Home / Diário Oficial da União / terça-feira, 14 de julho de 2026
PortariaSeção 1 · Edição 130 · Pág. 65
PORTARIA NORMATIVA INPI/PR Nº 83, DE 7 DE JULHO DE 2026
Ministério do Desenvolvimento, Indústria, Comércio e Serviços › Instituto Nacional da Propriedade Industrial
Texto integral
PORTARIA NORMATIVA INPI/PR Nº 83, DE 7 DE JULHO DE 2026
Institui a Política de Proteção de Dados Pessoais do Instituto Nacional da Propriedade Industrial - INPI.
A DIRETORA DE ADMINISTRAÇÃO, NO EXERCÍCIO DA PRESIDÊNCIA DO INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL - INPI, no uso das atribuições regimentais previstas no Decreto nº 11.207, de 26 de setembro de 2022, e na Portaria INPI/PR nº 18, de 16 de junho de 2025, que institui o Regimento Interno do INPI, e considerando o constante dos autos do processo nº 52402.004747/2026-55 e o disposto na Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil; na Lei nº 13.709, de 14 de agosto de 2018, que institui a Lei Geral de Proteção de Dados Pessoais - LGPD e dispõe sobre a proteção de dados pessoais; na Portaria INPI/PR nº 9, de 15 de abril de 2025 que institui a Política de Segurança da Informação - POSIN, a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR e o Comitê de Segurança da Informação - CSI, no âmbito do INPI, assim como regulamenta o funcionamento da ETIR e do CSI; na Portaria INPI/PR nº 31, de 28 de agosto de 2025, que aprova o Relatório de Impacto à Proteção de Dados Pessoais - RIDP do INPI; e na Portaria INPI/PR nº 32, de 28 de agosto de 2025, que aprova o Programa de Governança em Privacidade do INPI; resolve:
Art. 1º Fica instituída a Política de Proteção de Dados Pessoais do Instituto Nacional da Propriedade Industrial - INPI, com a finalidade de estabelecer princípios e diretrizes para a implementação de ações que garantam a proteção de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas.
Art. 2º Esta Política de Proteção de Dados Pessoais aplica-se a todas as unidades organizacionais do INPI, e deverá ser observada por todos os usuários de informação, seja servidor ou equiparado, empregado, prestador de serviços ou pessoa habilitada pela administração, por meio da assinatura de Termo de Responsabilidade, para acessar os ativos de informação sob responsabilidade do INPI.
Art. 3º A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 4º São objetivos da Política de Proteção de Dados Pessoais:
I - estabelecer medidas eficazes para o cumprimento das normas de proteção de dados pessoais e demonstrar a sua eficácia;
II - estabelecer revisões de processos com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados pessoais;
III - promover a administração dos dados pessoais coletados e tratados, em qualquer meio, físico ou digital, custodiados ou sob orientação direta ou indireta do INPI, de acordo com as diretrizes especificadas;
IV - estabelecer a necessidade de criar e manter um registro de todas as operações de tratamento de dados pessoais realizados;
V - promover a adequada gestão do tratamento dos dados pessoais;
VI - promover a criação de estratégia abrangente de programas de treinamento e conscientização para que os servidores e colaboradores entendam, implementem e mantenham a compreensão de suas responsabilidades e procedimentos na proteção de dados pessoais; e
VII - promover a formulação regras de segurança, de boas práticas e de governança com objetivo de definir procedimentos e outras ações referentes a privacidade e proteção de dados pessoais.
Art. 5º O INPI registrará e gravará as preferências e navegações realizadas nas respectivas páginas para fins estatísticos e de melhoria dos serviços ofertados, através de arquivos (cookies), respeitando o consentimento do titular.
§ 1º Para a coleta de cookies, o INPI adotará mecanismos que permitam ao titular gerenciar suas preferências e fornecer consentimento específico para cada categoria de cookie, no banner de segundo nível, quando aplicável.
§ 2º O consentimento será a hipótese legal primordial para o tratamento de dados pessoais via cookies, exceto para os cookies estritamente necessários ao funcionamento do serviço, os quais poderão ser baseados em legítimo interesse ou no cumprimento de obrigações ou atribuições legais do INPI.
