AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES
Resolução Interna Anatel nº 464, de 16 de julho de 2025
| Aprova Política de Governança e Gestão de Dados da Agência Nacional de Telecomunicações - PGGD. |
O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art. 133 do Regimento Interno da Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013, tendo em vista a deliberação tomada por meio do Circuito Deliberativo nº 162, de 16 de julho de 2025, e o constante dos autos do Processo nº 53500.047798/2023-83,
RESOLVE:
Art. 1º Aprovar a Política de Governança e Gestão de Dados da Agência Nacional de Telecomunicações - PGGD, na forma do Anexo a esta Resolução Interna.
Art. 2º Ficam revogados os normativos:
I - Portaria nº 1.502, de 22 de dezembro de 2014, que institui a Política de Governança de Dados da Agência Nacional de Telecomunicações - Anatel, e dá outras providências;
II - Resolução Interna Anatel nº 25, de 7 de junho de 2021, que estabelece o Programa de Governança em Privacidade da Agência Nacional de Telecomunicações; e,
III - Portaria Anatel nº 1962, de 29 de abril de 2021, que aprova o Plano de Resposta a Incidentes de Privacidade e Remediação.
Art. 3º Esta Resolução Interna entra em vigor na data de sua publicação.
 | Documento assinado eletronicamente por Vicente Bandeira de Aquino Neto, Presidente, Substituto, em 16/07/2025, às 19:50, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
 | A autenticidade deste documento pode ser conferida em https://www.anatel.gov.br/autenticidade, informando o código verificador 14023169 e o código CRC 0EC53467. |
ANEXO
POLÍTICA DE GOVERNANÇA E GESTÃO DE DADOS DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Seção I
Finalidade e Escopo
Art. 1º A Política de Governança e Gestão de Dados da Anatel - PGGD tem por finalidade estruturar e administrar os ativos de dados recebidos, produzidos, mantidos ou divulgados pela Agência para fomentar e garantir seu uso efetivo no cumprimento de sua missão institucional, assegurando a integridade, segurança, qualidade, disponibilidade, atualidade, interoperabilidade, uso ético e eventual restrição de acesso dos dados, estabelecendo diretrizes para a produção, formatação e documentação dos dados.
Parágrafo único. Esta PGGD inclui aspectos de proteção de dados pessoais, conforme estabelecido pela Lei nº 13.709, de 14 de agosto de 2018, e demais normas vigentes relacionadas.
Art. 2º A PGGD deve ser observada por todos os agentes públicos, colaboradores, fornecedores, prestadores de serviço e visitantes que realizem tratamento de dados na Anatel, bem como deve ser aplicada a todos os sistemas e soluções de Tecnologia da Informação - TI, processos corporativos e relacionamentos firmados entre a Anatel e outros órgãos e entidades públicas e privadas.
Parágrafo único. Qualquer pessoa natural ou jurídica que tenha interação em qualquer fase do tratamento de dados pessoais deve garantir a privacidade e a proteção desses dados, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pela Anatel.
Seção II
Definições
Art. 3º Para fins desta Resolução Interna, considera-se:
I - Banco de Dados Analítico: banco de dados centralizado, interno e acessível diretamente pelos usuários das áreas da Agência para fins de consulta ou construção de análises de dados, podendo ter acesso amplo ou acesso restrito a determinados usuários;
II - Base de Dados: coleção estruturada de dados, persistentes e armazenados em sistemas gerenciadores de bancos de dados, que se caracterizam por serem inter-relacionados, representando informações sobre um domínio específico, a fim de criar algum sentido (informação) e de dar mais eficiência durante uma consulta;
III - Catálogo de Dados (inventário): conjunto de dados e metadados utilizados pela organização, representado por um amplo e padronizado registro de ativos de dados, incluindo descrições, domínios, fontes, regras de negócio, curadoria e demais metadados necessários para qualificar o dado;
IV - Dados-Mestres: dados que, tipicamente, são criados uma vez e utilizados muitas vezes, apresentando poucas modificações durante sua existência e podendo ser utilizados por diversos processos de negócio, unidades organizacionais, sistemas transacionais, análises de dados e apoio à decisão; e,
V - Modelo Institucional de Dados: repositório central e disponibilizado a toda a instituição contendo as modelagens dos bancos de dados da Anatel.
