Daily Journal

Home / Diário Oficial da União / terça-feira, 14 de julho de 2026

ResoluçãoSeção 1 · Edição 130 · Pág. 68

RESOLUÇÃO Nº 4, DE 13 DE JULHO DE 2026

Ministério da EducaçãoComitê de Governança de Dados da Educação

Texto integral

RESOLUÇÃO Nº 4, DE 13 DE JULHO DE 2026 Aprova a Política Interna de Proteção de Dados Pessoais no âmbito do Ministério da Educação - PPDP-MEC. O COMITÊ DE GOVERNANÇA DE DADOS DA EDUCAÇÃO DO MINISTÉRIO DA EDUCAÇÃO, no uso das atribuições que lhe confere o art. 2º, inciso I, da Portaria MEC nº 664, de 18 de julho de 2024, e tendo em vista o disposto na Lei nº 12.527, de 18 de novembro de 2011, na Lei nº 13.709, de 14 de agosto de 2018, na Lei nº 14.129, de 29 de março de 2021, no Decreto nº 10.046, de 9 de outubro de 2019, e o que consta nos autos do Processo Administrativo nº 23000.049473/2025-77, resolve: CAPÍTULO I DISPOSIÇÕES GERAIS Art. 1º Fica aprovada a Política Interna de Proteção de Dados Pessoais do Ministério da Educação - PPDP-MEC. Art. 2º A PPDP-MEC reflete o compromisso do órgão com a proteção de dados pessoais, estabelecendo normas, diretrizes e responsabilidades para as operações de tratamento de dados pessoais realizadas no âmbito do Ministério da Educação. Art. 3º As disposições desta Política se referem a dados pessoais dispostos em qualquer suporte, seja em meio físico ou digital. Art. 4º As normas complementares e procedimentos da PPDP-MEC aplicam-se a todos os servidores, colaboradores e terceiros que possuam vínculo funcional com o Ministério da Educação, ainda que transitoriamente ou sem remuneração. Art. 5º São objetivos da PPDP-MEC: I - assegurar a conformidade do Ministério da Educação com a legislação de proteção de dados pessoais e suas regulamentações, integrando-as aos processos internos do órgão; II - fomentar a cultura de proteção de dados pessoais, promovendo a conscientização acerca dos riscos envolvidos, das melhores práticas e dos deveres relacionados ao tratamento de dados, especialmente no ambiente tecnológico; III - garantir a transparência, a prestação de contas e a responsabilização pelo tratamento de dados pessoais realizado no âmbito do Ministério da Educação; IV - estabelecer uma relação de confiança com os titulares dos dados tratados pelo Ministério da Educação, por meio de uma atuação pautada na transparência, que garanta mecanismos efetivos para o exercício de direitos e a promoção da participação ativa; V - promover ações de segurança da informação e de proteção de dados durante todo o ciclo do tratamento; VI - promover ações de compartilhamento de dados entre órgãos e entidades da Administração Pública, seguindo os critérios de finalidade, adequação e necessidade, visando precipuamente à criação e ao desenvolvimento de políticas públicas relacionadas ao escopo legal do Ministério da Educação, conforme as normas e procedimentos legais; VII - promover iniciativas integradas entre os órgãos da estrutura organizacional do Ministério da Educação e entidades vinculadas; e VIII - definir diretrizes que promovam o aprimoramento contínuo dos mecanismos de proteção de dados pessoais, abrangendo as áreas de planejamento, governança, gestão de processos, elaboração de normas, rotinas operacionais, práticas organizacionais, bem como o ciclo de vida dos sistemas de informação, desde o desenvolvimento até a gestão. Seção I Dos princípios e das diretrizes Art. 6º As operações de tratamento de dados pessoais realizadas pelo Ministério da Educação devem observar os fundamentos e princípios gerais de proteção de dados, bem como as seguintes diretrizes: I - observância do disposto na Lei Geral de Proteção de Dados Pessoais - LGPD, nesta PPDP-MEC e nos regulamentos expedidos pela Agência Nacional de Proteção de Dados - ANPD; II - adoção de medidas que visem a assegurar a privacidade desde a concepção (privacy by design) e por padrão (privacy by default); III - diligência contínua ao longo de todo o ciclo de tratamento do dado pessoal; IV - boa-fé e ética no tratamento dos dados pessoais; V - adoção de hipótese legal adequada para o devido tratamento de dados pessoais; VI - adoção de medidas de segurança técnicas e administrativas apropriadas; e VII - manutenção do registro das operações de tratamento de dados pessoais. Seção II Das definições Art. 7º Para os fins da PPDP-MEC, consideram-se: I - curadores de dados: agentes públicos envolvidos nas atividades de curadoria de dados, que podem desempenhar funções negociais ou técnicas; II - unidade gestora da informação: unidade do Ministério da Educação responsável pela gestão de uma base de dados, seja interna ou externa, em razão de seu interesse direto na utilização dos dados para a realização de suas atividades finalísticas, ou, ainda, em virtude da atribuição legal que lhe confere competência para administrar o processo principal relacionado à referida base de dados; III - Inventário de Dados Pessoais: documento de governança de dados pessoais que identifica todo o tratamento de dados pessoais em operações, nos processos, projetos e ativos do Ministério da Educação, que serve de subsídio para o mapeamento de fluxo de dados, a análise