Art. 6º São responsabilidades do INPI:
I - atender ao disposto nos normativos e publicações da Agência Nacional de Proteção de Dados Pessoais - ANPD que disciplinam o tratamento e a governança dos dados pessoais;
II - elaborar, quando couber, o Relatório de Impacto de Proteção de Dados Pessoais - RIPD relacionado às operações de tratamento, observando o conteúdo mínimo estabelecido pelo art. 38, parágrafo único da Lei nº 13.709, de 14 de agosto de 2018 (LGPD), sendo atualizado quando necessário;
III - realizar o desenvolvimento e a atualização das políticas e avisos de privacidade, que têm por finalidade o fornecimento de informações claras, precisas e de fácil acesso sobre o tratamento de dados pessoais em cada ambiente físico ou virtual, que serão disponibilizados ao titular antes ou no momento do tratamento, sem a necessidade de solicitação específica.
Art. 7º Esta Política formaliza o comprometimento do INPI em adotar processos e políticas internas que cumpram normas e boas práticas relativas à proteção de dados pessoais, aplicando-se a todo o conjunto de dados pessoais sob o controle do INPI, independentemente da forma de coleta, sendo adaptada à estrutura, escala e volume de suas operações, bem como à sensibilidade dos dados tratados.
Art. 8º Por meio desta Política, o INPI estabelece relação efetiva de confiança com os titulares dos dados pessoais, atuando de forma transparente e com mecanismos de participação.
Art. 9º A Política de Proteção de Dados Pessoais está integrada à estrutura geral de governança do INPI, com monitoramento do corpo diretivo e supervisão de órgãos internos e externos como a Auditoria Interna, Controladoria-Geral da União - CGU, Tribunal de Contas da União - TCU e a ANPD.
Art. 10. A Política de Proteção de Dados Pessoais promove o alinhamento do INPI à Estratégia de Governo Digital - EGD, visando um governo confiável que respeita a liberdade e privacidade dos cidadãos e responde adequadamente aos riscos do uso de tecnologias digitais.
CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS
Art. 11. O tratamento de dados pessoais deve ser sempre realizado para o atendimento de sua finalidade pública, conforme o interesse público, com o objetivo de executar competências legais e de cumprir as atribuições legais do serviço público.
Art. 12. As unidades organizacionais do INPI devem adotar mecanismos para que os titulares de dados pessoais usufruam dos direitos assegurados pela LGPD e normativos correlatos.
Art. 13. O INPI garante o cumprimento dos direitos dos titulares de dados pessoais principalmente por meio do encarregado pelo tratamento de dados pessoais, cujo endereço eletrônico de contato (encarregado@inpi.gov.br) constitui o canal de comunicação direto para dúvidas e informações sobre o tratamento de dados.
Art. 14. Os canais institucionais de atendimento, estruturados na Plataforma Integrada de Atendimento do INPI (https://www.gov.br/inpi/pt-br/plataforma-integrada-de-atendimento), são utilizados para recepção de manifestações e devem garantir o tratamento adequado das dúvidas e solicitações dos usuários.
Art. 15. O Portal do INPI funciona como fonte de consulta a informações gerais sobre o tratamento de dados pessoais (https://www.gov.br/inpi/pt-br/governanca/tratamento-de-dados-pessoais).
Art. 16. O tratamento de dados pessoais sensíveis deve ocorrer somente nos termos da Seção II do Capítulo II da LGPD e são estabelecidos procedimentos de segurança no tratamento destes dados conforme orientações da LGPD e demais normativos.
Parágrafo único. O tratamento de dados pessoais sensíveis para a execução de políticas públicas dar-se-á em estrita observância às competências legais e às previsões estabelecidas em lei ou regulamento.
Art. 17. O tratamento de dados pessoais de crianças e de adolescentes deve ser realizado nos termos da Seção III do Capítulo II da LGPD, bem como, pode ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da mesma lei, desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da referida lei.
Art. 18. O uso compartilhado de dados pessoais deve ocorrer em estrita observância ao art. 26 da LGPD.
Parágrafo único. As operações remanescentes de uso compartilhado de dados devem seguir o disposto no art. 27 da LGPD.
Art. 19. A transferência internacional de dados pessoais deve observar o disposto no Capítulo V da LGPD.
Art. 20. O tratamento de dados pessoais será realizado para o atendimento de sua finalidade pública, conforme o interesse público, com o objetivo de executar competências legais e de cumprir as atribuições legais do serviço público.
Art. 21. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da LGPD, que incluem finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
Art. 22. O INPI promoverá a privacidade desde a concepção (Privacy by Design) e por padrão (Privacy by Default) em seus serviços, garantindo que os processos envolvam o mínimo de dados necessários e privilegiem a privacidade por padrão.
