FUNDAÇÃO UNIVERSIDADE FEDERAL DE SÃO CARLOS
CONSELHO UNIVERSITÁRIO - ConsUni
Rod. Washington Luís km 235 - SP-310, s/n - Bairro Monjolinho, São Carlos/SP, CEP 13565-905
Telefone: (16) 33518117 - http://www.ufscar.br
RESOLUÇÃO ConsUni Nº 29, DE 13 de maio de 2025
|
Institui a Política de Privacidade e Proteção de Dados Pessoais (PPDP) da Universidade Federal de São Carlos. |
O Conselho Universitário da Universidade Federal de São Carlos, no exercício das suas atribuições legais e daquelas que lhe conferem o Estatuto e o Regimento Geral da UFSCar, reunido para sua 281ª reunião ordinária, realizada em 25 de abril de 2025, tendo em vista a documentação acostada nos autos do Proc. nº 23112.038258/2024-01,
R E S O L V E
Art. 1º Fica instituída a Política de Privacidade e Proteção de Dados Pessoais da Universidade Federal de São Carlos, nos termos do Anexo à presente Resolução.
Art. 2º Esta Resolução entra em vigor na data de sua publicação no Boletim de Serviço Eletrônico do SEI-UFSCar.
Profa. Dra. Ana Beatriz de Oliveira
Presidente do Conselho Universitário
_________________________________________________________________________________________________
Anexo à Resolução ConsUni nº 29, de 13 de maio de 2025.
Política de Privacidade e Proteção de Dados Pessoais da Universidade Federal de São Carlos
Art. 1º A Política de Privacidade e Proteção de Dados Pessoais (PPDP) da Universidade Federal de São Carlos (UFSCar), foi elaborada em consonância com as disposições contidas na Lei no 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), na Lei nº 12.527, de 18 de novembro de 2011, Lei de Acesso a Informação (LAI), e em outras normas aplicáveis ao assunto.
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 2º A Política de Privacidade e Proteção de Dados Pessoais da Universidade Federal de São Carlos tem como objetivo disciplinar o tratamento e a proteção de dados pessoais, a aprovação ou a revogação do acesso aos dados pessoais e aos dados pessoais sensíveis, armazenados ou transmitidos por meio digital ou físico, estabelecendo o processo no qual os titulares dos dados poderão exercer seus direitos na Instituição.
Art. 3º Esta Política visa propiciar que a instituição exerça seu dever público de proteção de informações pessoais e sensíveis, que por várias razões sociais e legais não devem ser amplamente acessadas, enquanto concomitantemente atende as exigências de transparência e acesso à informação.
Art. 4º Para os fins do inciso XVIII do art. 5º, art. 7º, e alínea c, inciso II do art. 11 da Lei no 13.709/2018, a Universidade Federal de São Carlos e seus órgãos vinculados enquadram-se como entes de pesquisa, observadas as normas do sistema CEP/CONEP.
CAPÍTULO II
DOS FUNDAMENTOS E APLICAÇÃO
Art. 5º São valores da instituição no tratamento das informações pessoais e sensíveis:
I - a coleta e tratamento de dados pessoais exclusivamente necessários à execução de políticas públicas, previstas em leis e regulamentos, ou respaldadas em contratos, convênios ou instrumentos congêneres;
II - o respeito e a proteção da privacidade dos titulares dos dados pessoais;
III - a transparência no tratamento de dados pessoais com os titulares e a sociedade como um todo;
IV - a responsabilização dos agentes de tratamento, nos termos da Lei;
V - a minimização e objetividade no tratamento de dados pessoais, no sentido de simplificar e desburocratizar a entrega de serviços públicos ao cidadão;
VI - a anonimização de dados pessoais, sempre que possível;
VII - o compartilhamento de dados da forma mais ampla possível, observadas as restrições legais, os requisitos de segurança da informação e o disposto na LGPD;
VIII - o reaproveitamento e compartilhamento de dados e de recursos de infraestrutura, sempre que possível, pelas unidades institucionais.
Art. 6º Os objetivos específicos desta Política são:
I - com a regulamentação institucional do tratamento das informações pessoais e sensíveis, garantir os direitos fundamentais de liberdade e de privacidade da pessoa natural, no âmbito da UFSCar;
II - garantir a proteção da informação sigilosa e da informação pessoal, observada a sua disponibilidade, autenticidade, integridade e eventual restrição de acesso;
III - estabelecer diretrizes para assegurar a conformidade da UFSCar com a LGPD e outras normas aplicáveis ao assunto, no exercício das suas funções e especialmente enquanto exerce o seu dever de acessibilidade e transparência como regulado pela LAI e normas afins;
IV - definir responsabilidades apropriadas para a garantia da privacidade e a proteção de dados pessoais, de acordo com as legislações e boas práticas recomendadas.
Art. 7º A Política em tratativa deverá incidir sobre os usuários dos sistemas de informação da Universidade, bem como sobre os dados armazenados em todos os meios de informação utilizados pela instituição e/ou em outras fontes de dados que possam vir a ser empregadas.
Art. 8º Esta Política se aplica:
I - a todos os servidores da UFSCar;
II - a todos os estudantes arrolados na instituição, em processo formativo de qualquer nível;
III - a todos os terceirizados, sejam eles pessoas físicas ou jurídicas, que atuam para ou em nome da UFSCar em operações que envolvam tratamento de dados pessoais realizadas no escopo das atividades conduzidas pela instituição;
IV - aos agentes de tratamento de dados pessoais externos à UFSCar que, de qualquer forma, se relacionem com a instituição; e,
V - aos titulares de dados pessoais e dados pessoais sigilosos, cujas informações são tratados pela instituição.