Parágrafo único. Além das definições acima, no âmbito desta política, serão consideradas as apresentadas na Portaria GSI/PR nº 93, de 18 de outubro de 2021 na Lei nº 12.527, de 18 de novembro de 2011, e na Lei nº 13.709, de 14 de agosto de 2018.
Seção III
Princípios e Diretrizes
Art. 4º A Governança e a Gestão de Dados da Anatel observarão os seguintes princípios:
I - Transparência: práticas de governança e gestão de dados claras e acessíveis, promovendo a confiança e o entendimento entre todas as partes interessadas;
II - Responsabilidade: responsabilidades claras de todos os envolvidos na governança e gestão de dados;
III - Integridade e qualidade dos dados: garantia que os dados sejam corretos, precisos, completos, consistentes, atualizados e mantidos em um estado íntegro ao longo de todo o seu ciclo de vida, assegurando a confiabilidade e a utilidade dos dados;
IV - Segurança e proteção de dados: adoção de medidas de segurança robustas para proteger os dados contra acessos não autorizados, violações, perdas, danos e outros riscos;
V - Conformidade legal: práticas de governança de dados em conformidade com as leis, regulamentos e normas aplicáveis;
VI - Eficiência: uso efetivo dos dados para apoiar a tomada de decisões, contribuindo para a missão institucional da Anatel;
VII - Privacidade: proteção dos dados pessoais, assegurando que o tratamento de dados seja feito de forma ética e em conformidade com o art. 6º da Lei nº 13.709, de 14 de agosto de 2018;
VIII - Disponibilidade: garantia que os dados estejam disponíveis e acessíveis para os usuários autorizados sempre que necessário;
IX - Resiliência: adoção de práticas de gestão de dados que assegurem a continuidade de negócios em situações adversas; e,
X - Ética no uso dos dados: análises de dados e decisões baseadas em dados devem adotar medidas para mitigar vieses de análise e promover a melhor entrega para a sociedade.
Art. 5º A Governança e a Gestão de Dados da Anatel observarão as seguintes diretrizes:
I - Publicidade como preceito geral e o sigilo como exceção fundamentada, privilegiando o princípio da transparência ativa dos dados de interesse público;
II - Garantia de que todos os dados públicos estejam disponíveis de forma clara, precisa e acessível;
III - Garantia que os dados possam ser facilmente compartilhados e utilizados entre diferentes sistemas e órgãos;
IV - Promoção da comunicação ativa e contínua com todas as partes interessadas, garantindo que as práticas e políticas de governança e gestão de dados sejam claramente compreendidas;
V - Estabelecimento e documentação as responsabilidades de todos os envolvidos na governança e gestão de dados, desde a alta administração até os usuários finais;
VI - Definição e implementação de critérios de qualidade dos dados que devem ser seguidos por todos os setores da Anatel;
VII - Adoção de controles de segurança, incluindo criptografia, controle de acesso e monitoramento de atividades, para proteger os dados contra acessos não autorizados e violações;
VIII - Manutenção de um plano de resposta a incidentes de segurança de dados, que inclua procedimentos para detecção, comunicação e mitigação de incidentes;
IX - Garantia de que as práticas de governança e gestão de dados estejam em conformidade com as leis, regulamentos e normais aplicáveis, bem como com os modelos institucionais de dados da Anatel;
X - Identificação e implementação de melhorias contínuas nos processos de gestão de dados para aumentar a eficiência e reduzir custos;
XI - Adoção de tecnologias de automação para agilizar processos de coleta, processamento, qualidade e análise de dados;
