Deliberação CAD-A-003/2020, de 06/10/2020
Reitor: Marcelo Knobel
Secretaria Geral:Ângela de Noronha Bignami

Imprimir Norma
Dispõe sobre a criação do Comitê Gestor da Privacidade e Proteção de Dados no âmbito da Universidade Estadual de Campinas, aprova a Política de Privacidade e dá outras providências.

O Reitor da Universidade Estadual de Campinas, na qualidade de Presidente da Câmara de Administração, tendo em vista o decidido em sua 360ª Sessão Ordinária, realizada em 06 de outubro de 2020, considerando:

I. a Lei n. 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI), que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; 
II. a Lei Geral de Proteção de Dados – LGPD, Lei nº 13.709, publicada em 14 de agosto de 2018 e a Lei n. 13.583, publicada em 8 de julho de 2019, que altera a Lei 13.709;
III. a necessidade de instalação de procedimentos internos que garantam o integral cumprimento da LGPD e a necessidade de definição dos vários níveis de responsabilidade institucional sobre a guarda e o acesso aos dados pessoais;
IV. a necessidade de instituir e manter uma política de privacidade que norteie o tratamento de dados e informações no âmbito da Unicamp;
V. a necessidade de adequação dos processos de trabalho e sistemas que façam tratamento de dados pessoais visando preservar e assegurar a integridade, disponibilidade, confidencialidade e autenticidade dos dados e informações no âmbito da Universidade Estadual;
VI. que na Unicamp as responsabilidades estão distribuídas por múltiplos órgãos da administração;
VII. que os órgãos devem se responsabilizar pelos dados pessoais que lhe são confiados;

baixa a seguinte Deliberação:

Artigo 1º - Fica aprovada a “Política de Privacidade da Universidade Estadual de Campinas – Unicamp”, que integra esta Deliberação como Anexo I e que contém princípios e diretrizes gerais aplicáveis à proteção dos dados e privacidade das informações tratadas pela Universidade.

Artigo 2º - Fica instituído o Comitê Gestor da Privacidade e Proteção de Dados – CGPPD no âmbito da Universidade Estadual de Campinas a fim de promover as ações necessárias com vistas ao cumprimento da Lei nº 12.527/2011 (Lei de Acesso à Informação – LAI) e Lei nº 13.709/18 (Lei Geral de Proteção de dados – LGPD).

Artigo 3º - Compete ao Comitê Gestor de Proteção de Dados:

I. propor e implementar a Política de Privacidade, instruções normativas, requisitos metodológicos, cronogramas e planos com objetivo de regulamentar a privacidade e a proteção dos dados pessoais no âmbito da Universidade Estadual de Campinas;
II. avaliar os procedimentos de tratamento e proteção dos dados existentes e propor estratégias e metas em observância a LGPD;
III. revisar a Política de Privacidade e as instruções normativas a cada 3 (três) anos, prazo máximo;
IV. promover ações de sensibilização junto à comunidade universitária, aos órgãos administrativos e aos parceiros da universidade sobre a aplicação da política e normas relacionadas à privacidade e proteção de dados;
V. planejar e coordenar a implantação do Programa de Privacidade, ações e projetos necessários para a adequação à LGPD;
VI. acompanhar a implantação dos planos e o cumprimento das ações regulamentadoras nos diversos órgãos da Universidade;
VII. receber comunicações de descumprimento das normas referentes à Política de Privacidade e Proteção de Dados, instruí-las com os elementos necessários à sua análise e notificar os responsáveis;
VIII. articular o intercâmbio de informação sobre a proteção de dados pessoais com outros órgãos públicos.

Artigo 4º - O Comitê Gestor da Privacidade e Proteção de Dados, de natureza permanente, consultivo-deliberativa, tem responsabilidade estratégica e será composto pelo Encarregado, conforme descrito na Lei Geral de Proteção de Dados Pessoais no artigo 5º inciso VIII, e por representantes dos seguintes órgãos:

I. 01 representante da Coordenadoria Geral da Universidade – CGU;
II. 02 representantes da Gestão Estratégica de Dados;
III. 01 representante da Pró-Reitoria de Pesquisa – PRP;
IV. 01 representante da Diretoria Geral de Recursos Humanos – DGRH;
V. 01 representante da Diretoria Acadêmica – DAC;
VI. 01 representante da Diretoria Geral de Administração – DGA;
VII. 01 representante do Centro de Computação – CCUEC;
VIII. 01 representante do Sistema de Arquivo Central da Unicamp – Siarq;
IX. 01 representante da Comissão de Vestibular – Comvest;
X. 01 representante do Serviço de Informação ao Cidadão – SIC;
XI. 01 representante dos órgãos da Área da Saúde;
XII. 01 representante da Procuradoria Geral – PG.

