O Presidente do Instituto de Metrologia de Santa Catarina, no uso de suas atribuições legais;

Considerando o disposto na Lei nº 13.709 , de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais em todo o território nacional;

Considerando a necessidade de regulamentar no âmbito da autarquia as diretrizes de proteção de dados pessoais, e de implementar a Lei Geral de Proteção de Dados Pessoais;

Considerando o fato de que o tratamento de dados pessoais passa por diferentes níveis estratégicos, táticos e operacionais, na Sede em São José e Escritórios Regionais em Chapecó, Joinville, Itajaí, Tubarão, bem como por diferentes meios de operação, armazenamento e comunicação;

Considerando a extensão da proteção da privacidade e dos dados pessoais prevista na referida lei aos meios físicos e digitais;

Resolve:

CAPÍTULO I - DISPOSIÇÕES GERAIS

Art. 1º Fica instituída a Política Geral de Privacidade e Proteção de Dados Pessoais, em meios físicos ou digitais, no âmbito do IMETRO/SC, como parte integrante de sua estrutura normativa, que seguirá os princípios, as diretrizes e os objetivos compatíveis com os requisitos estabelecidos na legislação brasileira, além de boas práticas e normas internacionalmente aceitas.

§ 1º A política instituída nesta Portaria se aplica a qualquer operação de tratamento de dados pessoais realizada pelo IMETRO/SC, independentemente do meio ou do país onde estejam localizados os dados, desde que tenham sido coletados em território nacional.

§ 2º Os servidores e quaisquer outras pessoas que realizam tratamento de dados pessoais no IMETRO/SC se sujeitam às diretrizes, às normas e aos procedimentos previstos nesta Portaria e são responsáveis por garantir a proteção de dados pessoais a que tenham acesso.

Art. 2º Para os efeitos desta Portaria considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer informação que permita identificar, direta ou indiretamente, um indivíduo;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a um indivíduo que não possa ser identificado, pois passou por algum meio técnico de tratamento para garantir sua desvinculação, direta ou indireta, a uma pessoa;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em meio físico ou eletrônico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre este, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;

IX - tratamento de dados pessoais: toda operação exercida sobre dados pessoais, compreendendo a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, o processamento, o arquivamento, o armazenamento, a eliminação, a avaliação ou o controle da informação, a modificação, a comunicação, a transferência, a difusão ou a extração;

X - agentes de tratamento: o controlador e o operador;

XI - anonimização: utilização de meios técnicos razoáveis que impossibilitem que um dado seja associado, direta ou indiretamente, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI - compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais entre órgãos públicos e privados;

XVII - relatório de impacto na proteção de dados pessoais: documentação do controlador com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como das medidas e mecanismos de mitigação de risco;

XVIII - Autoridade Nacional de Proteção de Dados - ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da legislação de proteção de dados pessoais em todo o território nacional.

Art. 3º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade legítima, específica e explícita, que deverá ser informada ao titular, sendo vedado o tratamento posterior dos dados para outras finalidades e fins discriminatórios, ilícitos ou abusivos;

II - adequação do tratamento dos dados pessoais, compatível com as finalidades informadas ao titular;

III - necessidade do tratamento dos dados pessoais limitada aos objetivos para os quais serão processados, abrangendo somente os dados pertinentes, proporcionais e não excessivos, em relação à finalidade do tratamento dos dados para a qual foram coletados;

IV - garantia, ao titular, de livre acesso, de forma gratuita e facilitada, ao tratamento de seus dados pessoais;

V - garantia, ao titular, de exatidão, clareza, relevância e atualização de seus dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - garantia, ao titular, de acesso facilitado a informações claras e precisas sobre a realização do tratamento de seus dados pessoais e os respectivos agentes de tratamento;

VII - utilização de medidas técnicas e administrativas de segurança e prevenção adequadas ao tratamento e à proteção de dados pessoais nos casos de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - proibição do tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos;

IX - responsabilização e prestação de contas dos agentes de tratamento quanto ao dever de cumprir as normas legais e regulatórias de proteção de dados pessoais.

Art. 4º O objetivo geral desta Portaria é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos de seus titulares no âmbito do IMETRO/SC.

