O CHEFE DO ESTADO-MAIOR DO EXÉRCITO, no uso das atribuições que lhe conferem o art. 3º, inciso III, do Regimento Interno do Comando do Exército (EB10-RI-09.001), aprovado pela Portaria do Comandante do Exército nº 127, de 21 de fevereiro de 2017 e art. 4º, inciso II e XI, do Regulamento do Estado-Maior do Exército (EB10-R-01.007), aprovado pela Portaria do Comandante do Exército nº 1.053, de 11 de julho de 2018, em conformidade com o parágrafo único do art. 5º, art. 12, inciso III e o caput do art. 44, das Instruções Gerais para as Publicações Padronizadas do Exército (EB10-IG-01.002), aprovadas pela Portaria do Comandante do Exército nº 770, de 7 de dezembro de 2011, resolve:

Art. 1º Fica aprovada a Diretriz de Orientação para Aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais, no Exército Brasileiro (EB20-D-02.013), que com esta baixa.

Art. 2º Os órgãos de direção setorial, o Órgão de Direção Operacional e os órgãos de assistência direta e imediata do Comandante do Exército deverão adotar, em suas áreas de competência, as providências decorrentes.

Art. 3º Esta Portaria entra em vigor em 1º de junho de 2020.

1. FINALIDADE

Orientar a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018, aos processos internos, aos meios de Tecnologia da Informação e Comunicações (TIC) e à revisão de atos normativos internos do Exército Brasileiro, em conformidade com as disposições da Diretriz Estratégica Organizadora do Sistema de Informação do Exército (EB10-D-01.002).

2. DEFINIÇÕES BÁSICAS

Para fins de aplicação da LGPD, são consideradas as seguintes definições:

a. Dado: toda e qualquer representação de fato ou situação, por meio de documento, fotografia, gravação, relato, sensores eletrônicos de vigilância e outros meios, não submetida a metodologia para a produção do conhecimento. Os dados estão relacionados a 5 (cinco) propriedades atinentes à segurança da informação, que são a confidencialidade, integridade, disponibilidade, autenticidade e legalidade;

b. Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

c. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

d. Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

e. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

f. Segurança da informação: é o estado resultante de um conjunto de medidas ligadas à proteção de pessoas, tecnologias e processos, com o intuito de preservar o valor de dados que são ligados a pessoas, sejam elas consideradas individualmente ou integrantes de uma organização;

g. Confidencialidade: propriedade que assegura que o dado não esteja disponível ou não seja divulgado a pessoas ou entidades sem a devida autorização;

h. Integridade: propriedade que garante que o dado mantenha as características originais, apresentadas pelo seu titular, com o devido controle durante todo o seu ciclo de vida;

i. Disponibilidade: propriedade que permite que o dado esteja acessível, desde que autorizado legalmente pelo seu titular;

j. Autenticidade: propriedade que assegura que o dado seja proveniente de fonte confiável, devidamente confirmada, e que não tenha sofrido mutações;

k. Legalidade: propriedade que garante que o dado seja produzido em conformidade com a lei;

l. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

m. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

n. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

o. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

p. Agentes de tratamento: o controlador e o operador;

q. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

r. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

s. Pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro;

t. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

u. Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

v. Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

w. Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

x. Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

y. Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

z. Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

aa. Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

3. PREMISSAS

a. A Constituição Federal considera invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas.

b. A Lei de Acesso à Informação (LAI) deferiu tratamento diferenciado às informações pessoais, considerando conduta ilícita a divulgação ou a permissão de divulgação ou a permissão de acesso indevido à informação pessoal.

c. A LGPD dispôs sobre o tratamento de dados pessoais, aprimorando a proteção estabelecida pela LAI, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, constituindo um marco regulatório sem precedentes na legislação nacional.

d. Embora a LGPD possua aplicabilidade no âmbito do Exército Brasileiro, existem tratamentos de dados internos, notadamente os utilizados para o cumprimento das atividades finalísticas, nos quais certos aspectos da lei não são utilizáveis, por constituírem as exceções previstas na norma, quais sejam, os destinados exclusivamente à segurança pública, à defesa nacional, à segurança do Estado e às atividades de investigação e repressão de infrações penais.

e. A gestão da informação é de responsabilidade de todos os órgãos de direção setorial (ODS), do Órgão de Direção Operacional (ODOp) e dos órgãos de assistência direta e imediata (OADI) ao Comandante do Exército. Esses órgãos gerenciam sistemas próprios (sistemas corporativos e/ou sistemas específicos) e são responsáveis pelo ciclo de vida da informação de seu interesse.

