ATO DO PRESIDENTE Nº 10, DE 2020
Dispõe sobre a Política Institucional de Proteção de Dados Pessoais.
O PRESIDENTE DO SENADO FEDERAL, no uso de suas competências regimentais e regulamentares, ad referendum da Comissão Diretora,
CONSIDERANDO a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD), que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural; RESOLVE:
CAPÍTULO I
DA APLICAÇÃO
Art. 1º A Política Institucional de Proteção de Dados Pessoais, no âmbito do Senado Federal, obedecerá ao disposto neste Ato.
§ 1º Considera-se, para efeito deste Ato, as definições constantes do art. 5º da Lei nº 13.709, de 2018.
§ 2º As atividades de tratamento de dados pessoais pelo Senado Federal observarão os princípios previstos no art. 6º da Lei nº 13.709, de 2018.
Art. 2º As atividades de tratamento de dados pessoais pelo Senado Federal ocorrerão em atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais ou cumprir as atribuições legais do serviço público, nos termos do disposto no art. 23 da Lei nº 13.709, de 2018.
Parágrafo único. As informações a respeito das atividades de tratamento de dados pessoais pelo Senado Federal, no exercício de suas competências, serão disponibilizadas a partir do momento da coleta, preferencialmente em seu portal na internet, e deverão contemplar, de forma clara e atualizada, a previsão legal, a finalidade, os procedimentos e as práticas de execução utilizadas.
Art. 3º Este Ato não se aplica às atividades de tratamento de dados pessoais:
I - realizadas por gabinetes parlamentares, por lideranças partidárias, por frentes parlamentares e por quaisquer unidades cuja chefia seja exercida por parlamentares, quando relacionadas ao desempenho do mandato eletivo e protegidas constitucionalmente nos termos do art. 53, caput e § 6º, da Constituição Federal;
II - realizadas para fins exclusivamente:
a) jornalísticos e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 5º e 9º deste Ato.
III - realizadas para fins exclusivos de:
a) segurança interna do Senado Federal e de seus membros ou colaboradores;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais.
CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS
Seção I
Dos Requisitos
Art. 4º O tratamento de dados pessoais pelo Senado Federal será realizado nas seguintes hipóteses:
I - mediante o consentimento pelo titular;
II - para o cumprimento de obrigação constitucional, legal ou regulatória;
III - para o uso compartilhado de dados necessários à execução de políticas públicas previstas em legislação específica ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da Lei nº 13.709, de 2018;
IV - para a realização de estudos, garantida, sempre que possível, a anonimização dos dados pessoais;
V - mediante a celebração de termo de opção pelo Senador titular de gabinete parlamentar, liderança partidária, frente parlamentar ou unidade sob sua chefia, observados o inciso I do art. 3º e o art. 19 deste Ato;
VI - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VII - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VIII - para a proteção da vida ou da incolumidade física do titular ou de terceiros;
IX - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
X - para atender, quando necessário, a seus interesses legítimos ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
XI - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
§ 1º O consentimento previsto no inciso I do caput deste artigo será obtido por escrito ou por outro meio que demonstre a manifestação da vontade do titular, nos termos do art. 8º da Lei nº 13.709, de 2018.
§ 2º O consentimento previsto no inciso I do caput deste artigo poderá ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso V do caput do art. 11 deste Ato.
§ 3º Não realizada a opção de que trata o inciso V do caput deste artigo, o Senador realizará o tratamento dos dados pessoais recebidos pelo gabinete parlamentar, liderança partidária, frente parlamentar ou unidade sob sua chefia a partir de soluções tecnológicas próprias ou contratadas de terceiros, observados os termos da Lei nº 13.709, de 2018.
§ 4º A comunicação ou o compartilhamento de dados pessoais com outros controladores dependerá de consentimento específico do titular, ressalvadas as hipóteses de dispensa previstas na Lei nº 13.709, de 2018, e neste Ato.
§ 5º Os agentes responsáveis pelo tratamento, pela comunicação e pelo compartilhamento dos dados pessoais devem observar os princípios gerais, as garantias dos direitos e as demais obrigações previstas na Lei nº 13.709, de 2018, e neste Ato, inclusive nos casos em que não é exigido o consentimento do titular para essas atividades.
§ 6º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 7º É dispensada a exigência do consentimento previsto no inciso I do caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei nº 13.709, de 2018, e neste Ato.
§ 8º O tratamento posterior dos dados pessoais a que se referem os §§ 5º e 6º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na Lei nº 13.709, de 2018, e neste Ato.
