Decreto nº 11.266 de 25 de Novembro de 2022
Presidência da República Secretaria-Geral Subchefia para Assuntos Jurídicos
Altera o Decreto nº 10.046, de 9 de outubro de 2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.
O PRESIDENTE DA REPÚBLICA , no uso das atribuições que lhe confere o art. 84, caput , incisos IV e VI, alínea "a", da Constituição, e tendo em vista o disposto no art. 5º, caput , incisos XXXIII e LXXIX, no art. 37, § 3º, inciso II, e no art. 216, § 2º, da Constituição, na Lei nº 12.527, de 18 de novembro de 2011, no art. 11 da Lei nº 13.444, de 11 de maio de 2017, e no Capítulo IV da Lei nº 13.709, de 14 de agosto de 2018, DECRETA :
Publicado por Presidência da República
Brasília, 25 de novembro de 2022; 201º da Independência e 134º da República.
Art. 1º
O Decreto nº 10.046, de 9 de outubro de 2019 , passa a vigorar com as seguintes alterações: "Art. 3º (...) V - nas hipóteses em que se configure tratamento de dados pessoais, serão observados o direito à preservação da intimidade e da privacidade da pessoa natural, a proteção dos dados e as normas e os procedimentos previstos na legislação; VI - a coleta, o tratamento e o compartilhamento de dados por cada órgão serão realizados nos termos do disposto no art. 23 da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais; VII - a eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados pessoais, nos termos do disposto no inciso I do caput do art. 6º da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais; VIII - a compatibilidade do tratamento de dados pessoais com as finalidades informadas, nos termos do disposto no inciso II do caput do art. 6º da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais; e IX - a limitação do compartilhamento de dados pessoais ao mínimo necessário para o atendimento da finalidade informada, nos termos do disposto no inciso III do caput do art. 6º da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais, e o cumprimento integral dos requisitos, das garantias e dos procedimentos estabelecidos na referida Lei, no que for compatível com o setor público." (NR) "Art. 5º (...) § 1º Os órgãos e entidades de que trata o art. 1º, para os compartilhamentos de dados pessoais, darão publicidade às hipóteses em que compartilhem ou tenham acesso a banco de dados pessoais, nos termos do disposto no inciso I do caput do art. 23 da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais.
§ 2º
As informações sobre compartilhamento de dados pessoais estarão disponíveis em veículos de fácil acesso nos sítios eletrônicos, deverão ser claras e atualizadas, e conterão a previsão legal do compartilhamento, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.
§ 3º
O compartilhamento de dados nos níveis de categorização restritos e específicos serão autorizados pelo gestor de dados e seu processo será formalizado por documentos de interoperabilidade cuja solicitação seguirá os critérios estabelecidos pelo Comitê Central de Governança de Dados, em observância:
I
aos dispositivos:
a
da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais;
b
da Lei nº 14.129, de 29 de março de 2021 ; e
c
da Lei nº 12.527, de 18 de novembro de 2011 ;
II
às orientações da Autoridade Nacional de Proteção de Dados; e
III
às normas correlatas.
§ 4º
Nas solicitações de interoperabilidade que envolvam dados pessoais, serão explicitados, além do disposto no § 3º:
I
o propósito legítimo, específico e explícito;
II
-a compatibilidade com a finalidade; e
III
o compartilhamento do mínimo necessário para atendimento da finalidade." (NR) "Art. 10 . Os gestores de dados divulgarão os mecanismos de compartilhamento de seus dados e os registros de referência sob sua responsabilidade. (...)" (NR) "Art. 12 (...) § 4º Os dados recebidos por compartilhamento restrito não serão retransmitidos ou compartilhados com outros órgãos ou entidades, exceto quando previsto expressamente na autorização concedida pelo gestor de dados ou se houver posterior permissão deste, observados os requisitos previstos no art. 5º." (NR) "Art. 13 . O órgão interessado poderá solicitar o acesso aos dados compartilhados no nível restrito diretamente ao gestor de plataforma de interoperabilidade, respeitado o disposto no § 3º do art. 5º." (NR) "Art. 15 O órgão interessado em acessar dados sujeitos a compartilhamento específico enviará os documentos de interoperabilidade para o gestor de dados, observados as normas, as condições e os requisitos de acesso por ele estabelecidos, nos termos do disposto no inciso III do caput do art. 4º, e fundamentará o pedido e especificará os dados solicitados no maior nível de detalhamento possível. (...)" (NR) " Seção V Da responsabilidade Art. 15-A . O tratamento de dados pessoais, em qualquer nível de categorização para compartilhamento, pelos órgãos e pelas entidades de que trata o art. 1º, está sujeito ao atendimento dos parâmetros legais e constitucionais e importará a responsabilidade civil do Estado pelos danos suportados pelos particulares.
