Política de Privacidade de Dados

OBJETIVO

Definir uma expec­ta­ti­va da ins­ti­tui­ção e esta­be­le­cer prin­cí­pi­os e dire­tri­zes para o tra­ta­men­to de dados pes­so­ais rea­li­za­dos pelo Conselho, cri­an­do um Sistema de Gestão da Privacidade da Informação — SGPI, visan­do garan­tir os direi­tos dos titu­la­res de dados pes­so­ais e cum­prir as obri­ga­ções impos­tas aos agen­tes de tratamento.

Este docu­men­to deve­rá ser uti­li­za­do em con­jun­to com a Política de Segurança da Informação – PSI do CONAPRA, uma vez que con­tém dire­tri­zes adi­ci­o­nais apli­ca­das aos pro­ces­sos de tra­ta­men­tos de dados pessoais

ÂMBITO

Este docu­men­to con­tém um con­jun­to de reso­lu­ções que, jun­tas, deter­mi­nam o papel da ins­ti­tui­ção nos pro­ces­sos de tra­ta­men­tos de dados pes­so­ais. Portanto, enten­de-se como uma polí­ti­ca que esta­be­le­ce os limi­tes com­por­ta­men­tais e medi­das a serem toma­das para visar ade­qua­ção legal.

  • REFERÊNCIAS
  • NBR ISO/IEC 27701:2019 – Técnicas de segu­ran­ça – Extenção da ABNT NBR ISO/27001 e 27002 para Sistema de Gestão da Privacidade – Requerimentos e orientações
  • NBR/ISO/IEC 27002:2013, que ins­ti­tui o códi­go de melho­res prá­ti­cas para ges­tão de segu­ran­ça da informação;
  • NBR/ISO/IEC 27001:2013, que esta­be­le­ce os ele­men­tos de um Sistema de Gestão de Segurança da Informação
  • DEFINIÇÕES

Além das defi­ni­ções da Política de Segurança da Informação, entende-se:

CONTROLADOR: pes­soa natu­ral ou jurí­di­ca, de direi­to públi­co ou pri­va­do, a quem com­pe­tem as deci­sões refe­ren­tes ao tra­ta­men­to de dados pessoais;

TITULAR: pes­soa natu­ral a quem se refe­rem os dados pes­so­ais que são obje­to de tratamento;

TRATAMENTO: toda ope­ra­ção rea­li­za­da com dados pes­so­ais, como as que se refe­rem a cole­ta, pro­du­ção, recep­ção, clas­si­fi­ca­ção, uti­li­za­ção, aces­so, repro­du­ção, trans­mis­são, dis­tri­bui­ção, pro­ces­sa­men­to, arqui­va­men­to, arma­ze­na­men­to, eli­mi­na­ção, ava­li­a­ção ou con­tro­le da infor­ma­ção, modi­fi­ca­ção, comu­ni­ca­ção, trans­fe­rên­cia, difu­são ou extração;

CONSENTIMENTO: mani­fes­ta­ção livre, infor­ma­da e inequí­vo­ca pela qual o titu­lar con­cor­da com o tra­ta­men­to de seus dados pes­so­ais para uma fina­li­da­de determinada;

ELIMINAÇÃO: exclu­são de dado ou de con­jun­to de dados arma­ze­na­dos em ban­co de dados, inde­pen­den­te­men­te do pro­ce­di­men­to empregado;

OPERADOR: pes­soa natu­ral ou jurí­di­ca, de direi­to públi­co ou pri­va­do, que rea­li­za o tra­ta­men­to de dados pes­so­ais em nome do controlador;

DADO PESSOAL: infor­ma­ção rela­ci­o­na­da a pes­soa natu­ral iden­ti­fi­ca­da ou identificável;

DADOPESSOALSENSÍVEL: dado pes­so­al sobre ori­gem raci­al ou étni­ca, con­vic­ção reli­gi­o­sa, opi­nião polí­ti­ca, fili­a­ção a sin­di­ca­to ou a orga­ni­za­ção de cará­ter reli­gi­o­so, filo­só­fi­co ou polí­ti­co, dado refe­ren­te à saú­de ou à vida sexu­al, dado gené­ti­co ou bio­mé­tri­co, quan­do vin­cu­la­do a uma pes­soa natural;