CAPÍTULO III
DAS DEFINIÇÕES
Art. 9º Para os efeitos do disposto nesta normativa e nos instrumentos a serem produzidos referentes ou em decorrência da Política de Privacidade e Proteção de Dados Pessoais (PPDP) consideram-se as seguintes terminologias:
I - titular de dados: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento (inciso V, art. 5º, LGPD);
II - dado pessoal: informação relacionada à pessoa natural (pessoa física) identificada ou identificável (inciso I, art. 5º, LGPD). Também são considerados dados pessoais aqueles utilizados para a formação do perfil comportamental de determinada pessoa natural, se identificada (§2º, art. 12, LGPD);
III - dado pessoal sensível: são os dados que revelam informações pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (pessoa física); diz respeito as informações que se relacionam à intimidade, vida privada, honra e imagem da pessoa humana (inciso II, art. 5º, LGPD);
IV - agentes de tratamento: o Controlador e o Operador (inciso IX, art. 5º, LGPD);
V - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (inciso VI, art. 5º, LGPD);
VI - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) (inciso VIII, art. 5º, LGPD);
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (inciso VII, art. 5º, LGPD);
VIII - administrador: unidade organizacional responsável pelo uso do dado e seu adequado tratamento;
IX - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (inciso XI, art. 5º, LGPD);
X - custodiante: unidade organizacional responsável pela custódia dos dados durante parte ou a totalidade de tratamento;
XI - autoridade Nacional de Proteção de Dados Pessoais (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei em todo o território nacional (inciso XIX, art. 5º, LGPD);
XII - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico (inciso IV, art. 5º, LGPD);
XIII - dado anonimizado: é dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (inciso III, art. 5º, LGPD);
XIV - pseudonimização: é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, pelo uso de informação adicional mantida separadamente pelo controlador em ambiente protegido e seguro;
XV - tratamento de dados: toda operação realizada com dados pessoais como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, avaliação, eliminação ou controle da informação, modificação, comunicação, transferência, difusão e extração (inciso X, art. 5º, LGPD);
XVI - atividades acadêmicas: todas as atividades realizadas no âmbito dos cursos e programas de educação superior de que trata o art. 44 da Lei 9.349, de 20 de dezembro de 1996, que estabelece a Lei de Diretrizes e Bases da Educação Nacional;
XVII - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entes privados (inciso XVI, art. 5º, LGPD);
XVIII - criança: pessoa até doze anos de idade incompletos, de acordo com o art. 2º da Lei nº 8069, de 13 de julho de 1990, que dispõe sobre o Estatuto da Criança e do Adolescente (ECA);
XIX - adolescente: pessoa entre doze e dezoito anos de idade, de acordo com o art. 2º da Lei 8069/1990.
CAPÍTULO IV
DAS DIRETRIZES
Art. 10. O tratamento de dados pessoais nos ambientes digitais e não digitais da UFSCar, em conformidade com sua natureza de instituição de direito público, terá como propósito o cumprimento de sua finalidade no atendimento do interesse do serviço público, com o objetivo de executar as competências ou cumprir as atribuições legais deste serviço.
§ 1º A UFSCar deve informar de forma transparente as hipóteses em que, no exercício de suas competências e/ou atribuições, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução destas atividades.
§ 2º Caso ocorram mudanças na finalidade para o tratamento de dados pessoais, não compatíveis com as hipóteses legais para tratamento desses dados pela Universidade, deverá ser solicitado o consentimento do titular dos dados.
§ 3º Os titulares serão informados da finalidade do tratamento e de suas mudanças por meio de vídeos, da formulação de políticas e normativas, por publicações em mídias de divulgação oficial, por publicações em portais eletrônicos ou qualquer outro meio hábil e acessível.
Art. 11. Contratos, convênios, acordos de cooperação e outros instrumentos congêneres com a UFSCar terão cláusulas e disposições delimitando as responsabilidades pertinentes a cada pessoa jurídica contratada, observando o tratamento de dados pessoais presente no fluxo de informações para execução do determinado instrumento.
Art. 12. Atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e,
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO V
DO TRATAMENTO DOS DADOS PESSOAIS E DADOS PESSOAIS SENSÍVEIS
Seção I
Da Finalidade, da Natureza do Dado e dos Processos de Tratamento
Art. 13. A UFSCar trata dados pessoais necessários ao cumprimento de suas atividades de ensino, pesquisa, extensão, inovação, assistência estudantil e de gestão administrativa; assim como para o cumprimento de sua missão e demais obrigações decorrentes da legislação federal, regulamentos e determinações de autoridades e órgãos reguladores e de controle.