Art. 23. O controlador deve elaborar e manter um inventário de dados pessoais para registrar todas as operações de tratamento.
Art. 24. Os dados pessoais devem ser retidos somente pelo período necessário para o cumprimento da hipótese legal e finalidade do tratamento.
Art. 25. É vedado qualquer tratamento de dados pessoais para fins não relacionados com as atividades desenvolvidas pelo INPI ou por pessoa não autorizada formalmente pelo Instituto.
Art. 26. Os dados pessoais serão avaliados e classificados em obrigatórios e opcionais no ato da sua coleta, priorizando somente a coleta dos dados obrigatórios para a prestação do serviço, em observância ao princípio da necessidade.
CAPÍTULO III
DA CONSCIENTIZAÇÃO, CAPACITAÇÃO E SENSIBILIZAÇÃO
Art. 27. Os servidores do INPI, com acesso a dados pessoais devem participar de programas de conscientização, capacitação e sensibilização em matérias de privacidade e proteção de dados pessoais, objetivando adequar o tema aos seus papeis e responsabilidades de forma contínua e abrangente.
Parágrafo único. Os programas a que se refere o caput deste artigo serão oferecidos regularmente e serão direcionados às funções específicas das pessoas envolvidas com o tratamento de dados.
Art. 28. A temática de privacidade e proteção de dados pessoais será contemplada e integrada no Plano de Desenvolvimento de Pessoas - PDP, garantindo capacitação adequada e contínua a todos os níveis hierárquicos e funcionais, assim como a competente certificação.
Art. 29. Será realizada comunicação permanente, interna e externa com os usuários, informando como seus dados pessoais são tratados, armazenados e protegidos.
Art. 30. O INPI promoverá campanhas para ampliar a conscientização.
Art. 31. Os servidores e colaboradores são encorajados a realizar cursos sobre a observância e aplicação da LGPD.
Art. 32. Os programas de capacitação abordarão medidas de segurança, direitos dos titulares, responsabilidades e sanções, transferência internacional de dados e conceitos-chave sobre proteção de dados e privacidade.
Art. 33. Serão realizadas oficinas de capacitação para auxiliar na elaboração de inventários de operações, Relatórios de Impacto à Proteção de Dados Pessoais - RIPD, adequação de contratos, implementação de minimização de dados, e revisão de Termos de Uso e Políticas de Privacidade.
CAPÍTULO IV
DA SEGURANÇA E BOAS PRÁTICAS
Art. 34. Considerando a necessidade de mitigar incidentes com dados pessoais, devem ser adotadas as seguintes medidas técnicas e organizacionais de privacidade e proteção de dados:
I - acesso aos dados pessoais deve estar limitado as pessoas que realizam o tratamento;
II - funções e responsabilidades dos servidores e colaboradores envolvidos nos tratamentos de dados pessoais devem ser claramente estabelecidas e comunicadas;
III - acordos de confidencialidade, termos de responsabilidade ou termos de sigilo estabelecidos com operadores de dados pessoais;
IV - armazenamento de todos os dados pessoais em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los;
V - descarte seguro de materiais impressos contendo dados pessoais, mediante trituração ou incineração, a fim de evitar acesso não autorizado;
VI - utilização de criptografia para garantir a transmissão segura e confidencial dos dados entre o servidor e o usuário;
VII - implementação de controles de segurança para proteger os dados pessoais dos titulares; e
VIII - adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais (princípio da prevenção).
Art. 35. Qualquer ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos dados pessoais dos titulares deve ser comunicada a ANPD dentro do prazo previsto pela LGPD.
Art. 36. As unidades organizacionais do INPI devem manter uma base de conhecimento com documentos que apresentam condutas e recomendações que melhoram o gerenciamento de risco e orientam na tomada de decisões adequadas em casos de comprometimento de dados pessoais.
Parágrafo único. O INPI implementa e mantém Plano de Resposta a Incidentes de Segurança da Informação e de Privacidade de Dados Pessoais, constantemente revisado para garantir a efetividade no tratamento de violações relativas à privacidade dos titulares de dados pessoais, em conformidade com a LGPD e normativos correlatos.
Art. 37. O INPI documentará detalhadamente todas as medidas de proteção de dados pessoais adotadas para a mitigação do impacto à proteção de dados pessoais.
