Resolução CONARQ nº 54 de 08 de Dezembro de 2023
Estabelece diretrizes e regras para a aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), aos arquivos permanentes custodiados por pessoa física ou jurídica de direito público ou privado
Ministério da Gestão e da Inovação em Serviços Públicos Arquivo Nacional Conselho Nacional de Arquivos RESOLUÇÃO CONARQ Nº 54, DE 8 DE DEZEMBRO DE 2023 Estabelece diretrizes e regras para a aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), aos arquivos permanentes custodiados por pessoa física ou jurídica de direito público ou privado. A PRESIDENTA DO CONSELHO NACIONAL DE ARQUIVOS, no uso da atribuição que lhe confere o art. 27, inciso XI, do Regimento Interno, aprovado pela Portaria MJSP nº 313, de 22 de julho de 2021, e tendo em vista o disposto no art. 2º, incisos I e XVII, e no art. 14 do Decreto nº 4.073, de 3 de janeiro de 2002, e na Lei nº 13.709, de 14 de agosto de 2018, resolve:
Publicado por Conselho Nacional de Arquivos
Capítulo I
DISPOSIÇÕES GERAIS Objeto e âmbito de aplicação
Esta resolução estabelece diretrizes e regras para o tratamento de dados pessoais em arquivos permanentes, independentemente do suporte, visando à garantia dos direitos fundamentais de acesso à informação, intimidade, proteção dos dados pessoais e acesso às fontes da cultura nacional.
Aplica-se esta resolução aos integrantes do Sistema Nacional de Arquivos (SINAR) e a pessoas físicas e jurídicas de direito público ou privado, detentoras de arquivos.
Esta resolução não se aplica ao tratamento de dados pessoais em arquivos correntes e intermediários dos custodiadores.
Os arquivos permanentes são inalienáveis, imprescritíveis e constituem parte do patrimônio cultural brasileiro por serem portadores de referência à identidade, à ação e à memória dos diferentes grupos sociais.
O tratamento de dados pessoais em arquivos permanentes, incluídos o acesso e o compartilhamento, configura a hipótese de cumprimento de obrigação legal do controlador, prevista nos artigos 1º e 4º da Lei n.º 8.159, de 8 de janeiro de 1991, e 7º, incisos II e III, da Lei nº 12.527, de 18 de novembro de 2011, conforme autorizam os artigos 7º, inciso II, 11, inciso II, "a" e 16, inciso I, da Lei nº 13.709, de 14 de agosto de 2018. Conceitos
anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
arquivos permanentes: conjunto de documentos preservados em caráter definitivo em função de seu valor probatório, informativo ou histórico;
arquivo privado: arquivo de pessoa física, grupo familiar, entidade coletiva ou pessoa jurídica de direito privado, salvo se considerado público pela legislação;
controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete tomar as decisões referentes ao tratamento de dados pessoais e por definir sua finalidade;
custodiador: pessoa física ou jurídica, pública ou privada, que, por força de sua finalidade, é responsável pela custódia e acesso a determinado acervo arquivístico;
instituição arquivística: aquela que tem por finalidade a custódia, o processamento técnico, a conservação, a preservação e o acesso a documentos;
instrumento de pesquisa: aquele que permite a identificação, localização ou consulta a documentos ou a informações neles contidas, tais como catálogo, guia, índice, inventário, listagem descritiva do acervo, repertório e tabela de equivalência;
operador: agente responsável por realizar o tratamento de dados em nome do controlador, não se incluindo os indivíduos subordinados da organização, tais como servidores, funcionários ou empregados;
pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, salvo pelo uso de informação adicional mantida separadamente pelo controlador em ambiente seguro;
valor primário: aquele atribuído a um documento em função do interesse que possa ter para a entidade produtora, considerando sua utilidade para fins administrativos, legais ou fiscais; e
valor secundário: aquele atribuído a um documento em função do interesse que possa ter para a entidade produtora e outros usuários, tendo em vista a sua utilidade para fins diversos daqueles para os quais foi originalmente produzido.