Parágrafo único
O disposto no caput está associado ao exercício do direito de regresso contra os agentes públicos responsáveis pelo ato ilícito, em caso de culpa ou dolo." (NR) "Art. 16 (...) Parágrafo único . É vedado o uso do Cadastro Base do Cidadão, ou o cruzamento deste com outras bases, para a realização de tratamentos de dados que visem mapear ou explorar comportamentos individuais ou coletivos de cidadãos, sem o consentimento expresso, prévio e específico dos indivíduos afetados e sem a devida transparência da motivação e finalidade." (NR) "Art. 17 (...) § 1º A interoperabilidade de que trata o caput observará a legislação e as recomendações técnicas estabelecidas pelo Sistema de Administração dos Recursos de Tecnologia da Informação - Sisp do Poder Executivo federal, e, ainda, as recomendações do Comitê Central de Governança de Dados.
§ 2º
O acesso dos órgãos e das entidades de que trata o art. 1º ao Cadastro Base do Cidadão fica condicionado ao atendimento integral das diretrizes de que tratam os incisos VII, VIII e IX do<strong> caput do art. 2º.
§ 3º
Ato do Comitê Central de Governança de Dados irá estabelecer mecanismos de controle de acesso ao Cadastro Base do Cidadão, o qual será limitado a órgãos e entidades que comprovarem real necessidade de acesso aos dados pessoais nele reunidos." (NR) "Art. 18 (...) § 7º A inclusão de novos dados pessoais na base integradora e a escolha de novas bases temáticas serão precedidas de justificativa formal detalhada, em consonância com os princípios da proporcionalidade, da razoabilidade e da proteção de dados pessoais." (NR) "Art. 20-A . Os órgãos e as entidades gestores de dados pessoais utilizarão sistema eletrônico de registro de acesso a ser estabelecido pelo Comitê Central de Governança de Dados para efeito de responsabilização em caso de eventuais abusos nos compartilhamentos de dados pessoais.
Parágrafo único
O Comitê de que trata o caput poderá instituir medidas de segurança compatíveis com os princípios de proteção previstos na Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais." (NR) "Art. 22 O Comitê Central de Governança de Dados é composto pelos seguintes representantes: I - um do órgão central do Sistema de Administração dos Recursos de Tecnologia da Informação - Sisp, que o presidirá;
II
um da Advocacia-Geral da União;
III
um da Casa Civil da Presidência da República;
IV
um da Controladoria-Geral da União;
VI
um do Ministério da Justiça e Segurança Pública;
IX
dois de organizações da sociedade com atuação comprovada na temática de proteção de dados pessoais. § 1º Cada membro do Comitê Central de Governança de Dados terá um suplente, que o substituirá em suas ausências e seus impedimentos.
§ 4º
Podem compor o Comitê Central de Governança de Dados representantes dos seguintes órgãos, na qualidade de membros convidados:
I
um do Conselho Nacional de Justiça;
II
um do Senado Federal; e
III
um da Câmara dos Deputados.
§ 5º
A indicação dos membros do Comitê Central de Governança de Dados de que trata o § 4º e dos respectivos suplentes é ato discricionário dos órgãos representados.
§ 6º
Os membros do Comitê Central de Governança de Dados de que trata o § 4º terão direito a voto nas deliberações relativas à gestão e ao tratamento de dados pessoais.
§ 7º
Os membros do Comitê Central de Governança de Dados de que tratam os incisos I a VIII do<strong> caput e o § 4º e os respectivos suplentes comporão o Comitê pelo prazo máximo de dois anos, permitida uma recondução.
§ 8º
Os membros do Comitê Central de Governança de Dados de que trata o inciso IX do<strong> caput e os respectivos suplentes:
I
serão selecionados por meio de processo seletivo, conforme regulamento a ser editado pelo Comitê Central de Governança de Dados;
II
terão direito a voto nas deliberações relativas à gestão e tratamento de dados pessoais; e
III
terão mandato de dois anos, permitida uma recondução." (NR) " Art. 23 O Comitê Central de Governança de Dados se reunirá, em caráter ordinário, a cada três meses, e, em caráter extraordinário, sempre que convocado por seu Presidente ou por solicitação de um de seus membros. § 1º O quórum de reunião do Comitê Central de Governança de Dados é de dois terços de seus membros e o quórum de aprovação é de maioria simples. (...)" (NR) "Art. 24 (...) I - organizar as reuniões do Comitê Central de Governança de Dados e sua respectiva pauta, de modo a envolver os atores da administração pública federal impactados; e (...)" (NR) "Art. 32 (...) Parágrafo único . Os acordos, convênios e demais instrumentos que envolverem dados pessoais serão adequados até 1º de dezembro de 2023." (NR)
Art. 2º
Fica revogado o parágrafo único do art. 17 do Decreto nº 10.046, de 2019.
Art. 3º
Este Decreto entra em vigor na data de sua publicação.
JAIR MESSIAS BOLSONARO Paulo Guedes
Este texto não substitui o publicado no DOU de 25.11.2022 - Edição extra