de riscos de privacidade e a elaboração do relatório de impacto à proteção de dados pessoais; e IV - ciclo de vida dos dados pessoais: todo o processo de tratamento dos dados pessoais, constituído pelas fases de coleta, retenção, processamento, compartilhamento e eliminação. Parágrafo único. Para fins da presente Resolução, aplicam-se as definições constantes na Lei nº 13.709, de 14 de agosto de 2018 e na Resolução CGDados nº 1, de 10 de fevereiro de 2026. CAPÍTULO II DO TRATAMENTO DE DADOS PESSOAIS Art. 8º O tratamento de dados pessoais pelo Ministério da Educação será realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e cumprir as atribuições legais do serviço público. Art. 9º O Ministério da Educação poderá tratar dados pessoais de acordo com as hipóteses legais previstas nos arts. 7º e 11 da Lei nº 13.709, de 14 de agosto de 2018. § 1º O consentimento será utilizado como base legal apenas em situações excepcionais, devidamente justificadas, e deve ser obtido de forma clara, específica e informada, em observância às disposições da LGPD. § 2º Nas atividades baseadas no consentimento, a coleta de dados deverá ser contemporânea à assinatura de termo de consentimento, o qual deverá informar claramente a finalidade, os tratamentos previstos e as formas de revogação e exclusão dos dados. Art. 10. Todas as operações de tratamento de dados pessoais no âmbito do Ministério da Educação devem estar em conformidade com as melhores práticas administrativas e princípios de proteção de dados pessoais, assegurando o respeito aos direitos dos titulares e a adequação às finalidades institucionais. Art. 11. A coleta de dados deverá ocorrer apenas naquilo que for essencial para a atividade institucional, ou para a prestação do serviço requerido, devendo-se evitar a solicitação de dados validados e confiáveis que já estejam no poder do Ministério da Educação. Art. 12. As pesquisas institucionais realizadas sob a gestão do Ministério da Educação deverão obedecer às normas desta Política e aos regulamentos internos aplicáveis, com ênfase na proteção dos dados pessoais tratados. Art. 13. Nas situações em que o tratamento de dados pessoais possa gerar riscos significativos às liberdades e direitos fundamentais dos titulares, é indicada a elaboração do Relatório de Impacto à Proteção de Dados Pessoais - RIPD, em conformidade com o art. 38 da Lei nº 13.709, de 14 de agosto de 2018, e com as diretrizes da ANPD. Parágrafo único. A metodologia e o formato do RIPD serão definidos por regulamento próprio, em alinhamento às orientações da ANPD, devendo conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Art. 14. Compete ao Ministério da Educação adotar cuidados especiais nas operações envolvendo dados pessoais sensíveis, na forma da legislação vigente. Parágrafo único. O tratamento de dados pessoais sensíveis deve ocorrer nos termos da Seção II do Capítulo II da Lei nº 13.709, de 14 de agosto de 2018, e seguirá os procedimentos de segurança conforme as orientações da ANPD e dos demais normativos expedidos pelo Subcomitê de Privacidade e Proteção de Dados - SPPD. Art. 15. O tratamento de dados pessoais de crianças e adolescentes será realizado em conformidade com o art. 14 da Lei nº 13.709, de 14 de agosto de 2018, e demais legislações específicas. § 1º O tratamento de dados de criança e adolescente deve ser pautado pelo melhor interesse e pela máxima proteção do titular, cabendo ao Ministério da Educação disponibilizar as informações sobre o tratamento a ser realizado de maneira simples, clara e acessível. § 2º Para fins desta Política, considera-se criança a pessoa até doze anos de idade incompletos e adolescente aquela entre doze e dezoito anos de idade, em conformidade com o Estatuto da Criança e do Adolescente - ECA. Art. 16. O Ministério da Educação manterá o registro atualizado das operações de tratamento de dados pessoais realizadas sob sua responsabilidade, em conformidade com as diretrizes estabelecidas nesta Política. Parágrafo único. O registro das operações de tratamento de dados deve abranger todas as etapas do ciclo do tratamento, incluindo a coleta, o processamento, o armazenamento, a transferência e a exclusão dos dados pessoais. Art. 17. Os dados pessoais serão armazenados de forma segura, de acordo com os padrões de segurança exigidos em cada situação concreta, e de maneira que favoreça os meios para o exercício dos direitos do titular previstos na LGPD. Parágrafo único. Os dados pessoais serão eliminados após o encerramento do seu tratamento, conforme as hipóteses previstas no art. 15 da Lei nº 13.709, de 14 de agosto de 2018, ressalvadas as situações de conservação estabelecidas no art. 16 da mesma lei - especialmente nos casos necessários à elaboração, desenvolvimento e manutenção de políticas públicas no âmbito das competências institucionais deste órgão. CAPÍTULO III DO COMPARTILHAMENTO Art. 18. O uso compartilhado de dados pessoais pelo Ministério da Educação atenderá a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º e o disposto no art. 26, § 1º, e no art. 27, da Lei nº 13.709, de 14 de agosto de 2018. Art. 19. Em casos de transferência