Parágrafo único. São objetivos específicos desta Portaria:

I - assegurar níveis adequados de proteção aos dados pessoais tratados pelo IMETRO/SC;

II - orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos de proteção de dados pessoais;

III - garantir aos titulares de dados pessoais os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

IV - prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais;

V - minimizar os riscos de violação de dados pessoais tratados pelo IMETRO/SC e qualquer impacto negativo que resulte dessa violação.

Art. 5º São direitos do titular de dados pessoais tratados pelo IMETRO/SC:

I - confirmar a existência de tratamento;

II - acessar os dados;

III - corrigir dados incompletos, inexatos ou desatualizados;

IV - solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com as normas legais e regulatórias;

V - requisitar, de forma expressa e justificada, a portabilidade dos dados a outro órgão público;

VI - garantir a eliminação dos dados pessoais tratados com seu consentimento, exceto nas hipóteses previstas no art. 17 desta Portaria;

VII - receber informação sobre o compartilhamento de seus dados pessoais;

VIII - receber informação sobre as consequências da negativa de consentimento para o tratamento de seus dados pessoais;

IX - revogar o consentimento a qualquer momento mediante manifestação expressa, ratificados e preservados os tratamentos realizados anteriormente;

X - opor-se a tratamento de seus dados pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação;

XI - solicitar cópia eletrônica integral de seus dados pessoais com relação ao tratamento realizado com seu consentimento ou em contrato com o IMETRO/SC;

XII - solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.

Parágrafo único. O titular de dados pessoais poderá obter informações sobre o tratamento de seus dados e exercer os direitos previstos neste artigo a qualquer tempo, de forma facilitada e gratuita, em requisição expressa e específica, preferencialmente por meio do formulário eletrônico disponível em https://www.sc.gov.br/servicos/detalhe/solicitar-atendimento-lgpd.

CAPÍTULO II - DOS PRINCÍPIOS E DIRETRIZES

Art. 6º A aplicação desta Política será baseada na observância da boa-fé e nos seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas, previstos e definidos no artigo 6º da Lei Geral de Proteção de Dados.

Art. 7º São diretrizes desta Política de Proteção de Dados Pessoais:

I - estabelecimento de regras de boas práticas pelos agentes de tratamento, observando, para tanto, a natureza, o escopo, a finalidade e a probabilidade e gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;

II - levantamento dos dados pessoais tratados pelos agentes de tratamento;

III - mapeamento dos fluxos dos dados pessoais no âmbito do órgão;

IV - revisão e adequação dos contratos firmados no âmbito do IMETRO/SC à Lei Geral de Proteção de Dados.

CAPÍTULO III - DOS ATORES E DAS RESPONSABILIDADES

Art. 8º O IMETRO/SC é o controlador de dados pessoais que estão sob sua responsabilidade e deverá:

I - manter registro das operações de tratamento de dados pessoais;

II - elaborar relatório de impacto na proteção de dados pessoais, inclusive de dados sensíveis, relativo ao tratamento de dados;

III - orientar os operadores quanto aos tratamentos de dados pessoais segundo instruções internas, a legislação e as regulamentações da ANPD.

Parágrafo único. O IMETRO/SC atuará como co-controlador quando, por força de lei, convênio ou contrato, determinar as finalidades e os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.

Art. 9º O encarregado é responsável por:

I - receber as reclamações e comunicações dos titulares, respondê-las e adotar providências;

II - receber as comunicações da ANPD e adotar as providências necessárias;

III - orientar todos os servidores e colaboradores do IMETRO/SC sobre as práticas a serem adotadas em relação à proteção de dados pessoais;

IV - executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares da ANPD.

Art. 10. Nas situações que o IMETRO/SC atuar como controlador, o operador será a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional da Autarquia que realiza o tratamento de dados pessoais em nome e por ordem do controlador.

Parágrafo único. Os operadores são responsáveis por tratar os dados pessoais de acordo com as instruções estabelecidas pelo controlador, além de manter o devido registro das ações realizadas para o tratamento desses dados.

