Arquivo da tag: controlador

LGPD – Diretrizes e Regras

DIÁRIO OFICIAL DA UNIÃO

Publicado em: 13/12/2023 | Edição: 236 | Seção: 1 | Página: 84

Órgão: Ministério da Gestão e da Inovação em Serviços Públicos/Arquivo Nacional/Conselho Nacional de Arquivos

RESOLUÇÃO Nº 54, DE 8 DE DEZEMBRO DE 2023

Estabelece diretrizes e regras para a aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), aos arquivos permanentes custodiados por pessoa física ou jurídica de direito público ou privado.

A PRESIDENTA DO CONSELHO NACIONAL DE ARQUIVOS, no uso da atribuição que lhe confere o art. 27, inciso XI, do Regimento Interno, aprovado pela Portaria MJSP nº 313, de 22 de julho de 2021, e tendo em vista o disposto no art. 2º, incisos I e XVII, e no art. 14 do Decreto nº 4.073, de 3 de janeiro de 2002, e na Lei nº 13.709, de 14 de agosto de 2018, resolve:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Objeto e âmbito de aplicação

Art. 1º Esta resolução estabelece diretrizes e regras para o tratamento de dados pessoais em arquivos permanentes, independentemente do suporte, visando à garantia dos direitos fundamentais de acesso à informação, intimidade, proteção dos dados pessoais e acesso às fontes da cultura nacional.

§ 1º Aplica-se esta resolução aos integrantes do Sistema Nacional de Arquivos (SINAR) e a pessoas físicas e jurídicas de direito público ou privado, detentoras de arquivos.

§ 2º Esta resolução não se aplica ao tratamento de dados pessoais em arquivos correntes e intermediários dos custodiadores.

Art. 2º Os arquivos permanentes são inalienáveis, imprescritíveis e constituem parte do patrimônio cultural brasileiro por serem portadores de referência à identidade, à ação e à memória dos diferentes grupos sociais.

Parágrafo único. O tratamento de dados pessoais em arquivos permanentes, incluídos o acesso e o compartilhamento, configura a hipótese de cumprimento de obrigação legal do controlador, prevista nos artigos 1º e 4º da Lei n.º 8.159, de 8 de janeiro de 1991, e 7º, incisos II e III, da Lei nº 12.527, de 18 de novembro de 2011, conforme autorizam os artigos 7º, inciso II, 11, inciso II, “a” e 16, inciso I, da Lei nº 13.709, de 14 de agosto de 2018.

Conceitos

Art. 3º Para efeitos desta resolução, consideram-se os seguintes conceitos:

I – agentes de tratamento: o controlador e o operador de dados pessoais;

II – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

III – arquivos permanentes: conjunto de documentos preservados em caráter definitivo em função de seu valor probatório, informativo ou histórico;

IV – arquivo privado: arquivo de pessoa física, grupo familiar, entidade coletiva ou pessoa jurídica de direito privado, salvo se considerado público pela legislação;

V – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete tomar as decisões referentes ao tratamento de dados pessoais e por definir sua finalidade;

VI – custodiador: pessoa física ou jurídica, pública ou privada, que, por força de sua finalidade, é responsável pela custódia e acesso a determinado acervo arquivístico;

VII – instituição arquivística: aquela que tem por finalidade a custódia, o processamento técnico, a conservação, a preservação e o acesso a documentos;

VIII – instrumento de pesquisa: aquele que permite a identificação, localização ou consulta a documentos ou a informações neles contidas, tais como catálogo, guia, índice, inventário, listagem descritiva do acervo, repertório e tabela de equivalência;

IX – operador: agente responsável por realizar o tratamento de dados em nome do controlador, não se incluindo os indivíduos subordinados da organização, tais como servidores, funcionários ou empregados;

X – pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, salvo pelo uso de informação adicional mantida separadamente pelo controlador em ambiente seguro;

XI – recolhimento: operação pela qual um conjunto de documentos é destinado ao arquivo permanente;

XII – valor primário: aquele atribuído a um documento em função do interesse que possa ter para a entidade produtora, considerando sua utilidade para fins administrativos, legais ou fiscais; e

XIII – valor secundário: aquele atribuído a um documento em função do interesse que possa ter para a entidade produtora e outros usuários, tendo em vista a sua utilidade para fins diversos daqueles para os quais foi originalmente produzido.