INCIDENTE DESEGURANÇA: situ­a­ção de vio­la­ção da segu­ran­ça que pode levar à des­trui­ção, per­da, alte­ra­ção, divul­ga­ção não-auto­ri­za­da ou aces­so não-auto­ri­za­do a dados pessoais

CONTEXTO DA ORGANIZAÇÃO

O CONAPRA está sujei­to a apli­ca­ção da Lei Geral de Proteção de Dados Pessais – Lei n°13.709/2018, além de nor­ma­ti­vas espe­cí­fi­cas da Marinha do Brasil e da Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis – CONPORTOS do Ministério da Justiça que se apli­quem à ati­vi­da­de fim da ins­ti­tui­ção e ver­sem sobre dados pes­so­ais (dados que devem ser cole­ta­dos, tem­po de arma­ze­na­men­to, requi­si­tos de segu­ran­ça etc.).

O CONAPRA é con­si­de­ra­do na mai­o­ria dos pro­ces­sos de tra­ta­men­to de dados pes­so­ais como CONTROLADOR de dados pes­so­ais dos prá­ti­cos, fun­ci­o­ná­ri­os, figu­ras polí­ti­cas, agen­tes da impren­sa e ter­cei­ros inte­res­sa­dos na pra­ti­ca­gem, uma vez que deci­de os dados pes­so­ais que deve cole­tar ou estão sujei­tos a legis­la­ções que obri­guem a cole­ta de deter­mi­na­dos dados, além de defi­nir a fina­li­da­de da uti­li­za­ção dos dados pes­so­ais uti­li­za­dos e a manei­ra como atingi-la.

Como con­tro­la­dor, o CONAPRA deve:

  • Manter regis­tros atu­a­li­za­dos de pro­ces­sos que rea­li­zam tra­ta­men­tos de dados pessoais;
  • Definir o obje­to de tra­ta­men­to de dados pes­so­ais para os ope­ra­do­res, medi­an­te cláu­su­la con­tra­tu­al, além das intru­ções para atin­gir a fina­li­da­de do tratamento;
  • Indicar um Encarregado de pro­te­ção de dados pes­so­ais, se obrigatório;
  • Observar os prin­cí­pi­os apli­cá­veis aos tra­ta­men­tos de dados pessoais;
  • Observar os direi­tos dos titu­la­res de dados pes­so­ais e man­ter um sis­te­ma de res­pos­ta à requerimentos;
  • Adotar medi­das de segu­ran­ça, téc­ni­cas e admi­nis­tra­ti­vas para evi­tar vio­la­ções à con­fi­den­ci­a­li­da­de, inte­gri­da­de e dis­po­ni­bi­li­da­de dos dados pessoais;
  • Manter um pro­gra­ma de gover­nan­ça com a ado­ção de regras de boas prá­ti­cas para segu­ran­ça da infor­ma­ção e privacidade;
  • Observar demais obri­ga­ções na LGPD e nor­ma­ti­vas da Autoridade Nacional de Proteção de Dados, além das obri­ga­ções seto­ri­ais espe­cí­fi­cas que por­ven­tu­ra se apliquem;
  • A DIREÇÃO NOS TRATAMENTOS DE DADOS PESSOAIS EM RESPOSTAS À IMPRENSA

Ocasionalmente o CONAPRA é ins­ta­do a ela­bo­rar res­pos­tas a veí­cu­los de impren­sa que envol­vam dados pes­so­ais de prá­ti­cos ou ter­cei­ros liga­dos ao CONAPRA.