Art. 38. As ações e atividades do INPI serão pautadas pelos princípios do Privacy by Design, assim entendidos:
I - proatividade e não reatividade, prevenção e não correção;
II - privacidade como padrão;
III - privacidade incorporada ao design;
IV - funcionalidade total;
V - segurança de ponta-a-ponta;
VI - visibilidade e transparência; e
VII - respeito à privacidade do usuário.
Art. 39. Será realizada a revisão das operações e funcionalidades dos sistemas de acordo com o design e padrão de máxima proteção dos dados pessoais, incluindo a tramitação de processos no Sistema Eletrônico de Informações - SEI, com indicação de acesso restrito ou sigiloso a documentos portadores de dados pessoais, ressalvando dados públicos ou com publicação obrigatória.
Art. 40. Será mantida base de conhecimento com condutas e recomendações para o gerenciamento de risco e tomada de decisões em casos de comprometimento de dados pessoais.
Art. 41. Serão garantidas a integridade, confidencialidade e disponibilidade dos dados.
CAPÍTULO V
DA AUDITORIA E CONFORMIDADE
Art. 42. O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de privacidade e proteção de dados pessoais e da garantia das cláusulas de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.
Art. 43. As atividades, produtos e serviços desenvolvidos no INPI devem observar os requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes para estarem em conformidade.
Art. 44. Os resultados de cada ação de verificação de conformidade devem ser documentados em relatório de avaliação de conformidade.
Art. 45. A abordagem de auditoria e conformidade adotada pela Política de Proteção de Dados Pessoais observará, entre outras, as seguintes práticas:
I - monitorar o cenário legislativo para novos projetos de leis e decretos que possam afetar a operação e a proteção de dados;
II - monitorar o surgimento de melhores práticas de proteção de dados pessoais;
III - determinar o cronograma de revisão e atualização dos mapeamentos, fluxos, inventários, políticas, normas e procedimentos, e realizar revisões caso haja alterações no modelo de negócio ou no cenário legislativo;
IV - realizar auditorias periódicas, tanto internas quanto em fornecedores, parceiros e clientes, para verificação da conformidade;
V - elaborar Relatório de Avaliação de Conformidade para documentar os resultados de cada ação de verificação; e
VI - acompanhar o Comitê Central de Governança de Dados - CCGD, acessando atas de reuniões e utilizando guias de boas práticas para adequação à LGPD.
CAPÍTULO VI
DAS FUNÇÕES E RESPONSABILIDADES
Art. 46. Qualquer pessoa natural ou jurídica de direito público ou privado que tenha interação em qualquer fase do tratamento de dados pessoais deve assegurar a privacidade e a proteção de dados pessoais que trata, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pelo INPI.
Art. 47. Compete ao Comitê de Segurança da Informação - CSI:
I - promover a proteção de dados pessoais e a adequação do INPI à LGPD;
II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre proteção de dados pessoais;
III - participar da elaboração da Política de Proteção de Dados Pessoais e das demais normas internas de privacidade e proteção de dados pessoais, além de propor atualizações e alterações nestes dispositivos;
IV - gerenciar a implementação da LGPD no INPI e a administração da Política de Proteção de Dados Pessoais;
V - incentivar a conscientização, capacitação e sensibilização das pessoas que desempenham qualquer atividade de tratamento de dados pessoais dentro do INPI;
VI - supervisionar a elaboração e implementação de planos de ação relacionados à privacidade e proteção de dados;
VII - definir indicadores de performance para medição dos resultados do Programa de Governança em Privacidade;
VIII - aprovar e monitorar o plano de comunicação interno e externo, incluindo a comunicação de possíveis violações de dados pessoais;
IX - orientar a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais - RIPD;
X - promover a aplicação dos princípios da LGPD no tratamento de dados pessoais, tanto para usuários externos quanto para servidores e colaboradores; e
XI - resolver casos omissos relacionados à Política de Proteção de Dados Pessoais.
Art. 48. A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais é do INPI que, no exercício das atribuições típicas de controlador, determina as medidas necessárias para executar a Política de Proteção de Dados Pessoais dentro de sua estrutura organizacional.