Art. 14. Os dados coletados e tratados na instituição dependem do contexto e motivo para o qual foram requeridos e da interação do usuário portador dos dados com a instituição, podendo incluir:
I - dados de identificação: nome, nome social, sexo, estado civil, documento de identificação (RG), número do CPF, data de nascimento, número do título de eleitor, carteira de reservista, passaporte, PIS, número SIAPE, Número UFSCar, Registro Acadêmico (RA), fotografia, filiação, nacionalidade, naturalidade, dispositivos de identificação sem fio e sem contato; entre outros;
II - dados de contato: número de telefone; número de celular, endereço de e-mail pessoal e de trabalho, endereço residencial completo, contato de emergência, demais dados de contato;
III - dados financeiros: banco onde é correntista, agência e número da conta corrente, recebimento de bolsas, modo de concessão, valores e prazo de vigência, auxílios, remuneração, proventos, retribuição pecuniária, e, demais dados financeiros;
IV - dados relacionados à vida escolar: escolaridade, nota Enem, Histórico Escolar do ensino infantil, fundamental, médio, técnico, superior, certificado de conclusão de curso, certificado de conclusão de especialização e/ou residência, diploma de graduação, diploma de mestrado, diploma de doutorado, certificado de pós-doutorado, certificado de cursos de curta duração e demais dados escolares;
V - dados de saúde: situação vacinal, atestados médicos, dados relacionados às ações de atendimento em saúde, como exames, consultas, anamneses, ações de cuidado com a saúde, histórico clínico, e, demais dados de saúde;
VI - dados socioeconômicos: renda pessoal, renda familiar, benefício em programas sociais, cadastro em Programas do Governo Federal, tipo de residência, meio de transporte, e, demais dados socioeconômicos;
VII - dados étnicos, religiosos e culturais: raça, gênero, etnia, religião, cor, proficiência em línguas e demais dados étnicos, religiosos e culturais;
VIII - dados genéticos ou biométricos: características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e imagens, matriz de impressão digital;
IX - dados de som e imagem: fotografia, vídeos, registros de vozes em equipamento digital ou análogico, entre outros;
X - dados técnicos: endereço de IP, data e hora de consulta, cookies;
XI- outros dados pessoais e dados pessoais sensíveis.
Art. 15. Os dados pessoais deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
§ 1º Os dados pessoais serão mantidos pelo tempo que for necessário para o cumprimento das finalidades de sustento à operação de tratamento, das obrigações legais ou contratuais ou da requisição de autoridades competentes.
§ 2º Os parâmetros de classificação das informações e o tempo para a sua manutenção/descarte deverão ser regimentados por normativa institucional própria, seguindo as orientações previstas por leis e normativas reguladoras.
Art. 16. No exercício das suas funções, a UFSCar poderá compartilhar dados pessoais com órgãos públicos e entidades externas, tais como: Ministérios, Agências, Fundações, Autarquias, Órgãos de Controle e a Rede Nacional de Ensino e Pesquisa, Órgãos do Sistema Único de Saúde, bem como para atender determinação judicial.
Art. 17. O acesso aos bancos de dados pessoais e aos bancos de dados pessoais sensíveis tratados pela UFSCar, sejam físicos ou digitais, somente será concedido a pessoas ou instituições mediante consulta ao responsável pelo tratamento do referido banco de dados, que irá deliberar sobre a transferência e disponibilização destes dados, mediante prévia formalização e registro.
Parágrafo único. Protocolos e instrumentos específicos deverão ser desenvolvidos pelos responsáveis institucionais pela Segurança da Informação para formalização, registro e análise das solicitações de acesso, disponibilização dos bancos de dados pessoais tratados pela Universidade, assim como pela revogação da necessidade de tratamento por parte de agente público ou usuário anteriormente habilitados.
Art. 18. A UFSCar reconhece que o tratamento de dados sensíveis representa maiores riscos ao titular dos dados pessoais e, por esta razão, assume o compromisso de resguardo e cuidados especiais frente ao tratamento de dados pessoais sensíveis.
Art. 19. As informações pessoais relativas à intimidade, vida privada, honra e imagem, detidas pelos órgãos e entidades terão acesso restrito a agentes públicos legalmente autorizados e a pessoa a que se referirem, independentemente de classificação de sigilo.
§ 1º A divulgação ou acesso por terceiros poderá ser autorizada por previsão legal ou consentimento expresso do titular.
§ 2º Caso o titular das informações pessoais esteja morto ou ausente, os direitos de que trata este artigo assistem ao cônjuge ou companheiro, aos descendentes ou ascendentes.
Art. 20. Para os fins desta Política, a UFSCar considera que os dados financeiros (inciso III, art. 14) e os dados pessoais sensíveis (inciso III, art. 9º), enumerados na presente Política, terão o mesmo status de privacidade, entendendo que o tratamento inapropriado das informações financeiras apresenta um risco potencial para o titular.
Parágrafo único. No atendimento de sua finalidade pública, a UFSCar poderá tratar dados pessoais de titulares e de terceiros relacionados ao titular, de bancos públicos disponibilizados por outros órgãos, ou outros dados tornados públicos pelo titular, resguardando o direito à privacidade destes.
Art. 21. O tratamento de dados pessoais de crianças deverá ser realizado com o mesmo nível de cuidado exigido e oferecido aos dados pessoais sensíveis, demandando assim o consentimento específico de pelo menos um dos pais ou pelo responsável legal.
§ 1º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o caput deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, ou para sua proteção.
§ 2º Os dados da criança não poderão ser repassados a terceiros sem o consentimento específico.
Art. 22. A restrição de acesso a informações pessoais de que trata o art. 20 não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades, conduzido pelo Poder Público, em que o titular das informações for parte ou interessado.
Parágrafo único. Não poderá ser igualmente invocada quando as informações pessoais não classificadas estiverem contidas em conjuntos de documentos necessários à recuperação de fatos históricos de maior relevância,
Art. 23. O tratamento de dados pessoais sensíveis pela instituição poderá ser realizada para finalidades específicas quando o titular, ou seu responsável legal, consentir, de forma específica e destacada.
