Política de privacidade
POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE SÃO PAULO
Art. 1o A PolíEca de Proteção de Dados visa estabelecer diretrizes e compromissos insEtucionais sobre o tratamento de dados pessoais, nos meios Msicos e digitais, para proteção dos direitos fundamentais de liberdade, segurança e de privacidade no âmbito do InsEtuto Federal de Educação, Ciência e Tecnologia de São Paulo – IFSP e será balizada pelo seguinte arcabouço legal: I. Lei 13.709/2018 — Lei Geral de Proteção de Dados Pessoais — LGPD;
II. Lei no 12.527, de 18 de novembro de 2011, regula o acesso a informações previsto no inciso
XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da ConsEtuição Federal;
altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111, de 5 de maio de 2005,
e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências.
III. Lei no 8.078, de 11 de setembro de 1990 dispõe sobre a proteção do consumidor e dá
outras providências;
IV. Lei no 12.414, de 9 de junho de 2011, disciplina a formação e consulta a bancos de dados
com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação
de histórico de crédito;
V. Decreto-Lei no 5.452, de 1o de maio de 1943 - aprova a Consolidação das Leis do Trabalho;
VI. Lei 13.787/2018 que dispõe sobre a digitalização e a uElização de sistemas informaEzados
para a guarda, o armazenamento e o manuseio de prontuário de paciente;
VII. Lei no 13.874, de 20 de setembro de 2019 - InsEtui a Declaração de Direitos de Liberdade
Econômica; estabelece garantias de livre mercado...;
VIII. ABNT NBR ISO/IEC 27.701/2019 este documento especifica os requisitos e fornece as
diretrizes para o estabelecimento, implementação, manutenção e melhoria con\nua de um
Sistema de Gestão de Privacidade da Informação - SGPI na forma de uma extensão das ABNT
NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para a gestão da privacidade dentro do contexto
da organização;
IX. ABNT NBR ISO/IEC 29134 – Tecnologia da Informação – Técnicas de Segurança – Avaliação
de Impacto de Privacidade – Diretrizes; e
X. ABNT NBR ISO/IEC 29151 – Tecnologia da Informação – Técnicas de Segurança – Código de
Prática para Proteção de Dados Pessoais.
XI. Portaria n.° 4296, de 14 de dezembro de 2020. Aprova a atualização da PolíEca de
Segurança da Informação e Comunicação - PoSIC no âmbito do InsEtuto Federal de Educação,
Ciência e Educação de São Paulo - IFSP.
Art. 2o São fundamentos da Política de Proteção de Dados Pessoais do IFSP:
I. o respeito à privacidade;
II. a autodeterminação informativa;
III. a liberdade de expressão, de informação, de comunicação e de opinião;
IV. a inviolabilidade da intimidade, da honra e da imagem;
V. o desenvolvimento econômico e tecnológico e a inovação;
VI. a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII. os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da
cidadania pelas pessoas naturais.
Art. 3o A abrangência da PolíEca de Proteção de Dados Pessoais do IFSP recai sobre o tratamento de quaisquer dados considerados pessoais, como nome, endereço, e-mail, idade, estado civil e situação patrimonial, obEdo em qualquer Epo de suporte: papel, eletrônico, informáEco, som e imagem, bem como a idenEficação de seus responsáveis pelo controle, operação e tratamento.
Art. 4o As finalidades das aEvidades de tratamento de dados pessoais serão desenvolvidas para a execução de ações voltadas para a proteção de dados no InsEtuto Federal de Educação, Ciência e Tecnologia de São Paulo, respeitados os princípios de proteção de dados pessoais relacionados à privacidade, intimidade e segurança jurídica.
Art. 5o A Política de Proteção de Dados Pessoais seguirá aos seguintes princípios:
I. A adequação do tratamento com as finalidades informadas ao Etular, de acordo com o
contexto do tratamento.
II. Necessidade de limitação do tratamento ao mínimo necessário para a realização das
finalidades, proporcionais e não excessivas em relação às finalidades do tratamento de dados.
III. Livre acesso de garanEa, aos Etulares, de consulta facilitada e gratuita sobre a forma e a
duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
IV. Qualidade dos dados na garanEa, aos Etulares, de exaEdão, clareza, relevância e atualização
dos dados, de acordo com a necessidade e para o cumprimento da finalidade.
V. Transparência na garanEa, aos Etulares, de informações claras, precisas e facilmente
acessíveis sobre o tratamento e os respectivos agentes de tratamento.