Nessas situ­a­ções as res­pos­tas deve­rão pos­suir o aval escri­to e explí­ci­to de um dire­tor do CONAPRA antes do envio ao soli­ci­tan­te. O dire­tor, nes­se caso, deve­rá levar em con­ta: a lega­li­da­de da soli­ci­ta­ção, os direi­tos indi­vi­du­ais daque­les que por­ven­tu­ra sejam obje­to da solicitação/constem na res­pos­ta, os pos­sí­veis impac­tos jurí­di­cos ou não ao CONAPRA e à clas­se dos Práticos da resposta.

A medi­da visa pro­te­ger não só os titu­la­res de dados pes­so­ais que por­ven­tu­ra sejam obje­to da soli­ci­ta­ção, mas a clas­se dos Práticos.

SEGURANÇA DA INFORMAÇÃO

Todos os pro­ces­sos de tra­ta­men­tos de dados pes­so­ais devem obser­var os con­tro­les que cons­tam na Política de Segurança da Informação.

ANÁLISE DE RISCO

Todos os pro­ces­sos de mape­a­men­tos de dados pes­so­ais devem pos­suir aná­li­se de ris­co con­for­me Matriz de Risco com base na pos­sí­vel vio­la­ção dos prin­cí­pi­os da Lei n° 13.709/2018, deven­do ser esta­be­le­ci­do uma rela­ção de cau­sa-con­sequên­cia e pos­si­bi­li­da­de-impac­to, além de indi­car os con­tro­les para miti­ga­ção. A Matriz de Risco pro­pos­ta é aque­la indi­ca­da pelo Ministério da Economia do Governo Federal do Brasil no “Guia de Avaliação de Riscos de Segurança e Privacidade”1.

Processos con­si­de­ra­dos de alto ris­co devem pos­suir Relatório de Impacto de Proteção de Dados Pessoais.

SISTEMA DE RESPOSTA À INCIDENTES DE SEGURANÇA

Na hipó­te­se de sus­pei­ta de inci­den­tes de segu­ran­ça que por­ven­tu­ra ofe­re­çam ris­co à con­fi­den­ci­a­li­da­de, inte­gri­da­de ou dis­po­ni­bi­li­da­de de dados pes­so­ais, o CONAPRA deve­rá regis­trar o inci­den­te, atra­vés de seu Encarregado ou pelo Setor de Informatica, com, no míni­mo, as seguin­tes informações:

  • Uma des­cri­ção dos fatos que leva­ram à suspeita/confirmação do incidente;
  • O lap­so tem­po­ral duran­te o qual os fatos podem ter persistido;
  • As pos­sí­veis con­sequên­ci­as do inci­den­te para o fun­ci­o­na­men­to do CONAPRA e para os titu­la­res de dados pessoais;
  • A iden­ti­fi­ca­ção de quem levou o conhe­ci­men­to do inci­den­te para o Encarregado/ Setor de Informatica;
  • O res­pon­sá­vel pela defi­ni­ção de medi­das de miti­ga­ção de danos, que docu­men­ta­rá todas as medi­das adotadas;
  • A clas­si­fi­ca­ção de qual pro­pri­e­da­de dos dados pes­so­ais o inci­den­te afe­tou com a jus­ti­fi­ca­ti­va pertinente;
  • Quais as cate­go­ri­as de dados pes­so­ais foram obje­to do inci­den­te e uma defi­ni­ção da ampli­tu­de do incidente;
  • Demais infor­ma­ções que serão deman­da­das pela Autoridade Nacional de Proteção de Dados Pessoais ou órgãos fis­ca­li­za­do­res competentes;

Além do regis­tro do inci­den­te com as infor­ma­ções míni­mas aci­ma des­cri­tas, o CONAPRA deve­rá deci­dir se o inci­den­te deve­rá ser publi­ci­za­do para os titu­la­res dos dados, con­for­me ori­en­ta­ção do Encarregado ou res­pon­sá­veis jurí­di­cos, além de regis­trar os moti­vos para a ado­ção da medi­da ou não ado­ção, con­for­me a decisão.