Art. 24. A UFSCar poderá realizar o tratamento de dados pessoais sensíveis sem o fornecimento de consentimento do titular, nos casos em que o tratamento for indispensável para:
I - o cumprimento de obrigação legal ou regulatória;
II - quando a UFSCar, na sua posição de Órgão de Pesquisa, realizar estatísticas e pesquisas científicas de evidência de interesse público ou geral, previsto em lei, vedada a identificação do titular, sendo garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
III - o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
IV - proteção da vida ou da incolumidade física do titular ou de terceiros;
V - tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou,
VI - garantia da prevenção à fraude e à segurança do titular de dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Seção II
Da Informação Pessoal do Servidor Público
Art. 25. As informações pessoais a que se refere o art. 31 da Lei 12.527, de 18 de novembro de 2011, são aquelas relacionadas à intimidade, honra e imagem das pessoas em sua vida privada, ou seja, informações que não tenham caráter público.
Parágrafo único. Não estão albergadas sob o manto protetivo da privacidade as informações relativas ao servidor público decorrentes de sua atuação nesta qualidade; não podem ser abrangidas pela garantia constitucional da preservação da privacidade, posto que não se situam na órbita de sua intimidade ou vida privada.
Art. 26. São dados pessoais do servidor público devendo ser protegidos: endereço residencial, e-mails pessoais, número de telefones particulares, número de CPF, número da identidade, número do PIS/PASEP, informações sobre a saúde, despesas relacionadas com pensão alimentícia, plano de saúde e prestações referentes a empréstimo consignados, nomes de familiares.
Art. 27. O SIAPE e o Número UFSCar não possuem repercussões para além da vida pública, portanto, não precisam ser restritos, embora se enquadrem na definição de dado pessoal à luz da LGPD.
§ 1º São igualmente livres de restrições outras informações atreladas ao desempenho funcional, tais como: salário, e-mail institucional, número de telefone institucional, cargo, ocupação de função de confiança, formação acadêmica, realização de capacitações, períodos de afastamento, período de férias, entre outras.
§ 2º Folha de ponto ou outros documentos relativos ao controle de frequencia via de regra são públicos, exceto nos casos em que a documentação registre informações que, se divulgadas, represente risco identificado à segurança do servidor.
§ 3º No que concerne a resultados de avaliação de desempenho do servidor, existe manifestação da CGU no sentido de que devem ser disponibilizadas apenas aquelas com notas superiores ao necessário para a aprovação.
Art. 28. Os processos administrativos disciplinares (PADs) de servidores em andamento são restritos, podendo ser concedido acesso somente à pessoa que está sendo investigada ou para os seus procuradores, além dos servidores públicos que vão conduzir as investigações e julgar o caso (NT nº 2418/2023/CGUNE/DICOR/CRG).
Art. 29. O processo administrativo disciplinar (PAD) de servidor, quando concluído, muda seu status de restrito para público automaticamente, sem sofrer prejuízo da proteção das informações pessoais e legalmente sigilosas (NT nº 2418/2023/CGUNE/DICOR/CRG).
§ 1º A íntegra do PAD concluído não é considerada informação de interesse coletivo ou geral nos termos do art. 7° do Decreto n° 7.724, de 16 de maio de 2012, razão pela qual não se exige a disponibilização dos processos na sua íntegra em transparência ativa.
§ 2º A disponibilização das informações do PAD encerrado pode ser realizada por meio de versão resumida contendo seus principais documentos, dado que se encontra consentânea com as diretrizes dos §§ 2º e 3º do art. 7º da Lei 12.527/2011.
§ 3º O nome do servidor apenado e sua matrícula SIAPE enquadram-se como informações de interesse coletivo ou geral, razão pela qual não se justifica a ocultação dessas duas informações quando da publicidade do resultado do PAD que resultou em sanção disciplinar.
§ 4º Os PADs ordinários cujas decisões foram de arquivamento deverão ser publicizadas sem menção ao nome do servidor processado nem à sua matrícula, citando-se apenas o número do PAD e os seis números do meio do CPF.
Art. 30. Norma específica deverá regulamentar a disponibilização das informações em processos correcionais de servidores ou discentes da UFSCar, garantindo o processo de pseudonimização das informações enquanto legisla sobre: como atender a transparência ativa ou passiva das informações; as vias para a solicitação de acesso; as condições para atendimento da solicitação de acesso do cidadão; condições que orientem e favoreçam um uso responsável das informações, com risco reduzido para os titulares envolvidos no processo.
Seção III
Da Privacidade dos Cookies nos Sites Institucionais
Art. 31. As regras desta Política de Privacidade se aplicam também às informações de navegação dos usuários coletadas pelos cookies utilizados nas páginas da UFSCar, quando os sites institucionais são acessados através de equipamentos eletrônico que permitem navegação na internet (ex., computadores, tablets, celulares, TV smart).
Art. 32. Cookies são pequenos arquivos de dados enviados para o navegador do usuário quando visita um site, classificados usualmente considerando: o tempo que permanece no dispositivo do usuário (de sessão e primários); quanto ao proprietário (do proprietário ou de terceiros); e, quanto a finalidade (necessários, de desempenho, de funcionalidade, e de publicidade), a seguir elencados:
I - cookies de sessão: são de uso temporário, excluídos no momento em que o usuário fecha o seu navegador de internet;
II - cookies primários ou persistentes: permanecem no navegador até que sejam removidos, conforme o período definido para a sua expiração;
III - cookies de proprietários: são definidos pelo próprio site ou por terceiros em seu nome;
IV - cookies de terceiros: fazem o rastreamento de dados de navegação dos usuários com finalidade de gerar dados estatísticos do acesso às páginas e sistemas da universidade;
V - cookies necessários: são essenciais para o funcionamento dos serviços e recursos do site;
VI - cookies de desempenho: coletam informações das páginas acessadas para entender quanto tempo o usuário permaneceu nela ou se erros foram identificados;
VII - cookies de funcionalidade: registram na memória preferência, escolhas e informações do usuário para que não seja preciso informá-las novamente;
VIII - cookies de publicidade: direcionam anúncios e propagandas em função do interesse do usuário.