XIII – Implementação de medidas de proteção e procedimentos de monitoramento de dados pessoais, garantindo seu tratamento conforme a Lei nº 13.709, de 14 de agosto de 2018;
XIV - Realização do tratamento de dados pessoais sensíveis nos termos da Seção II do Capítulo II da Lei nº 13.709, de 14 de agosto e 2018;
XV - Realização do tratamento de dados pessoais de crianças e de adolescentes nos termos da Seção III do Capítulo II da Lei nº 13.709, de 14 de agosto e 2018;
XVI - Facilitação do exercício dos direitos dos titulares de dados conforme a Lei nº 13.709, de 14 de agosto de 2018;
XVII - Garantia de que os dados estejam acessíveis apenas a usuários autorizados e quando necessário para o desempenho de suas funções, especialmente limitando o acesso a dados pessoais sensíveis às pessoas que realizam o tratamento;
XVIII - Desenvolvimento e manutenção de planos de continuidade de negócios para assegurar a disponibilidade dos dados em situações adversas;
XIX - Investimento em infraestrutura de TI robusta, segura e resiliente que suporte a alta disponibilidade e a proteção dos dados;
XX - Incentivo a adoção de novas tecnologias e metodologias que possam aprimorar a governança e a gestão de dados;
XXI - Elaboração de Relatório de Impacto de Proteção de Dados Pessoais (RIPD) relacionado às operações de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, atualizando-o quando necessário;
XXII - Estabelecimento de revisões de processos com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados; e,
XXIII - Avaliação periódica da eficiência de alocação de recursos em projetos de dados.
CAPÍTULO II
ESTRUTURA ORGANIZACIONAL
Seção I
Composição
Art. 6º A estrutura de Governança e Gestão de Dados no âmbito da Anatel é composta por:
I - Comissão de Gestão Executiva - CGE;
II - Fórum temático permanente, a ser instituído pela CGE;
III - Curadorias de Dados;
IV - Área técnica de apoio à governança de dados, nos termos do Regimento Interno da Anatel; e,
V - Encarregado pelo tratamento de dados pessoais.
§ 1º As atribuições da CGE são as definidas na Política de Governança, Gestão Executiva e Responsabilidade Socioambiental da Agência Nacional de Telecomunicações - PGGR.
§ 2º As competências do Fórum temático permanente serão definidas pela CGE.
§ 3º Além da estrutura de Governança e Gestão de Dados, também participam do processo de gestão de dados os Gestores de Processo de Negócio e os Usuários de Dados.
§ 4º A estrutura de governança é responsável pelo monitoramento da qualidade dos dados na Anatel garantindo a conformidade com os critérios de qualidade estabelecidos e identificando oportunidades de melhoria, priorizando a qualidade de dados desde sua coleta.
§ 5º A estrutura de governança deve implementar ações de monitoramento e mensuração dos resultados obtidos no tocante à governança de dados.
Seção II
Comissão de Gestão de Executiva
Art. 7º A CGE, no âmbito desta PGGD, tem as seguintes atribuições:
I - Deliberar sobre temas relacionados à governança de dados;
II - Deliberar ou opinar sobre a implementação da proteção de dados dentro da organização;
III - Instituir um Fórum temático permanente;
IV - Indicar a gerência responsável pela coordenação do Fórum temático permanente;
V - Definir os critérios de organização e de divulgação de dados custodiados pela Agência, inclusive em sua página na Internet; e,
VI - Decidir os casos em que não houver consenso no Fórum temático permanente.
Seção III
Curadorias de Dados
Art. 8º A Curadoria de Dados é a unidade da estrutura organizacional da Agência responsável pelo tratamento e ciclo de vida do dado e pela garantia da autenticidade, atualização, qualidade, consistência e precisão dos dados.