§ 9º Consideram-se legítimos interesses do Senado Federal, sem prejuízo de outras hipóteses, o fortalecimento da democracia, a promoção da instituição, a aproximação com a sociedade, a preservação histórica e o exercício das atividades de legislar sobre os assuntos de interesse nacional e de fiscalizar os atos do Poder Executivo.
Art. 5º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados pessoais, que serão disponibilizadas de forma clara, adequada e ostensiva, no portal do Senado Federal, preferencialmente, consideradas, entre outras, as seguintes características:
I - a finalidade específica do tratamento;
II - a forma e a duração do tratamento;
III - as informações de contato do Senado Federal;
IV - as informações acerca do uso compartilhado e sua finalidade;
V - as responsabilidades dos agentes que realizarão o tratamento; e
VI - os direitos do titular, com menção explícita aos previstos no art. 11 deste Ato.
§ 1º O Senado Federal informará previamente ao titular dos dados pessoais quaisquer alterações das características previstas nos incisos I, II, IV e V do caput deste artigo, que poderá, nos casos em que o seu consentimento for exigido, revogá-lo.
§ 2º O Senado Federal informará previamente ao titular quando o tratamento de seus dados pessoais for condição para o fornecimento de produto, de serviço, ou para o exercício de direito, bem como sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 11 deste Ato.
Seção II
Do Tratamento de Dados Pessoais Sensíveis
Art. 6º O tratamento de dados pessoais sensíveis pelo Senado Federal somente ocorrerá nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades determinadas;
II - sem o consentimento do titular, nos casos em que for indispensável para:
a) cumprimento de obrigação constitucional, legal ou regulatória;
b) tratamento compartilhado de dados necessários à execução de políticas públicas previstas em legislação específica;
c) realização de estudos, garantida, sempre que possível, sua anonimização;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiros;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da Lei nº 13.709, de 2018, e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
§ 2º Na aplicação do disposto nas alíneas a e b do inciso II do caput deste artigo, será dada publicidade à referida dispensa de consentimento, nos termos do art. 2º deste Ato.
Art. 7º Para os efeitos deste Ato, não serão considerados dados pessoais os dados anonimizados, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável para a reversão do processo de anonimização levará em consideração fatores objetivos como custo e tempo necessários, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
§ 2º Poderão ser considerados como dados pessoais, para os fins deste Ato, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
Seção III
Do Tratamento de Dados Pessoais de Crianças e de Adolescentes
Art. 8º O tratamento de dados pessoais de crianças e de adolescentes será realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 1º No tratamento de dados de que trata o caput deste artigo, o Senado Federal manterá pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 11 deste Ato.
§ 2º O Senado Federal poderá coletar dados pessoais de crianças e de adolescentes sem o consentimento a que se refere o caput deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção.
§ 3º Em nenhum caso será permitido o compartilhamento de dados pessoais de crianças e adolescentes sem o consentimento de que trata o caput deste artigo.
§ 4º O Senado Federal não condicionará a participação dos titulares de que trata o caput deste artigo em jogos, aplicações de internet ou outras atividades, ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º O Senado Federal realizará esforços razoáveis para verificar o consentimento a que se refere o caput deste artigo, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados de crianças e adolescentes serão fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais, quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento do menor.
Seção IV
Do Término do Tratamento de Dados
Art. 9º O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II - fim do período de tratamento; ou
III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no inciso VIII do caput do art. 11 deste Ato, resguardado o interesse público.
Art. 10. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação constitucional, legal ou regulatória;
II - estudo, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiros, desde que respeitados os requisitos de tratamento dispostos neste Ato; ou
IV - uso exclusivo do Senado Federal, vedado seu acesso por terceiros, e desde que anonimizados.
CAPÍTULO III
DOS DIREITOS DO TITULAR
Art. 11. O Senado Federal deverá disponibilizar ao titular dos dados pessoais por ele tratados, a qualquer momento e mediante requisição:
I - a confirmação da existência de tratamento;
II - o acesso aos dados pessoais submetidos a tratamento;
III - a possibilidade de correção de dados incompletos, inexatos ou desatualizados;
IV - a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei nº 13.709, de 2018, e neste Ato;
V - a eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 10 deste Ato;
VI - a informação das entidades públicas e privadas com as quais realizou uso compartilhado de dados;
VII - a informação sobre a possibilidade de não consentir no tratamento de seus dados pessoais e sobre as consequências da negativa;
VIII - a revogação do consentimento de tratamento de seus dados pessoais, nos termos do § 5º do art. 8º da Lei nº 13.709, de 2018.