VI. Segurança na uElização de medidas técnicas e administraEvas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração e descarte de dados.
VII. Prevenção e adoção de medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais.
VIII. Não discriminação garanEndo a impossibilidade de realização do tratamento para fins
discriminatórios ilícitos ou abusivos.
IX. Responsabilização e prestação de contas com demonstração, pelo agente, da adoção de
medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de
proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 6o Para fins desta política de Proteção de Dados Pessoais, entende-se por:
§ 1o Dado pessoal: informação relacionada a pessoa natural idenEficada ou idenEficável; nome,
sobrenome, apelido, idade, documentos de idenEdade, endereço Residencial, endereço
eletrônico (IP), placas de automóveis, perfil de compras, geolocalização, testemunhos de
conexão (cookies), idenEficador de publicidade do telefone, dados médicos que permitem
idenEficação, independente de como forem e aqueles usados para formação do perfil
comportamental de uma pessoa natural, se identificada.
§ 2o Dados sensíveis são dados que devem receber tratamento diferenciado: sobre origem
racial ou étnica; convicções religiosas; opiniões políEcas; filiação a sindicatos ou a organizações
de caráter religioso, filosófico ou políEco; dados referentes à saúde ou à vida sexual; e dados
genéticos ou biométricos quando vinculados a uma pessoa natural.
§ 3o O tratamento de dados sensíveis só poderá ocorrer nas seguintes hipóteses:
a) consentimento pelo titular, de forma específica e destacada, para finalidades específicas;
b) sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
1. cumprimento de obrigação legal ou regulatória pelo controlador;
2. tratamento comparElhado de dados necessários à execução, pela administração pública, de
políticas públicas previstas em leis ou regulamentos;
3. realização de estudos por órgão de pesquisa;
4. exercício regular de direitos, inclusive em contrato e em processo judicial, administraEvo e
arbitral;
5. proteção da vida ou da incolumidade física do titular ou de terceiro;
6. tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde,
serviços de saúde ou autoridade sanitária; ou
7. garanEa da prevenção à fraude e à segurança do Etular, nos processos de idenEficação e
autenEcação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
§ 4o Dado anonimizado como sendo o dado relaEvo a Etular que não possa ser idenEficado,
considerando a uElização de meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento;
§ 5o Titular a pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento;
§ 6o Controlador é a pessoa jurídica, personificada como IFSP, responsável por tomar as
decisões referentes ao tratamento de dados pessoais e por definir a finalidade de seu
tratamento.
§ 7o Recepção, classificação, uElização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração.
§ 8o Encarregado é pessoa indicada pelo controlador e operador para atuar como canal de
comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de
Dados (ANPD), nomeado em Portaria própria;
§ 9o Tratamento é toda operação realizada com dados pessoais, como as que se referem a
coleta, produção, recepção, classificação, uElização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle
da informação, modificação, comunicação, transferência, difusão ou extração;
§ 10o Relatório de impacto à proteção de dados pessoais é a documentação do controlador que
contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de
miEgação de risco; Autoridade nacional: órgão da administração pública responsável por zelar,
implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
DOS DADOS PESSOAIS DO TRATAMENTO DE DADOS PESSOAIS
Art. 7o Toda e qualquer aEvidade de tratamento de dados pessoais, especialmente
quando baseado no legíEmo interesse, deve ser registrada, desde a sua coleta até a sua
exclusão, indicando:
I. quais tipos de dados pessoais serão coletados,
II. a base legal que autoriza os seus usos,
III. as suas finalidades,
IV. o tempo de retenção,
V. as práticas de segurança de informação para o seu armazenamento,
VI. com quem os dados podem ser compartilhados — Data Mapping
§ 1o Após aEngido o fim específico a que se desEna o dado pessoal, caberá ao operador do dado
a sua eliminação, ressalvada a necessidade de mantê-lo para fins na legislação específica,
seguindo a tabela de temporalidade de manutenção de dados de áreas meio, editadas pelo
Conarq, e das áreas fins editada pelas Instituições Federais de Ensino, elencadas no anexo I e II;
Art. 8o Cabe ao controlador definir o processo formal para registro e cancelamento de operadores.
Art. 9o Os operadores deverão manter pública a informação sobre os Epos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos.