§ 1º - O CGPPD será presidido pelo Encarregado (Data Protection Officer – DPO) a ser designado pelo Reitor.

§ 2º - Os representantes elencados nos incisos I a XII serão indicados pelos dirigentes dos respectivos órgãos.

§ 3º - Os membros terão mandato de 2 (dois) anos podendo ser reconduzidos.

§ 4º - O Comitê Gestor da Privacidade e Proteção de Dados terá reuniões periódicas definidas em seu regimento interno baixado por Portaria Interna da CGU. 

Artigo 5º - Compete aos dirigentes dos órgãos e das unidades da Universidade:

I. adotar e viabilizar as ações necessárias para a adequação dos processos de trabalho e sistemas à LGPD, à Política de Privacidade e às Instrução Normativas instituídas pelo CGPPD, nos seus respectivos Órgãos, Faculdades ou Institutos da Universidade;
II. compartilhar as informações, procedimentos e instruções nos seus respectivos Órgãos, Faculdades ou Institutos da Universidade;
III. apresentar o andamento da implantação das políticas e execução dos planos, projetos e ações internas do respectivo Órgãos, Faculdades ou Institutos da Universidade, conforme solicitado pela CGPPD.

Artigo 6º - Compete à Gestão Estratégica de Dados, órgão técnico, subordinado à CGU:

I. assessorar o CGPPD na formulação da Política de Privacidade e Instruções Normativas com vistas a regulamentação da privacidade e proteção de dados no âmbito na universidade;
II. fornecer apoio técnico para prospecção, identificação, modelagem, desenvolvimento e implementação de ferramentas, procedimentos e novos processos necessários para assegurar os requisitos legais relacionados à privacidade e proteção de dados;
III. assistir o CGPPD na promoção de ações de sensibilização e ações de acompanhamento junto aos Órgãos, Faculdades e Institutos em relação ao cumprimento das políticas, normas e diretrizes aprovadas.

Artigo 7º - Caberá aos Órgãos, Faculdades e Institutos elaborar, segundo as normativas expedidas pelo CGPPD, Relatórios de Impacto a Proteção de Dados – RIPD e respectivos planos de ação com vistas a adoção de medidas de segurança, técnicas e administrativas aptas para viabilizar a proteção dos dados pessoais em conformidade aos princípios da LGPD (artigo 6º).

Parágrafo único. Todos os órgãos da Unicamp detentores de dados devem disponibilizar um Catálogo de Dados, conforme Instrução Normativa a ser expedida pela CGU, pelos quais assumirão total responsabilidade.

Artigo 8º - Caberá à Controladoria da Unicamp acompanhar a implantação e a aplicação da Política de Privacidade.

Artigo 9º - O disposto no caput do artigo 3º e seus incisos e do artigo 6º entrarão em vigor após 180 (cento e oitenta) dias a contar da publicação desta Deliberação.

Artigo 10 - Esta Deliberação entra em vigor na data de sua publicação. (01-P-13699/2020)

ANEXO I

POLÍTICA DE PRIVACIDADE DA UNICAMP

1. Introdução

A Universidade Estadual de Campinas (Unicamp), empenhada em valorizar a privacidade de sua comunidade interna e externa, demonstra seu compromisso em proteger os dados pessoais nos termos da Lei Geral de Proteção de Dados (LGPD) - Lei 13.709, de 14 de agosto de 2018, Marco Civil da Internet — Lei nº 12.965, de 23 de abril de 2014 e demais leis sobre o tema. Para isso, constituiu o Comitê Gestor de Privacidade e Proteção de Dados (CGPPD) e o Escritório de Dados, projetado para apoiar tecnicamente a condução das ações planejadas para a adequação da instituição à LGPD. Tais ações somam-se à criação da política de privacidade para assegurar respeito e proteção dos direitos de privacidade de seus usuários.

2. Objetivo

Esta política de privacidade tem por objetivo informar as categorias de dados processados, a forma de utilização dos dados e as medidas adotadas para mantê-los seguros. Esta política é um compromisso da Universidade com a privacidade e inclui disposições sobre o tratamento de dados pessoais relacionados aos servidores públicos da Unicamp, pesquisadores, prestadores de serviços, colaboradores terceirizados, usuários dos serviços de saúde, fornecedores e demais atores que interagem com a Universidade.

