Proteção de dados pessoais
Em cumprimento ao disposto no inciso I do art. 23 da Lei nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais LGPD), o Instituto Nacional de Metrologia, Qualidade e Tecnologia – Inmetro informa as hipóteses em que, no exercício de suas competências, realiza o tratamento de dados pessoais, as previsões legais, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.
Previsão legal para o tratamento de dados pessoais no Inmetro
O Instituto Nacional de Metrologia, Qualidade e Tecnologia – Inmetro uma autarquia federal, vinculada à Secretaria Especial de Produtividade, Emprego e Competitividade, do Ministério da Economia, que atua como Secretaria Executiva do Conselho Nacional de Metrologia, Normalização e Qualidade Industrial (Conmetro). Este é o órgão normativo do Sistema Nacional de Metrologia, Normalização e Qualidade Industrial (Sinmetro).
Objetivando integrar uma estrutura sistêmica articulada, Sinmetro, Conmetro e Inmetro foram criados pela Lei 5.966, de 11 de dezembro de 1973.
No âmbito de sua ampla missão institucional, o Inmetro objetiva fortalecer as empresas nacionais, aumentando sua produtividade por meio da adoção de mecanismos destinados à melhoria da qualidade e da segurança de produtos e serviços.
De acordo com a PORTARIA Nº 2, DE 4 DE JANEIRO DE 2017, constituem as finalidades do Inmetro:
I – elaborar e expedir regulamentos técnicos nas áreas determinadas pelo Conselho Nacional de Metrologia, Normalização e Qualidade Industrial – CONMETRO;
II – elaborar e expedir regulamentos técnicos sobre o controle metrológico legal e instrumentos de medição; III – exercer o poder de polícia administrativa na área de metrologia legal, que poderá ser delegado a órgãos ou entidades de direito público;
IV – exercer poder de polícia administrativa, expedindo regulamentos técnicos nas áreas de avaliação da conformidade de produtos, insumos e serviços, desde que não constituam objeto da competência de outros órgãos ou entidades da administração pública federal, quanto a: a) segurança; b) proteção da vida e da saúde humana, animal e vegetal; c) proteção do meio ambiente; e d) prevenção de práticas enganosas de comércio;
V – executar, coordenar e supervisionar as atividades de metrologia legal e de avaliação da conformidade compulsória por ele regulamentadas ou exercidas por delegação;
VI – atuar como órgão acreditador oficial de organismos de avaliação da conformidade;
VII – registrar objetos sujeitos a avaliação da conformidade compulsória;
VIII – planejar e executar atividades de pesquisa, ensino e desenvolvimento científico e tecnológico em metrologia, avaliação da conformidade e áreas afins;
IX – prestar serviços de transferência tecnológica e de cooperação técnica voltados à inovação e à pesquisa científica e tecnológica em metrologia, avaliação da conformidade e áreas afins;
X – prestar serviços voltados à inovação nas empresas nacionais;
XI – produzir e alienar materiais de referência, padrões metrológicos e produtos relacionados;
XII – realizar contribuições a entidades estrangeiras congêneres, cujos interesses estejam amparados em acordos firmados entre si ou entre os respectivos países, como uma única ação;
XIII – designar entidades públicas ou privadas para a execução de atividades técnicas nas áreas de metrologia e de avaliação da conformidade, no âmbito de sua competência regulamentadora;
XIV – atuar como órgão oficial de monitoramento da conformidade aos princípios das boas práticas de laboratório;
XV – conceder bolsas de pesquisa científica e tecnológica para o desenvolvimento de tecnologia de produto ou de tecnologia de processo, de caráter contínuo, diretamente ou por intermédio de parceria com instituições públicas ou privadas;
XVI – estabelecer parcerias com entidades de ensino para a formação e especialização profissional nas áreas de sua atuação, inclusive para programas de residência técnica;
XVII – anuir no processo de importação de produtos, por ele regulamentados, que estejam sujeitos a regime de licenciamento não automático ou a outras medidas de controle administrativo prévio ao despacho para consumo; e
XVIII – representar o País em foros regionais, nacionais e internacionais sobre avaliação da conformidade.
Bases legais para o tratamento de dados pessoais no âmbito do Inmetro
Sem prejuízo do tratamento não alcançado pelo escopo da LGPD, identifica-se como bases preponderantes para o tratamento de dados pessoais no âmbito do Inmetro o disposto nos incisos II e III do art. 7º da Lei nº 13.709/2018:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
[...]