internacional de dados pessoais, o Ministério da Educação adotará todas as medidas necessárias para garantir que a operação de tratamento esteja em conformidade com os requisitos previstos na LGPD, e com as normas complementares aplicáveis, incluindo o Regulamento de Transferência Internacional de Dados, aprovado pela Resolução CD/ANPD nº 19, de 23 de agosto de 2024. Art. 20. As unidades do Ministério da Educação somente poderão realizar o compartilhamento de dados pessoais com base nas orientações do encarregado pelo tratamento de dados pessoais, que assegurará sua conformidade com as disposições legais e regulatórias. Art. 21. O acesso aos dados pessoais será restrito às pessoas autorizadas, que necessitem realizar o tratamento desses dados para o desempenho de suas atividades no âmbito do Ministério da Educação. Art. 22. É vedado o compartilhamento de dados do Ministério da Educação para terceiros não autorizados ou a concessão de acesso de maneira imprópria a pessoa não autorizada. Art. 23. Os contratos, convênios ou demais instrumentos firmados pelo Ministério da Educação com terceiros deverão conter cláusulas específicas de proteção de dados pessoais, as quais estabelecerão os deveres e obrigações dos agentes de tratamento envolvidos na operação de tratamento, respeitados os princípios, os direitos dos titulares e o regime de proteção de dados previstos na LGPD. Art. 24. O compartilhamento de dados pessoais entre o Ministério da Educação e outros entes será regulamentado por normativo próprio do Comitê de Governança de Dados da Educação do Ministério da Educação e estabelecerá, de forma detalhada, as finalidades específicas, os requisitos técnicos e organizacionais, as responsabilidades dos agentes de tratamento, as medidas de segurança aplicáveis e os procedimentos necessários, para assegurar o cumprimento dos princípios e direitos previstos na LGPD e nas demais normas aplicáveis. CAPÍTULO IV DAS COMPETÊNCIAS E RESPONSABILIDADES Seção I Dos agentes de tratamento Art. 25. O Ministério da Educação será o controlador dos dados pessoais sob sua responsabilidade, cabendo-lhe tomar as decisões referentes ao tratamento de dados pessoais e desempenhar as demais atribuições previstas na LGPD, em conformidade com suas competências legais e institucionais. Art. 26. Compete ao controlador: I - observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela LGPD e por normativos correlatos ao decidir sobre a realização de um tratamento futuro e ao longo de sua execução; II - considerar o disposto nos arts. 7º, 11 e 23 da Lei nº 13.709, de 14 de agosto de 2018, antes de iniciar o tratamento de dados pessoais; III - cumprir as determinações previstas nos arts. 46 e 50 da Lei nº 13.709, de 14 de agosto de 2018, buscando a proteção e a governança dos dados pessoais; IV - indicar um encarregado pelo tratamento de dados pessoais, divulgando a identidade e as informações de contato do encarregado de forma clara e objetiva, preferencialmente no sítio institucional; V - elaborar o Inventário de Dados Pessoais, a fim de manter registros das operações de tratamento de dados pessoais; VI - reter dados pessoais somente pelo período necessário para o cumprimento da hipótese legal e da finalidade utilizadas como justificativa para o tratamento de dados pessoais; VII - criar e manter atualizados os avisos ou políticas de privacidade, que informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico ou virtual, e como os dados pessoais neles tratados são protegidos; e VIII - requerer do titular a ciência, com o Termo de Uso, para cada serviço ofertado - informatizado ou não - em que ocorra o tratamento de dados pessoais. Art. 27. Os operadores de dados pessoais que realizam, em nome do Ministério da Educação, operações de tratamento de dados pessoais, deverão cumprir integralmente o disposto nesta Política e seus deveres legais com relação à proteção de dados pessoais, sendo de sua responsabilidade, ainda: I - realizar o tratamento dos dados pessoais em conformidade com as instruções fornecidas pelo Ministério da Educação; II - apresentar ao Ministério da Educação evidências e garantias suficientes de que aplicam continuamente medidas técnicas e administrativas adequadas de segurança para a proteção dos dados pessoais; III - manter os registros de tratamento de dados pessoais que realizarem, com condições de rastreabilidade e de fornecimento de prova a qualquer tempo; IV - facultar acesso a dados pessoais somente em casos estritamente necessários e para pessoal autorizado que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo a prova do compromisso estar disponível em caráter permanente para exibição, em caso de solicitação pelo Ministério da Educação; V - fornecer, a qualquer tempo, informações acerca dos dados pessoais confiados pelo Ministério da Educação; VI - auxiliar, sempre que demandados pelo Ministério da Educação, no cumprimento de obrigações perante titulares de dados pessoais que são objeto do tratamento, autoridades competentes ou quaisquer outros legítimos interessados; VII - comunicar, de maneira formal e imediata, ao encarregado pelo tratamento de dados