(Revogada pela Portaria GR 8094/2023)
(Revoga a Portaria GR 7674/2021)
Dispõe sobre a aplicação da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) no âmbito da USP, cria o Comitê Gestor de Governança de Dados e Informações e o Escritório de Proteção de Dados e Informações, e dá outras providências.
O Reitor da Universidade de São Paulo, usando de suas atribuições legais, nos termos do art 42, I, do Estatuto, baixa a seguinte
PORTARIA:
CAPÍTULO I
Disposição Inicial
Artigo 1º – Esta Portaria dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), e do Decreto Estadual nº 65.347, de 09 de dezembro de 2020, no âmbito da Universidade de São Paulo, bem como cria Comitê Gestor de Governança de Dados e Informações (CGGDI) e Escritório de Proteção de Dados e Informações (EPDI).
CAPÍTULO II
Do Controlador de Dados Pessoais
SEÇÃO I
Da Indicação
Artigo 2º – As decisões referentes ao tratamento de dados pessoais cabem à Universidade de São Paulo (USP), que exercerá as atribuições de Controlador por intermédio dos seus dirigentes, respeitadas suas respectivas competências e campos funcionais.
SEÇÃO II
Do Comitê Gestor de Governança de Dados e Informações
Artigo 3º – O Comitê Gestor de Governança de Dados e Informações (CGGDI) da Universidade de São Paulo é o órgão responsável por auxiliar o Controlador no desempenho das seguintes atividades:
I – estabelecimento de diretrizes, a partir das quais os definidores de regras, os desenvolvedores de tecnologia da informação, os administradores dos sistemas de informação, cada qual dentro de seu escopo de competência, realizem o monitoramento de dados pessoais e de fluxos das respectivas operações de tratamento e utilização;
II – análise de risco;
III – aprovação da Política de Proteção de Dados Pessoais;
IV – exame de eventuais propostas de adaptação e atualização à Política de Proteção de Dados Pessoais;
V – análise de outros temas afetos ao acesso e à proteção de dados e informações.
Artigo 4º – O Comitê Gestor de Governança de Dados e Informações da Universidade de São Paulo terá a seguinte composição:
I – o Reitor;
II – o Pró-Reitor de Graduação;
III – o Pró-Reitor de Pós-Graduação;
IV – o Pró-Reitor de Cultura e Extensão Universitária;
V – o Pró-Reitor de Pesquisa e Inovação;
VI – o Pró-Reitor de Inclusão e Pertencimento;
VII – o Coordenador de Administração Geral;
VIII – o Procurador Geral;
IX – o Superintendente de Tecnologia da Informação;
X – o Ouvidor Geral;
XI – o Coordenador do Escritório de Proteção de Dados e Informações.
SEÇÃO III
Da Política de Proteção de Dados Pessoais
Artigo 5º – A Política de Proteção de Dados Pessoais, a que alude o inciso III do artigo 3º desta Portaria, compreende a compilação de regras de boas práticas e de governança para tratamento de dados pessoais, de observância obrigatória pelas Unidades e órgãos da Universidade de São Paulo, devendo conter, no mínimo:
I – a descrição das condições de organização, de funcionamento e dos procedimentos de tratamento, abrangendo normas de segurança, padrões técnicos, mecanismos internos de supervisão e de mitigação de riscos, plano de resposta a incidentes de segurança, bem como obrigações específicas para os agentes envolvidos no tratamento e ações educativas aplicáveis;
II – a indicação da forma de publicidade das operações de tratamento, preferencialmente em espaço específico nos respectivos sítios eletrônicos oficiais, respeitadas as recomendações da autoridade nacional;
III – a enumeração dos meios de manutenção de dados em formato interoperável e estruturado, para seu uso compartilhado e acesso das informações pelo público em geral, nos termos das Leis Federais nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), e nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).
Artigo 6º – Sempre que necessário, as Unidades e órgãos da Universidade de São Paulo deverão internalizar a Política de Proteção de Dados Pessoais, detalhando-a, mediante regulamentação complementar própria e sempre de acordo com as normas gerais da Universidade de São Paulo, tendo em vista as suas respectivas especificidades.
Parágrafo único – As regulamentações elaboradas nos termos do caput deverão ser informadas ao Comitê Gestor referido no artigo 3º supra, que poderá recomendar ajustes e/ou alterações que julgar necessários.
CAPÍTULO III
Do Escritório de Proteção de Dados e Informações
Artigo 7º – Fica criado, junto ao Gabinete do Reitor, o Escritório de Proteção de Dados e Informações (EPDI), a quem compete dar suporte administrativo operacional ao seu Coordenador no exercício de suas atribuições definidas nesta Portaria.