Art. 33. A UFSCar coleta cookies classificados como necessários e que permitem a funcionalidade central, segurança, gerenciamento de rede e acessibilidade. Estes cookies podem ser coletados e armazenados assim que o usuário inicia sua navegação ou quando usa algum recurso que os requer.
§ 1º As informações coletadas pelos cookies da UFSCar são obtidas com o único objetivo de fornecer informações para análises do sistema e promoção de melhoria nas funções do site.
§ 2º Nenhuma das coletas implementadas pelas rotinas dos cookies institucionais pode ser utilizada para identificação do usuário.
Art. 34. A UFSCar poderá também coletar dados pessoais por meio de formulários em diversos sites e sistemas fornecidos pela instituição, tais como:
I - dados de navegação/forma automática coletados dos equipamentos dos usuários, tais como: registro do endereço IP com a localização geográfica, tipo de sistema operacional e do seu navegador na Internet. Informações estatísticas sobre as interações dos usuários nas páginas do domínio *.ufscar.br, como tempos de resposta a conteúdo e duração do acesso, dentre outros utilizando algumas tecnologias como cookies, com o propósito de melhorar a experiência de navegação do Titular dos Dados nas aplicações online de nossos serviços;
II - dados fornecidos pelos usuários quando inseridos ou encaminhados ao acessar um dos nossos canais (unidades setoriais, sites ou aplicativos, para acessar conteúdos, inscrição de eventos, participação em ações educacionais etc.);
III - em formulários públicos analógicos ou disponíveis em páginas e sistemas da UFSCar serão coletados mediante finalidade a ser informada na tela de cada formulário disponível online; e,
IV - dados de terceiros, que possuam algum relacionamento com o Titular.
Parágrafo único. Os dados descritos no caput coletados dos formulários em sistemas e sites da UFSCar são utilizados para assegurar e regular o funcionamento da instituição, o registro das ações desenvolvidas pelo titular dos dados na instituição, seus serviços prestados e para a emissão de certificados e outros documentos referentes às atividades do usuário na instituição.
Seção IV
Da Privacidade nas Infraestruturas Tecnológicas Institucionais
Art. 35. A UFSCar, em todas as suas unidades, disponibiliza infraestruturas tecnológicas para seus servidores, usuários internos e externos, incluindo o acesso a computadores em seus laboratórios e bibliotecas, bem como o acesso à rede wi-fi.
§ 1º Em caso de utilização destas estruturas tecnológicas ou da rede, alguns dos dados pessoais dos usuários serão automaticamente recolhidos e analisados com a finalidade de monitorar a segurança destas infraestruturas e prevenir utilizações indevidas.
§ 2º Normativa deverá regulamentar os termos desta coleta de dados, protocolo específico de acesso e responsabilidades referentes à utilização responsável das informações nas infraestruturas tecnológicas institucionais disponibilizadas para as atividades de administração institucional, ensino, pesquisa e extensão.
Seção V
Da Privacidade das Imagens de Câmeras de Monitoramento Institucional
Art. 36. A UFSCar coleta informações na forma de registro por câmeras disponibilizadas nos seus campi, simultaneamente monitoradas e registradas em sala de segurança com funcionamento diário de 24 horas.
Art. 37. As informações capturadas e registradas no sistema de monitoramento institucional serão utilizadas para fins exclusivos de: segurança pública; proteção da incolumidade física e da vida das pessoas nos espaços institucionais; defesa nacional; segurança do Estado; ou, atividades de investigação e repressão de infrações penais.
Art. 38. A instalação de câmeras de monitoramento segue as recomendações de segurança que permite seu posicionamento em áreas comuns, de grande circulação de pessoas ou em áreas de convivência amplas, elevadores, acessos principais, estacionamentos, corredores, entre outros.
§ 1º Fica vedado o uso de câmeras de monitoramento em vestiários, banheiros, salas de descanso ou locais destinados à intimidade dos servidores, propositalmente direcionada para controle de indivíduos específicos.
§ 2º Os locais internos ou externos que são controlados por câmeras de vídeo devem ser sinalizados atendendo às normas da lei.
Art. 39. Os arquivos de imagens e informações diárias coletadas pelas câmeras de monitoramento institucionais devem ser armazenadas por, no mínimo, 30 dias.
§ 1º As informações e imagens somente poderão ser utilizadas para a instrução de inquérito policial ou administrativo, ou ação judicial, com a solicitação de acesso sendo encaminhada pelas autoridades legalmente autorizadas em cada caso.
§ 2º O titular interessado que informações de câmeras específicas sejam preservadas por um período superior a 30 dias, até que seja solicitada por autoridade no transcorrer do processo investigativo/jurídico, deve encaminhar solicitação em formulário próprio, acompanhado por boletim de registro de ocorrência.
Art. 40. Normativa própria deverá detalhar as condições para funcionamento do sistema de monitoramento, as responsabilidades no uso das informações, e os protocolos a serem observados pela comunidade nos processos que envolvem informações decorrentes desta fonte de dados.
Seção VI
Da Anonimização e da Pseudonimização de Dados Pessoais
Art. 41. A anonimização é uma técnica de processamento de dados que remove ou modifica dados pessoais ou de fragmentos de dados, de tal forma que a informação perde a possibilidade de associação, direta ou indireta, com seu titular.