pessoais, a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções; e VIII - manter, durante todo o período de tratamento, e mesmo após o término, adequação com a LGPD, com as demais normas pertinentes e com as regulamentações da ANPD. § 1º O Ministério da Educação poderá, a qualquer tempo, solicitar informações sobre o tratamento dos dados pessoais confiados a fornecedores de produtos, prestadores de serviços ou parceiros, respeitados o sigilo empresarial e as demais proteções legais. § 2º Para os fins desta Política, não é considerado operador a pessoa natural que atue como profissional subordinado a uma pessoa jurídica ou como membro de seus órgãos. Seção II Do encarregado pelo tratamento de dados pessoais Art. 28. O encarregado pelo tratamento de dados pessoais será designado por portaria emitida pelo Ministro de Estado da Educação. Art. 29. O encarregado deverá atuar como canal de comunicação com os titulares dos dados e com a ANPD, bem como auxiliar na implementação de iniciativas voltadas à privacidade e proteção de dados pessoais junto ao Ministério da Educação. Art. 30. Compete ao encarregado pelo tratamento de dados pessoais: I - elaborar Programa de Governança em Privacidade e Proteção de Dados Pessoais e submetê-lo ao Comitê de Governança de Dados da Educação - CGDados para aprovação; II - coordenar as ações de adequação das atividades do Ministério da Educação à LGPD e aos Regulamentos emitidos pela ANPD; III - prestar assistência e orientar na elaboração, definição e implementação, conforme cada caso, dos itens descritos no art. 16 do Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais, aprovado pela Resolução CD/ANPD nº 18, de 16 de julho de 2024; IV - recepcionar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; V - receber comunicações da ANPD e adotar providências; VI - orientar os servidores e colaboradores do Ministério da Educação a respeito das práticas a serem adotadas em relação à proteção de dados pessoais; VII - monitorar o cumprimento da PPDP-MEC; VIII - coordenar o Subcomitê de Privacidade e Proteção de Dados Pessoais - SPPD-MEC; IX - avaliar e propor a atualização da PPDP-MEC; e X - executar as demais atribuições determinadas pelo Ministério da Educação ou estabelecidas em normas complementares. § 1º Cabe ao controlador munir o encarregado de ferramentas, autonomia e capacitações necessárias ao desempenho de suas atividades. § 2º O encarregado pelo tratamento de dados pessoais não deverá estar lotado nas unidades de Tecnologia da Informação, nem ser responsável pela gestão de sistemas de informação do órgão ou entidade, tampouco acumular funções que possam configurar conflito de interesse, especialmente aquelas relacionadas à tomada de decisões estratégicas sobre o tratamento de dados. § 3º A identidade e as informações de contato do encarregado serão divulgadas publicamente, de forma clara e objetiva, no sítio eletrônico institucional, mantendo-se sempre atualizadas. § 4º O encarregado poderá solicitar contribuições de qualquer unidade do Ministério da Educação para o adequado desempenho de suas funções. § 5º O encarregado pelo tratamento de dados pessoais deverá estar lotado em unidade estratégica que assegure sua autonomia e independência funcional. Seção III Do Subcomitê de Privacidade e Proteção de Dados Pessoais - SPPD-MEC Art. 31. O funcionamento do SPPD-MEC está regulamentado pela Resolução nº 4, de 1º de julho de 2025, e a ele compete: I - promover a proteção de dados pessoais e assegurar a plena adequação do Ministério da Educação à LGPD, garantindo que o tratamento de dados pessoais seja conduzido de acordo com os princípios da transparência, segurança e respeito aos direitos dos titulares; II - realizar diagnóstico quanto à utilização de dados pessoais nas bases de dados e nos contratos celebrados pelo Ministério da Educação, com o objetivo de verificar a adequação às determinações da LGPD; III - avaliar os mecanismos de tratamento e proteção de dados pessoais existentes e propor ações destinadas ao aprimoramento contínuo dessas práticas, visando à conformidade legal; IV - propor diretrizes para orientar as unidades organizacionais na realização do planejamento, execução, monitoramento e avaliação das medidas destinadas à adequação do Ministério da Educação à LGPD; V - coordenar iniciativas relacionadas às boas práticas em proteção de dados pessoais; VI - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre a proteção de dados pessoais; VII - apoiar no fomento e disseminação da cultura e dos conhecimentos relativos à proteção de dados pessoais, resguardando os direitos fundamentais de liberdade e privacidade, inclusive com a cooperação técnica de outras instituições públicas ou privadas; VIII - recomendar programas de capacitação técnica para gestores e profissionais de educação, promovendo o fortalecimento das competências necessárias à gestão eficaz de dados educacionais e ao uso ético das informações; IX - propor normas e procedimentos metodológicos para implementação da PPDP-MEC, com o objetivo de regulamentar a proteção dos dados pessoais no âmbito do Ministério da Educação; X - revisar a PPDP-MEC