f. O Sistema de Informação do Exército (SINFOEx) visa apoiar o processo decisório, o gerenciamento administrativo da Instituição, o preparo e o emprego da Força Terrestre. Deve ser regulado por normas específicas, expedidas pelo EME, que estabeleçam procedimentos acerca das informações classificadas e de acesso restrito.

g. A Força já mantém sob restrição de acesso, independentemente de classificação, o documento, a área ou a instalação sob sua custódia, que contenha informação pessoal. Entretanto, a LGPD trouxe disposições que devem ser observadas com oportunidade.

h. As unidades do Exército Brasileiro estão diretamente afetadas pela LGPD, pois considera-se que todas realizam tratamento de dados pessoais, nos diversos processos internos que veiculam tais informações.

i. O tratamento de dados a que se refere a LGPD compreende toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

j. A LGPD não se aplica ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais, assunto que será regido por legislação específica.

k. A LGPD criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República, com autonomia técnica e decisória, com competência de zelar pela proteção dos dados pessoais, fiscalizar, aplicar sanções, editar regulamentos e procedimentos sobre proteção de dados pessoais e, entre outras, deliberar sobre a interpretação da Lei.

l. O Comando do Exército passará a observar as disposições da ANPD a partir da entrada em vigor da LGPD.

4. OBJETIVOS

a. Possibilitar o adequado tratamento de informações pessoais no âmbito do Exército Brasileiro.

b. Proteger as informações pessoais de integrantes do Exército Brasileiro, de usuários do serviço público, que por força normativa forneçam informações pessoais aos órgãos internos da Força, e das informações pessoais oriundas de compartilhamento de dados entre órgãos e entidades da Administração Pública.

c. Inventariar as bases de dados e os sistemas do Exército Brasileiro que veiculam informações pessoais, os normativos internos que tratam de informações pessoais e os processos internos que contenham informações pessoais.

d. Analisar, planejar e efetivar alterações nas bases de dados, sistemas, normas e processos, adequando-os às disposições da LGPD.

e. Atribuir responsabilidades aos órgãos integrantes da estrutura organizacional do Exército Brasileiro, responsáveis pelo tratamento de dados pessoais.

f. Orientar os responsáveis pela coordenação, análise, planejamento e execução de ações ligadas ao tratamento de dados pessoais.

5. TRABALHOS DE ADEQUAÇÃO

a. Reavaliar os processos internos, identificando a necessidade de alterações quanto à adequação das salvaguardas das informações pessoais e demais disposições advindas da LGPD.

b. Auditar os Bancos de Dados Corporativo do Exército assim como as demais bases de dados e sistemas por onde tramitam informações pessoais, verificando sua conformidade com as disposições da LGPD, regulamentos e orientações advindas da ANPD.

c. Identificar as normas internas que tratam de dados pessoais, analisando a sua adequação às disposições da LGPD, do Decreto nº 9.191, de 1º de novembro de 2017 e do Decreto nº 10.139, de 28 de novembro de 2019.

6. ETAPAS

Os trabalhos de adequação, a serem desenvolvidos pelos ODS, ODOp e OADI, terão as seguintes etapas:

a. Levantamento e análise – até 31 de agosto de 2020;

b. Execução – até 30 de novembro de 2020; e

c. Avaliação e monitoramento – até 3 de maio de 2021.

7. ATRIBUIÇÕES

a. Estado-Maior do Exército (EME)

1) orientar, monitorar e avaliar, no nível de direção geral, as atividades relacionadas com a adequação à LGPD;

2) assessorar o Comandante do Exército nas decisões afetas ao integral cumprimento da LGPD;

3) ligar-se, no exercício das atribuições de órgão controlador, à ANPD; e

4) comunicar à ANPD a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

b. Atribuições comuns aos ODS, ODOp e OADI

1) exercer a atribuição de órgão operador, ou seja, aquele que realiza o tratamento de dados pessoais em nome do controlador;

2) nomear militar para o exercício da atribuição de encarregado pela proteção e operações de tratamento de dados pessoais, responsável pelas demandas relacionadas ao tratamento de dados pessoais do órgão, sobretudo, pelo apoio à atuação do controlador, à comunicação com os titulares dos dados e às requisições da ANPD;

3) inventariar os processos internos, base de dados e sistemas que realizam tratamento de dados pessoais, identificando aqueles que necessitam de adequações em virtude da LGPD, daqueles que são destinados exclusivamente à segurança pública, à defesa nacional, à segurança do Estado e às atividades de investigação e repressão de infrações penais;