PARÁGRAFO ÚNICO São considerados operadores:
I- A pessoa jurídica do IFSP quando as operações de tratamento de dados pessoais forem
realizadas no instituto. Neste caso o IFSP é controlador e operador;
II- A pessoa jurídica ou pessoa Msica contratada pelo IFSP para realizar o tratamento de dados
pessoais.
Art. 10 O tratamento de qualquer dado sensível, que não expresso lei já vigente, ou em termo de consenEmento prévio ou não atrelado a aEvidade fim do IFSP fica vedado à parEr da promulgação da vigência desta portaria. A exceção se aplica ao interesse da administração que, atentando-se à legalidade e controles necessários, autoriza formalmente seu tratamento em documento assinado pelo reitor da instituição.
Art. 11 O IFSP revisará todos os seus formulários de cadastro que possam conter dados pessoais quanto à sua obrigatoriedade de mantê-los ou não.
Art. 12 Qualquer Etular de dados pessoais que tenha seus dados tratados pelo IFSP em solo nacional, poderá requerer, quando houver violação de direitos, a revisão e exclusão de seus dados mediante o tratamento previsto na legislação.
Art. 13 Os documentos que contenham dados pessoais sensíveis deverão ter tratamento previsto em lei e sua divulgação em quaisquer meios deverão ser autorizadas expressamente pelo Controlador de Dados.
Art. 14 É vedada a transferência à enEdades privadas dados pessoais constantes de
bases de dados a que tenha acesso, exceto:
I. nos casos de execução descentralizada de aEvidade pública que exija a transferência,
exclusivamente para esse fim específico e determinado, nos casos em que os dados forem
acessíveis publicamente.
II. quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou
instrumentos congêneres (devem ser comunicados à ANPD).
III. na hipótese de a transferência dos dados objeEvar exclusivamente a prevenção de fraudes e
irregularidades, ou proteger e resguardar a segurança e a integridade do Etular dos dados,
desde que vedado o tratamento para outras finalidades.
Art. 15 Não será exigido dos agentes termo de consenEmento para tratamentos de
dados pessoais dos cadastrados nos documentos insEtucionais do IFSP, nos termos do arEgo 11,
II da Lei 13.709/2018, com base nas seguintes previsões normativas:
I - Servidores – Lei 8.112/1990, Lei n. 11.091/2005 Lei 12.772/2021 e resoluções insEtucionais
internas.
II – Alunos – Lei 9394/1996, Resolução IFSP no. 62, de 7 de agosto de 2018 - Aprova a
Organização DidáEca dos Cursos da Educação Básica do IFSP e Resolução IFSP no. 147, de 6 de
dezembro de 2016 - Aprova a Organização DidáEca dos Cursos Superiores de Graduação do
IFSP.
III – Terceirizados Lei 9394/1996, Manual de Fiscalização de Contratos AdministraEvos do
Instituto Federal de Educação, Ciência e Tecnologia de São Paulo – IFSP
IV – Pessoas inscritas em processos seleEvos para alunos - Lei no 12.711, 29 de agosto de 2011 -
Dispõe sobre o ingresso nas universidades federais e nas insEtuições federais de ensino técnico
de nível médio e dá outras providências - Ações AfirmaEvas; Portaria MEC no 21, de 05 de
novembro de 2012 - Dispõe sobre o Sistema de seleção Unificada – SiSU; Resolução IFSP no. 62,
de 7 de agosto de 2018, aprova a Organização DidáEca dos Cursos da Educação Básica do IFSP e
Resolução IFSP no. 147, de 6 de dezembro de 2016, aprova a Organização DidáEca dos Cursos
Superiores de Graduação do IFSP,
V - Pessoas inscritas em processos seleEvos para servidores efeEvos. Lei 8112/1990, Lei no
8.745, de 9 de dezembro de 1993.
VI - Pessoas inscritas em processos seleEvos para servidores subsEtutos Decreto no 9.739, de 28
de março de 2019.
VII – Fornecedores cadastrados como pessoas físicas, Lei 9666/1993
VIII – Visitantes.
Art. 16 Caberá ao Encarregado de Proteção de Dados Pessoais:
I – Receber solicitações, reclamações ou ordens de autoridades execuEvas ou judiciais sobre
possíveis violações de dados pessoais;
I – Identificar dados pessoais que possam ser compartilhados com terceiros;
III – Criar plano de respostas a incidentes que abrange possíveis violações de dados pessoais;
IV – Registrar incidentes de segurança da informação que envolvem violação de dados pessoais;
V - Monitorar os eventos de segurança da informação que são associados à violação de dados
pessoais para adotar medidas necessárias caso ocorram;
VI - comunicar à Autoridade Nacional de Proteção de Dados - ANPD e ao Etular a ocorrência de
incidente de segurança da informação que possa acarretar risco ou dano relevante aos Etulares
através do endereço eletrônico: ctir@ctir.gov.br.