§ 1º A Curadoria de Dados será composta pelo responsável da unidade ou por servidores por ele indicados e terá as seguintes atribuições:
I - Gerenciar, garantir e monitorar a coleta, qualidade e integridade dos dados;
II - Prover auxílio quanto à análise de dados e à melhoria de sua qualidade;
III - Interagir com o servidor formalmente designado pelo órgão gestor da solução de TI relacionada com os dados sob sua Curadoria para garantir a qualidade dos dados desde sua coleta e a limitação do tratamento de dados pessoais ao mínimo necessário;
IV - Catalogar os dados sob sua curadoria no Catálogo de Dados, mantendo-o atualizado, especialmente quanto à criticidade, à restrição de acesso, à existência de dado pessoal, dado pessoal sensível, dado de crianças e adolescentes ou quaisquer outros dados necessários para dar cumprimento às determinações legais, regulamentares ou normativas;
V - Prestar informações nos processos de desenvolvimento ou de manutenção de solução de tecnologia da informação que façam consultas ou transações em bases de dados sob sua curadoria;
VI - Demandar a eliminação de dados quando necessário, conforme definido na catalogação do dado;
VII - Analisar requerimentos dos titulares de dados pessoais em conjunto com o Encarregado;
IX - Catalogar os compartilhamentos de dados sob sua curadoria;
X - Participar das reuniões do Fórum temático permanente;
XI - Informar, tempestivamente, para apreciação do Fórum temático permanente, as eventuais intercorrências em sua área de atuação, que possam causar impacto em outras áreas ou em tema estratégico;
XII - Limitar o tratamento de dados pessoais ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
XIII - Participar de qualquer processo de integração e interoperabilidade de dados sob sua curadoria, com vistas a garantir eficiência e eficácia no processo e o atendimento a requisitos de segurança, privacidade e conformidade; e,
XIV - avaliar solicitações de acesso a bases de dados sob sua curadoria, conforme o caso, negando ou concedendo o acesso pertinente.
§ 2º O gestor da solução de TI é responsável pela curadoria dos dados produzidos ou armazenados na base de dados da solução até a designação de sua curadoria.
§ 3º A relação de cada Curadoria de Dados será disponibilizada a toda a Agência por meio de publicação periódica no Catálogo de Dados.
§ 4º No caso de solicitação de desativação de uma base de dados, as obrigações da Curadoria de Dados permanecerão até que ocorra a efetiva desativação.
Seção IV
Área técnica de apoio à governança de dados
Art. 9º A Área técnica de apoio à governança de dados terá as seguintes atribuições:
I - Assessorar o Fórum temático permanente quanto à gestão de dados, modelos de dados e integrações;
II - Adotar, acompanhar e promover as melhores práticas de gestão de dados, disseminando-as entre as Curadorias de Dados;
III - Prestar suporte técnico às Curadorias de Dados;
IV - Facilitar, capacitar e assegurar a transferência de conhecimento entre as Curadorias de Dados;
V - Gerir e publicar o Catálogo de Dados;
VI - Gerir a solução de tecnologia da informação responsável pela qualidade de dados;
VII - Dar suporte aos processos de coleta e integração de dados;
VIII - Gerir as tecnologias de apoio à governança e gestão de dados;
IX - Gerir modelos e integrações de dados, incluindo os Dados-Mestres;
X - Estabelecer guias para a modelagem e gestão de dados;
XI - Estabelecer critérios de qualidade dos dados e avaliar a qualidade dos modelos de dados, metadados, atributos, definições, papéis, relacionamentos e taxonomias;
XII - Garantir a integridade do modelo institucional de dados; e,
XIII - Realizar periodicamente levantamento das Curadorias de Dados junto às Gerências da Agência e garantir que toda base de dados ou um repositório corporativo de arquivos de dados possua curadoria definida.
Parágrafo único. No caso de não haver manifestação de nenhuma área pela curadoria de determinada base de dados ou repositório corporativo de arquivos de dados, cabe à Área técnica de apoio à governança de dados encaminhar o assunto ao Fórum temático permanente para definição sobre sua eliminação ou sobre sua Curadoria de Dados.