3. Público-alvo

Esta política de privacidade se aplica a toda a comunidade acadêmica, órgãos da Universidade e atividades de tratamento de dados pessoais sob a responsabilidade da Universidade Estadual de Campinas. Todos os órgãos são responsáveis por garantir que os dados pessoais sejam protegidos em todos os processos ao longo de todo o seu ciclo de vida, respeitando as medidas de privacidade existentes. Todos os servidores públicos da Unicamp são responsáveis pelo cumprimento desta política.

4. Definições

Para os fins de aplicabilidade da Política de Privacidade, consideram-se: 

A. Usuário: qualquer pessoa que acessa determinada área restrita dos sistemas de informação da Unicamp mediante cadastro;

B. Visitante: qualquer pessoa que navega pelos sites e portais da Unicamp;

C. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

D. Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

E. Cookies: informações enviadas pelos sistemas computacionais para o computador dos visitantes e usuários, com a finalidade de identificar o computador e obter dados de acesso, permitindo personalizar a navegação no Portal;

F. Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

G. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

H. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

I. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

J. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019);

K. Relatório de Impacto de Proteção de Dados - RIPD: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

L. CSIRT: Computer Security Incident Response Team ou Grupo de Resposta a Incidentes de Segurança.

5. Tratamento dos Dados Pessoais

A descrição dos dados pessoais, sua finalidade e suas respectivas formas de coleta, tratamento, uso e compartilhamento, bem como as medidas adotadas para mitigação de riscos que possam afetar os direitos dos titulares desses dados, devem ser descritos no Relatório de Impacto à Proteção dos Dados Pessoais (RIPD), em atendimento do inciso XVIII do artigo 5º da Lei Geral de Proteção de Dados. A metodologia para elaboração do RIPD será definida em instrução normativa específica elaborada pelo CGPPD.
Dada a enorme responsabilidade que todos devem ter com o uso e a guarda dos dados pessoais, dado o custo operacional e legal que isto impõe à instituição, somente devem ser solicitados dados absolutamente essenciais para a boa execução dos serviços de acordo com boas práticas do serviço público. Em outras palavras, antes da solicitação de um dado pessoal, deve haver uma análise de necessidade e se este dado já não consta de outros sistemas ou bancos existentes na universidade. Esta premissa está de acordo com o programa Desburocratize.
Nos casos de utilização de serviços/processos desejados, a critério da Unicamp, será requerido que o usuário manifeste consentimento e ciência nos termos de uso.

6. Tempo de Retenção dos Dados Pessoais

Quanto mais tempo os dados pessoais são retidos, maior a probabilidade de divulgação acidental, perda, roubo e/ou informações ficando obsoletas, e maiores as consequências de tais eventos. Em outras palavras, o tempo é um fator crítico de sucesso para uma violação de dados. No âmbito da Universidade, os dados pessoais devem ser retidos apenas pelo tempo mínimo necessário para apoiar os objetivos da Universidade e do interesse público ou para atender aos requisitos legais explícitos.
Para maximizar a proteção dos dados pessoais, os operadores, no âmbito da Unicamp, devem providenciar que os dados pessoais sejam deletados após período de retenção estipulado para cada tratamento e documentado no respectivo RIPD. O tempo de retenção dos dados pessoais será definido em instrução normativa específica elaborada pelo CGPPD.

7. Compartilhamento dos Dados Pessoais 

A Unicamp poderá compartilhar os dados pessoais, observadas as seguintes premissas: a da absoluta necessidade e dos procedimentos de segurança, desde que a finalidade esteja embasada nos artigos 7º a 11º da LGPD:

- cumprimento de obrigação legal ou regulatória pelo controlador; 
- execução de políticas públicas;
- alguma espécie de estudo realizado por órgão de pesquisa; 
- execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- exercício regular de direitos em processo judicial, administrativo ou arbitral;
- proteção da vida ou da incolumidade física do titular ou de terceiro;
- tutela da saúde; 
- atender aos interesses legítimos do controlador ou de terceiro; 
- proteção do crédito; 
- garantia da prevenção à fraude e à segurança do titular.

8. Direitos do Titular

8.1. Acesso 

A partir da vigência da LGPD, o titular do dado poderá solicitar à Unicamp o acesso aos seus dados que são mantidos pela Unicamp, conforme artigo 17 e seguintes da Lei. A identidade do titular deverá ser confirmada antes do atendimento da solicitação. Em caráter de exceção, nos casos em que a solicitação exigir tempo significativo de coleta, a Universidade reserva-se o direito de cobrar uma taxa para atendimento da solicitação.