4) inventariar as normas que tratam de informações pessoais, identificando aquelas que necessitam de adequações em virtude da LGPD e as que não necessitam de alterações;

5) confeccionar relatório ao Estado-Maior do Exército, até 31 de agosto de 2020, constando os inventários especificados nos números 3) e 4) acima, descrição detalhada das alterações que deverão sofrer os processos internos, as bases de dados ou sistemas e as normas que necessitam de adequações em virtude da LGPD e um plano de execução das alterações necessárias, com ações, cronograma, prioridades e outras informações julgadas úteis;

6) realizar a adequação de processos, banco de dados, sistemas e normas internas, até 30 de novembro de 2020;

7) ficar em condições de manter registro das operações de tratamento de dados pessoais que realizarem, conforme orientações da ANPD;

8) subsidiar a análise do Estado-Maior do Exército com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados;

9) adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

10) comunicar imediatamente ao controlador a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, mencionando a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, os riscos relacionados ao incidente, as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo; e

11) criar procedimentos para o término de tratamento de dados pessoais, conforme as disposições da LGPD.

c. Departamento de Ciência e Tecnologia

1) subsidiar o ODG, os ODS, o ODOp e os OADI na adequação das bases de dados e sistemas que tratem de dados pessoais;

2) estruturar os sistemas utilizados para o tratamento de dados pessoais de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD, às demais normas regulamentares e, oportunamente, às disposições da ANPD; e

3) auditar bases de dados e sistemas que tratem dados pessoais quando ocorrer incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

d. Departamento de Educação e Cultura do Exército

Além das atribuições comuns, realizar as adequações em processos, bases de dados, sistemas e normas, relativas ao tratamento de dados pessoais de crianças e adolescentes, especialmente em relação ao Sistema Colégio Militar do Brasil.

e. Departamento-Geral do Pessoal

Além das atribuições comuns, realizar as adequações em processos, base de dados, sistemas e normas, relativas ao tratamento de dados pessoais de crianças e de adolescentes, especialmente no sistema de saúde.

f. Centro de Inteligência do Exército

1) elaborar parecer ao Estado-Maior do Exército acerca dos impactos da LGPD para o Sistema de Inteligência do Exército, até 31 de agosto de 2020;

2) analisar a necessidade e propor alterações nas Instruções Gerais para a Salvaguarda de Assuntos Sigilosos, aprovadas pela Portaria do Comandante do Exército nº 1.067, de 8 de setembro de 2014, considerando as disposições da LGPD e outras modificações necessárias à atualização da norma; e

3) assessorar as organizações militares do Exército Brasileiro acerca dos aspectos relacionados à contrainteligência, em observância às disposições da LGPD.

g. Centro de Comunicação Social do Exército

1) nomear militar para o exercício da atribuição de encarregado, responsável por atuar como canal de comunicação entre o controlador e os titulares dos dados;

2) receber reclamações e comunicações dos titulares, prestar esclarecimentos com subsídios dos operadores, receber e processar as comunicações da autoridade nacional e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares, por intermédio do encarregado;

3) responder às solicitações dos titulares de informações pessoais que apresentarem solicitações sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais e a realização do tratamento e os respectivos agentes de tratamento, ouvidos os órgãos responsáveis pelo tratamento da informação pessoal; e

4) publicar na página da Internet do Exército Brasileiro, http://www.eb.mil.br/, as hipóteses em que o Exército Brasileiro realiza tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, ouvidos os órgãos responsáveis pelo tratamento da informação pessoal.

h. Organizações Militares

1) designar em boletim interno militar encarregado pela proteção e operações de tratamento de dados pessoais da organização militar (OM);

2) adequar os processos internos, observando as disposições da LGPD, regulamentos, entendimentos da ANPD, desta diretriz e de outras disposições dos ODS, ODOp e OADI; e

3) solicitar que militares e servidores civis, que intervenham em uma das fases do tratamento de dados, obriguem-se a garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o término dos trabalhos, com assinatura e arquivamento do Termo de Compromisso de Manutenção de Sigilo (TCMS).

8. PRESCRIÇÕES DIVERSAS

a. As alterações normativas devem observar os prazos e disposições do Decreto nº 10.139, de 28 de novembro de 2019, cujos trabalhos de revisão e de consolidação dos atos internos estão sendo coordenados pelo Estado-Maior do Exército.

b. Anualmente, os comandantes, chefes e diretores deverão determinar aos encarregados pela proteção de dados pessoais da OM que ministrem instrução de nivelamento aos seus quadros e demais militares que tratem informações pessoais.

c. A instrução deverá propor regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.