Seção V
Encarregado pelo tratamento de dados pessoais
Art. 10. O Encarregado terá, além das atribuições previstas na Lei nº 13.709, de 14 de agosto de 2018, na Resolução CD/ANPD nº 18, de 16 de julho de 2024, e orientações ou normas complementares editadas por órgãos competentes, as seguintes:
I - Analisar requerimentos dos titulares de dados pessoais em conjunto com as Curadorias de Dados;
II - Verificar a conformidade do tratamento de dados pessoais com os normativos de proteção de dados em regulamentos, projetos, sistemas, serviços, produtos ou processos, quando solicitado;
III - Propor ações de promoção da cultura de proteção de dados pessoais na Anatel, incentivando a conscientização, capacitação e sensibilização das pessoas que desempenham qualquer atividade de tratamento de dados pessoais;
IV - Referendar o plano de resposta a incidentes relacionado à privacidade e à proteção de dados pessoais;
V - Coordenar a implementação do Programa de Privacidade e Segurança da Informação (PPSI), naquilo que diz respeito à privacidade e proteção de dados pessoais;
VI - Levar as questões relacionadas à privacidade e proteção de dados pessoais para a CGE; e,
VII - Acompanhar os indicadores de desempenho estabelecidos com o objetivo de monitorar a implementação da proteção de dados pessoais e privacidade.
Seção VI
Gestores de Processos de Negócio
Art. 11. Os gestores de processos de negócio terão as seguintes atribuições:
I - Elaborar e atualizar RIPDs relacionados aos tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais; e,
II - Comunicar ao titular do dado pessoal, conforme orientações do Encarregado, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante, nos termos da Lei e orientações ou normas complementares editadas por órgãos competentes.
Parágrafo único. A elaboração e atualização de RIPDs e o tratamento de riscos neles identificados seguirão ordem de priorização, segundo o tratamento de dados pessoais sensíveis e de dados pessoais que podem gerar elevado risco às liberdades civis e aos direitos fundamentais.
Seção VII
Usuários de Dados
Art. 12. Os usuários de dados terão as seguintes atribuições:
I - Utilizar os dados de acordo com as normas e políticas de governança de dados estabelecidas pela Anatel, assegurando a conformidade com as normas internas e a legislação aplicável;
II - Contribuir para a manutenção da qualidade dos dados, reportando quaisquer inconsistências, erros ou lacunas identificadas, sugerindo melhorias quando necessário;
III - Assegurar a proteção dos dados sob sua responsabilidade, evitando acessos não autorizados e garantindo a integridade e confidencialidade dos dados;
IV - Facilitar a transparência no uso dos dados, garantindo que as ações e decisões baseadas em dados sejam justificáveis e compreensíveis para outras partes interessadas;
V - Seguir as melhores práticas recomendadas pela Área técnica de apoio à governança de dados, as Curadorias de Dados e o Encarregado, assegurando uma gestão eficiente e segura dos dados;
VI - Participar de programas de capacitação para aprimorar seus conhecimentos e habilidades em gestão de dados;
VII - Informar imediatamente quaisquer incidentes de segurança ou violações de dados à Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR), colaborando na mitigação dos impactos e na resolução dos problemas;
VIII - Fornecer informações às Curadorias de Dados para a manutenção e melhoria contínua da gestão de dados;
IX - Garantir que o uso dos dados seja feito de forma ética, respeitando a privacidade do titular do dado e evitando seu uso indevido ou não autorizado; e,
X - Verificar, obrigatoriamente, no Catálogo de Dados, a classificação do nível de acesso do dado que pretenda utilizar em qualquer análise, painel, reprodução ou publicação, independentemente de o dado estar acessível internamente pelos bancos de dados analíticos.
CAPÍTULO III
GESTÃO DO CICLO DE VIDA DOS DADOS
Seção I
Planejamento de Necessidade de Dado
Art. 13. O planejamento de necessidade de dado deve incluir:
I - Identificação das necessidades de dados, considerando os objetivos estratégicos, táticos e operacionais da Anatel;
II - Definição de padrões e modelos de dados para garantir consistência, qualidade e integridade;
III - Coleta de dados abrangente para atender as diversas necessidades de processos de negócio, com fundamentação pertinente, ressalvada a coleta de dados pessoais que deve ser limitada ao mínimo necessário para a realização de suas finalidades;
IV - Disponibilidade dos recursos necessários, incluindo tecnologias, processos e capacitação de pessoal, para gestão eficaz dos dados; e,
V - Análise de riscos, relacionados a dados pessoais, obedecida a Lei nº 13.709, de 14 de agosto de 2018, e orientações ou normas complementares editadas por órgãos competentes.