Art. 11. O Grupo de Trabalho Interno é responsável:

I - pela avaliação dos mecanismos de tratamento e proteção dos dados e pela proposição de ações para seu aperfeiçoamento;

II - pela emissão de orientações sobre boas práticas e governança de dados pessoais;

Parágrafo único. O Grupo de Trabalho Interno atuará de forma articulada com o Comitê Gestor de Proteção de Dados do Governo do Estado de Santa Catarina para garantir a segurança e proteção dos dados pessoais e promover boas práticas relacionadas ao tema.

Art. 12. Os servidores e demais colaboradores vinculados ao IMETRO/SC são responsáveis por:

I - ler e cumprir integralmente os termos desta Portaria e as demais normas e procedimentos de proteção da privacidade e de dados pessoais aplicáveis;

II - comunicar ao encarregado qualquer evento que viole esta resolução ou coloque em risco os dados pessoais tratados pelo IMETRO/SC;

III - responder no âmbito do IMETRO/SC pela inobservância da política instituída nesta resolução e das demais normas e procedimentos legais ou regulatórios relacionados ao tratamento de dados pessoais.

Art. 13. O descumprimento das normas e dos procedimentos referentes à proteção de dados pessoais, nos termos desta Portaria e da legislação, poderá acarretar, isolada ou cumulativamente, a aplicação de sanções administrativas, civis e penais, assegurados o contraditório, a ampla defesa e o devido processo legal.

CAPÍTULO IV - DO TRATAMENTO DE DADOS PESSOAIS

Art. 14. O tratamento de dados pessoais somente poderá ser realizado, em conjunto ou isoladamente, nas seguintes hipóteses:

I - mediante o consentimento do titular;

II - para o cumprimento de obrigação legal ou regulatória;

III - para a execução de políticas públicas, incluindo o tratamento e uso compartilhado de dados;

IV - para a realização de estudos por órgão de pesquisa, assegurada a anonimização dos dados pessoais sempre que possível;

V - para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VII - para a proteção da vida ou da segurança física do titular ou de terceiro;

VIII - para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - quando necessário para atender a legítimo interesse do controlador ou de terceiro;

X - para a proteção de crédito, inclusive quanto ao disposto na legislação pertinente;

XI - para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências de fiscalização ou cumprir suas atribuições legais.

§ 1º O consentimento para a coleta de dados pessoais deverá ser obtido de forma livre, expressa, individual, clara, específica e legítima e poderá ser revogado a qualquer momento pelo titular.

§ 2º O consentimento é dispensado para o tratamento de dados pessoais tornados manifestamente públicos pelo titular, desde que o tratamento seja realizado de acordo com a finalidade, a boa-fé e o interesse público, resguardados os direitos do titular.

Art. 15. O tratamento de dados sensíveis será realizado com o consentimento do titular ou de seu responsável legal de forma específica e destinado a finalidades específicas.

§ 1º O consentimento de que trata o caput deste artigo será dispensado:

I - nas hipóteses previstas nos incisos II a VIII do art. 14 desta Portaria;

II - nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, para prevenir a fraude e garantir a segurança dos dados pessoais do titular, resguardados todos os direitos de privacidade e de proteção desses dados.

§ 2º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

§ 3º Quando o tratamento de dados pessoais envolver os incisos II e III do art. 14, deverá ser dada publicidade à dispensa de consentimento.

§ 4º É vedada a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica, exceto se houver regulamentação por parte da ANPD ou nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, nos termos de legislação específica.

Art. 16. Os dados anonimizados não serão considerados dados pessoais para os fins das diretrizes previstas nesta resolução, salvo quando for revertido o processo de anonimização ao qual foram submetidos.

Parágrafo único. Para os efeitos deste artigo, a pseudonimização é o tratamento que impossibilita que um dado seja associado, direta ou indiretamente, a um indivíduo, exceto pelo uso de informação adicional.

Art. 17. O tratamento de dados pessoais de crianças e de adolescentes tem a finalidade de atender a seu melhor interesse e deverá ser realizado com o consentimento expresso e em destaque de um dos pais ou responsável legal, bem como ser específico quanto à finalidade do tratamento.

Parágrafo único. A informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos de tratamento dos dados pessoais de que trata o caput deste artigo deverá ser mantida pública.