8.2. Alteração dos Dados

A partir da vigência da LDPG, o titular poderá solicitar a alteração do seu respectivo dado pessoal. A Universidade poderá solicitar documentação comprobatória da alteração, providenciará a alteração em período pré-estabelecido e notificará o titular quando a solicitação estiver atendida. 

8.3. Direito a ser “esquecido”

A Unicamp não deverá armazenar dados pessoais sem uma finalidade pré-definida e documentada no RIPD e observa os artigos 15 e 16 da LGPD, que exige a exclusão de dados pessoais se o motivo de sua coleta e armazenamento não existir mais. Caso os dados pessoais mantidos pela Unicamp sejam baseados no consentimento fornecido e anteriormente ao período de retenção indicado, a remoção deverá ser solicitada por meio de formulário que deverá ser analisado pelo encarregado indicado.

9. Práticas de Registro

Os sistemas corporativos informatizados da Unicamp registram automaticamente os endereços IP dos usuários e visitantes. Além de registrar os endereços IP dos usuários, a Unicamp também pode acompanhar os sites visitados anteriormente e os termos de pesquisa que eles usaram para encontrá-lo. Os servidores monitoram as páginas visitadas no site da Unicamp, a quantidade de tempo gasto nessas páginas, os tipos de pesquisas feitas nelas e os produtos visualizados. Suas pesquisas permanecem confidenciais e anônimas. As informações devem ser utilizadas somente para fins estatísticos e aprimoramento.
Os servidores da Unicamp também capturam e armazenam informações que os navegadores transmitem. Isso inclui:

- Tipo / versão / plug-ins do navegador usado ou níveis de segurança
- Sistema operacional usado
- Endereço MAC (Media Access Control)
- Resolução da tela
- Data e hora da solicitação ao servidor
- Dados relacionados ao local (como a localização geográfica do endereço IP)
- Volume de dados transferidos
- Status de acesso ("arquivo transferido", "arquivo não encontrado" e assim por diante)
Tais dados devem ser utilizados somente para fins estatísticos com intuito de otimização dos sites. Dependendo da seleção das configurações de privacidade, ao visitar portais ou sites específicos da Unicamp, o tratamento de dados pessoais adicionais pode ocorrer de acordo com suas preferências.

10. Cookies

A Universidade Estadual de Campinas utiliza as seguintes categorias de cookies:

- Cookies essenciais - utilizados para autenticação, evitar fraudes e fornecer os serviços solicitados.
- Cookies funcionais - utilizados para recuperação das configurações ou preferências (como idioma).
- Cookies de desempenho - usados para medir o desempenho do site e serviços online. 
- Cookies de publicidade (segmentados) - usados para registrar os sites visitados de forma a fornecer anúncios personalizados. É possível controlar o posicionamento desses cookies por meio das configurações "não rastrear" (DNT) do navegador ou usando a ferramenta de gerenciamento de cookies.

Os cookies usados podem ser baseados em sessão ou persistentes. Os cookies baseados em sessão duram apenas a duração da sessão de um usuário, enquanto um cookie persistente permanece no disco rígido do usuário. Um cookie persistente pode ajudar a reconhecer o usuário quando retornar ao site e recuperar suas configurações ou preferências. É possível desativar completamente os cookies na seção de preferências do navegador.
Os serviços de informação Unicamp respeitam a configuração DNT em todos os navegadores que atualmente oferecem suporte.

11. Permissibilidade do tratamento de dados

O tratamento de dados pessoais é permitido apenas se o indivíduo consentir ou se a permissibilidade estiver em consonância com a LGPD. A permissibilidade do tratamento de dados pessoais é um pré-requisito para qualquer transferência.
O consentimento deve ser declarado por escrito ou por outros meios legalmente permitidos, nos quais o indivíduo deve ser informado com antecedência sobre a finalidade de tal tratamento de dados pessoais e qualquer possível transferência. A declaração de consentimento deve ser destacada quando incluída como parte de outras declarações, a fim de ser clara para o indivíduo.

12. Avaliações de impacto e risco de privacidade

O programa de gerenciamento de privacidade da Unicamp visa controlar e mitigar os riscos à privacidade. O risco à privacidade se concentra no impacto sobre um indivíduo relacionado às informações desse indivíduo processadas pela Universidade. Para habilitar transparência e controle, a Unicamp realiza avaliações de impacto na privacidade (RIPD). O Relatório de Impacto à Proteção de Dados deve ser realizado:

- Em todos os processos de trabalho, periodicamente pelo menos uma vez por ano, e com mais frequência quando a quantidade e/ou a sensibilidade dos dados pessoais processados assim o exigir;
- Como parte da lista de verificação dos requisitos de admissão do calendário do projeto;
- A cada mudança de alto impacto e/ou a pedido do responsável pela privacidade.
Além disso, é imperativo ter uma visão clara do ciclo de vida dos dados para permitir uma análise de risco adequada e um aplicativo de controle de segurança adequado. Um inventário dos dados processados e um mapa do ciclo de vida dos dados pessoais são necessários para todos os processos de negócios.