e suas instruções normativas conforme o art. 60, desta Resolução; XI - planejar e coordenar a implantação do Programa de Conformidade às Leis de Proteção de Dados Pessoais e demais ações e projetos necessários para a adequação à LGPD; XII - acompanhar a implantação do Programa de Conformidade e o cumprimento das ações regulamentadoras no Ministério da Educação; XIII - apoiar na elaboração do Inventário de Dados Pessoais e do Relatório de Impacto, no âmbito do Ministério da Educação; XIV - prover subsídio técnico ao CGDados na elaboração do padrão institucional do fluxo de compartilhamento de dados pessoais com órgãos e entidades do poder público e iniciativa privada; XV - colaborar com outras instâncias colegiadas de temas correlatos visando à integração contínua dos processos de governança, compartilhamento de dados, privacidade, segurança da informação e gestão de riscos; XVI - assessorar as unidades organizacionais na implementação das estratégias, diretrizes e medidas estabelecidas pelo CGDados, destinadas ao compartilhamento de dados do Ministério da Educação; e XVII - assessorar o encarregado pelo tratamento de dados pessoais do Ministério da Educação em suas atividades, inclusive como instância consultiva. Seção IV Da Secretaria da Gestão da Informação, Inovação e Avaliação de Políticas Educacionais do Ministério da Educação Art. 32. A governança da proteção de dados pessoais no Ministério da Educação será assegurada pela Secretaria da Gestão da Informação, Inovação e Avaliação de Políticas Educacionais. Art. 33. Compete à Secretaria da Gestão da Informação, Inovação e Avaliação de Políticas Educacionais: I - apoiar a implementação de políticas e práticas de privacidade e proteção de dados pessoais e a promoção da conscientização e capacitação contínua sobre o tema; II - coordenar as ações para elaboração do Guia de Boas Práticas no Tratamento de Dados Pessoais; III - coordenar a execução do Inventário de Dados Pessoais, com apoio das unidades organizacionais responsáveis pelo tratamento desses dados; IV - supervisionar a elaboração dos RIPDs; e V - apoiar a atuação do encarregado pelo tratamento de dados pessoais no Ministério da Educação, com vistas a assegurar o cumprimento da LGPD. Seção V Das chefias Art. 34. Competem às chefias, no âmbito do Ministério da Educação: I - promover a conscientização e a capacitação contínua dos colaboradores sob sua supervisão, acerca das boas práticas de privacidade, proteção de dados pessoais, segurança da informação e transparência, assegurando o alinhamento com as diretrizes da PPDP-MEC e com a Lei nº 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação; II - garantir que os membros de suas respectivas equipes conheçam e cumpram os normativos e documentos orientadores aplicáveis ao Ministério da Educação, relacionados à privacidade, à proteção de dados, à segurança da informação e à transparência pública; III - incorporar boas práticas relacionadas à privacidade e à proteção de dados pessoais nos processos e fluxos de trabalho de suas respectivas unidades; IV - assegurar a proteção dos dados pessoais sob sua custódia, em conformidade com a LGPD, solicitando orientações do encarregado pelo tratamento de dados pessoais sempre que necessário; V - manter o encarregado pelo tratamento de dados pessoais atualizado sobre as operações de tratamento de dados realizadas pelas respectivas unidades gestoras da informação, garantindo o registro adequado dessas atividades; VI - informar ao encarregado pelo tratamento de dados pessoais qualquer inconsistência ou irregularidade detectada em registros ou operações de tratamento de dados que estejam sob sua supervisão; VII - comunicar imediatamente ao encarregado pelo tratamento de dados pessoais qualquer incidente de segurança, suspeito ou confirmado, que possa representar risco ou dano relevante aos titulares dos dados; VIII - atuar de forma diligente na mitigação de riscos relacionados à proteção de dados e na implementação das medidas corretivas indicadas, sempre em alinhamento com as diretrizes institucionais e legais; e IX - apoiar o atendimento a demandas relacionadas ao exercício dos direitos dos titulares de dados pessoais, assegurando que as bases de dados sob sua responsabilidade estejam organizadas e acessíveis para o cumprimento dessas solicitações. Seção VI Dos servidores, colaboradores e terceiros Art. 35. Competem aos servidores, colaboradores e terceiros vinculados ao Ministério da Educação, nos termos do art. 4º desta Política: I - conhecer e cumprir o disposto da PPDP-MEC, bem como as demais regulamentações em vigor relacionadas à privacidade, proteção de dados e segurança da informação; II - adotar uma postura proativa e responsável no tratamento de dados pessoais, demonstrando engajamento com os princípios de privacidade e segurança da informação; III - comunicar imediatamente à chefia direta e ao encarregado pelo tratamento de dados pessoais qualquer incidente de segurança que possa representar risco ou causar dano relevante aos titulares dos dados, seja ele confirmado ou apenas suspeito; IV - garantir a integridade e a confidencialidade dos