(Revogada pela Portaria GR 7839/2022)
Dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), no âmbito da Universidade de São Paulo.
O Reitor da Universidade de São Paulo, usando de suas atribuições legais, nos termos do art 42, I, do Estatuto, baixa a seguinte
PORTARIA:
CAPÍTULO I
Disposição Inicial
Artigo 1º – Esta Portaria dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), e do Decreto Estadual nº 65.347, de 09 de dezembro de 2020, no âmbito da Universidade de São Paulo.
CAPÍTULO II
Do Controlador de Dados Pessoais
SEÇÃO I
Da Indicação
Artigo 2º – As decisões referentes ao tratamento de dados pessoais cabem à Universidade de São Paulo (USP), que exercerá as atribuições de Controlador por intermédio dos seus dirigentes, respeitadas suas respectivas competências e campos funcionais.
SEÇÃO II
Do Comitê Gestor de Governança de Dados e Informações
Artigo 3º – O Comitê Gestor de Governança de Dados e Informações da Universidade de São Paulo é o órgão responsável por auxiliar o Controlador no desempenho das seguintes atividades:
I – monitoramento de dados pessoais e de fluxos das respectivas operações de tratamento;
II – análise de risco;
III – elaboração e atualização da Política de Proteção de Dados Pessoais;
IV – exame de eventuais propostas de adaptação e atualização à Política de Proteção de Dados Pessoais.
Artigo 4º – O Comitê Gestor de Governança de Dados e Informações da Universidade de São Paulo será composto por 3 (três) representantes indicados pelo Reitor, a quem competirá, igualmente, indicar aquele que atuará como Coordenador.
§ 1º – O Reitor poderá delegar ao Coordenador competências decisórias do Controlador, quanto à proteção de dados pessoais no âmbito da Universidade de São Paulo.
§2º – A critério do Coordenador do Comitê Gestor, o encarregado, referido no artigo 7º desta Portaria, poderá ser convidado para participar de reunião específica do colegiado.
SEÇÃO III
Da Política de Proteção de Dados Pessoais
Artigo 5º – A Política de Proteção de Dados Pessoais, a que alude o inciso III do artigo 3º desta Portaria, compreende a compilação de regras de boas práticas e de governança para tratamento de dados pessoais, de observância obrigatória pelas Unidades e órgãos da Universidade de São Paulo, devendo conter, no mínimo:
I – a descrição das condições de organização, de funcionamento e dos procedimentos de tratamento, abrangendo normas de segurança, padrões técnicos, mecanismos internos de supervisão e de mitigação de riscos, plano de resposta a incidentes de segurança, bem como obrigações específicas para os agentes envolvidos no tratamento e ações educativas aplicáveis;
II – a indicação da forma de publicidade das operações de tratamento, preferencialmente em espaço específico nos respectivos sítios eletrônicos oficiais, respeitadas as recomendações da autoridade nacional;
III – a enumeração dos meios de manutenção de dados em formato interoperável e estruturado, para seu uso compartilhado e acesso das informações pelo público em geral, nos termos das Leis Federais nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), e nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).
Artigo 6º – Sempre que necessário, as Unidades e órgãos da Universidade de São Paulo deverão internalizar a Política de Proteção de Dados Pessoais, detalhando-a, mediante regulamentação complementar própria e sempre de acordo com as normas gerais da Universidade de São Paulo, tendo em vista as suas respectivas especificidades.
Parágrafo único – As regulamentações elaboradas nos termos do caput deverão ser informadas ao Comitê Gestor referido no artigo 3º supra, que poderá recomendar ajustes e/ou alterações que julgar necessários.
CAPÍTULO III
Do Encarregado de Dados Pessoais
SEÇÃO I
Da Designação
Artigo 7º – O encarregado de dados pessoais será indicado pelo Reitor da Universidade de São Paulo.
§ 1º – A identidade e as informações de contato do encarregado de dados pessoais devem ser divulgadas publicamente, de forma clara e objetiva, em Portal da Universidade de São Paulo.
§ 2º – O disposto no caput deste artigo não impede que as Unidades e os órgãos da Universidade de São Paulo indiquem, em seus respectivos âmbitos, servidor para desempenhar, em interlocução com o encarregado de dados pessoais, as atividades a que alude o inciso III do § 2º do artigo 41 da Lei Federal nº 13.709, de 14 de agosto de 2018.
Artigo 8º – O encarregado de dados pessoais, no exercício de suas atribuições, deverá ter acesso à autoridade decisória do Controlador e receber o apoio necessário para o desempenho de suas funções, bem como ter acesso às operações de tratamento de dados pessoais no âmbito da Universidade de São Paulo.
SEÇÃO II
Das Atribuições
Artigo 9º – Além das atribuições de que tratam os incisos I a III do § 2º do artigo 41 da Lei Federal nº 13.709, de 14 de agosto de 2018, cabe ao encarregado de dados pessoais exercer outras atribuições que lhe sejam conferidas pela Universidade de São Paulo, inclusive:
I – sugerir ao controlador propostas de adaptação da Política de Governança de Dados;
II – sugerir ao controlador propostas para as bases da aplicação da Política de Proteção de Dados da USP no tocante a contratos, convênios e instrumentos congêneres, sites, aplicativos, dentre outros;
III – sugerir ao controlador as adaptações e revisões necessárias nos fluxos e processos da USP, para o fiel cumprimento da LGPD;
IV – elaborar material de comunicação e executar iniciativas de capacitação e educação continuada sobre a LGPD para a comunidade interna e externa à USP;
V – elaborar e implementar processos regulares de análise da conformidade da aplicação da LGPD na USP; e
VI – requisitar dos dirigentes e autoridades responsáveis as informações pertinentes, para sua compilação em um único relatório, caso solicitada pela Autoridade Nacional de Proteção de Dados (ANPD) a publicação de relatórios de impacto à proteção de dados pessoais, nos termos do artigo 32 da Lei Federal nº 13.709, de 2018.
Artigo 10 – Mediante requisição do encarregado, os dirigentes da Universidade de São Paulo deverão encaminhar, no prazo assinalado, as informações eventualmente necessárias para atender solicitações da ANPD.
Artigo 11 – Cabe aos dirigentes, no âmbito das respectivas Unidades e órgãos:
I – observar as recomendações e atender às requisições encaminhadas pelo encarregado;
II – encaminhar ao encarregado, no prazo assinalado:
a) informações solicitadas pela ANPD, nos termos do artigo 29 da Lei Federal nº 13.709, 14 de agosto de 2018;
b) relatórios diagnósticos e de impacto à proteção de dados pessoais, ou informações necessárias à sua elaboração;
III – assegurar que o encarregado seja informado, de forma adequada e em tempo hábil, sobre:
a) existência de sistemas locais próprios, tratamento e o uso compartilhado de dados pessoais necessários à execução de políticas públicas previstas em normas legais e regulamentares ou respaldadas em contratos, convênios ou instrumentos congêneres;
b) a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais.
Artigo 12 – Esta Portaria entra em vigor na data de sua publicação e deverá ser revista em 6 (seis) meses, para a finalidade de implantação definitiva da estrutura da governança de proteção de dados pessoais da Universidade de São Paulo.
Reitoria da Universidade de São Paulo, 30 de setembro de 2021.
VAHAN AGOPYAN
Reitor