SEI/ANATEL - 6979649 - Resolução Interna

O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art. 133, inciso XXII, do Regimento Interno da Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013,

CONSIDERANDO o Guia de Boas Práticas para Implementação na Administração Pública Federal da Lei Geral de Proteção de Dados (LGPD);

CONSIDERANDO a Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel);

CONSIDERANDO a Política de Governança de Dados da Agência Nacional de Telecomunicações (Anatel);

CONSIDERANDO a relevância de aprimorar e sistematizar em política as práticas institucionais de proteção de dados e respeito à privacidade;

CONSIDERANDO as boas práticas em proteção de dados pelas normas da família ISO 27000, especificamente a norma ISO 27701, que especifica os requisitos e fornece diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão de privacidade da informação (SGPI), na forma de uma extensão da ISO 27001 e ISO 27002;

CONSIDERANDO a deliberação tomada por meio do Circuito Deliberativo nº 103, de 2 de junho de 2021;

Art. 1º Aprovar, na forma do Anexo, a Política de Proteção de Dados Pessoais da Agência Nacional de Telecomunicações.

Art. 2º Esta Resolução Interna entra em vigor a partir de 1º de julho de 2021, em consonância com o disposto no art. 4º, incisos I e II, do Decreto nº 10.139, de 28 de novembro de 2019.

Documento assinado eletronicamente por Leonardo Euler de Morais, Presidente do Conselho, em 07/06/2021, às 14:03, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 6979649 e o código CRC CC28CD33.

POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES

Art. 1º A Política de Proteção de Dados Pessoais da Agência Nacional de Telecomunicações tem por finalidade estabelecer diretrizes para a proteção dos dados pessoais, observadas a legislação pertinente e as normas e orientações estabelecidas pelo Poder Executivo quanto à privacidade, à proteção dos dados pessoais, à transparência, ao acesso às informações públicas e à proteção das liberdades e dos direitos fundamentais dos indivíduos.

Parágrafo único. Esta Política se aplica aos servidores, colaboradores, terceirizados, estagiários, fornecedores e todos que realizem atividades que envolvam, de forma direta ou indireta, tratamento de dados pessoais custodiados pela Agência.

I - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

II - Autoridade Nacional: órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados (LGPD), em todo o território nacional;

III - compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

IV - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

V - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VI - Curadorias de Dados: gerências incumbidas da captação de dados e da garantia de sua autenticidade, atualização, consistência e precisão;

VII - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

VIII - dado pessoal: dado relacionado a pessoa natural identificada ou identificável;

IX - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

X - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

XI - lei específica: Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados) ou outra que venha a substituí-la;

XII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

XIII - pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro;

XIV - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XV - termo de uso: documento que estabelece as regras e condições de uso de determinado serviço;

XVI - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

XVII - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; e,

XVIII - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Art. 3º Na aplicação e interpretação das regras estabelecidas na Política de Proteção de Dados Pessoais da Anatel, deverão ser observados os seguintes instrumentos legais e normativos, sem prejuízo do disposto em normas supervenientes que venham a regular a matéria:

I - Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais;

II - Lei nº 10.871/2004, que dispõe sobre a criação de carreiras e organização de cargos efetivos das autarquias especiais denominadas Agências Reguladoras, e dá outras providências;

III - Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências;

IV - Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil;

V - Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD);

VI - Decreto nº 1.171, de 22 de junho de 1994, que aprova o Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal;

VII - Decreto nº 5.482, de 30 de junho de 2005, que dispõe sobre a divulgação de dados e informações pelos órgãos e entidades da Administração Pública Federal, por meio da Rede Mundial de Computadores - Internet;

VIII - Decreto nº 6.029, de 1º de fevereiro de 2007, que institui o Sistema de Gestão da Ética do Poder Executivo Federal, e dá outras providências;

IX - Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei nº 12.527, de 18 de novembro de 2011;

X - Decreto nº 8.771, de 11 de maio de 2016, que indica procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações;

XI - Decreto nº 8.936, de 19 de dezembro de 2016, que institui a Plataforma de Cidadania Digital e dispõe sobre a oferta dos serviços públicos digitais, no âmbito dos órgãos e entidades da administração pública federal direta, autárquica e fundacional;

XII - Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional;