Art. 17 Os locais de armazenamento de arquivos são considerados todos os dispositivos computacionais e os arquivos físicos na sede da Reitoria e dos Câmpus.
Art. 18 A Ouvidoria do IFSP enviará ao Encarregado pelo Tratamento de Dados Pessoais eventuais demandas recebidas no âmbito insEtucional no que se refere a eventuais violações de privacidade de dados tratados pelo IFSP.
Art. 19 A Comissão de Análise e Implementação da Lei Geral de Proteção de Dados
no âmbito do IFSP - CGPD coordenará o diagnósEco, planejamento e implantação do Programa
de Proteção de Dados do IFSP.
§ 1o Compete à CGPD no âmbito do IFSP:
I. Propor ações de idenEficação e classificação dos dados previstos na LGPD nas bases de dados,
documentos e processos do IFSP;
II. Auxiliar no diagnósEco como forma de subsidiar o Programa Permanente de Proteção de
Dados do IFSP;
III. Auxiliar no planejamento e implantação do Programa de Proteção de Dados do IFSP com a
colaboração das Pró-reitorias, Diretorias Sistêmicas e Campus;
IV. Auxiliar o encarregado e o controlador na execução dos projetos de implantação do
Programa de Proteção de Dados do IFSP na Reitoria e nos Câmpus;
V. Promover a produção da política de proteção e conservação de dados;
VI. Auxiliar na promoção, formação e divulgação desta resolução a toda a comunidade do IFSP.
Relatório de Impacto de Privacidade (RIPD)
Art. 20 Consiste na Documentação que o controlador deve manter e atualizar, que contenha a descrição dos processos de tratamento de dados pessoais que podem gerar riscos aos direitos dos Etulares, além das medidas, salvaguardas e mecanismos de miEgação desses riscos.
Art. 21 A metodologia do RIPD deverá se basear na General Data ProtecEon RegulaEon (GDPR), art. 35, e deverá permiEr o mapeamento dos riscos e o status da conformidade.
Art. 22 O Relatório de Impacto de Privacidade de Dados, quando solicitado pela
Autoridade Nacional de Proteção de Dados - ANPD, deverá relatar sobre o tratamento de dados,
baseado no legíEmo interesse, respeitados os segredos comercial e industrial, conforme art.
10,§ 3o da LGPD, contendo, ao menos:
I. Tipos de dados coletados;
II. Metodologia para a coleta;
III. Análise do controlador com relação às medidas, salvaguardas e mecanismos adotados para
mitigação dos riscos;
IV. Operadores autorizados para tais processos.
Dos Dados para Estudo e Pesquisa
Art. 23 Para estudos em saúde pública os órgãos de pesquisa poderão acessar dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e manEdos em ambiente controlado e seguro, não permitida, em hipótese alguma, a transferência para terceiros.
Art. 24 A solicitação para a coleta de dados deverá ser encaminhada ao Controlador pelo Diretor Geral de câmpus ou Pró-reitor a que responde o servidor solicitante, mediante prévia aprovação no Comitê de Ética em Pesquisa do IFSP;
Art. 25 Os pesquisadores solicitantes passam a ser responsáveis pelo tratamento dos
dados e, para isso, devem indicar em seus pedidos, ao Comitê de ÉEca em Pesquisa, quais serão
os dados necessários para o desenvolvimento de sua pesquisa.
§ 1o Quando envolver dados pessoais ou sensíveis, deve ser acrescidas nas jusEficaEvas do
pedido a devida justificativa quanto a estrita necessidade de sua solicitação e aplicação;
Art. 26 Os dados serão submeEdos à anonimização ou pseudonimização, tratamento
por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um
indivíduo, senão pelo uso de informação adicional manEda separadamente pelo controlador em
ambiente controlado e seguro.
Parágrafo único. A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa,
em nenhuma hipótese poderá revelar dados pessoais ou informações que possibilite idenEficar
os titulares dos dados.