Artigo 8º – As atividades do EPDI serão dirigidas por um Coordenador, indicado pelo Reitor.
Parágrafo único – O Coordenador será substituído, em suas faltas e impedimentos, por um Vice-Coordenador indicado pelo Reitor.
Artigo 9º – O Coordenador atuará como Encarregado pelo Tratamento de Dados Pessoais, para efeitos da aplicação da Lei Geral de Proteção de Dados, sendo apoiado, no exercício das atividades elencadas na LGPD e na presente Portaria, pela estrutura do EPDI.
§ 1º – A identidade e as informações de contato do Encarregado pelo Tratamento de Dados Pessoais devem ser divulgadas publicamente, de forma clara e objetiva, em Portal da Universidade de São Paulo.
§ 2º – O disposto no caput deste artigo não impede que as Unidades e os órgãos da Universidade de São Paulo indiquem, em seus respectivos âmbitos, servidor para desempenhar, em interlocução com o Encarregado pelo Tratamento de Dados Pessoais, as atividades a que alude o inciso III do § 2º do artigo 41 da Lei Federal nº 13.709, de 14 de agosto de 2018.
Artigo 10 – O Coordenador do EPDI, no exercício de suas atribuições de Encarregado pelo Tratamento de Dados Pessoais, deverá ter acesso à autoridade decisória do Controlador e receber o apoio necessário para o desempenho de suas funções, bem como ter acesso às operações de tratamento de dados pessoais no âmbito da Universidade de São Paulo.
Artigo 11 – Além das atribuições de que tratam os incisos I a III do § 2º do artigo 41 da Lei Federal nº 13.709, de 14 de agosto de 2018, cabe ao Coordenador do EPDI, no exercício da função de Encarregado pelo Tratamento de Dados Pessoais, desempenhar outras atribuições que lhe sejam conferidas pela Universidade de São Paulo, inclusive:
I – sugerir ao Controlador propostas de adaptação da Política de Governança de Dados;
II – elaborar e encaminhar proposta de Política de Proteção de Dados da USP a ser aprovada pelo Comitê Gestor, nos termos do artigo 3º, III, da presente Portaria, disciplinando as bases para o tratamento e proteção de dados nos contratos, convênios e instrumentos congêneres, sites, aplicativos, dentre outros;
III – sugerir ao Controlador as adaptações e revisões necessárias nos fluxos e processos da USP, para o fiel cumprimento da LGPD;
IV – elaborar material de comunicação e executar iniciativas de capacitação e educação continuada sobre a LGPD para a comunidade interna e externa à USP;
V – elaborar e implementar processos regulares de análise da conformidade da aplicação da LGPD na USP; e
VI – requisitar dos dirigentes e autoridades responsáveis as informações pertinentes, para sua compilação em um único relatório, caso solicitada pela Autoridade Nacional de Proteção de Dados (ANPD) a publicação de relatórios de impacto à proteção de dados pessoais, nos termos do artigo 32 da Lei Federal nº 13.709, de 2018.
Artigo 12 – Mediante requisição do Encarregado, os dirigentes da Universidade de São Paulo deverão encaminhar, no prazo assinalado, as informações eventualmente necessárias para atender solicitações da ANPD.
Artigo 13 – Cabe aos Dirigentes, no âmbito das respectivas Unidades e órgãos:
I – observar as recomendações e atender às requisições encaminhadas pelo Encarregado;
II – encaminhar ao Encarregado, no prazo assinalado:
a) informações solicitadas pela ANPD, nos termos do artigo 29 da Lei Federal nº 13.709, 14 de agosto de 2018;
b) relatórios diagnósticos e de impacto à proteção de dados pessoais, ou informações necessárias à sua elaboração;
III – assegurar que o Encarregado seja informado, de forma adequada e em tempo hábil, sobre:
a) existência de sistemas locais próprios, tratamento e o uso compartilhado de dados pessoais necessários à execução de políticas públicas previstas em normas legais e regulamentares ou respaldadas em contratos, convênios ou instrumentos congêneres;
b) a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais.
Artigo 14 – Esta Portaria entra em vigor na data de sua publicação, revogadas as disposições em sentido em contrário, especialmente a Portaria GR nº 7674/2021.
Reitoria da Universidade de São Paulo, 21 de novembro de 2022.
CARLOS GILBERTO CARLOTTI JUNIOR
Reitor