Art. 49. Compete ao controlador:
I - observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela LGPD e por normativos correlatos no momento de decidir sobre um futuro tratamento ou realizá-lo;
II - considerar o preconizado pelos art. 7º, art. 11 e art. 23 antes de realizar o tratamento de dados pessoais;
III - cumprir o previsto pelos art. 46 e art. 50 da LGPD buscando à proteção de dados pessoais e sua governança;
IV - indicar um encarregado pelo tratamento de dados pessoais, divulgando a identidade e as informações de contato do encarregado de forma clara e objetiva, preferencialmente no sítio institucional;
V - elaborar o inventário de dados pessoais a fim de manter registros das operações de tratamento de dados pessoais;
VI - reter dados pessoais somente pelo período necessário para o cumprimento da hipótese legal e finalidade utilizadas como justificativa para o tratamento de dados pessoais;
VII - criar e manter atualizados os avisos ou políticas de privacidade, que informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico ou virtual, e como os dados pessoais neles tratados são protegidos; e
VIII - requerer do titular a ciência com o termo de uso para cada serviço ofertado, informatizado ou não, que trate dados pessoais.
Parágrafo único. É vedado qualquer tratamento de dados pessoais para fins não relacionados com as atividades desenvolvidas pela organização ou por pessoa não autorizada formalmente pelo INPI.
Art. 50. São considerados operadores de dados pessoais as pessoas naturais ou jurídicas de direito público ou privado, que realizam operações de tratamento de dados pessoais em nome do controlador.
Parágrafo único. Quaisquer fornecedores de produtos ou serviços, que por algum motivo, realizam o tratamento de dados pessoais a eles confiados, são considerados operadores e devem seguir as diretrizes estabelecidas nesta Política, em especial aquelas prevista no Capítulo VII.
Art. 51. Compete ao operador:
I - observar os princípios estabelecidos no art. 6º da LGPD, ao realizar tratamento de dados pessoais.
II - seguir as diretrizes estabelecidas pelo controlador;
III - antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelo controlador cumprem os requisitos legais presentes nos art. 7º, art. 11 e art. 23 da LGPD;
IV - incorporar nos contratos com o INPI os requisitos mínimos de segurança da informação;
V - comprometer-se a não processar dados pessoais para finalidades que divergem da finalidade principal informada pelo controlador;
VI - notificar prontamente o INPI sobre a ocorrência de violação de sua segurança interna, comprometimento ou vazamento de dados pessoais, e sobre as medidas de mitigação ou remediação adotadas ou planejadas;
VII - eliminar, com segurança e quando cabível, os dados pessoais após a conclusão do serviço, rescisão de contrato ou solicitação do controlador; e
VIII - manter a privacidade, sigilo e acesso restrito aos dados, informações e documentos confiados pelo INPI, de acordo com a LGPD, a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI), e as boas práticas de segurança da informação e governança digital.
Parágrafo único. O operador não poderá decidir unilateralmente quanto aos meios e finalidades utilizados para o tratamento de dados pessoais.
Art. 52. Compete ao encarregado de proteção de dados:
I - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações e requisições da ANPD e adotar providências;
III - orientar os servidores e colaboradores do INPI a respeito das práticas a serem adotadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
Parágrafo único. Ao receber comunicações da ANPD, o encarregado adotará as medidas necessárias para o atendimento da solicitação e para o fornecimento de informações pertinentes, adotando, dentre outras, as seguintes providências:
I - encaminhar internamente a demanda para as unidades competentes
II - fornecer orientação e a assistência necessárias ao agente de tratamento; e
III - indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.
Art. 53. O encarregado de proteção de dados prestará assistência e orientação ao agente de tratamento na elaboração, definição, e implementação de:
I - registro e comunicação de incidente de segurança;
II - registro das operações de tratamento de dados pessoais;
III - Relatório de Impacto à Proteção de Dados Pessoais - RIPD;
IV - mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
V - medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
VI - processos e políticas internas que assegurem o cumprimento da LGPD, e dos regulamentos e orientações da ANPD;
VII - instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;
VIII - transferências internacionais de dados;
IX - regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da LGPD.
X - produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e
XI - outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
Art. 54. Compete ao agente de tratamento:
I - prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos;
II - solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais;
III - garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV - assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos; e
V - garantir ao encarregado acesso direto às gestores de maior nível hierárquico do INPI, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais unidades organizacionais.
CAPÍTULO VII
DOS CONTRATOS, CONVÊNIOS, ACORDOS E INSTRUMENTOS CONGÊNERES
Art. 55. Os contratos, convênios, acordos e instrumentos similares atualmente em vigor, que de alguma forma envolvam o tratamento de dados pessoais, precisam incorporar as cláusulas específicas constantes do Anexo desta Portaria Normativa, em total conformidade com a presente Política de Proteção de Dados Pessoais, contemplando minimamente:
I - requisitos mínimos de segurança da informação;
II - determinação de que o operador não processe os dados pessoais para finalidades que divergem da finalidade principal informada pelo controlador;
III - requisitos de proteção de dados pessoais que os operadores de dados pessoais devem atender;
IV - condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do controlador; e
V - diretrizes especificas sobre o uso de subcontratados pelo operador para execução contratual que envolva tratamento de dados pessoais.