Capítulo II
DIRETRIZES PARA O TRATAMENTO DE DADOS PESSOAIS EM ARQUIVOS PERMANENTES
promoção do pleno exercício dos direitos culturais e acesso às fontes da cultura nacional, de que fazem parte os documentos de guarda permanente, integrantes do patrimônio cultural brasileiro;
garantia do direito de acesso à informação, por meio dos arquivos permanentes, contribuindo para a consolidação do Estado Democrático de Direito;
incentivo ao desenvolvimento científico, à pesquisa, à capacitação científica e tecnológica, à inovação e à cooperação entre instituições custodiadoras e de ensino e pesquisa;
garantia de acesso a arquivos às pessoas físicas ou jurídicas, inclusive com dados pessoais e sensíveis, como fontes de pesquisa científica, estatística, genealógica, histórica ou de evidente interesse público, assegurando-se a privacidade na divulgação dos resultados;
reconhecimento da ausência de necessidade de consentimento do titular dos dados pessoais para a realização de pesquisas científicas, estatísticas, genealógicas, históricas ou de evidente interesse público;
indicação clara e transparente de eventuais restrições de acesso existentes e seu período de duração nos instrumentos de pesquisa;
limitação do tratamento de dados pessoais contidos em arquivos permanentes ao mínimo necessário para a realização de suas finalidades;
vedação de tratamento de documentos permanentes com dados pessoais incompatível com fins de interesse público, investigação científica, histórica e estatística;
participação dos profissionais arquivistas na tomada de decisões sobre o tratamento de dados pessoais.
Capítulo III
TRATAMENTO DE DADOS PESSOAIS EM ARQUIVOS PERMANENTES
Considera-se dado pessoal em arquivos permanentes a informação relacionada a pessoa natural identificada ou identificável.
Os dados de pessoas falecidas, existentes em arquivos permanentes, não estão sujeitos aos dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD).
Os dados de pessoas ausentes, existentes em arquivos permanentes, não estão sujeitos aos dispositivos da LGPD, nos casos em que a lei autoriza a abertura de sucessão definitiva.
O disposto no caput aplica-se também aos arquivos privados doados ou mantidos por instituições privadas, ainda que não tenham seu interesse público e social formalmente declarado.
A revogação de consentimento ocorrida após o reconhecimento de valor secundário do arquivo não impede a conservação do dado pessoal e o respectivo tratamento.
O controlador deve assegurar que eventuais medidas técnicas aplicáveis à anonimização ou à pseudonimização não comprometam a autenticidade ou a integridade dos documentos de valor permanente.
Capítulo IV
DIREITOS DO TITULAR
O titular de dados pessoais constantes em arquivos permanentes tem direito a obter do controlador informação sobre:
O prazo de resposta ao pedido do titular não deve exceder quinze dias a partir da data do protocolo.
O titular poderá solicitar a retificação de dados pessoais incompletos ou inexatos contidos em arquivos permanentes.
Quando for justificável a retificação de dado, não será realizada no próprio documento, mas apenas em instrumento de pesquisa.
O controlador poderá fornecer declaração de correção ou complementação quando for justificável a solicitação de retificação apresentada pelo titular de dados.
Em caso de arquivo permanente que mantenha seu valor primário, sendo necessário, o dado poderá ser retificado pelo produtor.
Capítulo V
OBRIGAÇÕES DOS AGENTES DE TRATAMENTO DOS ARQUIVOS PERMANENTES Seção I Das Regras Gerais
No tratamento de dados pessoais em arquivos permanentes, a política de privacidade da instituição deve conter:
declaração de que o acesso aos documentos recolhidos para o arquivo permanente decorre do cumprimento das obrigações dos artigos 1º e 4º, da Lei nº 8.159, de 1991, e artigo 7º, incisos II e III, da Lei nº 12.527, de 2011;
reconhecimento de que o indivíduo que realizar tratamento de dados pessoais contidos nos arquivos permanentes deve observar as normas de privacidade do órgão;
indicações sobre critérios para a política de descrição e de acesso aos documentos de guarda permanente com observância dos direitos de privacidade e acesso à informação;
nome e dados de contato dos agentes de tratamento, inclusive internacionais, com as quais realiza compartilhamento de dados pessoais;
O controlador deve adotar política simplificada de segurança da informação, que contemple requisitos essenciais para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegal.