§ 1º Algumas das técnicas para anonimizar dados são: encobrimento de caracteres; supressão de dados; generalização; adição de ruídos aos dados; adição de distorção nos registros de som ou imagens; criptografia; remoção do identificador direto; entre outras.
§ 2º Eis alguns exemplos de anonimização: CPF: 179XXXXXX-22; Nome: ; Passaporte: XXX479XXX; apresentar a informação de idades em faixa (25 a 40 anos); entre outras.
Art. 42. A pseudonimização é o processo de remover identificadores pessoais dos dados e substituir esses identificadores por valores de marcadores de posição. O uso destes marcadores e das estratégias de organização da informação, planejadas pelo controlador, mantém os dados pessoais em ambiente separado das informações não classificadas, tornando o ambiente seguro pela ausência das informações que identificariam ou tornariam identificável o titular.
Parágrafo único. Um exemplo tradicional da técnica utilizada em bancos informacionais de saúde é substituir o nome do paciente do ambulatório por um código para garantir o anonimato. As informações pessoais e sigilosas são registradas num arquivo de cadastro, identificado pelo código do paciente; as informações do tratamento e evolução do caso são registradas em outro prontuário do sistema, separado e identificável também pelo mesmo código do usuário. Estas informações nunca são disponibilizadas juntas.
Art. 43. É recomendada, sempre que possível, a realização da anonimização e/ou pseudonimização de dados pessoais e de dados pessoais sigilosos, com o intuito de otimizar e garantir a segurança da informação.
Parágrafo único. Deverá ser garantida a anonimização de dados pessoais e dados pessoais sensíveis na realização de estudos ou pesquisas científicas.
Art. 44. Os dados efetivamente anonimizados não serão considerados dados pessoais para os fins desta Política.
Art. 45. Informações documentais de qualquer natureza que por força de legislação devam ser disponibilizadas em sites e colocadas para acesso ao público em diferentes mídias físicas ou digitais, devem ter seus dados pessoais anonimizados, tais como: CPF, endereços, número de contas bancárias, entre outros.
Seção VII
Do Compartilhamento dos Dados Pessoais
Art. 46. O compartilhamento de dados pessoais pela UFSCar somente será permitido para o cumprimento de suas obrigações legais ou para atendimento de políticas públicas aplicáveis, observado o princípio da necessidade e dos procedimentos de segurança, ficando o tratamento de dados pessoais sempre contíguo ao desenvolvimento de atividades autorizadas pela Instituição.
Art. 47. A instituição somente poderá fazer o compartilhamento de dados pessoais nas seguintes hipóteses:
I - entre as unidades e setores da UFSCar: O compartilhamento de dados pessoais entre as unidades e setores somente será permitido para o cumprimento das suas obrigações legais;
II - para a realização de estudos por órgão de pesquisa: o compartilhamento de dados pessoais para fins de pesquisa deve atender às normas institucionais, garantindo a anonimização dos dados pessoais;
III - entre a UFSCar e sua Fundação de Apoio, no cumprimento das disposições de que trata a Lei 8.958, de 20 de dezembro de 1994, conforme previsto nos acordos, contratos, convênios ou outros ajustes que vierem a ser estabelecidos.
Art. 48. Fica vedada a transferência de dados pessoais constantes em bancos de dados da UFSCar a entidades privadas ou pessoas não autorizadas, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado;
II - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres.
Art. 49. Será permitida a transferência de dados pessoais para outros países sem consentimento do titular de dados, em conformidade com o disposto na LGPD, desde que sejam respeitadas as seguintes disposições:
I - o país seja classificado como tendo um nível adequado de proteção de dados atribuído pela ANPD ou a transferência seja autorizada pela ANPD;
II - não existindo informações de nível adequado divulgada pela ANPD, deverá ser utilizada a classificação realizada pela Comissão Europeia, por meio de uma decisão de adequação, como país de nível adequado aos critérios da General Data Protection Regulation (GDPR).
CAPÍTULO VI
DOS DIREITOS E DEVERES DO TITULAR
Art. 50. É direito do titular ter acesso de forma clara, gratuita e ostensiva às informações sobre o tratamento de seus dados pela Universidade, a respeito de:
I - finalidades específicas, a forma e a duração do tratamento de seus dados pessoais;
II - quem é o encarregado de proteção de dados da Universidade;
III - informações sobre o uso compartilhado de dados e a finalidade;
IV - responsabilidades dos agentes de tratamento;
V - consequências da negativa de consentimento para tratamento ou compartilhamento de dados pessoais, de acordo com os casos específicos.
Art. 51. Será assegurado ao titular ou representante legal, mediante requisição, nos termos do art. 18 da Lei 13.709/2018, o direito à confirmação de tratamento de dados pessoais pela UFSCar, o acesso aos seus dados, a correção de seus dados, a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei e a revogação de consentimento.
Parágrafo único. Os prazos e os procedimentos observarão o disposto em regulação específica, tais como as Leis nºs 12.527/2011, 9.784, de 29 de janeiro de 1999 e 9.507, de 12 de novembro de 1997 e regulamentos expedidos pela Autoridade Nacional de Proteção de Dados (ANPD).
Art. 52. É dever dos titulares de dados pessoais comunicarem à UFSCar sobre quaisquer modificações em seus dados pessoais na sua relação com a Instituição (e.g. mudança de endereço, e-mail e outras formas de contato, nome social, entre outros), notificando-a, preferencialmente, no formato institucional previsto para o envio destas informações.