§ 1º O titular poderá opor-se a tratamento de seus dados pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto neste Ato.
§ 2º Em caso de impossibilidade de adoção imediata da providência de que trata o § 1º deste artigo, o Senado Federal enviará ao titular resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular dos dados pessoais ou de representante legalmente constituído à Diretoria-Geral do Senado Federal.
§ 4º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, no prazo máximo de 60 (sessenta) dias, contado do recebimento da solicitação, por meio dos canais de comunicação disponíveis no portal do Senado Federal na internet.
§ 5º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
Art. 12. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:
I - por meio eletrônico, seguro e idôneo para esse fim; ou
II - sob forma impressa.
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, nos termos definidos em regulamentação editada pela Autoridade Nacional de Proteção de Dados (ANPD), criada pelo art. 55-A da Lei nº 13.709, de 2018, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
Art. 13. O titular tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de seus dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Parágrafo único. O Senado Federal fornecerá, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada.
Art. 14. Os dados pessoais referentes ao exercício regular de direitos pelo titular não serão utilizados em seu prejuízo.
CAPÍTULO IV
DA TRANSFERÊNCIA DE DADOS A OUTRAS ENTIDADES
Art. 15. O Senado Federal, sem prejuízo de outras hipóteses previstas na legislação específica, poderá transferir a entidades privadas dados pessoais constantes de bases de dados:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições deste Ato e da Lei nº 13.709, de 2018;
III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres comunicados à ANPD; ou
IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Art. 16. O compartilhamento de dados pessoais com outras instituições públicas observará o disposto na Lei nº 13.709, de 2018.
CAPÍTULO V
DA TRANSFERÊNCIA INTERNACIONAL DE DADOS
Art. 17. A transferência internacional de dados pessoais pelo Senado Federal será possível nos seguintes casos:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto neste Ato e na Lei nº 13.709, de 2018;
II - quando for possível oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos neste Ato e na Lei nº 13.709, de 2018, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos.
III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros;
V - quando a ANPD autorizar a transferência;
VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do art. 2º deste Ato;
VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, com distinção clara entre esta e outras finalidades; ou
IX - quando necessário para atender às hipóteses previstas nos incisos II, V e VI do art. 4º deste Ato.
Parágrafo único. Para os fins do inciso I deste artigo, o Senado Federal, no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à ANPD a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.
CAPÍTULO VI
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Seção I
Do Controlador e do Operador
Art. 18. O Senado Federal, na condição de controlador, manterá registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse.
§ 1º O registro de que trata o caput deste artigo será realizado por qualquer empresa contratada que atue como operador de dados pessoais, nos termos deste Ato.
§ 2º O Senado Federal, por determinação da ANPD, elaborará relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados.
§ 3º A forma do relatório de que trata o § 2º deste artigo será disciplinada por Ato da Diretoria-Geral, e deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
§ 4º Os dados pessoais controlados pelo Senado Federal serão tratados a partir de plataforma digital que centralizará essas informações e possibilitará o acesso direto a todos os agentes responsáveis por seu tratamento, comunicação e compartilhamento.
Art. 19. Os gabinetes parlamentares, as lideranças partidárias, as frentes parlamentares e as unidades cuja chefia seja exercida por parlamentares, na condição de controladores, poderão designar o Senado Federal como operador do tratamento dos dados pessoais sob sua responsabilidade mediante celebração do termo de opção previsto no inciso V do art. 4º deste Ato.
§ 1º Os Senadores são invioláveis por quaisquer atividades de tratamento de dados pessoais executadas no âmbito dos gabinetes, relacionadas ao exercício do mandato parlamentar e ao sigilo da fonte, nos termos do art. 53, caput e § 6º, da Constituição Federal.
§ 2º O termo de opção previsto no caput deste artigo será celebrado no ato de investidura do cargo ou a qualquer momento a partir da manifestação de interesse junto à Diretoria-Geral.
§ 3º Celebrado o termo de opção, o Senado Federal indicará o encarregado responsável pela comunicação entre os entes previstos no caput deste artigo, os titulares dos dados pessoais e a ANPD, nos termos dos arts. 22 e 23 deste Ato.
Art. 20. Empresa contratada que atue como operador de dados pessoais, nos termos deste Ato, deverá realizar o tratamento segundo as instruções fornecidas pelo Senado Federal, que verificará a observância das próprias instruções e das normas sobre a matéria.
