Privados) e pela Lei Estadual n. 16.226/2008 (Lei de Arquivos Públicos Estaduais), encerrando a custódia da Universidade.
Seção X
Das Responsabilidades e das Sanções
Art. 26. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, considerando as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam; e
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Art. 27. Quando houver infração à legislação de proteção de dados pessoais, a Autoridade Nacional de Proteção de Dados (ANPD) poderá enviar informe com medidas cabíveis para fazer cessar a violação, bem como poderá solicitar a publicação de relatório de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos realizados pela UEG.
Art. 28. Os agentes de tratamento de dados, em razão da violação à legislação de proteção de dados pessoais, ficam sujeitos às sanções administrativas previstas pelo art. 52 da Lei Federal n. 13.709/2018 (LGPD) e aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD), bem como aquelas previstas na Lei Estadual n. 20.756/2020 (Estatuto do Servidor Público), na Lei Federal n. 8.429/1992 (Improbidade Administrativa), e na Lei Federal n. 12.527/2011 (LAI), sem prejuízo da obrigação de reparar o dano a que eventualmente der causa.
Art. 29. Os agentes de tratamento só não respondem quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora, tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular do dado ou de terceiro.
CAPÍTULO VI
DOS DIREITOS DO TITULAR
Art. 30. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da legislação aplicável.
Art. 31. Em atendimento ao princípio do livre acesso, o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizados de forma clara, adequada e ostensiva, sobretudo no tocante a/aos:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do Controlador;
IV - informações de contato do Controlador;
V - informações acerca do uso compartilhado de dados pelo Controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular.
Art. 32. São direitos do titular de dados pessoais tratados pela UEG, a serem atendidos a qualquer momento e mediante requerimento:
I - confirmar a existência de tratamento;
II - acessar os dados;
III - corrigir dados incompletos, inexatos ou desatualizados;
IV - solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com as normas legais e regulatórias;
V - requisitar, de forma expressa e justificada, a portabilidade dos dados a outro órgão público;
VI - garantir a eliminação dos dados pessoais tratados com seu consentimento, exceto nas hipóteses previstas no art. 25 desta Política;
VII - receber informação sobre o compartilhamento de seus dados pessoais;
VIII - receber informação sobre as consequências da negativa de consentimento para o tratamento de seus dados pessoais;
IX - revogar o consentimento a qualquer momento mediante manifestação expressa, ratificados e preservados os tratamentos realizados anteriormente;
X - opor-se a tratamento de seus dados pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação;
XI - solicitar cópia eletrônica integral de seus dados pessoais com relação ao tratamento realizado com seu consentimento ou em contrato com a UEG; e
XII - solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.
§ 1º O requerimento a que se refere o caput deste artigo deverá ser apresentado junto à Ouvidoria da UEG, a quem compete os encaminhamentos necessários ao atendimento da demanda, de forma facilitada e gratuita, preferencialmente por meio de formulário eletrônico disponibilizado pelo Sistema de Ouvidoria do Estado de Goiás.
§ 2º O acesso aos dados a que se refere o inciso II deste artigo deverá assegurar o direito de acesso ao titular ou representante legal para controlar os dados que lhe pertencem e, em igual compasso, restringir o acesso de terceiros quando for de natureza pessoal e pertencem a outrem, nos termos da Lei Federal n. 12.527/2011 (LAI).
CAPÍTULO VII
DA SEGURANÇA E DAS BOAS PRÁTICAS
Seção I
Da Segurança e da Privacidade dos Dados
Art. 33. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acesso não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Parágrafo único. As medidas de que tratam o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução, recepcionando a noção de privacidade a partir da concepção (privacy by design), bem como de privacidade por padrão (privacy by default), em que o produto ou serviço deve ser entregue com a configuração de privacidade mais restritiva possível, de modo a que apenas os dados indispensáveis sejam coletados, cabendo ao titular, se assim desejar, habilitar de maneira informada e voluntária outras funcionalidades que ampliem o espectro de tratamento de seus dados pessoais.
Art. 34. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Política em relação aos dados pessoais, mesmo após o seu término.
Art. 35. A UEG, na qualidade de Controlador, representada pelo Reitor, deverá comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da Lei Federal n. 13.709/2018 (LGPD).
Art. 36. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Política e às demais normas regulamentares.
Art. 37. É vedado o armazenamento de dados pessoais fora dos repositórios oficiais da UEG ou do Estado de Goiás, conforme o caso.
