(Revoga a Portaria GR 7839/2022)
Dispõe sobre a aplicação da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) no âmbito da USP; cria o Comitê Gestor de Governança de Dados e Informações – CGGDI e o Escritório de Proteção de Dados e Informações – EPDI; regula a atividade de Encarregado pela Proteção de Dados Pessoais – DPO da USP, e dá outras providências.
O Reitor da Universidade de São Paulo, usando de suas atribuições legais, nos termos do art 42, I, do Estatuto, baixa a seguinte
PORTARIA:
CAPÍTULO I
Disposição Inicial
Artigo 1º – Esta Portaria dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), e do Decreto Estadual nº 65.347, de 09 de dezembro de 2020, no âmbito da Universidade de São Paulo; cria o Comitê Gestor de Governança de Dados e Informações – CGGDI e o Escritório de Proteção de Dados e Informações – EPDI; e regula a atividade de Encarregado pela Proteção de Dados Pessoais – DPO da Universidade de São Paulo.
CAPÍTULO II
Do Controlador de Dados Pessoais
SEÇÃO I
Da Indicação
Artigo 2º – As decisões referentes ao tratamento de dados pessoais cabem à Universidade de São Paulo, que exercerá as atribuições de Controlador por intermédio dos seus dirigentes, respeitadas suas respectivas competências e campos funcionais.
SEÇÃO II
Do Comitê Gestor de Governança de Dados e Informações
Artigo 3º – O Comitê Gestor de Governança de Dados e Informações – CGGDI é o órgão responsável por auxiliar o Controlador no desempenho de suas atividades, assim como no cumprimento da LGPD no âmbito da Universidade de São Paulo.
Parágrafo único – Cabe ao CGGDI:
I – deliberar e propor ações sobre temas relativos ao tratamento de dados pessoais;
II – opinar, quando necessário, sobre diretrizes de tratamento de dados pessoais e de fluxos das respectivas operações elaboradas pelo EPDI, especialmente aos definidores de regras, administradores dos sistemas de informação e desenvolvedores de tecnologia da informação;
III – dar apoio ao EPDI e ao Encarregado pelo Tratamento de Dados Pessoais no exercício de suas atividades;
IV – encaminhar sugestão de Política de Proteção de Dados Pessoais da Universidade de São Paulo ao Reitor;
V – deliberar sobre propostas de regulamentação complementar da Política de Proteção de Dados das Unidades e encaminhá-las ao Reitor;
VI – tratar de temas afetos ou coligados à disciplina de tratamento de dados pessoais.
Artigo 4º – O Comitê Gestor de Governança de Dados e Informações da Universidade de São Paulo terá a seguinte composição:
I – o Reitor;
II – o Pró-Reitor de Graduação;
III – o Pró-Reitor de Pós-Graduação;
IV – o Pró-Reitor de Cultura e Extensão Universitária;
V – o Pró-Reitor de Pesquisa e Inovação;
VI – o Pró-Reitor de Inclusão e Pertencimento;
VII – o Coordenador de Administração Geral;
VIII – o Procurador Geral;
IX – o Superintendente de Tecnologia da Informação;
X – o Ouvidor Geral;
XI – o Coordenador do Escritório de Proteção de Dados e Informações;
XII – o Encarregado pelo Tratamento de Dados Pessoais.
SEÇÃO III
Da Política de Proteção de Dados Pessoais da Universidade de São Paulo
Artigo 5º – A Política de Proteção de Dados Pessoais da Universidade de São Paulo, estruturada nos termos do artigo 50 da LGPD, deverá garantir os direitos, liberdades e princípios constantes no artigo 2º da mesma lei e conter, no mínimo:
I – a descrição das condições de organização, de funcionamento e dos procedimentos de tratamento, abrangendo normas de segurança, padrões técnicos, mecanismos internos de supervisão e de mitigação de riscos, plano de resposta a incidentes de segurança, bem como obrigações específicas para os agentes envolvidos no tratamento e ações educativas aplicáveis;
II – a indicação da forma de publicidade das operações de tratamento, preferencialmente em espaço específico nos respectivos sítios eletrônicos oficiais, respeitadas as recomendações da autoridade nacional;
III – a enumeração dos meios de manutenção de dados em formato interoperável e estruturado, para seu uso compartilhado e acesso das informações pelo público em geral, nos termos da Lei de Acesso à Informação (Lei n] 12.527, de 18 de novembro de 2011) e da LGPD;
IV – a definição dos procedimentos a serem observados em pesquisas científicas para fins acadêmicos em relação à LGPD.