1 Disponível em https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-avaliacao-de-riscos-de- seguranca-e-privacidade.pdf

CONDIÇÕES PARA A COLETA E TRATAMENTO DE DADOS PESSOAIS

Os pre­sen­tes requi­si­tos devem ser pre­en­chi­dos em todos os pro­ces­sos de tra­ta­men­tos de dados pes­so­ais para garan­tir o regis­tro ade­qua­do de infor­ma­ções quan­to aos tra­ta­men­tos de dados pessoais.

FINALIDADE ESPECÍFICA

O CONAPRA deve iden­ti­fi­car a fina­li­da­de espe­cí­fi­ca para todos os pro­ces­sos de tra­ta­men­tos de dados pes­so­ais e garan­tir que ela seja cor­re­ta­men­te infor­ma­da para os titu­la­res dos dados pes­so­ais atra­vés de Avisos de Privacidade, Respostas à Requerimentos, além de estar dis­po­ní­vel em todos os pro­ces­sos mape­a­dos (ver 9.7).

IDENTIFICAR A BASE LEGAL

Todos os pro­ces­sos de tra­ta­men­to de dados pes­so­ais devem pos­suir uma base legal cor­res­pon­den­te para jus­ti­fi­car o tra­ta­men­to dos dados pes­so­ais em con­for­mi­da­de com o requi­si­to do art. 7° ou art. 11° da LGPD.

A esco­lha das bases legais deve ser docu­men­ta­da e jus­ti­fi­ca­da com os argu­men­tos per­ti­nen­tes nos regis­tros de tra­ta­men­tos de dados pes­so­ais (ver 9.7).

DETERMINAR COMO O CONSENTIMENTO SERÁ OBTIDO

Nos casos em que o con­sen­ti­men­to é neces­sá­rio para o tra­ta­men­to dos dados pes­so­ais o CONAPRA deve­rá for­ne­cer as seguin­tes infor­ma­ções sobre o tratamento:

  • A neces­si­da­de de trans­fe­rên­cia para ter­cei­ros (inter­na­ci­o­nal­men­te ou nacionalmente);
  • Deve ser espe­cí­fi­co para a fina­li­da­de do tratamento;
  • Possibilidade de revo­ga­ção do con­sen­ti­men­to a qual­quer momento;
  • Direitos pre­vis­tos no art. 9° da LGPD;

RELATÓRIO DE IMPACTO DE PROTEÇÃO DE DADOS PESSOAIS

Os pro­ces­sos que ofe­re­ce­rem alto ris­co a direi­tos dos titu­la­res de dados pes­so­ais com base em matriz de ris­co e/ou defi­ni­ções da Autoridade Nacional de Proteção de Dados Pessoais devem pos­suir um Relatório de Impacto.

O docu­men­to deve indi­car a meto­do­lo­gia ado­ta­da e pos­sui, no mínimo:

  • Descrição do tra­ta­men­to realizado;
  • Possíveis ris­cos aos titu­la­res de dados pessoais;
  • Mapeamento de vul­ne­ra­bi­li­da­des à con­fi­den­ci­a­li­da­de, inte­gri­da­de e/ou dis­po­ni­bi­li­da­de dos dados pessoais;
  • Indicação das medi­das de miti­ga­ção de ris­cos e danos;
  • O autor do Relatório de Impacto;
  • RELAÇÃO COM OPERADORES

O CONAPRA deve man­ter con­tra­tos com todos os OPERADORES que rea­li­zem tra­ta­men­tos de dados pes­so­ais em nome do CONAPRA.

O con­tra­to com os OPERADORES deve con­ter, no míni­mo: dire­tri­zes de tra­ta­men­to, sub­con­tra­ta­ções, dis­po­si­ções sobre obser­vân­cia de direi­tos dos titu­la­res, dis­po­si­ções sobre sis­te­ma de res­pos­ta à inci­den­tes de segu­ran­ça, eli­mi­na­ção de dados pes­so­ais e pre­vi­sões sobre boas prá­ti­cas em segu­ran­ça da infor­ma­ção além de sis­te­ma de gover­nan­ça e auditorias.