XIII - Decreto nº 10.046, de 9 de outubro de 2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados e alterações promovidas pelo Decreto nº 10.403, de 19 de junho de 2020;

XIV - Decreto nº 10.047, de 9 de outubro de 2019, que dispõe sobre a governança do Cadastro Nacional de Informações Sociais e institui o programa Observatório de Previdência e Informações, no âmbito do Cadastro Nacional de Informações Sociais;

XV - Resolução nº 612, de 29 de abril de 2013, e alterações posteriores, que aprova o Regimento Interno da Agência Nacional de Telecomunicações;

XVII - Portaria AN nº 3, de 2 de janeiro de 2020, que aprovou o Código de Classificação e a Tabela de Temporalidade e Destinação de Documentos da Agência Nacional de Telecomunicações - Anatel;

XVIII - Portaria AN nº 47, de 14 de fevereiro de 2020, que aprovou o Código de Classificação e a Tabela de Temporalidade e Destinação de Documentos Relativos a Atividades-meio do Poder Executivo Federal;

XIX - Portaria nº 1.049, de 22 de julho de 2020, que aprova o Código de Ética da Anatel;

XX - Instrução Normativa SGD/ME nº 117, de 19 de novembro de 2020, que dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal, direita, autárquica e fundacional; e,

XXI - Exposição de Motivos nº 37, de 18 de agosto de 2000, que aprova o Código de Conduta da Alta Administração Federal.

Art. 4º As atividades de tratamento de dados pessoais observam a boa-fé e os demais princípios que integram a lei específica, sendo integralmente incorporados à Política de Proteção de Dados Pessoais da Anatel.

Parágrafo único. São princípios que regem as atividades de tratamento de dados:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e,

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 5º O titular dos dados deverá ter acesso às informações sobre o tratamento de seus dados de forma clara e precisa, nomeadamente sobre o conteúdo, a finalidade e o eventual uso compartilhado, garantido seu livre acesso nos termos da lei específica.

Art. 6º O tratamento de dados pessoais somente deverá ser realizado dentro das hipóteses previstas na lei específica.

Art. 7º Os processos e atividades existentes, relacionados ao tratamento de dados, e aqueles que vierem a ser estabelecidos, deverão ser ajustados com base na limitação do tratamento ao mínimo necessário para a realização de suas finalidades.

Art. 8º Os aplicativos e sistemas da Anatel deverão obter a concordância do titular para o tratamento de dados pessoais, inicialmente, pelo conhecimento de seus Termos de uso.

§ 1º Os Termos de uso de aplicativos e sistemas serão elaborados e mantidos atualizados à luz da lei específica.

§ 2º Ao utilizar o aplicativo ou sistema, o titular do dado pessoal deverá ser informado de forma clara e explícita sobre quais dados serão coletados, a finalidade, a natureza obrigatória ou facultativa do fornecimento e sobre as consequências da negativa em fornecê-los.

Art. 9º Os mecanismos de proteção contra o uso indevido, tentativas de acesso não autorizados, fraudes, danos, sabotagens e roubos de dados adotados no âmbito da Agência deverão ser respeitados por aqueles que se relacionam com a Anatel.

Art. 10. As medidas e os investimentos em segurança e proteção de dados pessoais deverão ser priorizados para minimização dos riscos inerentes às atividades de tratamento de dados pessoais.

Art. 11. Os contratos, convênios e congêneres relacionados a atividades que envolvam tratamento de dados pessoais deverão ser adequados à lei específica.

Art. 12. O compartilhamento de dados dar-se-á nos termos da legislação e normativos vigentes e deverá constar do Inventário de Dados, bem como dos contratos, convênios e congêneres.

Art. 13. Os procedimentos e o plano de resposta a incidentes relacionados à privacidade dos titulares dos dados deverão ser elaborados a partir de critérios de controle e registro de vazamentos e contemplar o fluxo de comunicação aos envolvidos e à Autoridade Nacional de Proteção de Dados (ANPD).

Art. 14. O Inventário de Dados pessoais deverá ser mantido permanentemente atualizado.

Art. 15. Os regulamentos, serviços, sistemas e aplicativos da Anatel que envolvam tratamento de dados pessoais e forem desenvolvidos ou adquiridos deverão seguir os conceitos de privacidade e proteção dos dados pessoais desde a concepção, limitando a coleta de dados pessoais apenas àqueles itens necessários para os propósitos da atuação institucional.