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
O tratamento de dados pessoais pelo Inmetro destina-se ao exercício de suas competências legais, bem como para o tratamento e uso compartilhado de dados necessários ao acompanhamento, monitoramento e execução de políticas públicas.
Procedimentos e práticas para tratamento de dados pessoais
Referencial Normativo
Há uma série de normativos brasileiros que dispõe sobre o direito de acesso à informação, bem como salvaguardas à certos tipos de dados, que são observados pelo Inmetro no exercício de suas funções.
A Lei nº 12.527/2011, conhecida como Lei de Acesso à Informação (LAI) regulamenta o acesso a informações previsto na Constituição Federal, particularmente no inciso XXXIII do art. 5º:
“Todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado”.
A LAI estabelece normas gerais para o acesso e o tratamento de dados pessoais produzidos ou custodiados em bases públicas. Sobre os dados pessoais que afetem à intimidade, vida privada, honra e imagem das pessoas, bem como suas liberdades e garantias individuais, a lei dispõe que:
I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem;
Cabe destacar que a restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido.
Quanto à designação de responsabilidades sobre decisões, ações e procedimentos, que abrangem o tratamento de dados pessoais no Inmetro, cabe destacar:
-
Portaria Inmetro nº 323, de 2020: instituiu e regulamentou o funcionamento do Comitê de Governança Digital do Inmetro (CGD), composto por colegiado estratégico e de natureza deliberava, para tratar de assuntos relativos à Governança e Gestão de Tecnologia da Informação e Comunicação, tais como: digitalização dos serviços públicos, transparência e abertura de dados, fomento e implementação das práticas de Governança e Gestão de TIC.
-
Portaria Inmetro nº 324, de 2020: designou membros do Subcomitê de Governança Digital do Inmetro para prestar apoio aos membros do Comitê de Governança Digital do Inmetro - CGD, quando couber.
-
Portaria Inmetro nº 327, de 2020: designou servidores para exercer a função de interlocutor de UP, junto à Ouvidoria do Inmetro, para articulação e operacionalização das demandas oriundas de acesso à informação, conforme preconiza a Lei nº 12.527, de 18 de novembro de 2011 e legislação relacionada, a implementação do Plano de Dados Abertos do Inmetro, conforme Decreto nº 8.777/16, e a análise das sugestões de desburocratização registradas no sistema “Simplifique!”, conforme Decreto nº 9.094/17.
-
Portaria Inmetro nº 260, de 2020: designou a Ouvidora para exercer a função de encarregada do Inmetro, nos termos do Art. 23, III da Lei nº 13.709/2018 (LGPD) e instituiu o Comitê de Implementação e Atendimento à LGPD – CLGPD – para exercer a função de interlocução das unidades organizacionais do Inmetro, junto à encarregada, para articulação e operacionalização das demandas oriundas de dados pessoais, conforme preconizado da LGPD.
-
Portaria Inmetro nº 427, de 2019: designou a Ouvidora para exercer as atribuições estabelecidas no art. 40, da Lei nº 12.527/2011, no âmbito do Inmetro.
Procedimentos adotados pelo Inmetro no tratamento de dados pessoais
Quanto às normas procedimentais que regem o tratamento de dados pessoais no Inmetro ou que referem, de forma explícita ou implícita, protocolos a serem seguidos, cabe destacar:
-
NIG-Ouvid-009: estabelece os critérios para a classificação de informações no Inmetro, no âmbito da LAI e do Decreto Nº 7.724/2012.
-
NIG-Ouvid-012: estabelece os requisitos para tratamento das manifestações registradas pelo Sistema de Informação ao Cidadão (SIC), implantado na Ouvidoria do Inmetro, relativas às atividades do Instituto, nos termos da LAI.
-
NIG-Gabin-045: disciplina a aplicação das restrições previstas na Lei de Acesso à Informação (LAI) nos processos e documentos contidos no Sistema Eletrônico de Informações (SEI) do Inmetro.
-
NIG-Dplan-010: contempla procedimentos para o usuário obter acesso aos serviços de rede, bem como regras e regulamentos necessários para orientá-los na utilização destes serviços.
-
NIG-Dplan-011: contempla diretrizes e orientações básicas para o uso de dispositivos móveis e rede local sem fio (rede Wireless) no Inmetro.