TRATAMENTO EM CONJUNTO COM OUTROS CONTROLADORES

Nos casos de tra­ta­men­to em con­jun­to, o con­tra­to com o outro con­tro­la­dor deve pre­ver, no míni­mo, dis­po­si­ções sobre: com­par­ti­lha­men­to de dados pes­so­ais com ter­cei­ros, ado­ção de medi­das de segu­ran­ça da infor­ma­ção, obser­vân­cia de nor­ma­ti­vas seto­ri­ais espe­cí­fi­cas, des­cri­ção e espe­ci­fi­ca­ção dos limi­tes de tra­ta­men­tos de dados pes­so­ais para cada con­tro­la­dor, res­pon­sa­bi­li­da­des de cada con­tro­la­dor, obser­vân­cia de direi­tos do titu­lar, dis­po­si­ções para res­pon­sa­bi­li­da­des em inci­den­tes de segu­ran­ça e dis­cor­rer sobre eli­mi­na­ção de dados pes­so­ais, quan­do aplicável.

REGISTROS DE TRATAMENTOS DE DADOS PESSOAIS

O CONAPRA deve man­ter um inven­tá­rio com regis­tro dos pro­ces­sos de tra­ta­men­to de dados pes­so­ais rea­li­za­dos por cada área que deve ser atu­a­li­za­do peri­o­di­ca­men­te pelo res­pon­sá­vel designado.

Os regis­tros deve­rão seguir uma meto­do­lo­gia de mape­a­men­to de pro­ces­sos de que cons­tem, no míni­mo, as seguin­tes infor­ma­ções: manei­ra como os dados são cole­ta­dos, fina­li­da­de espe­cí­fi­ca do tra­ta­men­to, par­tes que pos­su­em aces­so aos dados pes­so­ais no tra­ta­men­to, sis­te­mas que são uti­li­za­dos para o tra­ta­men­to, dados pes­so­ais que são uti­li­za­dos, base legal que jus­ti­fi­ca o tra­ta­men­to, ava­li­a­ção de ris­co e pra­zo pre­vis­to para eliminação.

DIREITOS DOS TITULARES DE DADOS PESSOAIS

O CONAPRA rea­li­za tra­ta­men­to de dados pes­so­ais de prá­ti­cos e sem­pre pre­za pela máxi­ma segu­ran­ça e pri­va­ci­da­de nos pro­ces­sos de tra­ta­men­tos de dados pes­so­ais. Tendo em vis­ta os tipos de tra­ta­men­tos de dados pes­so­ais que são rea­li­za­dos, a efi­ci­ên­cia na obser­vân­cia de direi­tos dos titu­la­res tam­bém é cha­ve para man­ter a rela­ção entre o Conselho e os titu­la­res dos dados.

As seguin­tes medi­das serão sem­pre ado­ta­das peran­te os titu­la­res de dados pessoais.

SISTEMA DE TRANSPARÊNCIA

A LGPD deman­da que algu­mas infor­ma­ções sejam con­ce­di­das aos titu­la­res antes da cole­ta de dados pes­so­ais con­for­me art. 9º e após a cole­ta dos dados o titu­lar pode reque­rer fazer uso de algum direi­to pre­vis­to no art. 18.

No caso de direi­tos pre­vis­tos no art.18, o CONAPRA deve­rá estar aten­to que o titu­lar pode reque­rer a res­pos­ta de for­ma sim­pli­fi­ca­da ou com­ple­ta, em for­ma­to físi­co ou digi­tal, con­for­me art. 19, inci­sos I e II e §2°, inci­sos I e II.

O titu­lar ain­da pode reque­rer a revi­são de deci­sões toma­das uni­ca­men­te com base em sis­te­mas auto­ma­ti­za­dos, de acor­do com o art. 20.

AVISO DE PRIVACIDADE

Um “Aviso de Privacidade” será dis­po­ni­bi­li­za­do no site do CONAPRA para garan­tir trans­pa­rên­cia cons­tan­te ao titu­lar sobre os tra­ta­men­tos de dados pes­so­ais que a ins­ti­tui­ção realiza.