Art. 16. Os serviços prestados pela Anatel deverão ser migrados, na medida do possível, para plataforma que disponha de ferramentas de autenticação.

Art. 17. O acesso aos sistemas e aplicativos, disponibilizados pela Anatel, deverão ser adaptados para adotar o mecanismo de acesso da Plataforma de Cidadania Digital, nos termos do Decreto nº 8.936, de 19 de dezembro de 2016.

II - dados fornecidos de forma automática na utilização de serviços prestados pela Agência;

V - dados fornecidos em razão de processo de fiscalização ou outra atividade de controle.

Art. 19. As categorias de dados coletados são as seguintes, entre outras que venham a ser definidas:

I - atributos biográficos: dados da pessoa natural tais como nome civil ou social, data do nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, endereço, vínculo empregatício, endereços de correio eletrônico, números de telefone;

II - dados cadastrais: informações identificadoras perante os cadastros de órgãos públicos, tais como:

III - dados coletados automaticamente: características do dispositivo de acesso, do navegador, IP (com data e hora), localização, origem do IP, informações sobre cliques, páginas acessadas, dentre outros;

IV - dados tornados públicos pelo titular: dados disponibilizados e publicizados pelo próprio titular; e,

V - reclamações junto às operadoras: protocolos com a reclamação de forma que a Anatel possa atuar junto à operadora a fim de solucionar o pleito do usuário.

Art. 20. Os dados coletados pela Anatel por meio de suas páginas, sistemas e aplicativos serão excluídos de seus servidores quando deixarem de cumprir sua finalidade, devendo as Curadorias de Dados demandar a exclusão, ou quando o usuário solicitar a eliminação de seus dados pessoais, naqueles casos em que couber.

§ 1º A manutenção dos dados pessoais é permitida para cumprimento de obrigação legal e regulatória e seguirá o disposto em legislações e normativos vigentes.

§ 2º As demandas do titular deverão ser analisadas pela Curadoria de Dados e pelo encarregado.

Art. 21. Na Anatel, os dados pessoais são tratados para o cumprimento de obrigação legal ou regulatória e para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições da lei específica.

Parágrafo único. Os dados pessoais deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado em cumprimento ao disposto no art. 25 da Lei nº 13.709, de 14 de agosto de 2018, e no art. 8º, § 3º, da Lei nº 12.527, de 18 de novembro de 2011, de forma a facilitar seu uso quando necessário.

Art. 22. O tratamento de dados, no exercício da atividade regulatória, dar-se-á, dentre outras, das seguintes formas:

II - processamento dos requerimentos de obtenção e renovação de outorga dos serviços de telecomunicações e de uso de radiofrequência;

III - processamento das solicitações dos consumidores dos serviços de telecomunicações;

IV - processamento das solicitações de homologação de produtos de telecomunicações;

V - processamento de requerimentos de informação para fiscalização da prestação dos serviços de telecomunicações;

VI - recebimento e processamento de comentários e sugestões às Consultas Públicas e demais instrumentos de participação social;

VII - processamento de dados relativos às empresas fornecedoras de bens e serviços; e,

Art. 23. O legítimo interesse da Anatel como controlador poderá fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações contempladas em normativos.

Parágrafo Único. A Anatel, como controlador, deverá elaborar relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Art. 24. As áreas responsáveis pelo tratamento de dados devem adotar medidas técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Art. 25. As áreas responsáveis pelas atividades de tratamento de dados pessoais devem manter registro das operações de tratamento de dados pessoais que realizarem.

Parágrafo Único. Toda e qualquer atividade de tratamento de dados pessoais deve ser registrada, desde a sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento, e com quem os dados podem ser eventualmente compartilhados, segundo o Inventário de Dados.

Art. 26. O tratamento de dados pessoais pode ser realizado mediante enquadramento em uma das hipóteses legais previstas na LGPD.

I - No caso de tratamento de dados pessoais sensíveis deve ser considerado o disposto no art. 11 da LGPD; e,

II - O término do tratamento dos dados ocorre sempre que a finalidade de tratamento for alcançada, por determinação da ANPD ou por solicitação do titular dos dados quando couber.