Parágrafo único. O instrumento contratual utilizado para estabelecer as relações de serviço mencionadas no caput deste artigo preverá, de maneira expressa, a possibilidade de o Senado Federal verificar a adoção das instruções e normas pela contratada.
Art. 21. Tendo em vista a necessidade e a transparência, o Senado Federal adotará os padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, previstos pela ANPD.
Seção II
Do Encarregado
Art. 22. A Diretoria-Geral designará, no âmbito do Senado Federal, os encarregados pelo tratamento de dados pessoais.
§ 1º Os encarregados atuarão como canal de comunicação entre o Senado Federal, os gabinetes parlamentares, as lideranças partidárias, as frentes parlamentares, as unidades cuja chefia seja exercida por parlamentares, os titulares dos dados pessoais e a ANPD, nos termos do disposto no inciso VIII do art. 5º da Lei nº 13.709, de 2018.
§ 2º Os encarregados terão acesso direto aos dados pessoais controlados pelo Senado Federal, a serem disponibilizados mediante plataforma digital que centralizará essas informações, nos termos do § 4º do art. 18 deste Ato.
§ 3º A identidade e as informações de contato dos encarregados serão publicadas no portal do Senado Federal na internet.
Art. 23. Compete aos encarregados pelo tratamento de dados pessoais:
I - receberem reclamações e comunicação dos titulares dos dados, prestarem esclarecimentos e adotarem providências;
II - receberem comunicações da ANPD e adotarem providências;
III - orientarem os servidores e demais colaboradores do Senado Federal a respeito das práticas a serem adotadas em relação à proteção de dados pessoais; e
IV - executarem as demais atribuições determinadas pelo Senado Federal ou estabelecidas em normas complementares.
CAPÍTULO VII
DA SEGURANÇA E DAS BOAS PRÁTICAS
Seção I
Da Segurança e do Sigilo de Dados
Art. 24. O Senado Federal e aqueles que, sob sua determinação, atuarem na condição de operadores de tratamento de dados pessoais, adotarão medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Parágrafo único. As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção até a conclusão de sua execução.
Art. 25. O Senado Federal comunicará à ANPD e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante.
Parágrafo único. A comunicação será feita em prazo razoável, conforme definido em regulamentação específica, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Art. 26. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos neste Ato, na Lei nº 13.709, de 2018, e demais normas pertinentes.
Seção II
Das Boas Práticas e da Governança
Art. 27. O Senado Federal elaborará regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais, nos termos do art. 50 da Lei nº 13.709, de 2018.
CAPÍTULO VIII
DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 28. As solicitações do titular sobre o tratamento de seus dados pessoais não se confundem com os requerimentos de informações realizados no âmbito da Lei nº 12.527, de 2011 (Lei de Acesso à Informação).
Art. 29. Compete à Diretoria-Geral:
I - designar os encarregados pelo tratamento de dados pessoais, bem como estabelecer normas complementares sobre suas atribuições, nos termos dos arts. 19 e 22 deste Ato;
II - expedir normas regulamentares necessárias ao cumprimento deste Ato;
III - assegurar o cumprimento das normas relativas à proteção dos dados pessoais, de forma adequada aos objetivos da Lei nº 13.709, de 2018, e deste Ato, observadas as regras que regem o processo legislativo e as atividades administrativas da Casa;
IV - recomendar à Comissão Diretora as medidas indispensáveis à implementação e ao aperfeiçoamento das normas e procedimentos necessários ao correto cumprimento do disposto na Lei nº 13.709, de 2018, e neste Ato;
V - orientar as demais unidades da estrutura organizacional do Senado Federal no que se refere ao cumprimento do disposto na Lei nº 13.709, de 2018, e neste Ato;
VI - formular e celebrar os termos de opção com os gabinetes parlamentares, as lideranças partidárias, as frentes parlamentares e as unidades cuja chefia seja exercida por parlamentares, previstos no art. 19 deste Ato;
VII - monitorar a implementação das ações e a aplicação da Lei nº 13.709, de 2018, e deste Ato.
Art. 30. Este Ato entra em vigor na data de sua publicação.
Senado Federal, 3 de dezembro de 2020. Senador Davi Alcolumbre, Presidente do Senado Federal.
Publicado:
- Boletim Administrativo do Senado Federal nº 7620, seção 2, de 04/12/2020, p. 1.