Artigo 6º – A Política de Proteção de Dados Pessoais é de observância obrigatória pelas Unidades e órgãos da Universidade de São Paulo, sendo facultada regulamentação complementar própria, tendo em vista as suas respectivas especificidades, mediante encaminhamento ao CGGDI.
CAPÍTULO III
Do Escritório de Proteção de Dados e Informações
Artigo 7º – O Escritório de Proteção de Dados e Informações – EPDI, vinculado ao Gabinete do Reitor, zelará pelo cumprimento da LGPD do ponto de vista administrativo e dará suporte operacional à Universidade de São Paulo, enquanto Controladora, na atividade de tratamento de dados pessoais.
Parágrafo único – Compete ao EPDI:
I – atender os titulares de dados pessoais acerca do exercício do direito à autodeterminação informativa, nos termos do art. 18 da LGPD;
II – dar apoio ao Encarregado pelo Tratamento de Dados Pessoais no desempenho de suas atividades, conforme orientação da Autoridade Nacional de Proteção de Dados – ANPD;
III – elaborar diretrizes de tratamento de dados pessoais e de fluxos das respectivas operações, especialmente aos definidores de regras, administradores dos sistemas de informação e desenvolvedores de tecnologia da informação;
IV – encaminhar ao CGGDI proposta de Política de Proteção de Dados da Universidade de São Paulo, disciplinando as bases para o tratamento e proteção de dados nos contratos, convênios e instrumentos congêneres, sites, aplicativos, dentre outros, assim como sua adequação e atualização;
V – cumprir e fazer cumprir a Política de Proteção de Dados da Universidade de São Paulo;
VI– supervisionar a observância rigorosa das medidas técnicas e de segurança na proteção de dados pessoais;
VII – realizar análises de risco relacionada a incidentes de segurança de dados, incluindo a elaboração de plano de contingência para incidente de segurança de dados;
VIII – comunicar imediatamente ao Encarregado pelo Tratamento de Dados Pessoais acerca da suspeita ou efetiva ocorrência de incidente de segurança de dados;
IX – tomar medidas urgentes ou orientar na tomada de medidas de reversão e de mitigação dos efeitos decorrentes de incidente de segurança de dados;
X – confeccionar o Relatório de Impacto de Dados Pessoais – RIDP, quando solicitado pela ANPD;
XI – preparar material de comunicação e promoção de capacitação e educação continuada sobre a LGPD para as comunidades interna e externa à Universidade de São Paulo.
Artigo 8º – As atividades do EPDI serão dirigidas por um Coordenador, indicado pelo Reitor.
§ 1º – O Coordenador será substituído, em suas faltas e impedimentos, por um Vice-Coordenador, indicado pelo Reitor.
§ 2º – O EPDI deverá ter infraestrutura necessária para o exercício de suas atividades, em especial, para fins de cumprimento dos prazos previstos no artigo 19 da LGPD.
CAPÍTULO IV
Do Encarregado pelo Tratamento de Dados Pessoais – DPO
Artigo 9º – O Encarregado pelo Tratamento de Dados Pessoais – DPO, indicado pelo Reitor em observância aos artigos 23, III, e 41, caput, da LGPD, é o canal de comunicação entre a Universidade de São Paulo, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.
§ 1º – O Vice-Coordenador do EPDI exercerá temporariamente as funções de Encarregado pelo Tratamento de Dados Pessoais nas hipóteses de vacância do cargo, assim como em caso de faltas, férias e impedimentos da pessoa indicada para esta função.
§ 2° – A identidade e as informações de contato do Encarregado pelo Tratamento de Dados Pessoais devem ser divulgadas publicamente, de forma clara e objetiva, em Portal da Universidade de São Paulo.
§ 3º – As Unidades e os órgãos da Universidade de São Paulo, em seus respectivos âmbitos, indicarão servidor para atuação na interlocução com o Encarregado pelo Tratamento de Dados Pessoais, auxiliando-o nas atividades a que alude o inciso III do § 2º do artigo 41 da LGPD.