Seção II
Coleta de Dados
Art. 14. A coleta de dados deve observar:
I - Realização da coleta de dados de forma legal e ética, respeitando os direitos dos titulares de dados e a legislação aplicável;
II - Coleta dos dados que sejam relevantes, necessários e suficientes para as finalidades especificadas, atualizados periodicamente;
III - Definição clara das finalidades dos tratamentos de dados pessoais, garantindo que se baseiem em hipóteses legais previstas na Lei nº 13.709, de 14 de agosto de 2018, revisando periodicamente essas finalidades e hipóteses;
IV - Garantia que os dados coletados sejam precisos e de alta qualidade;
V - Documentação dos processos de coleta de dados; e,
VI - Disponibilização de esclarecimentos sobre a coleta e tratamento dos dados pessoais aos titulares de dados por meio da publicação de Aviso de Privacidade e Termos de Uso.
Art. 15. A Anatel poderá utilizar arquivos (cookies) para registrar e gravar no computador do usuário as preferências e navegações realizadas nas respectivas páginas para fins estatísticos e de melhoria dos serviços ofertados, respeitando o consentimento do titular.
Seção III
Armazenamento de Dados
Art. 16. O armazenamento de dados deve observar:
I - Adoção de medidas de segurança para proteger os dados armazenados contra acessos não autorizados, violações e outros riscos;
II - Utilização de tecnologias e práticas de armazenamento eficientes para garantir o uso otimizado dos recursos;
III - Garantia de que os dados armazenados sejam acessíveis a usuários autorizados sempre que necessário; e,
IV - Garantia de que o armazenamento de dados esteja em conformidade com as políticas internas e a legislação aplicável.
Seção IV
Processamento de Dados
Art. 17. O processamento de dados deve observar:
I - Garantia de que o processamento mantenha a integridade e qualidade dos dados;
II - Processamento de dados de forma transparente, documentando as operações realizadas, especialmente o registro das operações de tratamento de dados pessoais que realizar; e,
III - Implementação de medidas de segurança adequadas durante o processamento para proteger os dados contra riscos.
Seção V
Compartilhamento de Dados
Art. 18. O compartilhamento de dados, obedecidas as disposições do Decreto nº 10.046, de 9 de outubro de 2019, deve observar:
I - Estabelecimento de regras claras de acesso e compartilhamento de dados, garantindo que apenas usuários autorizados possam acessar os dados;
II - Garantia de que os dados sejam compartilhados de forma segura, protegendo a confidencialidade e integridade dos dados;
III - Implementação de soluções de tecnologia da informação que facilitem a colaboração e o compartilhamento de dados, bem como de análises compartilhadas com outros órgãos da Administração Pública; e,
IV - Manutenção de registros detalhados das transações de compartilhamento de dados para auditoria e rastreabilidade.
Art. 19. O compartilhamento de dados pessoais deve obedecer às disposições na Lei nº 13.709, de 14 de agosto de 2018, orientações ou normas complementares editadas por órgãos competentes, bem como as orientações do Encarregado.
§ 1º O compartilhamento de dados pessoais sensíveis, de filmagens de câmeras de segurança da Anatel ou de câmeras corporais é admitido somente nas hipóteses previstas em lei.
§ 2º O compartilhamento de dados pessoais deve ser tratado como compartilhamento específico e observar as regras e requisitos previstos na Resolução nº 2, de 16 de março de 2020, do Comitê Central de Governança de Dados.
§ 3º O processo administrativo de compartilhamento de dados pessoais deverá estabelecer as condições para o compartilhamento e responsabilidades do órgão recebedor, submetido à análise jurídica pela Procuradoria Federal Especializada junto à Anatel, à análise pelo Encarregado e à aprovação pelo Conselho Diretor.
§ 4º Aprovado o compartilhamento, deve ser obtida a ciência expressa do órgão recebedor sobre as condições e responsabilidades definidas no ato de aprovação.
§ 5º Os compartilhamentos de dados pessoais efetivados deverão ser publicados em página própria sobre “Compartilhamento de Dados” no Portal da Anatel na Internet, contendo resumo sobre os dados compartilhados, identificação do órgão recebedor dos dados, data do compartilhamento e referência para o documento de aprovação do Conselho Diretor publicado no Boletim de Serviço Eletrônico da Anatel.