CAPÍTULO II

DIRETRIZES PARA O TRATAMENTO DE DADOS PESSOAIS EM ARQUIVOS PERMANENTES

Art. 4º O tratamento de dados pessoais em arquivos permanentes observará as seguintes diretrizes:

I – promoção do pleno exercício dos direitos culturais e acesso às fontes da cultura nacional, de que fazem parte os documentos de guarda permanente, integrantes do patrimônio cultural brasileiro;

II – proteção de documentos e outros bens de valor histórico e cultural;

III – garantia do direito de acesso à informação, por meio dos arquivos permanentes, contribuindo para a consolidação do Estado Democrático de Direito;

IV – fomento de acesso à cultura, à educação, à ciência, à tecnologia, à pesquisa e à inovação;

V – incentivo ao desenvolvimento científico, à pesquisa, à capacitação científica e tecnológica, à inovação e à cooperação entre instituições custodiadoras e de ensino e pesquisa;

VI – garantia de acesso a arquivos às pessoas físicas ou jurídicas, inclusive com dados pessoais e sensíveis, como fontes de pesquisa científica, estatística, genealógica, histórica ou de evidente interesse público, assegurando-se a privacidade na divulgação dos resultados;

VII – reconhecimento da ausência de necessidade de consentimento do titular dos dados pessoais para a realização de pesquisas científicas, estatísticas, genealógicas, históricas ou de evidente interesse público;

VIII – indicação clara e transparente de eventuais restrições de acesso existentes e seu período de duração nos instrumentos de pesquisa;

IX – observância da organicidade, proveniência, integridade e unidade no tratamento de dados pessoais;

X – limitação do tratamento de dados pessoais contidos em arquivos permanentes ao mínimo necessário para a realização de suas finalidades;

XI – vedação de tratamento de documentos permanentes com dados pessoais incompatível com fins de interesse público, investigação científica, histórica e estatística;

XII – observância da finalidade, boa-fé e interesse público que justificam o acesso; e

XIII – participação dos profissionais arquivistas na tomada de decisões sobre o tratamento de dados pessoais.

CAPÍTULO III

TRATAMENTO DE DADOS PESSOAIS EM ARQUIVOS PERMANENTES

Art. 5º Considera-se dado pessoal em arquivos permanentes a informação relacionada a pessoa natural identificada ou identificável.

Art. 6º Os dados de pessoas falecidas, existentes em arquivos permanentes, não estão sujeitos aos dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD).

Parágrafo único. Os dados de pessoas ausentes, existentes em arquivos permanentes, não estão sujeitos aos dispositivos da LGPD, nos casos em que a lei autoriza a abertura de sucessão definitiva.

Art. 7º É vedada a eliminação de dados pessoais contidos em arquivos permanentes pelo custodiador.

Parágrafo único. O disposto no caput aplica-se também aos arquivos privados doados ou mantidos por instituições privadas, ainda que não tenham seu interesse público e social formalmente declarado.

Art. 8º A revogação de consentimento ocorrida após o reconhecimento de valor secundário do arquivo não impede a conservação do dado pessoal e o respectivo tratamento.

Art. 9º O controlador deve assegurar que eventuais medidas técnicas aplicáveis à anonimização ou à pseudonimização não comprometam a autenticidade ou a integridade dos documentos de valor permanente.

CAPÍTULO IV

DIREITOS DO TITULAR

Art. 10. O titular de dados pessoais constantes em arquivos permanentes tem direito a obter do controlador informação sobre:

I – tratamento de seus dados pessoais;

II – acesso e compartilhamentos de seus dados pessoais;

III – decisão que destinou à guarda permanente o documento com seus dados pessoais.