dados pessoais tratados no exercício de suas funções, especialmente em casos de acesso restrito por força de dispositivo legal; V - evitar a disponibilização ou o compartilhamento de dados pessoais sob a guarda do Ministério da Educação em situações não autorizadas por lei ou para pessoas sem permissão formal; VI - cumprir rigorosamente as normas, orientações e recomendações estabelecidas pelo Ministério da Educação relacionadas à segurança da informação, privacidade, proteção de dados pessoais e à transparência pública, sempre promovendo o equilíbrio entre o direito de acesso à informação e a proteção dos dados pessoais; e VII - participar de ações de capacitação e iniciativas relacionadas à proteção de dados pessoais promovidas ou divulgadas pelo Ministério da Educação. CAPÍTULO V DOS DIREITOS DOS TITULARES Art. 36. O Ministério da Educação adotará as medidas necessárias para garantir o exercício pleno dos direitos dos titulares de dados pessoais, conforme estabelecido na LGPD e em eventuais normas complementares. Art. 37. O exercício dos direitos dos titulares poderá ser realizado mediante requerimento expresso do titular ou de seu representante legalmente constituído, direcionado ao encarregado pelo tratamento de dados pessoais. § 1º Caso o requerimento seja recebido por canais distintos do previsto no art. 38, a unidade responsável deverá encaminhá-lo ao encarregado, para que as providências cabíveis sejam adotadas. § 2º Os requerimentos serão atendidos observadas as exceções previstas na legislação, como impossibilidade jurídica, informações de acesso restrito e situações que envolvam sigilo, conforme disposto na Lei nº 12.527, de 18 de novembro de 2011, e outras normas correlatas. § 3º Para os requerimentos de acesso aos dados pessoais, aplicam-se os mesmos prazos e procedimentos definidos na Lei nº 12.527, de 18 de novembro de 2011, sendo que o encarregado poderá definir prazos razoáveis para o fornecimento das informações ou para a tomada de providências por outras unidades do Ministério da Educação, quando necessário. § 4º O atendimento a requerimentos que impliquem o acesso a dados pessoais sob controle do Ministério da Educação será condicionado ao cumprimento, pelo requerente, dos requisitos exigidos para a confirmação de sua identidade como titular das informações. § 5º O titular não será onerado para o exercício de seus direitos. Art. 38. O Ministério da Educação manterá em seu sítio eletrônico informações claras e acessíveis sobre os direitos dos titulares, os procedimentos necessários para o seu exercício e o canal de comunicação para atendimento de demandas relacionadas à proteção de dados pessoais, por meio da plataforma Fala.BR. CAPÍTULO VI DAS OBRIGAÇÕES DE TRANSPARÊNCIA ATIVA Art. 39. O Ministério da Educação divulgará, em seção específica de seu sítio eletrônico, informações detalhadas e atualizadas relacionadas ao tratamento de dados pessoais, conforme disposto no art. 23 da Lei nº 13.709, de 14 de agosto de 2018, incluindo: I - as bases legais que fundamentam as operações de tratamento de dados pessoais realizadas pelo órgão; II - as finalidades específicas das operações de tratamento e uso compartilhado de dados pessoais; III - a identificação dos órgãos, entidades públicas e privadas com os quais ocorre o uso compartilhado de dados pessoais - incluindo casos de transferência internacional - e os respectivos destinatários; IV - a relação de operadores contratados para realizar o tratamento de dados pessoais em nome do Ministério da Educação; V - os direitos garantidos aos titulares de dados pessoais e a forma como eles poderão ser exercidos no âmbito do órgão; VI - a Política Interna de Proteção de Dados Pessoais do MEC - PPDP-MEC; e VII - os Termos de Uso aplicáveis aos serviços públicos disponibilizados. Art. 40. A divulgação de dados pessoais pelo Ministério da Educação, para fins de comunicação social, publicidade ou cumprimento de normas de transparência e acesso à informação, deverá ser compatibilizada com o direito à privacidade e à proteção de dados pessoais, nos termos da Lei nº 12.527, de 18 de novembro de 2011. CAPÍTULO VII DA CONSCIENTIZAÇÃO E CAPACITAÇÃO Art. 41. O Ministério da Educação promoverá ações contínuas de conscientização e capacitação direcionadas aos agentes públicos, colaboradores e demais partes interessadas, com o objetivo de fortalecer a cultura de privacidade e proteção de dados pessoais. Art. 42. O programa de conscientização e capacitação será realizado de forma contínua e poderá incluir: I - treinamentos, cursos, palestras, oficinas e seminários, nas modalidades presencial e virtual; II - publicação de guias, cartilhas, manuais e outros materiais educativos; III - campanhas informativas sobre privacidade e proteção de dados pessoais; e IV - avaliações periódicas para medir o nível de conhecimento adquirido e a eficácia das ações implementadas. Art. 43. Para garantir a disseminação do conhecimento sobre proteção de dados pessoais e privacidade, o encarregado pelo tratamento de dados pessoais, em conjunto com o SPPD-MEC, deverá: I - propor e apoiar campanhas de conscientização que promovam a