O Aviso deve con­ter, no míni­mo: fina­li­da­de espe­cí­fi­ca dos tra­ta­men­tos, for­ma e dura­ção dos tra­ta­men­tos, iden­ti­fi­ca­ção do Controlador, infor­ma­ções de con­ta­to do Controlador, infor­ma­ção acer­ca do uso compartilhado/transferências de dados pes­so­ais com a res­pec­ti­va fina­li­da­de, res­pon­sa­bi­li­da­de de cada agen­te de tra­ta­men­to (se exis­ten­te), direi­tos do titular.

Além do Aviso de Privacidade, o titu­lar de dados pes­so­ais ain­da pode dese­jar fazer uso de algum dos direi­tos pre­vis­tos no art. 18, hipó­te­se em que o pedi­do será enca­mi­nha­do para o setor de Tecnologia ou para o Encarregado (se exis­ten­te), que irá res­pon­der em até 5 dias úteis ou infor­mar o titu­lar sobre a impos­si­bi­li­da­de de cum­pri­men­to do reque­ri­men­to, com a devi­da justificação.

Toda res­pos­ta de reque­ri­men­to de direi­to do titu­lar deve­rá ser rea­li­za­da pre­fe­ren­ci­al­men­te na manei­ra como o titu­lar ela­bo­rou o reque­ri­men­to (físico/digital), poden­do ser envi­a­do por e‑mail con­for­me con­ve­ni­ên­cia do titular.

REVOGAÇÃO DE CONSENTIMENTO

Em tra­ta­men­tos de dados pes­so­ais com base no con­sen­ti­men­to (seja por esco­lha do CONAPRA, seja por impo­si­ção de obri­ga­ção legal/regulatória), o titu­lar pode­rá revo­gar o con­sen­ti­men­to para a con­ti­nui­da­de do tra­ta­men­to dos res­pec­ti­vos dados pessoais.

O pedi­do de revo­ga­ção do con­sen­ti­men­to será envi­a­do para o Setor de Tecnologia ou para o Encarregado (se exis­ten­te), que deve­rá comu­ni­car o setor res­pon­sá­vel para que ces­se a uti­li­za­ção dos dados pes­so­ais, deven­do-se eli­mi­nar os dados pes­so­ais se não exis­tir fator impe­di­ti­vo (exem­plo: obri­ga­ção regu­la­tó­ria de man­ter registro).

MODIFICAÇÕES NOS DADOS PESSOAIS EM TRATAMENTOS COM TERCEIROS

Nos casos em que o titu­lar revo­gar o con­sen­ti­men­to, dese­jar a anonimização/eliminação dos dados pes­so­ais que foram com­par­ti­lha­dos com ope­ra­do­res ou outros con­tro­la­do­res, o CONAPRA irá con­ta­tar o ter­cei­ro infor­man­do do pedi­do do titu­lar para que as devi­das pro­vi­dên­ci­as sejam tomadas.

Todas as comu­ni­ca­ções com os ter­cei­ros deve­rão ser regis­tra­das com, no míni­mo: natu­re­za do pedi­do, data/hora do pedi­do e da comu­ni­ca­ção, a fim de res­guar­dar o CONAPRA em caso de não obser­vân­cia pelo terceiro.

FORNECIMENTO DE CÓPIAS DOS DADOS PESSOAIS

O titu­lar de dados pes­so­ais pode reque­rer cópia dos seus dados pes­so­ais, prin­ci­pal­men­te em casos de por­ta­bi­li­da­de, moti­vo pelo qual o CONAPRA sem­pre man­te­rá os dados pes­so­ais arma­ze­na­dos em for­ma­tos que per­mi­tam o envio para o titu­lar ou para o con­tro­la­dor que o titu­lar indicar.

Nos casos em que os dados pes­so­ais foram eliminados/anonimizados, o CONAPRA irá infor­mar o titu­lar com as devi­das jus­ti­fi­ca­ti­vas (exem­plo: limi­ta­ção de tem­po de armazenamento).