Art. 27. Para proteger os dados do titular a Anatel poderá adotar, dentre outras, uma série de medidas, adequadas aos casos e com base em critérios de risco:

IX - limitação do acesso aos dados pessoais conforme a necessidade de tratamento para atendimento de finalidade pública;

XI - inclusão de cláusulas de confidencialidade em contratos e aplicação de sanções decorrentes de incidentes relacionados à privacidade;

XIII - capacitação dos servidores que tratam dados para atualização permanente sobre medidas de proteção.

Parágrafo Único. A quebra do sigilo acarretará responsabilidade do autor nos termos da legislação.

Art. 28. Os dados pessoais anonimizados não serão considerados dados pessoais, salvo quando o processo de anonimização ao qual foram submetidos for passível de ser revertido.

Parágrafo Único. A anonimização definitiva de dado pessoal será sempre irreversível, sendo aplicado nos casos em que o tratamento do dado pessoal não é mais necessário para atendimento de finalidade pública e o registro não possa ser descartado definitivamente sem comprometer a consistência do sistema ou de outros dados dependentes.

Art. 29. A anonimização de dados pessoais deve ser realizada com o propósito de mitigar os riscos de violação de dados.

Art. 30. Antes de realizar a anonimização de dados pessoais, será verificado se, no ciclo de vida de tratamento dos dados, são observados os princípios da finalidade, adequação, necessidade e qualidade dos dados.

Art. 31. A técnica de anonimização a ser utilizada em um dado, ou em um conjunto de dados, deve ser a mais adequada ao contexto e de acordo com os tipos dos dados.

Parágrafo único. Deve-se utilizar técnicas conhecidas de anonimização, como: supressão, encobrimento, pseudonimização, generalização, troca, perturbação, dados sintéticos, agregação.

Art. 32. A Anatel, como controlador, poderá compartilhar os dados pessoais do titular em estrita observância aos normativos vigentes.

§ 1º No Inventário de Dados, a Curadoria de Dados pode definir os canais de publicação externa de cada base de dados.

§ 2º O Inventário de Dados deverá contemplar classificação de dados compatível com a lei específica e indicar se há compartilhamento com terceiros.

Art. 33. O tratamento mediante consentimento exige que se registre a manifestação de vontade do titular de forma específica e destacada, dando ciência do conhecimento sobre as finalidades específicas daquele tratamento.

§ 2º O consentimento pelo titular poderá ser feito por escrito ou outra forma pela qual fique inequívoca a sua manifestação de vontade.

§ 3º A existência do consentimento exige o mapeamento detalhado do processo da gestão do consentimento.

Art. 35. O processo de gestão de incidentes de dados é iterativo, contínuo e tem por objetivo interromper e/ou minimizar os impactos decorrentes dos incidentes de vazamento ou uso indevido dos dados dos titulares.

Art. 36. A Anatel estabelecerá, em normativo próprio, o procedimento relativo à gestão de incidentes de dados pessoais.

Art. 37. A Anatel deverá manter mecanismos para atendimento aos direitos dos titulares de dados previstos na legislação específica, como a confirmação e acesso a dados, retificação, restrição de tratamento, revogação de consentimento e exclusão de dados, sempre observando os impactos e os direitos do controlador.

§ 1º As alterações solicitadas pelo titular do dado que não possam ser executadas por ele próprio dependerão do envio de solicitação para posterior avaliação e adoção de providências pela Anatel.

§ 2º Nos casos de exclusão do dado ou a revogação de consentimento que não possa ser feito pelo próprio titular do dado, a Anatel empreenderá todos os esforços para atender tais pedidos no menor espaço de tempo possível.

§ 3º Em caso de requisição de exclusão, quando couber, será respeitado o prazo de armazenamento mínimo de informações determinado pela legislação.

§ 4º O Anatel Consumidor será o canal oficial de recebimento dos requerimentos dos titulares de dados pessoais, podendo ser substituído caso ocorra determinação de solução centralizada no âmbito da Administração Pública federal.

§ 5º As demandas do titular serão atendidas no prazo de 15 (quinze) dias, resguardados casos específicos expressos em normativos.

Art. 38. A Anatel, como controlador, poderá formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Art. 39. O cumprimento da Política de Proteção de Dados Pessoais da Anatel será acompanhado pela estrutura de Governança e Gestão da Anatel.