cultura da proteção de dados pessoais e da privacidade no âmbito do Ministério da Educação; e II - fornecer orientações aos servidores e colaboradores do Ministério da Educação sobre práticas de conformidade em proteção de dados pessoais e privacidade, que devem ser implementadas por todos os integrantes da instituição. Art. 44. As atividades de capacitação relacionadas à proteção de dados pessoais serão promovidas pela unidade responsável pela coordenação, planejamento e desenvolvimento de ações de formação no Ministério da Educação, em articulação com o encarregado pelo tratamento de dados pessoais. § 1º Os servidores, colaboradores e demais partes envolvidas no tratamento de dados pessoais, no âmbito do Ministério da Educação, devem participar de programas relativos à privacidade e à proteção de dados pessoais, objetivando adequar o tema aos seus papéis e responsabilidades. § 2º O Ministério da Educação poderá firmar parcerias estratégicas com entidades públicas e privadas, com o propósito de ampliar o alcance das ações institucionais e promover o fortalecimento da cultura de privacidade e proteção de dados. CAPÍTULO VIII DA SEGURANÇA E BOAS PRÁTICAS Art. 45. As normas de segurança da informação e de prevenção contra incidentes relacionados aos dados pessoais tratados pelo Ministério da Educação estarão contidas na Política Corporativa de Segurança da Informação e Proteção de Dados do Ministério da Educação - PSI-MEC, bem como nas normativas internas e nos documentos técnicos correlatos, que asseguram a proteção e a privacidade dos dados pessoais. Art. 46. A prevenção de violações de dados pessoais é de responsabilidade de todos os servidores, colaboradores e terceiros que possuam vínculo funcional com o Ministério da Educação, ainda que transitoriamente ou sem remuneração. Parágrafo único. Cada servidor, colaborador e responsável pelas atividades de tratamento de dados deve adotar práticas que garantam a integridade, confidencialidade e disponibilidade das informações, contribuindo para a segurança de dados pessoais no Ministério da Educação. Art. 47. Todos os servidores e colaboradores do Ministério da Educação têm o dever de comunicar imediatamente ao encarregado pelo tratamento de dados pessoais qualquer suspeita de irregularidade no tratamento de dados pessoais ou a ocorrência de condutas que possam configurar violação à legislação de proteção de dados pessoais, incluindo, mas não se limitando a: I - tratamento de dados pessoais sem a devida autorização ou base legal apropriada, conforme a LGPD; II - realização de atividades de tratamento em desacordo com a PSI-MEC; III - ato não autorizado de eliminação, alteração ou destruição de dados pessoais em ambientes físicos ou digitais; e IV - qualquer outra prática que infrinja as disposições da PPDP-MEC ou os princípios de proteção de dados pessoais estabelecidos na LGPD. Art. 48. O Ministério da Educação deve adotar medidas técnicas e administrativas aptas a proteger os dados pessoais. § 1º O Ministério da Educação deverá utilizar tecnologias que, por padrão, atendam às boas práticas de segurança da informação e proteção de dados pessoais desde a concepção de seus sistemas e processos, alinhando-se às diretrizes estabelecidas na LGPD. § 2º Os sistemas e processos em uso no momento da publicação desta Resolução devem ser gradualmente ajustados para atender aos seus requisitos, considerada a prioridade da área responsável e os riscos associados ao tratamento de dados pessoais, sempre buscando mitigar potenciais danos. Art. 49. Ao coletarem dados pessoais por meio de cookies ou outras tecnologias de rastreamento, os portais e sistemas on-line do Ministério da Educação devem assegurar que o seu tratamento esteja em conformidade com as normas de proteção de dados pessoais previstas na LGPD, oferecendo aos usuários a transparência e o controle sobre suas informações. CAPÍTULO IX DO INVENTÁRIO DE DADOS PESSOAIS Art. 50. O Ministério da Educação assegurará a adoção de medidas eficazes para a realização do Inventário de Dados Pessoais, que deve identificar as operações de tratamento de dados pessoais realizadas no âmbito das atividades de competência do Ministério da Educação, com especial atenção para os dados pessoais sensíveis, conforme definidos pela LGPD. § 1º O inventário abrangerá todas as fases do ciclo de vida dos dados pessoais dentro do órgão. § 2º O Inventário de Dados Pessoais deverá ser realizado em cada unidade administrativa do Ministério da Educação, com o apoio do encarregado pelo tratamento de dados pessoais, e deverá identificar as operações de tratamento de dados realizadas no âmbito de suas atividades, levando em consideração as particularidades e especificidades de cada setor. § 3º As operações de tratamento de dados pessoais e as informações relacionadas serão catalogadas e identificadas pelas unidades responsáveis, em conformidade com o ciclo de vida dos dados sob sua custódia. Art. 51. O Inventário de Dados Pessoais será periodicamente revisado e atualizado, com intervalos máximos de doze meses, ou sempre que houver mudanças significativas nas operações de tratamento de dados. Art. 