A política simplificada de segurança da informação deve considerar os custos de implementação, a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte, a sensibilidade e a criticidade dos dados tratados diante dos direitos do titular.
Caso haja uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais, o controlador, por intermédio de seu encarregado de dados, deverá comunicar a ocorrência à Autoridade Nacional de Proteção de Dados e ao titular, conforme legislação aplicável.
Na hipótese de incidente de segurança que envolva arquivos privados declarados de interesse público e social, a comunicação também deverá ser encaminhada ao Conselho Nacional de Arquivos - CONARQ.
Os contratos firmados com pessoas físicas ou jurídicas, que tenham por objeto o tratamento de arquivos permanentes com dados pessoais, devem incluir cláusulas explícitas relacionadas à proteção da privacidade do respectivo titular. Seção II Recolhimento
O recolhimento de acervos documentais a arquivos permanentes deve ser formalizado por instrumento descritivo com indicação da existência de dados pessoais, relacionando:
Quando os dados pessoais estiverem contidos em documentos digitais, a indicação de que trata o caput deve ser incluída no esquema de metadados relativo ao objeto digital.
Se não houver documento formal de recebimento do acervo com instrumento descritivo, deve-se avaliar a existência de risco ou dano potencial à privacidade dos titulares com base em boas práticas de governança e de gestão de riscos. Seção III Descrição
A indicação de dados pessoais na descrição de arquivos permanentes e na elaboração de instrumentos de pesquisa deve observar:
O instrumento descreverá o mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades de acesso e transparência dos dados.
Os instrumentos de pesquisa, publicados ou disponibilizados, que contiverem dados pessoais, serão revistos e adequados progressivamente de acordo com sua complexidade e a natureza dos dados.
A revisão dos instrumentos de pesquisa será realizada com brevidade quando houver solicitação do titular de dados pessoais.
Quando for identificada a existência de restrição de acesso, risco ou dano potencial à privacidade de titular de dado pessoal, devem ser registrados, de forma clara, a restrição e o período de duração no instrumento de pesquisa. Seção IV Acesso
Qualquer pessoa pode solicitar acesso a documento recolhido em arquivo permanente, ainda que contenha dado pessoal.
O terceiro interessado em acessar documento de guarda permanente com dado pessoal deverá aceitar as condições de uso e firmar termo de responsabilidade que contenha:
O acesso aos documentos de guarda permanente será autorizado a terceiros, observado o artigo 22, nos seguintes casos:
Capítulo VI
DOS ARQUIVOS PRIVADOS
Os custodiadores de arquivos privados devem promover a publicidade e o acesso permanente à memória registrada nesses acervos, inclusive com dados pessoais, por meio de:
publicação da existência dos arquivos, inclusive aqueles com documentos de acesso restrito, divulgando as razões das restrições e o período de duração;
garantia de consultas para pesquisas de qualquer natureza, incluindo as relativas à descoberta da própria identidade individual ou coletiva;
declaração de interesse público e social ou existência de procedimento de avaliação, ainda que tenha sido realizado pelo próprio custodiador;
avaliação de risco em relação à violação da privacidade de terceiros cujos dados estejam registrados no acervo.
No caso de arquivos privados custodiados em instituições sem a formalização termos de recebimento ou doação, autorização do titular dos dados ou declaração de interesse público e social, o custodiador deve proceder à análise dos riscos e danos potenciais em relação à violação da privacidade, observando-se as boas práticas de governança e de gestão de riscos e os critérios previstos no artigo 24 desta resolução.
Capítulo VII
DISPOSIÇÕES FINAIS
ANA FLÁVIA MAGALHÃES PINTO Diário Oficial da União