-
NIG-Dplan-012: contempla procedimentos para o usuário obter acesso aos serviços de internet, bem como regras necessárias para orientá-los na utilização destes serviços.
-
NIG-Dplan-015: contempla procedimentos a serem utilizados na elaboração, levantamento, desenvolvimento, contratação, execução, disponibilização, hospedagem e cancelamento de sistema de informação no Inmetro.
-
NIG-Dplan-016: contempla as regras para conexão a bancos de dados de informações corporativas.
Como procedimentos internos destinados à proteção e segurança da informação, o que engloba os tratamentos dos dados pessoais, o Inmetro adota:
-
Controle e registro de acesso individualizado a sistemas internos, em alguns com definição de perfis específicos;
-
Exigência de login e senha do usuário para acesso às estações de trabalho;
-
Registro de logs de ações e consultas em alguns sistemas;
-
Monitoramento de operações realizadas nos bancos de dados;
-
Execução periódica de backups.
Convém lembrar que o cuidado com os dados pessoais já vinha sendo praticado no Inmetro em obediência a legislações anteriores, como a Lei de Acesso à Informação e seu Decreto regulamentador, nº 7.724/2012. Esses normativos já prescreviam restrição de acesso a informações pessoais.
Quando adotou o uso do SEI, o Inmetro desenvolveu um trabalho de capacitação e orientação de sua força de trabalho, que envolveu a orientação de que todos fizessem o curso “Sistema Eletrônico de Informações - SEI! USAR”, oferecido pela ENAP, conhecessem o Manual de Boas Práticas do SEI e a Norma Inmetro sobre APLICAÇÃO DA LEI DE ACESSO À INFORMAÇÃO NO SEI/INMETRO.
Além disso, as pessoas que trabalham diretamente com o atendimento à Lei de Acesso à Informação foram orientadas a fazer o curso Acesso à Informação e, mais recentemente, os cursos Introdução à Lei Brasileira de Proteção de Dados Pessoais e Proteção de Dados Pessoais no Setor Público, todos oferecidos pela Escola Nacional de Administração Pública – Enap.
Ações tomadas pelo Inmetro em relação à LGPD
O Inmetro vem realizando diversas ações de adequação à LGPD. Nomeou a Ouvidora como Encarregada (Portaria Inmetro nº 260, de 2020), e instituiu o Comitê de Implementação e Atendimento à LGPD – CLGPD, para exercer a função de interlocução das unidades organizacionais do Inmetro, para articulação e operacionalização das demandas oriundas de dados pessoais, conforme preconizado na Lei nº 13.709, de 2018.
O Comitê se reúne quinzenalmente para planejar e monitorar ações de adequação e várias ações já foram realizadas desde sua instituição, tais como:
-
Capacitação da Encarregada e de membros do CLGPD;
-
Identificação do Controlador e dos Operadores (art. 5º e 37º a 40º da LGPD);
-
Planejamento e execução de campanha de comunicação interna;
-
Realização do Inventário de Dados Pessoais, que envolve o mapeamento dos processos e dos serviços que tratam de dados pessoais na Instituição, identificação dos dados tratados, bem como das finalidades e hipóteses de tratamento, e transferências de dados (em fase de finalização);
-
Resposta à Auditoria do Tribunal de Contas da União (TCU);
-
Criação de fluxo para recebimento e tratamento de requerimentos dos titulares de dados
Direitos dos titulares de dados pessoais
Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos do artigo 17º da LGPD.
O titular dos dados pessoais tem direitos, que podem ser exercidos mediante requerimento expresso ao Inmetro. Seus direitos são: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; eliminação dos dados pessoais, entre outros.
Para apresentar requerimento ao Inmetro, com fundamento na LGPD, utilize a Plataforma Fala.BR.
Encarregado pelo Tratamento de Dados Pessoais
O Encarregado pelo Tratamento de Dados Pessoais é um agente previsto na Lei Geral de Proteção de Dados Pessoais (LGPD). A pessoa que assume essa função atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
As atividades do encarregado também englobam aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências e orientar os funcionários e os contratados do órgão a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
No Inmetro esse papel é desempenhado pelo titular da Ouvidoria:
José Araújo Souza Neto
e-mail para orientações e esclarecimentos de dúvidas: [email protected]
Relatórios e auditorias TCU
- Auditoria sobre diagnóstico do grau de implementação da LGPD na administração pública federal - TC 039.606/2020-1