Parágrafo único. O titular pode opor-se ao tratamento de seus dados, nos termos da lei.

Art. 11. O requerimento do titular de dados deverá conter:

I – documento de identificação;

II – informações de contato; e

III – descrição dos dados pessoais em relação aos quais pretende exercer seus direitos.

Parágrafo único. O prazo de resposta ao pedido do titular não deve exceder quinze dias a partir da data do protocolo.

Art. 12. O titular poderá solicitar a retificação de dados pessoais incompletos ou inexatos contidos em arquivos permanentes.

§ 1º Quando for justificável a retificação de dado, não será realizada no próprio documento, mas apenas em instrumento de pesquisa.

§ 2º O controlador poderá fornecer declaração de correção ou complementação quando for justificável a solicitação de retificação apresentada pelo titular de dados.

§ 3º Em caso de arquivo permanente que mantenha seu valor primário, sendo necessário, o dado poderá ser retificado pelo produtor.

CAPÍTULO V

OBRIGAÇÕES DOS AGENTES DE TRATAMENTO DOS ARQUIVOS PERMANENTES

Seção I

Das Regras Gerais

Art. 13. No tratamento de dados pessoais em arquivos permanentes, a política de privacidade da instituição deve conter:

I – informação sobre o valor secundário dos documentos de guarda permanente;

II – declaração de que o acesso aos documentos recolhidos para o arquivo permanente decorre do cumprimento das obrigações dos artigos 1º e 4º, da Lei nº 8.159, de 1991, e artigo 7º, incisos II e III, da Lei nº 12.527, de 2011;

III – reconhecimento de que o indivíduo que realizar tratamento de dados pessoais contidos nos arquivos permanentes deve observar as normas de privacidade do órgão;

IV – indicações sobre critérios para a política de descrição e de acesso aos documentos de guarda permanente com observância dos direitos de privacidade e acesso à informação;

V – nome e dados de contato dos agentes de tratamento, inclusive internacionais, com as quais realiza compartilhamento de dados pessoais;

VI – descrição das categorias e tipos de dados pessoais tratados; e

VII – indicação da tecnologia, aplicações e programas utilizados para o tratamento de dados.

Art. 14. O controlador deve adotar política simplificada de segurança da informação, que contemple requisitos essenciais para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegal.

Parágrafo único. A política simplificada de segurança da informação deve considerar os custos de implementação, a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte, a sensibilidade e a criticidade dos dados tratados diante dos direitos do titular.

Art. 15. Caso haja uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais, o controlador, por intermédio de seu encarregado de dados, deverá comunicar a ocorrência à Autoridade Nacional de Proteção de Dados e ao titular, conforme legislação aplicável.

Parágrafo único. Na hipótese de incidente de segurança que envolva arquivos privados declarados de interesse público e social, a comunicação também deverá ser encaminhada ao Conselho Nacional de Arquivos – CONARQ.

Art. 16. Os contratos firmados com pessoas físicas ou jurídicas, que tenham por objeto o tratamento de arquivos permanentes com dados pessoais, devem incluir cláusulas explícitas relacionadas à proteção da privacidade do respectivo titular.

Seção II

Recolhimento

Art. 17. O recolhimento de acervos documentais a arquivos permanentes deve ser formalizado por instrumento descritivo com indicação da existência de dados pessoais, relacionando:

I – tipos de dados;

II – fundamento jurídico ou base legal para o tratamento;

III – justificativa para sua conservação; e

IV – restrições de acesso aplicáveis e período de duração.

§1º Quando os dados pessoais estiverem contidos em documentos digitais, a indicação de que trata o caput deve ser incluída no esquema de metadados relativo ao objeto digital.

§2º Se não houver documento formal de recebimento do acervo com instrumento descritivo, deve-se avaliar a existência de risco ou dano potencial à privacidade dos titulares com base em boas práticas de governança e de gestão de riscos.