Artigo 10 – O Encarregado pelo Tratamento de Dados Pessoais terá liberdade e independência no desempenho de suas atribuições legais dentro das Unidades e demais órgãos da Universidade de São Paulo, inclusive garantindo-se acesso e atendimento pelas autoridades decisórias de Controlador nas operações de tratamento de dados pessoais no âmbito da Universidade de São Paulo.
Artigo 11 – Além das atribuições de que tratam os incisos I a III do § 2º do artigo 41 da LGPD, cabe ao Encarregado pelo Tratamento de Dados Pessoais desempenhar atribuições que lhe sejam conferidas pela Universidade de São Paulo, inclusive:
I – informar e orientar o CGGDI, o EPDI, as Unidades e demais órgãos da Universidade de São Paulo acerca da aplicação da LGPD e demais normas regulamentadoras;
II – opinar sobre a interpretação da LGPD na tomada de decisões internas da Universidade de São Paulo, assim como nas dúvidas dos titulares de dados pessoais;
III – requisitar dos dirigentes e autoridades responsáveis as informações pertinentes para a confecção de Relatório de Impacto de Proteção de Dados – RIPD pela ANPD;
IV – participar e orientar o EPDI na elaboração do Relatório de Impacto de Proteção de Dados – RIPD, encaminhando-o à ANPD;
V – sugerir adaptações, revisões e atualizações da Política de Proteção de Dados da Universidade de São Paulo ao CGGDI, assim como nos fluxos de dados e seu tratamento;
VI – comunicar à ANPD a ocorrência de incidente de segurança de dados, e orientar a Universidade de São Paulo no cumprimento do artigo 48 da LGPD;
VII – participar da elaboração de material de comunicação e das iniciativas de capacitação e educação continuada sobre a LGPD para as comunidades interna e externa à USP;
VIII – comparecer, quando convidado, às reuniões do CGGDI, e solicitar reuniões com este órgão, quando necessário.
CAPÍTULO V
Dos Dirigentes
Artigo 12 – Cabe aos Dirigentes, no âmbito das respectivas Unidades e órgãos, assim como a todos aqueles que realizam tratamento de dados pessoais dentro da Universidade de São Paulo:
I – zelar pela aplicação da Federal nº 13.709, 14 de agosto de 2018, no âmbito da Unidade/órgão;
II – observar a Política de Proteção de Dados da Universidade de São Paulo;
III – cumprir as instruções do Reitor, do CGGDI, do EPDI e do Encarregado pelo Tratamento de Dados Pessoais em matéria de tratamento de dados pessoais;
IV – assegurar ao EPDI e ao Encarregado pelo Tratamento de Dados Pessoais acesso às operações de tratamento de dados pessoais realizadas pela Universidade de São Paulo;
V – fornecer ao EPDI e ao Encarregado pelo Tratamento de Dados Pessoais, no prazo assinalado:
a) informações solicitadas pela ANPD, nos termos do artigo 29 da LGPD;
b) relatórios diagnósticos e de impacto à proteção de dados pessoais, ou informações necessárias à sua elaboração;
VI – assegurar que o EPDI e o Encarregado pelo Tratamento de Dados Pessoais sejam informados, de forma adequada e em tempo hábil, sobre:
a) existência de sistemas locais próprios, tratamento e o uso compartilhado de dados pessoais necessários à execução de políticas públicas previstas em normas legais e regulamentares ou respaldadas em contratos, convênios ou instrumentos congêneres;
b) a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais.
Parágrafo único – O disposto no inciso V deverá ser cumprido pelo servidor da Unidade/órgão designado para atuação na interlocução com o Encarregado pelo Tratamento de Dados Pessoais, nos termos do artigo 9º, § 3º, desta Portaria.
CAPÍTULO VI
Disposições finais
Artigo 13 – As atividades regulamentadas por esta Portaria não se confundem com as atividades de acesso à informação, reguladas pela Lei de Acesso à Informação, assim como a atuação do Encarregado pelo Tratamento de Dados Pessoais não se confunde com a atividade do Ouvidor Geral da Universidade de São Paulo.
Artigo 14 – Esta Portaria entra em vigor na data de sua publicação, revogadas as disposições em sentido em contrário, especialmente a Portaria GR nº 7839/2022 (Autos USP nº 2019.1.19805.1.2).
Reitoria da Universidade de São Paulo, 17 de julho de 2023.
CARLOS GILBERTO CARLOTTI JUNIOR
Reitor