Parágrafo único. A UFSCar definirá os protocolos e procedimentos internos de atendimento para que o titular dos dados possa requerer a relação dos seus dados pessoais que são tratados pela Universidade e sobre os procedimentos a serem utilizados para atualização das informações, conforme caput do artigo.
CAPÍTULO VII
DOS DEVERES, DAS COMPETÊNCIAS E DAS RESPONSABILIDADES
Seção I
Dos Deveres dos Destinatários da Política
Art. 53. Cabe a todos os destinatários desta Política, no desenvolvimento de seus trabalhos e atividades na UFSCar, comprometer-se com a implementação de sua estratégia de privacidade e proteção de dados pessoais.
Art. 54. É dever de todos os destinatários desta política:
I - não disponibilizar ou permitir acesso aos dados pessoais mantidos pela UFSCar para quaisquer pessoas não autorizadas ou competentes, de acordo com as normas institucionais;
II - cumprir as normas, recomendações, orientações da informação e prevenção de incidentes relativos à segurança das informações reguladas pela instituição e por legislação superior.
Art. 55. Cabe a todos os servidores da UFSCar respeitar e implementar todas as diretrizes de tratamento de dados pessoais e pessoais sensíveis da instituição, sempre adstrito ao desenvolvimento das atividades autorizadas pela instituição para o desenvolvimento de suas funções.
Art. 56. Toda e qualquer pessoa que participe dos processos de tratamento de dados institucionais, tendo acesso aos bancos de dados pessoais mantidos e tratados nas diversas unidades custodiantes da instituição, deverá assinar um Termo de Responsabilidade próprio condizente com sua competência e atuação institucional.
Seção II
Do Controlador e da Gestão da Segurança da Informação
Art. 57. Na Universidade Federal de São Carlos (UFSCar), o Controlador é a própria UFSCar como pessoa jurídica de direito público, representada pelo seu Representante Legal e Servidores que realizam o tratamento de dados pessoais pela UFSCar ou em nome da Universidade.
Art. 58. Compete ao Controlador pelo tratamento de dados pessoais:
I - garantir a transparência e a comunicação com o titular dos dados, deixando claras as suas intenções ao coletar dados e ainda criar canais de comunicação para que os titulares tenham acesso facilitado às suas próprias informações e direitos;
II - elaborar o Relatório de Impacto à Proteção de Dados Pessoais, nas hipóteses aplicáveis;
III - responder por danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação, e responder solidariamente pelos danos causados pelo operador, se diretamente envolvido no tratamento que resultar em danos; e
IV - indicar o encarregado pelo tratamento de dados pessoais na UFSCar.
Seção II
Do Comitê de Segurança da Informação (CSI)
Art. 59. Na UFSCar o Comitê de Governança Digital (CGD) exercerá cumulativamente a função de Comitê de Segurança da Informação (CSI), nos termos do art. 15 do Decreto 9.637/2018.
§ 1º O Comitê de Governança Digital (CGD) é um órgão colegiado estratégico, permanente e de natureza deliberativa, apresentando competências normativas, consultivas e deliberativas sobre as políticas gerais que envolvem governança digital, as tecnologias da informação e comunicação e áreas correlatas, visando maior eficiência, estruturação da governança de tecnologias da informação e alinhamento das ações da área com os objetivos da instituição.
§ 2º O CGD é composto por dirigentes e servidores das Unidades que tratam os maiores bancos de dados pessoais na UFSCar pelo Encarregado pelo tratamento dos dados, sendo presidido pelo Vice-Reitor da Instituição.
§ 3º O CGD poderá constituir comissões e câmaras assessoras, de caráter transitório ou permanente, conforme a natureza dos assuntos, ficando a elas delegada a competência para emitir pareceres ou deliberar sobre os assuntos de sua alçada.
§ 4º A indicação e recondução dos membros dar-se-á por Ato da Reitoria.
Art. 60. A função de gestor de segurança da informação será exercida pelo(a) presidente (a) do CGD.
Art. 61. No exercício da Segurança da Informação este Comitê será responsável por coordenar a formulação e implementação das ações necessárias ao cumprimento da LGPD, no âmbito da Universidade, sendo da sua competência:
I - analisar os normativos vigentes e os documentos referenciais e elaborar Plano de Ação para a adequação da UFSCar às disposições da Lei nº 13.709/2018, que deverá ser submetido à aprovação do Comitê de Governança Digital;
II - propor a política de gestão de dados pessoais e sua regulamentação;
III - supervisionar a execução dos planos, dos projetos e das ações aprovadas, para viabilizar a implantação das diretrizes previstas na Lei n. 13.709/2018;
IV - prestar orientações sobre o tratamento e a proteção de dados pessoais de acordo com as diretrizes estabelecidas na Lei 13.709/2018 e nas normas internas;
V - desenvolver, publicar e realizar a ampla divulgação das informações necessárias para os tratamentos de dados pessoais, no âmbito da UFSCar, incluindo as obrigações específicas para os diversos envolvidos no tratamento, bem como as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais; e,
VI - promover o intercâmbio de informações sobre a proteção de dados pessoais com outros órgãos.
Seção III
Do Encarregado
Art. 62. O Encarregado, designado pelo Reitor, será responsável por coordenar a implementação das Políticas e das ações necessárias ao cumprimento da LGPD, no âmbito da Universidade.
Art. 63. O Encarregado é o responsável por interagir com a ANPD sobre as questões relacionadas ao tratamento dos dados pessoais, atuando como canal de comunicação em nome do controlador.
Parágrafo único. O Encarregado deve ter sua identidade e informações de contatos divulgados amplamente e publicamente.