13. Uso Final

Os dados pessoais podem ser coletados apenas para fins específicos, explícitos e legítimos, e não podem ser processados posteriormente contrariando tais objetivos. Os responsáveis pelos processos de trabalho (em consulta, quando necessário, ao apoio jurídico da Unicamp e ao responsável pela privacidade) devem definir e documentar os propósitos do tratamento. Mudanças de finalidade devem ser permitidas apenas com o consentimento do indivíduo ou se permitido por lei.

14. Privacidade por design, minimização de dados e redução de sensibilidade

As implementações realizadas na Unicamp devem ter como referência "privacidade por design". Uma das melhores maneiras de proteger a privacidade de um indivíduo é não coletar seus dados pessoais em primeiro lugar. O tratamento de dados pessoais que a Unicamp possui deve ser realmente necessário para a finalidade pretendida.
A Unicamp minimiza ainda mais o risco de exposição de dados, reduzindo a sensibilidade das informações armazenadas, sempre que possível, por:

- Reduzir a precisão dos dados retidos após a coleta;
- Convertendo dados pessoais em um formato menos sensível; 
- Restringindo o acesso a grandes quantidades de dados pessoais; 
- O anonimato ou pseudonimização de dados pessoais é usado em um estágio inicial, quando possível, e quando o custo relacionado ao objetivo de proteção pretendido é razoável. A ativação da pseudonimização é alcançada por um conjunto de medidas equilibradas, incluindo mascaramento (estático e/ou dinâmico), tokenização e/ou criptografia.

15. Confidencialidade e Autorização

Somente a equipe autorizada da Unicamp, obrigada a observar os requisitos relacionados à confidencialidade dos dados, pode participar do tratamento de dados pessoais. É proibido que eles usem esses dados para seus próprios fins particulares, transfiram dados pessoais para terceiros não autorizados ou os tornem acessíveis de qualquer outra maneira imprópria a pessoas não autorizadas.

16. Segurança e Violação de dados

A Unicamp implementa controles de segurança técnicos e organizacionais comercialmente razoáveis para proteger seus dados pessoais contra roubo, perda ou uso indevido. Seus dados serão armazenados em um ambiente operacional seguro que não pode ser acessado sem autorização. A Unicamp aplica medidas de mitigação após avaliações periódicas de risco para garantir um nível adequado de proteção de seus dados pessoais.
Observe que, para fins de continuidade comercial e recuperação de desastres, a Unicamp pode armazenar dados em um local fora das jurisdições em que normalmente operamos. Em tais cenários, medidas comercialmente razoáveis para proteger seus dados pessoais contra roubo, perda ou uso indevido devem ser adotadas.
A prevenção de uma violação de dados é de responsabilidade de todos os servidores da Unicamp. Além disso, todos são incentivados a notificar o responsável pela privacidade em caso de irregularidade em relação às atividades de tratamento de dados pessoais.

17. Treinamento, Conscientização e Execução

A Unicamp garantirá o cumprimento dos princípios gerais estabelecidos nesta política de privacidade. A esse respeito, o CGPPD deve garantir que essa política seja implementada, o que inclui, principalmente, o fornecimento de informações sobre a política aos funcionários.
Os servidores também deverão afirmar seu entendimento e o compromisso de observar esta política de privacidade por meio de atestado ao Código de Conduta da Unicamp, que conterá informação sobre as consequências legais da violação dos princípios gerais desta política de privacidade.

18. Serviços de Terceiros/Subcontratação

A Unicamp pode decidir contratar um terceiro para a coleta, armazenamento ou tratamento de dados, incluindo dados pessoais. O terceiro pode oferecer serviços como hospedagem, terceirização ou serviços de computação em nuvem pública ou privada.
O subcontratado é contratualmente obrigado a processar dados pessoais apenas dentro do escopo do contrato e das instruções emitidas pela Unicamp. O tratamento de dados pessoais não pode ser realizado para nenhuma outra finalidade. A Unicamp continua sendo responsável pelos dados pessoais processados pelo parceiro de contrato.

19. Disposições Gerais

A política de privacidade da Unicamp será revista a cada três anos ou quando houver alteração de legislação.


Publicada no D.O.E. em 08/10/2020. Págs. 47 e 48.