52. O Inventário de Dados Pessoais servirá como ferramenta de gestão para: I - monitorar a conformidade do Ministério da Educação com as disposições da LGPD e outras regulamentações pertinentes; II - subsidiar a elaboração de RIPDs, sempre que necessário; e III - identificar e mitigar riscos relativos ao tratamento de dados pessoais, garantindo a proteção dos direitos dos titulares de dados. Art. 53. O Inventário de Dados Pessoais será disponibilizado à ANPD, quando solicitado. CAPÍTULO X DO RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS - RIPD Art. 54. O Ministério da Educação elaborará o RIPD nos casos em que as operações de tratamento possam gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais, às liberdades civis e aos direitos fundamentais dos titulares. § 1º O RIPD deverá ser elaborado antes do início de qualquer operação de tratamento que possa causar risco elevado aos direitos dos titulares, considerando as especificidades do tratamento e as medidas de mitigação de risco. § 2º Para a elaboração do RIPD, deverão ser observados os parâmetros e diretrizes estabelecidos pela ANPD, conforme os documentos normativos e orientações publicadas por essa autoridade. § 3º O RIPD deverá: I - ser elaborado pela unidade organizacional responsável pelo tratamento de dados que possa gerar risco ao titular, com o apoio e a orientação do SPPD-MEC; II - incluir a descrição detalhada das operações de tratamento, bases legais, duração do tratamento e transferências de dados, identificando os riscos potenciais aos direitos dos titulares e sugerindo ou fornecendo as ações corretivas necessárias para evitar ou mitigar esses riscos; e III - considerar a implementação de salvaguardas, medidas de segurança e controles técnicos para minimizar os riscos identificados, incluindo a avaliação de novos tratamentos, tecnologias ou mudanças de contexto que possam impactar a proteção dos dados pessoais. § 4º A revisão do RIPD deverá ocorrer periodicamente, ou quando novos riscos forem identificados. § 5º A unidade responsável pela elaboração do RIPD deverá manter um processo contínuo de monitoramento dos tratamentos de dados e de suas consequências para os titulares, garantindo que quaisquer novos riscos sejam prontamente identificados e mitigados. § 6º Serão consideradas suscetíveis de causar elevado risco aos direitos e às garantias fundamentais dos titulares de dados pessoais as operações de tratamento que, dentre outros fatores, envolvam: I - limitação no exercício dos direitos dos titulares de dados pessoais; II - dados pessoais sensíveis de terceiras pessoas; III - dados pessoais de crianças e adolescentes; IV - dados biométricos e genéticos; V - dados que possam colocar em risco a vida, a saúde ou a segurança dos titulares de dados pessoais; VI - o tratamento massivo de dados pessoais acessíveis publicamente ou tornados manifestamente públicos pelos próprios titulares; VII - a combinação de dados ou conjunto de dados de fontes diferentes; e VIII - decisões automatizadas que envolvam dados pessoais. Art. 55. Os RIPDs serão publicados em transparência ativa, observadas eventuais restrições de acesso à informação dispostas na Lei nº 12.527, de 18 de novembro de 2011. CAPÍTULO XI DA FISCALIZAÇÃO E DO DESCUMPRIMENTO Art. 56. Qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares deve ser comunicado ao encarregado pelo tratamento de dados pessoais, que, apoiado pelo SPPD-MEC, tomará as seguintes providências: I - notificar a ANPD; II - notificar a autoridade máxima do Ministério da Educação; III - notificar o titular do dado; IV - notificar o órgão correcional, para abertura de processo de sindicância; V - identificar o impacto do dano ou da violação à legislação de proteção de dados pessoais; e VI - aplicar medidas técnicas para a proteção dos dados pessoais. Art. 57. É vedado a qualquer indivíduo ou entidade que atue em nome do Ministério da Educação utilizar dados pessoais para fins próprios, transferir tais dados a terceiros não autorizados ou permitir o acesso indevido a dados por pessoas não autorizadas, sob qualquer circunstância. Parágrafo único. A inobservância da presente PPDP-MEC acarretará a apuração das responsabilidades previstas nas normas internas do Ministério da Educação e na legislação em vigor, podendo haver responsabilização penal, civil e administrativa. CAPÍTULO XII DAS DISPOSIÇÕES FINAIS Art. 58. Aplica-se a esta Resolução o disposto na Política de Governança de Dados do Ministério da Educação, quanto às competências das unidades gestoras da informação. Art. 59. Os integrantes do SPPD-MEC poderão expedir instruções complementares no âmbito de suas competências, as quais detalharão suas particularidades e procedimentos relativos à proteção de dados alinhados às diretrizes emanadas pelo CGDados e aos projetos estratégicos e institucionais do Ministério da Educação. Art. 60. Esta Política e suas instruções normativas serão revisadas a cada dois anos, a partir do início de sua vigência, ou quando houver alteração da legislação. Art. 61. Esta Resolução entra em vigor na data de sua publicação. RODOLFO DE CARVALHO CABRAL Presidente do Comitê