Dados Pessoais de Crianças e Adolescentes
Art. 27 Deverá ser realizado em seu melhor interesse e mediante o consenEmento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. § 1o Será dispensado o termo de consentimento quando a coleta tiver finalidade prevista em lei.
Art. 28 Poderão ser coletados dados pessoais de crianças, sem o consenEmento, quando for necessário para contatar os pais ou o responsável legal, uElizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento.
Art. 29 As informações sobre o tratamento de dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as caracterísEcas Msico-motoras, percepEvas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
DAS RESPONSABILIDADES DOS AGENTES
Art. 30 É solidária entre os agentes de tratamento para a indenização de danos
patrimoniais e morais, individuais ou coleEvos. Aquele que reparar o dano ao Etular tem direito
de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
§ 1o Em caso de responsabilização objetiva por agentes externos ao IFSP é possível a inversão do
ônus da prova.
Art. 31 Os operadores respondem solidariamente com o controlador em caso de descumprimento da LGPD, desta Portaria ou quando não Everem seguido as instruções do controlador.
Art. 32 O controlador que esEver diretamente envolvido no tratamento do qual decorreram danos ao Etular dos dados responde solidariamente, de acordo com a vigência temporal de sua responsabilidade legal, estabelecido em ato normativo.
Art 32 A parEcipação da alta administração, como controlador de dados para a implantação, suporte e procedimento de tratamento de dados é de responsabilidade solidária aos agentes dessas ações no âmbito da instituição.
Da Exclusão de Responsabilidades dos Agentes
Art. 33 Isentam-se os agentes de responsabilização nas seguintes situações:
I. Inocorrência de violação à legislação de proteção de dados;
II. quando comprovado que não tenham realizado o tratamento de dados pessoais;
III. Comprovação de que o dano é decorrente por culpa exclusiva do Etular de dados ou de
terceiros.
IV. Quando reportado ao encarregado pelo tratamento de dados sobre possíveis falhas em
sistemas ou acesso a dados pessoais que não estão em sua competência.
V. Quando documentar e subsidiar os mecanismos adotados pela insEtuição para que seja
garanEda a privacidade dos dados dos Etulares, enfaEzando as perspecEvas técnicas e
tecnologias disponíveis no Instituto Federal de Educação, Ciência e Tecnologia de São Paulo.
DAS DISPOSIÇÕES TRANSITÓRIAS
Art. 34 Como complementação dos processos de implementação da PolíEca de
Proteção de Dados dos IFSP, caberá ao InsEtuto Federal de Educação, Ciência e Tecnologia de
São Paulo, a coordenação da Análise e Implementação da Lei Geral de Proteção de Dados no
âmbito do IFSP, implementar:
I. a PolíEca de Classificação da Informação deve fornecer diretrizes para assegurar que a
informação receba um nível adequado de proteção, de acordo com a sua importância para a
organização.
II. a PolíEca de Proteção de Dados Pessoais deve estar alinhada com a PolíEca de Segurança da
Informação e com a PolíEca de Classificação da Informação e prover apoio e compromeEmento
do IFSP para alcançar a conformidade com os normativos de proteção de dados pessoais.
III. a PolíEca de Proteção de Dados Pessoais pode ser definida e publicada em documento
específico ou incluída no texto da Política de Segurança da Informação já existente.
IV. Plano de Capacitação que determina as competências necessárias para os recursos humanos
envolvidos em atividades que realizam o tratamento de dados pessoais.
a) O Plano de Capacitação deve mapear as lacunas de conhecimento associadas ao tema, bem
como planejar ações de treinamento para redução dessas lacunas.
b) Promover a difusão e conscienEzação dos conhecimentos relaEvos à Lei de Proteção de
Dados e desta PolíEca de Proteção de Dados Pessoais do InsEtuto Federal de Educação, Ciência
e Tecnologia de São Paulo.
V. implementar sistema para o registro das ações adotadas para prevenir e solucionar possíveis
incidentes que envolvem violação de dados pessoais.
a) O tratamento de incidentes pode envolver, quando realmente necessário e aceito pelas alta
Administração, a adoção de medidas para sua mitigação.
VI. propor normatização do armazenamento e trânsito de dados, visando sua segurança.
VII. Propor normas para assegurar que processos e sistemas sejam projetados, desde sua
concepção, até seu uso, em conformidade com a LGPD.
São Paulo, 18 de novembro de 2022.
Comissão de Análise e Implementação da Lei Geral de Proteção de Dados no Âmbito do IFSP – CGPD