Art. 56. As unidades organizacionais do INPI devem adotar medidas rigorosas com o propósito de assegurar que os terceiros e processadores de dados pessoais contratados estejam plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração do acordo entre as partes envolvidas.
Art. 57. O Termo de Referência ou Projeto Básico para contratação de soluções de Tecnologia da Informação e Comunicação - TIC deve conter, no que couber ao objeto contratado, requisitos e obrigações de Segurança da Informação e Privacidade - SIP, devendo ser empregados, conforme critérios próprios, os requisitos imprescindíveis, considerando a legislação vigente e os riscos de segurança da informação e privacidade.
Art. 58. A equipe de planejamento da contratação, ao especificar os requisitos e obrigações de SIP, deve considerar, no que couber, aspectos que:
I - propiciem a disponibilidade da solução de TIC contratada;
II - evitem vazamento de dados e fraudes digitais;
III - exijam, por parte da contratada, a definição de processo de gestão de riscos de SIP que envolvam a solução de TIC;
IV - possibilitem a rastreabilidade de forma a manter trilha de auditoria de SIP;
V - assegurem a continuidade do negócio implementado pela solução de TIC contratada;
VI - realizem o tratamento de dados pessoais, conforme o disposto na LGPD e o tratamento de informações classificadas, conforme legislação vigente;
VII - prevejam a realização de auditoria de SIP relativa à conformidade dos requisitos de segurança da informação e privacidade previstos pela contratação;
VIII - assegurem a gestão e tratamento de incidentes de forma sistematizada;
IX - indiquem e implementem diretrizes para o desenvolvimento e obtenção de software seguro;
X - contemplem processo de gestão de mudanças e implementem a gestão de capacidade; e
XI - implementem controles criptográficos, registros de logs, políticas de segurança da informação e privacidade.
Art. 59. A equipe de planejamento da contratação deve garantir que o contrato contenha sanções administrativas pelo descumprimento de cada um dos requisitos de segurança da informação e de privacidade que forem especificados.
Art. 60. A equipe de planejamento da contratação deve considerar quaisquer outros aspectos que constem no Guia de Requisitos e de Obrigações quanto à Segurança da Informação e Privacidade, publicado pelo órgão central do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP.
CAPÍTULO VIII
DAS PENALIDADES
Art. 61. As ações que violarem esta Política poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.
Art. 62. Os casos de descumprimento desta Política serão registrados e comunicados ao encarregado pelo tratamento de dados pessoais para ciência e tomada das providências cabíveis.
Art. 63. Os agentes públicos envolvidos em violações ou infrações relativas à proteção de dados pessoais poderão ser responsabilizados nos termos da Lei nº 8.112, de 11 de dezembro de 1990 (Estatuto dos Servidores Públicos Civis da União), da Lei nº 8.429, de 2 de junho de 1992 (Lei de Improbidade Administrativa), da LGPD e da LAI.
CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS
Art. 64. O INPI compromete-se com a melhoria contínua do Programa de Governança em Privacidade, por meio do monitoramento do cenário legislativo e das melhores práticas, e da realização de auditorias internas e junto a operadores de dados pessoais controlados pelo INPI.
Art. 65. O CSI poderá expedir instruções complementares, no âmbito de suas competências, que detalharão suas particularidades e procedimentos relativos à Proteção de Dados Pessoais alinhados às diretrizes que emitir e às políticas institucionais do INPI.
Art. 66. As dúvidas relativas à Política de Proteção de Dados Pessoais e a seus documentos serão submetidas ao CSI.
Art. 67. Esta Política será revisada, no máximo, a cada 2 (dois) anos, a partir do início de sua vigência.
Art. 68. Esta Política será divulgada e suas atualizações serão comunicadas de forma proativa.
Art. 69. Os casos omissos serão resolvidos pelo CSI.
Art. 70. Fica revogada a Portaria INPI/PR nº 28, de 2 de junho de 2021.
Art. 71. Esta Portaria Normativa entra em vigor na data de sua publicação na Revista da Propriedade Industrial.
Soraya Sales dos Santos e Silva