Art. 20. A transferência internacional de dados pessoais deve observar a Lei nº 13.709, de 14 de agosto de 2018, e orientações ou normas complementares editadas por órgãos competentes.
Seção VI
Publicação de Dados Pessoais em Formato Aberto
Art. 21. A publicação de dados pessoais em formato de dados abertos, conforme Decreto nº 8.777, de 11 de maio de 2016, deve ser precedida de RIPD.
Seção VII
Eliminação e Conservação de Dados
Art. 22. A eliminação e conservação de dados devem observar:
I - Regras claras de eliminação de dados pessoais após o término de seu tratamento, definidas no Catálogo de Dados, salvo justificativa fundamentada para conservação;
II - Catalogação do dado alinhada com as exigências legais e regulatórias aplicáveis;
III - Eliminação realizada de forma segura, irreversível e em conformidade com as legislações aplicáveis; e,
IV - Dados retidos, organizados e facilmente recuperáveis quando necessário.
CAPÍTULO IV
CLASSIFICAÇÃO DOS DADOS
Seção I
Criticidade
Art. 23. Todos os dados sob responsabilidade da Anatel devem ser classificados quanto à sua criticidade, de forma a garantir a proteção adequada, em conformidade com a legislação vigente, especialmente Lei nº 13.709, de 14 de agosto de 2018.
§ 1º A classificação quanto à criticidade deve considerar os seguintes níveis:
I - Alta Criticidade: Dados cujo comprometimento pode gerar graves impactos para os titulares de dados, para a Anatel ou para a sociedade, incluindo dados pessoais sensíveis, dados estratégicos, bem como aqueles que:
a) atendam a requisitos legais específicos;
b) exijam alta disponibilidade para a continuidade de serviços essenciais;
c) possuam elevado valor financeiro ou impacto econômico;
d) agreguem valor direto à regulação do setor de telecomunicações; ou,
e) sejam fundamentais para a prestação de serviços aos cidadãos e aos outorgados.
II - Média Criticidade: dados cujo comprometimento pode causar impactos moderados à operação da Anatel, aos titulares de dados ou aos serviços prestados pela agência, bem como aqueles que:
a) atendam requisitos legais menos rigorosos;
b) exijam disponibilidade intermediária para serviços da Agência;
c) possuam impacto financeiro moderado ou indireto;
d) contribuam para a regulação do setor, mas sem impacto direto; ou,
e) sejam usados em serviços que afetam parcialmente os cidadãos ou os outorgados.
III - Baixa Criticidade: dados cujo comprometimento gera impactos limitados e de baixo risco para a Anatel, os titulares de dados e a operação geral, bem como aqueles que:
a) não possuam requisitos legais de proteção específicos;
b) possuam disponibilidade facilmente restaurada;
c) não possuam impacto financeiro direto;
d) tenham pouco ou nenhum efeito na regulação do setor; ou,
e) afetem minimamente os cidadãos e os outorgados.
§ 2º A classificação deverá ser revista periodicamente, ou sempre que houver alteração na natureza ou uso dos dados.
§ 3º A classificação de criticidade determinará as medidas de segurança e controle de acesso a serem aplicadas, de acordo com as diretrizes estabelecidas Política de Segurança da Informação da Anatel - POSIN.
Seção II
Nível de Acesso
Art. 24. Os dados devem ser classificados conforme os seguintes níveis de acesso:
I - Público: dados com acesso irrestrito, visíveis a todos os usuários, incluindo o público externo.
II - Restrito: dados sigilosos não classificados em grau de sigilo, mas protegidos por demais hipóteses legais de sigilo.
III - Sigiloso: dados classificados em grau de sigilo, em razão de sua imprescindibilidade para a segurança da sociedade e do Estado, ao qual é atribuído grau de sigilo reservado, secreto ou ultrassecreto, e seu tratamento deve seguir o disposto no Capítulo X da Portaria Anatel nº 912, de 4 de julho de 2017.
