O DIRETOR-GERAL EM EXERCÍCIO DA CÂMARA DOS DEPUTADOS, no uso das atribuições que lhe confere o art. 147, XV, da Resolução nº 20, de 30 de novembro de 1971, e considerando o disposto na Lei nº 13.709, de 14 de agosto de 2018, - Lei Geral de Proteção de Dados Pessoais (LGPD) -, e no art. 14, II, do Ato da Mesa nº 152, de 16 de dezembro de 2020, RESOLVE:

     Art. 1º Esta Portaria regulamenta assuntos relacionados à proteção de dados pessoais na Câmara dos Deputados, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

     § 1º Deverá ser buscado o alinhamento entre o tratamento de dados pessoais e as diretrizes e regras sobre governança de dados no âmbito da Câmara dos Deputados.

     § 2º As unidades administrativas promoverão a elaboração ou a adequação de seus planos, programas, projetos, processos de trabalho e sistemas em conformidade com os procedimentos, as diretrizes, os requisitos e as atribuições estabelecidas na regulamentação sobre tratamento de dados pessoais.

     § 3º Esta Portaria se aplica aos servidores e colaboradores da Câmara dos Deputados e o seu descumprimento implicará nas penalidades previstas na legislação vigente.

     Art. 2º São responsáveis pelo tratamento dos dados pessoais na Câmara dos Deputados:

     I - Encarregado de Proteção de Dados Pessoais, doravante denominado Encarregado, servidor responsável por acompanhar a aplicação das diretrizes emanadas do Controlador e por monitorar o atendimento dos preceitos da LGPD;

     II - Gestor de Dados Pessoais, titular de Unidade Administrativa responsável por processo em que sejam tratados dados pessoais;

     III - Operador, pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.

     Art. 3º Compete ao Encarregado:

     I - expedir instruções operacionais sobre processos e procedimentos no cumprimento de suas atribuições;

     II - decidir pedidos de titulares sobre seus dados pessoais previstos na LGPD;

     III - assinar prazo e determinar aos Gestores de Dados Pessoais as providências cabíveis para atendimento aos preceitos da LGPD e aos direitos dos titulares;

     IV - revisar os processos em andamento e autorizar o início de novos processos, no que se refere ao tratamento de dados pessoais;

     V - decidir sobre os pedidos de compartilhamento dos dados pessoais com outras Instituições públicas e privadas, conforme a legislação pertinente e as diretrizes emitidas pelo Controlador;

     VI - receber comunicações da Autoridade Nacional de Proteção de Dados - ANPD e adotar providências;

     VII - orientar os servidores, colaboradores e contratados da Câmara dos Deputados a respeito das práticas, normas e regulamentos em relação à proteção de dados pessoais.

     Art. 4º Compete ao Gestor de Dados Pessoais:

     I - observar as regras e determinações do Encarregado sobre o tratamento de dados pessoais;

     II - ajustar os processos sob sua gerência que tratem de dados pessoais, de modo a assegurar que servidores e colaboradores conheçam e cumpram o regramento em vigor sobre o assunto;

     III - prestar as informações solicitadas pelo Encarregado sobre quaisquer aspectos de tratamento de dados pessoais;

     IV - submeter ao Encarregado a solicitação de coleta de dados e de finalidade do uso para autorização, sempre que identificada a necessidade de tratamento de dados pessoais em meios físicos e digitais;

     V - garantir o correto e seguro armazenamento permanente ou provisório dos dados pessoais;

     VI - informar previamente ao Encarregado sobre eventos significativos a respeito dos dados pessoais sob sua responsabilidade, como a suspeita ou o próprio vazamento, a eliminação e o compartilhamento com outras unidades;

     VII - encaminhar ao Encarregado as demandas de usuários relativas ao tratamento de dados pessoais;

     VIII - submeter à decisão do Encarregado os pedidos de compartilhamento de dados pessoais com outras Instituições públicas e privadas, observadas as diretrizes emitidas pelo Controlador;

     IX - decidir sobre o compartilhamento de dados pessoais com outras unidades administrativas da Câmara dos Deputados, desde que a solicitação esteja pautada em obrigação legal, regulatória ou operacional;

     X - fornecer as informações solicitadas pelo titular de dados pessoais.

     Art. 5º Compete ao Operador prezar pelo correto tratamento dos dados pessoais de acordo com a finalidade de tratamento, incluindo o armazenamento, compartilhamento, modificação, exclusão e demais atividades elencadas no art. 5º da LGPD.

     Art. 6º Os processos de trabalho que envolvem dados pessoais serão avaliados de acordo com as regras e diretrizes da Governança de Dados da Câmara dos Deputados, de modo a verificar as adaptações necessárias ao cumprimento da legislação relativa à proteção de dados pessoais.

     Art. 7º Os contratos administrativos da Câmara dos Deputados deverão conter, quando for o caso, cláusulas que garantam a privacidade e a proteção e segurança de dados pessoais, e que disciplinem a relação entre controlador e operador do tratamento de dados pessoais.

     Art. 8º O Encarregado deverá providenciar a publicação, no portal da Câmara dos Deputados, de conteúdo sobre privacidade e tratamento de dados pessoais, nos termos do art. 9º da LGPD.

     Art. 9º A Câmara dos Deputados apresentará ao titular de dados pessoais termo de uso informando sobre o tratamento.

     § 1º Os termos de uso deverão ser informados aos titulares de dados pessoais sempre que este tipo de dado for fornecido à Câmara dos Deputados.

     § 2º Os sistemas ou atividades que envolvam dados pessoais sensíveis devem conter termo próprio, do qual constará o dado sensível tratado, bem como o fundamento legal e a finalidade do tratamento.

     § 3º A coleta de dados pessoais de crianças ou adolescentes deve se limitar ao mínimo necessário à realização da atividade ou utilização do sistema, e ser precedida de termo próprio, em linguagem simples, cuja anuência deve ser dada pelo pai ou responsável legal.

     Art. 10. As demandas sobre dados pessoais relacionadas no art. 18 da LGPD poderão ser solicitadas por seus titulares a qualquer momento, mediante requisição à Câmara dos Deputados.

     § 1º A requisição de que trata o caput será encaminhada ao Encarregado.

     § 2º O Encarregado, com apoio dos gestores de dados pessoais, avaliará a requisição sob a ótica da legislação cabível, e decidirá a respeito.

     § 3º No caso de negativa, o titular poderá recorrer, nos termos da Lei nº 9.784/1999.

     § 4º O Encarregado poderá solicitar ao titular dos dados pessoais prova de identidade, de modo a mitigar o risco de terceiros obterem acesso ilegal a dados pessoais.

     Art. 11. O relatório de que trata o art. 38 da LGPD será elaborado mediante solicitação da Diretoria-Geral.

     Art. 12. O Encarregado comunicará à Diretoria-Geral e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

     Art. 13. O relatório de incidente de segurança da informação deverá conter, sempre que possível:

     I - tipo de incidente/vazamento;

     II - tipo de dados pessoais afetados;

     III - sensibilidade dos dados afetados;

     IV - volume de dados afetados;

     V - número de titulares atingidos;

     VI - natureza do processamento;

     VII - identificação dos titulares para comunicação e saneamento do incidente;

     VIII - identificação da gravidade e extensão das consequências para os titulares;

     IX - identificação dos objetivos de quem perpetrou o ataque que gerou o incidente;

     X - avaliação dos possíveis riscos gerados com relação aos direitos dos titulares.

     Art. 14. Esta Portaria entra em vigor na data de sua publicação.

MAURO LIMEIRA MENA BARRETO
Diretor-Geral em exercício