Art. 18. O tratamento de dados pessoais deverá ser finalizado quando:

I - for alcançada a finalidade para a qual os dados foram coletados ou quando esses dados deixarem de ser necessários ou pertinentes para essa finalidade;

II - o período de tratamento chegar ao fim;

III - houver pedido de revogação do consentimento feito pelo titular, resguardado o interesse público; ou

IV - por determinação da ANPD, houver violação à Lei nº 13.709 , de 14 de agosto de 2018.

Art. 19. Os dados pessoais serão eliminados após o término de seu tratamento, exceto nas seguintes hipóteses:

I - cumprimento de obrigação legal ou regulatória;

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - transferência a terceiro, desde que respeitados os requisitos legais de tratamento de dados pessoais; ou

IV - uso exclusivo pelo IMETRO/SC, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Art. 20. O uso compartilhado de dados pelo IMETRO/SC deverá ocorrer no cumprimento de suas obrigações legais ou regulatórias, com organizações públicas ou privadas, de acordo com a finalidade admitida na legislação pertinente, resguardados os princípios de proteção de dados pessoais.

Parágrafo único. Na prestação dos serviços de sua competência, o IMETRO/SC compartilhará dados pessoais de acordo com a interoperabilidade de seus sistemas e serviços de tecnologia da informação, observada a norma administrativa pertinente.

Art. 21. São atividades que deverão ser realizadas no tratamento de dados pessoais:

I - garantir ao titular a opção de permitir ou não o tratamento de seus dados pessoais, excetuando-se os casos de tratamento sem a necessidade de seu consentimento;

II - assegurar que o objetivo do tratamento de dados pessoais esteja em conformidade com esta Portaria e com a legislação vigente;

III - comunicar de forma clara o tratamento de dados pessoais ao titular antes do momento em que forem coletados ou usados pela primeira vez para nova finalidade;

IV - quando forem requisitadas, fornecer ao titular explicações sobre o tratamento de seus dados pessoais;

V - limitar a coleta, o uso, a divulgação e a transferência de dados pessoais ao necessário para o cumprimento da finalidade consentida pelo titular ou da base legal específica para o tratamento sem o consentimento;

VI - reter dados pessoais apenas pelo tempo necessário para cumprir sua finalidade e posteriormente destruí-los, bloqueá-los ou anonimizá-los com segurança, observado o disposto no art. 19 desta resolução;

VII - bloquear o acesso a dados pessoais quando, expirado o período de seu tratamento e sua manutenção, for exigido pela legislação;

VIII - fornecer informações claras sobre as políticas, os procedimentos e as práticas de tratamento de dados pessoais a seus titulares;

IX - cientificar os titulares quando ocorrerem alterações significativas no tratamento de seus dados pessoais;

X - garantir aos titulares o acesso e a revisão de seus dados pessoais por meio da técnica de autenticação de identidade, desde que não haja restrição legal ao acesso ou à revisão;

XI - assegurar a rastreabilidade e a prestação de contas durante todo o tratamento de dados pessoais, inclusive daqueles compartilhados com terceiros;

XII - gerenciar eventual violação aos dados tratados, mantendo o registro de incidentes e da resposta efetuada;

XIII - adotar controles técnicos e administrativos de segurança da informação suficientes para garantir níveis de proteção adequados.

CAPÍTULO V - DISPOSIÇÕES FINAIS

Art. 22. As normas complementares de proteção de dados pessoais deverão abranger regras de boas práticas e de governança que estabeleçam os procedimentos e as condições de organização e de funcionamento, incluindo reclamações e solicitações de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas e o gerenciamento de riscos.

Art. 23. As normas e os procedimentos de segurança da informação deverão ser ajustados para atender aos requisitos estabelecidos na política instituída nesta Portaria e na legislação quanto às medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegal.

Art. 24. As diretrizes estabelecidas nesta Portaria não se esgotam em razão da contínua evolução tecnológica, da alteração legislativa e do constante surgimento de novas ameaças e requisitos e poderão ser complementadas por outras medidas de segurança.

Art. 25. Esta Portaria será atualizada periodicamente, quando necessária, ouvido o Grupo de Trabalho Interno.

Art. 26. Esta Portaria entra em vigor na data de sua publicação.

RUDINEI LUIS FLORIANO

PRESIDENTE DO IMETRO/SC