SISTEMA DE REQUERIMENTOS DOS TITULARES

Os titu­la­res de dados pes­so­ais pode­rão envi­ar reque­ri­men­tos via web­si­te do CONAPRA em cam­po indi­ca­do para a fina­li­da­de ou medi­an­te os aten­den­tes das uni­da­des. Em ambos os casos os reque­ri­men­tos serão enca­mi­nha­dos para a Informática ou para o Encarregado (se exis­ten­te), que irá, jun­ta­men­te com auxí­lio jurí­di­co, se neces­sá­rio, res­pon­der o titu­lar ou dar as devi­das jus­ti­fi­ca­ti­vas em até 5 dias úteis.

PRIVACIDADEBYDEFAULTEBYDESIGN

O CONAPRA ado­ta meca­nis­mos de garan­tia que a pri­va­ci­da­de seja padrão em todos seus pro­ces­sos de tra­ta­men­tos de dados pes­so­ais e este­ja sem­pre pre­sen­te na ela­bo­ra­ção de novos pro­ces­sos. Isso se dá medi­an­te obser­vân­cia de limi­ta­ções de uso, trans­fe­rên­ci­as, tem­po de arma­ze­na­men­to e eli­mi­na­ção atra­vés da ado­ção das medi­das abaixo.

LIMITAÇÃO DE COLETA DE DADOS PESSOAIS

Todos os tra­ta­men­tos de dados pes­so­ais uti­li­zam somen­te os dados pes­so­ais extri­ta­men­te neces­sá­ri­os para atin­gir sua fina­li­da­de, sem­pre obser­van­do, quan­do apli­cá­vel, a impo­si­ção de coleta/armazenamento/transferência de dados pes­so­ais por legis­la­ções ou regu­la­ções seto­ri­ais específicas.

LIMITAÇÃO DE TRATAMENTO

O CONAPRA só uti­li­za os dados pes­so­ais para atin­gir a fina­li­da­de espe­cí­fi­ca de cada tra­ta­men­to, pre­vi­a­men­te iden­ti­fi­ca­da, além de garan­tir que somen­te os seto­res que rea­li­zam o res­pec­ti­vo tra­ta­men­to tenham acesso.

As trans­fe­rên­ci­as para ter­cei­ros só são rea­li­za­das con­for­me a ati­vi­da­de de tra­ta­men­to e impo­si­ções legais, com a pré­via iden­ti­fi­ca­ção da jus­ti­fi­ca­ti­va para transferência.

ELIMINAÇÃO

Todos os regis­tros de tra­ta­men­tos de dados pes­so­ais devem iden­ti­fi­car o tem­po de arma­ze­na­men­to dos dados pes­so­ais, que deve­rão ser eli­mi­na­dos após o lap­so temporal.

Quando os dados pes­so­ais estão arma­ze­na­dos em for­ma­to físi­co a eli­mi­na­ção será res­pon­sa­bi­li­da­de de cada área, que irá rea­li­zar a eli­mi­na­ção con­for­me pro­ces­so espe­cí­fi­co e garan­tin­do o regis­tro das eliminações.

Qando os dados pes­so­ais estão arma­ze­na­dos em for­ma­to ele­trô­ni­co a eli­mi­na­ção será res­pon­sa­bi­li­da­de do Setor de Informatica, que irá rea­li­zar a eli­mi­na­ção e regis­trar o even­to para con­tro­le futuro.

A exce­ção para a deter­mi­na­ção de eli­mi­na­ção está no pro­ces­so iden­ti­fi­ca­do como “Registro Histórico”, onde o CONAPRA arma­ze­na dados pes­so­ais com a fina­li­da­de espe­cí­fi­ca de regis­trar o his­tó­ri­co da pra­ti­ca­gem no Brasil e não rea­li­za eli­mi­na­ções. No pro­ces­so em ques­tão é con­si­de­ra­da impe­ra­ti­va trans­pa­rên­cia máxi­ma para os dados que são tra­ta­dos e pos­si­bi­li­da­de de os titu­la­res rea­li­za­rem reque­ri­men­tos com base no art. 18 da LGPD.