Seção II
Das Boas Práticas
Art. 38. Como paradigma de boas práticas no tratamento de dados pessoais, a UEG adotará os orientações do Governo Federal, consubstanciadas nos seguintes expedientes:
I - Guia de Boas Práticas para Implementação Lei Geral de Proteção de Dados na Administração Pública Federal [2]; e
II - Guias operacionais para adequação à LGPD [3], com os seguintes módulos:
a) Programa de Governança em Privacidade: apresenta os principais pontos da LGPD, fornecendo os subsídios para a criação de um programa institucional de gerenciamento de privacidade;
b) Inventário de Dados Pessoais: incentiva a adoção de inventários de todas as operações de tratamento de dados pessoais e suas respectivas avaliações, sob a ótica dos princípios da LGPD;
c) Termo de Uso e Política de Privacidade: orienta a elaboração de Termos de Uso e Políticas de Privacidade vinculados à utilização de serviços públicos prestados por meio de aplicações (sites, sistemas ou aplicativos para dispositivos móveis) e fornecidos por órgãos e entidades da administração pública;
d) Avaliação de Riscos: orienta a identificação e a mensuração de riscos de segurança e privacidade, mitigando-os com a utilização dos controles mais indicados;
e) Requisitos e Obrigações quanto à Segurança da Informação e à Privacidade: orienta a adequação do processo de contratação para contemplar os requisitos mais importantes de segurança e privacidade dos dados;
f) Relatório de Impacto à Proteção de Dados Pessoais (RIPD): orienta a elaboração de documento de comunicação e transparência que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como propõe medidas, salvaguardas e mecanismos de mitigação;
g) Guia de Segurança em Aplicações Web: auxilia os profissionais de desenvolvimento e manutenção de sistemas a atenderem os requisitos de segurança da informação, antes e durante o desenvolvimento da aplicação;
h) Guia de Framework de Segurança: fornece aos profissionais de segurança da informação uma maneira de iniciar a identificação, o acompanhamento e o preenchimento das lacunas de segurança presentes na instituição, por intermédio de um conjunto de ações priorizadas que atuam coletivamente na defesa de sistemas e infraestrutura, valendo-se das melhores práticas para mitigar os tipos mais comuns de ataques;
i) Guia de Resposta a Incidentes de Segurança: apresenta boas práticas para que as instituições e os profissionais de segurança da informação realizem o tratamento de incidentes cibernéticos, com enfoque em incidentes que envolvam dados pessoais;
j) Guia de Requisitos Mínimos de Segurança e Privacidade para APIs: apresenta, para as instituições e os profissionais de segurança da informação, as boas práticas a serem aplicadas para proteção dos dados pessoais quando do uso de Interface de Programação de Aplicações (Application Programming Interface - API); e
k) Guia de Requisitos Mínimos de Segurança e Privacidade para Aplicativos Móveis: fornece orientações básicas e auxilia os profissionais de desenvolvimento e manutenção de sistemas a atenderem os requisitos de segurança da informação, nas distintas etapas do desenvolvimento da aplicação.
CAPÍTULO VIII
DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 39. A UEG exercerá a função típica de Controladora dos dados pessoais, inclusive dados pessoais sensíveis, tratados nos termos das suas competências legais e institucionais.
Parágrafo único. Em caráter excepcional, a UEG poderá exercer a função atípica de Operadora de dados pessoais, inclusive dados pessoais sensíveis, por força de contrato, convênio ou instrumentos congêneres.
Art. 40. O processo de implementação da LGPD, por orientação do Despacho n. 2.232/2020 - PGE/GO, inicia-se com a avaliação dos ativos organizacionais [4] e mapeamento ou inventário dos dados pessoais tratados, de maneira que possa ser realizada a efetiva análise da incidência dos preceitos relacionados ao tratamento de dados.
Art. 41. As diretrizes estabelecidas nesta Política não se esgotam em razão da contínua evolução tecnológica, da alteração legislativa e do constante surgimento de novas ameaças e requisitos e poderão ser complementadas por outras medidas de segurança e governança.
Art. 42. Os casos omissos serão resolvidos pelo Presidente do Conselho Universitário (CsU), ouvido o Comitê Gestor de Proteção de Dados Pessoais (CGPDP).
Art. 43. Esta resolução entra em vigor na data de sua publicação.
PUBLIQUE-SE e CUMPRA-SE.
135ª Sessão Plenária do Conselho Universitário da Universidade Estadual de Goiás, aos 18 dias do mês de maio de 2022.
PROF. ANTONIO CRUVINEL BORGES NETO
Presidente do Conselho Universitário da Universidade Estadual de Goiás
ANEXO
TERMOS E DEFINIÇÕES
I - Pessoa natural: ser humano sujeito de direitos e obrigações, sinônimo de pessoa física;
II - Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
III - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável, ainda que se trate de informação indeterminada, indireta, imprecisa ou inexata, visto que o cruzamento dessas informações podem resultar na identificação do indivíduo;
IV - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
V - Dado pessoal de criança e de adolescente: dado pessoal relacionada a criança, a pessoa até 12 (doze) anos de idade incompletos, e adolescentes aquela entre 12 (doze) e 18 (dezoito) anos de idade, nos termos do Estatuto da Criança e do Adolescente (ECA);
VI - Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
VII - Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
VIII - Dado pseudoanonimizado: dado relativo a titular que não possa ser associado, direta ou indiretamente, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo Controlador em ambiente controlado e seguro;
IX - Controlador: pessoa a quem competem as decisões referentes ao tratamento de dados pessoais;
X - Operador: pessoa que realiza o tratamento de dados pessoais em nome do Controlador;
XI - Encarregado: pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
XII - Agentes de tratamento: o Controlador e o Operador;
XIII - Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XIV - Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XV - Relatório de impacto à proteção de dados pessoais: documentação do Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVI - Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
XVII - Interoperabilidade: capacidade de sistemas e organizações operarem entre si.
____________________________
[1] Disponível em: https://www.controladoria.go.gov.br/files/portal-corregedoria/Despacho2232-PGE.pdf
[2] Disponível em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf
[3] Disponível em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd
[4] Os principais ativos organizacionais são: bases de dados, documentos, equipamentos, locais físicos, pessoas, sistemas e unidades organizacionais. Para maiores informações, acesse: http://www.fazenda.mg.gov.br/transparencia/lgpd/LGPD-SEF-Ciclo-de-Vida-Ativos-Organizacionais.pdf