Seção III

Descrição

Art. 18. A indicação de dados pessoais na descrição de arquivos permanentes e na elaboração de instrumentos de pesquisa deve observar:

I – necessidade;

II – existência de interesse público relevante;

III – promoção de direitos humanos;

IV – avaliação sobre a potencialidade de dano ou risco de dano aos titulares; e

V – utilização de procedimentos para ocultar dados pessoais, quando cabível.

Parágrafo único. O instrumento descreverá o mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades de acesso e transparência dos dados.

Art. 19. Os instrumentos de pesquisa, publicados ou disponibilizados, que contiverem dados pessoais, serão revistos e adequados progressivamente de acordo com sua complexidade e a natureza dos dados.

Parágrafo único. A revisão dos instrumentos de pesquisa será realizada com brevidade quando houver solicitação do titular de dados pessoais.

Art. 20. Quando for identificada a existência de restrição de acesso, risco ou dano potencial à privacidade de titular de dado pessoal, devem ser registrados, de forma clara, a restrição e o período de duração no instrumento de pesquisa.

Seção IV

Acesso

Art. 21. Qualquer pessoa pode solicitar acesso a documento recolhido em arquivo permanente, ainda que contenha dado pessoal.

Art. 22. O terceiro interessado em acessar documento de guarda permanente com dado pessoal deverá aceitar as condições de uso e firmar termo de responsabilidade que contenha:

I – comprovação da identidade;

II – finalidade e destinação, que fundamentam a autorização;

III – responsabilização sobre a guarda segura dos dados;

IV – impossibilidade de compartilhamento não autorizado dos dados;

V – observância de novas práticas que venham a ser implementadas pelo controlador; e

VI – eliminação de dados, sempre que houver solicitação do titular em relação ao tratamento realizado.

Art. 23 O acesso aos documentos de guarda permanente será autorizado a terceiros, observado o artigo 22, nos seguintes casos:

I – prevenção e diagnóstico médico para utilização exclusivamente para tratamento dessa natureza;

II – realização de estatísticas e pesquisas acadêmicas, científicas, genealógicas ou históricas;

III – cumprimento de ordem judicial;

IV – defesa de direitos humanos de terceiros; ou

V – existência de interesse público geral e preponderante.

CAPÍTULO VI

DOS ARQUIVOS PRIVADOS

Art. 24. Os custodiadores de arquivos privados devem promover a publicidade e o acesso permanente à memória registrada nesses acervos, inclusive com dados pessoais, por meio de:

I – publicação da existência dos arquivos, inclusive aqueles com documentos de acesso restrito, divulgando as razões das restrições e o período de duração;

II – apoio à pesquisa e à investigação de natureza acadêmica, científica, genealógica e histórica;

III – garantia de consultas para pesquisas de qualquer natureza, incluindo as relativas à descoberta da própria identidade individual ou coletiva;

IV – uso educacional e pesquisa de evidente interesse público; e

V – promoção de direitos humanos.

Art. 25. Para disponibilização de arquivos privados, devem ser observadas:

I – existência de autorização de acesso do proprietário ou do possuidor;

II – ausência de cláusula de revogabilidade;

III – declaração de interesse público e social ou existência de procedimento de avaliação, ainda que tenha sido realizado pelo próprio custodiador;

IV – normas relativas ao direito autoral e de imagem; e

V – avaliação de risco em relação à violação da privacidade de terceiros cujos dados estejam registrados no acervo.

Parágrafo único. No caso de arquivos privados custodiados em instituições sem a formalização termos de recebimento ou doação, autorização do titular dos dados ou declaração de interesse público e social, o custodiador deve proceder à análise dos riscos e danos potenciais em relação à violação da privacidade, observando-se as boas práticas de governança e de gestão de riscos e os critérios previstos no artigo 24 desta resolução.

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 26. As dúvidas relativas à aplicação da presente resolução serão dirimidas pelo CONARQ.

Art. 27. Esta resolução entra em vigor da data de sua publicação.

ANA FLÁVIA MAGALHÃES PINTO

Texto original:

https://www.in.gov.br/en/web/dou/-/resolucao-n-54-de-8-de-dezembro-de-2023-530278576