§ 1º Dados pessoais relativos à intimidade, vida privada, honra e imagem de pessoa natural, devem ter nível de acesso restrito, nos termos do art. 31 da Lei nº 12.527, de 18 de novembro de 2011.
§ 2º A Curadoria de Dados deve indicar no Catálogo de Dados se os dados com nível de acesso Restrito podem ou não ficar acessíveis nos bancos de dados analíticos.
§ 3º Os dados classificados como pessoais sensíveis serão obrigatoriamente anonimizados nos bancos de dados analíticos.
CAPÍTULO V
PROGRAMA DE GOVERNANÇA EM PRIVACIDADE
Art. 25. O Programa de Governança em Privacidade da Anatel seguirá a Portaria SGD/MGI nº 852, de 28 de março de 2023, demonstrando o compromisso da Agência com a adoção de políticas e processos que garantam o cumprimento das normas e boas práticas de proteção de dados pessoais.
CAPÍTULO VI
SEGURANÇA DOS DADOS
Art. 26. A gestão dos dados na Anatel, quanto aos aspectos de segurança da informação, deve obedecer ao disposto na Política de Segurança da Informação da Anatel - POSIN.
Art. 27. A Anatel manterá base de conhecimento com recomendações que aprimorem o gerenciamento de risco e que orientem o tratamento de dados pessoais.
CAPÍTULO VII
QUALIDADE DOS DADOS
Art. 28. Devem ser estabelecidos critérios de qualidade dos dados para assegurar que sejam corretos, precisos, completos, consistentes, atualizados e relevantes para as finalidades a que se destinam.
Art. 29. A qualidade dos dados deve ser monitorada de forma a garantir a conformidade com os critérios estabelecidos e a identificar oportunidades de melhoria.
Art. 30. Mecanismos de melhoria contínua devem ser implementados para assegurar que a qualidade dos dados seja constantemente aprimorada e adaptada às necessidades, tais como:
I - Feedback e revisão;
II - Capacitação;
III - Priorização de evoluções e manutenções de soluções de tecnologia da informação que visem melhorar ou corrigir a coleta de dados para garantir sua qualidade;
IV - Adoção de tecnologias e ferramentas de análise da qualidade de dados, incluindo soluções de perfilamento; e,
V - Promoção da colaboração entre diferentes áreas da Anatel.
CAPÍTULO VIII
CONFORMIDADE
Art. 31. Uma base de dados ou um repositório corporativo de arquivos de dados, para que esteja em conformidade com a PGGD da Anatel, deve:
I - Possuir curadoria designada para sua gestão;
II - Estar devidamente catalogada e inventariada no Catálogo de Dados;
III - Preservar referências íntegras aos Dados-Mestres;
IV - Integrar o modelo institucional de dados; e,
V - Estar de acordo com as normas e diretrizes de modelagem de dados.
CAPÍTULO IX
CAPACITAÇÃO E CONSCIENTIZAÇÃO
Art. 32. O Plano de Desenvolvimento de Pessoas (PDP) deve prever necessidades de capacitação relacionadas com alfabetização de dados, análise de dados, governança e gestão de dados, privacidade e proteção de dados pessoais.
Art. 33. Campanhas de conscientização devem ser promovidas para fomentar uma cultura organizacional voltada para a importância da governança e gestão de dados, da privacidade e proteção de dados pessoais.
Art. 34. A conscientização, capacitação e sensibilização em governança e gestão de dados, privacidade e proteção de dados pessoais e segurança da informação deve ser adequada aos papéis e responsabilidades das pessoas.
CAPÍTULO X
GESTÃO DE INCIDENTES
Art. 35. A gestão de incidentes deve obedecer ao disposto na Política de Segurança da Informação da Anatel - POSIN.
CAPÍTULO XI
DISPOSIÇÕES FINAIS
Art. 36. A PGGD deve ser revisada periodicamente ou caso ocorram eventos ou fatos relevantes.
Art. 37. Os casos omissos nesta política serão analisados e decididos pela CGE.
| Referência: Processo nº 53500.047798/2023-83 | SEI nº 14023169 |