Art. 64. Compete ao Encarregado pelo tratamento de Dados Pessoais:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e,
IV - executar as demais atribuições determinadas pelos controladores ou estabelecidas em normas complementares.
Seção IV
Do Operador
Art. 65. O Operador é responsável por realizar o tratamento dos dados em nome do Controlador, realizando esse tratamento segundo as instruções e normas sobre a matéria, agindo no limite das finalidades determinadas pela UFSCar.
Art. 66. Servidores com Cargo de Direção da Gestão Superior Administrativa e Acadêmica, Função Gratificada ou Função de Coordenação de curso, cuja a gestão esteja em andamento, será Operador dos dados pessoais e sensíveis diretamente relacionados ao exercício finalístico da sua gestão.
§ 1º Pró-Reitores, Diretores de Centro, Coordenadores de Cursos de Graduação e Pós- Graduação, Chefias de Departamento, Chefias de Unidades Administrativas são operadores institucionais responsáveis pelo tratamento de dados pessoais de alunos, servidores, professores, empresas e outros titulares com quem se relacionam em suas respectivas áreas de gestão, nos Campi e na Reitoria.
§ 2º Os Operadores podem compartilhar competências com outros membros da comunidade, mediante ciência e responsabilização compartilhada via Termo de Compromisso próprio.
§ 3º A Pró-Reitoria de Gestão de Pessoas, quando da solicitação de Designação/Nomeação para Cargo de Direção, Função Gratificada ou Função de Coordenador de Curso, deverá receber documento dando ciência da responsabilidade pelos dados pessoais e sensíveis próprios da unidade onde o empossado exercerá a sua função.
Art. 67. De acordo com a LGPD, pessoas físicas e jurídicas de direito público e privado, podem atuar como Operadores quando contratadas pela UFSCar para realizar o tratamento de dados, conforme as instruções e nos termos previstos por este último.
Art. 68. Compete aos operadores:
I - realizar o tratamento dos dados segundo as instruções fornecidas pelo Controlador através das normativas e protocolos institucionais;
II - conhecer as instruções e normas pertinentes sobre o tratamento de dados pessoais; e,
III - respeitar os dispositivos contidos nesta Política.
Art. 69. A Secretaria Geral de Informática (SIn) é a unidade institucional responsável pelo armazenamento de dados pessoais em bases de dados informatizadas da UFSCar. Os servidores em exercício na SIn, de acordo com suas atribuições técnicas no âmbito da unidade, também atuarão como operadores dos dados pessoais e sensíveis.
Art. 70. Como operadores, os servidores da Sin acumulam adicionalmente as seguintes competências:
I - zelar pelo armazenamento seguro dos dados pessoais;
II - implementar mecanismos de segurança para proteção dos dados pessoais;
III - comunicar o Encarregado de Proteção de Dados, quando for detectado indício de violação dos sistemas informatizados sob sua gestão;
IV - emitir alertas quando forem detectadas vulnerabilidades de segurança que possam colocar em risco a segurança dos dados pessoais;
Parágrafo único. No desempenho de suas atividades, a SIn poderá utilizar recursos tecnológicos para processamento e análise de arquivos, metadados e registros de acesso, com o objetivo de prevenir o vazamento de dados pessoais.
Art. 71. São obrigações de todos os agentes de tratamento (Controlador, Encarregado e Operadores) de dados pessoais no âmbito da UFSCar:
I - respeitar os princípios de tratamento de dados pessoais estabelecidos nesta Política;
II- zelar pela privacidade e proteção dos dados dos titulares de dados;
III - não acessar dados pessoais sem a devida autorização;
IV - não compartilhar dados pessoais sob a guarda da UFSCar, sem autorização; e
V - comunicar qualquer incidente que possa ter envolvido o vazamento de dados pessoais, no âmbito da UFSCar, ao Encarregado pelo Tratamento de Dados Pessoais.
CAPÍTULO VIII
DAS SANÇÕES ADMINISTRATIVAS
Art. 72. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, nesta Política e demais normativos, ficam sujeitos às sanções administrativas aplicáveis pela ANPD, conforme art. 52 da 13.709/2018, e dispositivos da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas e suas alterações.
Parágrafo único. Os agentes de tratamento de dados, em razão das infrações cometidas às normas desta Política, também ficam sujeitos à aplicação de sanções e penalidades, mediante processo de apuração de responsabilidade administrativa realizado pela UFSCar.
CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS
Art. 73. Os casos omissos serão tratados pelo Comitê responsável por analisar e coordenar a implementação das ações necessárias ao cumprimento da LGPD, no âmbito da UFSCar.
Parágrafo único. O Comitê poderá avaliar a necessidade de encaminhamento dos casos omissos a outras instâncias de Governança da Universidade para deliberação.
Art. 74. As unidades institucionais terão 12 meses após a data da sua publicação para ajustar seus processos organizacionais em conformidade com esta normativa.
Art. 75. Esta Política entra em vigor na data de sua aprovação pelo Conselho Universitário.
 | Documento assinado eletronicamente por Ana Beatriz de Oliveira, Reitor(a), em 13/05/2025, às 17:37, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015. |
 | A autenticidade deste documento pode ser conferida no site https://sei.ufscar.br/autenticacao, informando o código verificador 1835352 e o código CRC 559FCF3B. |
|
Referência: Caso responda a este documento, indicar expressamente o Processo nº 23112.038258/2024-01 |
SEI nº 1835352 |
|
Modelo de Documento: Ato Normativo: Resolução, versão de 08/Novembro/2023 |
|