SEI/PGJM - 1355168 - - Portaria PGJM

MINISTÉRIO PÚBLICO DA UNIÃO
MINISTÉRIO PÚBLICO MILITAR
PROCURADORIA-GERAL DE JUSTIÇA MILITAR

O PROCURADOR-GERAL DE JUSTIÇA MILITAR, no uso de suas atribuições legais, tendo em vista o disposto no artigo 124, inciso XX e XXII da Lei Complementar nº 75, de 20 de maio de 1993, e

CONSIDERANDO a publicação da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709, de 14 de agosto de 2018), do Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014), do Regulamento do Marco Civil da Internet (Decreto nº 8.771, de 11 de maio de 2016); e da Lei de Acesso à Informação (Lei nº 12.527, de 18 de novembro de 2011);

CONSIDERANDO o Plano Estratégico 2021 – 2026, aprovado pela Portaria PGJM nº 28/2021;

CONSIDERANDO o objetivo estratégico número 6 de “Aprimorar a gestão de dados e informações, bem como a segurança da informação” e sua iniciativa de “Estruturação do Plano de atendimento da LGPD (primeiro passo);

CONSIDERANDO o andamento das ações necessárias para a conformidade do Ministério Público Militar à Lei nº 13.709/2018 (LGPD), inicialmente executadas no Projeto Estratégico LGPD – MPM PROTEGE, e atualmente desenvolvidas pelo Encarregado pelo Tratamento de Dados Pessoais e pela Assessoria de Proteção de Dados Pessoais e Privacidade (ASSPRO);

CONSIDERANDO a necessidade de atenção ao Programa de Proteção de Dados Pessoais e Privacidade no Ministério Público Militar, em observância à Emenda Constitucional nº 115, de 10 de fevereiro de 2022, que inclui a proteção de dados pessoais no rol dos direitos e garantias fundamentais;

CONSIDERANDO a obrigação legal de garantia de direitos aos titulares dos dados pessoais (cidadãos, jurisdicionados, crianças, adolescentes, estrangeiros, membros, servidores, colaboradores e contratados);

CONSIDERANDO que a ausência de conformidade das ações do Ministério Público Militar com a LGPD poderá ocasionar prejuízos ao órgão, como a aplicação de sanções de advertência, a publicização da infração, o bloqueio e eventual eliminação de dados pessoais, a suspensão parcial do funcionamento do banco de dados, a suspensão ou eventual proibição do exercício da atividade de tratamento dos dados pessoais;

CONSIDERANDO a necessidade de instituir normas que estabeleçam de forma clara sobre o tratamento de todos os dados pessoais constantes nas bases internas do MPM, bem como informar ao público externo como o MPM trata os dados pessoais dos cidadãos e usuários dos seus serviços; e

CONSIDERANDO todo o arcabouço constante dos autos do Processo Administrativo nº 19.03.0000.0002906/2022-12.

Art. 1º Instituir a Política de Privacidade de Dados Pessoais no âmbito do MPM.

Parágrafo único. O tratamento de dados pessoais das pessoas naturais nos serviços (sendo estes em meios digitais ou não) e/ou sistemas e portal do MPM obedecerá às regras estabelecidas nesta Política de Privacidade e na LGPD.

Art. 2º Todo tratamento de dados pessoais será realizado para o atendimento de finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, conforme normas, leis e regulamentos que regem sua atuação, especialmente, o disposto no art. 23 e seguintes da LGPD.

Parágrafo único. No exercício de suas atribuições, as unidades do MPM observarão os princípios enunciados no art. 6º da LGPD, bem como os fundamentos elencados em seu art. 2º, ressalvadas as hipóteses listadas no art. 4º do mesmo diploma legal, que tratam dos casos de exceção à incidência da Lei.

Art. 3º Para ter acesso aos serviços e sistemas do MPM, os usuários, internos e externos, deverão fornecer seus dados pessoais de acordo com a necessidade do serviço e/ou do sistema, os quais estarão vinculados a uma finalidade específica e a uma hipótese legal determinada.

Parágrafo único. O MPM manterá um aviso de privacidade em seus canais de atendimento e prestação de serviços, informando ao usuário como o serviço realiza o tratamento de dados pessoais e como fornece a privacidade dos dados, além de apresentar a finalidade específica, a hipótese legal e o compartilhamento ou não de dados pessoais.

Art. 4º As informações fornecidas pelo usuário durante o acesso aos serviços e/ou aos sistemas ofertados pelo MPM devem ser armazenadas nos bancos de dados da instituição, adotados os devidos padrões de segurança, confidencialidade, integridade e privacidade.

Art. 5º O compartilhamento dos dados pessoais com terceiros poderá ocorrer nas hipóteses de tratamento para a execução das atribuições constitucionais e legais ou, ainda, mediante consentimento fornecido pelo titular dos dados.

Parágrafo único. Com o objetivo de coleta de informações processuais e procedimentais, os dados pessoais dos usuários dos serviços públicos prestados pelo MPM poderão servir como parâmetro de consulta para os públicos interno e externo, resguardada a proteção nos casos de sigilo legal.

Art. 6º A utilização dos dados pessoais para finalidades diversas daquelas para as quais foram coletados poderá ocorrer apenas nas hipóteses de execução de atividades de interesse público ou quando imprescindível para o desempenho das atribuições constitucionais e legais do MPM.

Art. 7º Um canal de atendimento com o encarregado deverá ser disponibilizado para que os titulares dos dados pessoais possam demandar as solicitações previstas pelo art. 18 da LGPD.

Parágrafo único. O canal deve estar divulgado de forma fácil e explícita no sítio do MPM e na intranet, com, no mínimo, as informações do nome, e-mail, número telefônico do encarregado e, quando houver, formulário para preenchimento da solicitação.

Art. 8º Para o exercício de suas atribuições constitucionais e legais, o MPM deve adequar seus fluxos de trabalho aos ditames da LGPD.

Art. 9º Os dados pessoais serão armazenados pelo período legalmente previsto ou, na ausência deste, pelo período necessário para o atendimento das finalidades descritas nos dispositivos legais, nesta política de privacidade, em outras políticas de privacidade eventualmente existentes e na política de proteção de dados pessoais adotada pela Instituição, sempre em consonância com os períodos regulamentados pelo CNMP, caso existam.

§ 1º Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as finalidades seguintes:

II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; e

III – utilização em outra finalidade pública, incluindo-se a necessidade de produção de conhecimento interno.

§ 2º A anonimização dos dados pessoais também é considerada como término do tratamento de dados pessoais.

Art. 10. Os membros e servidores, estagiários, voluntários ou prestadores de serviço terceirizado são responsáveis por garantir a segurança da informação em relação aos dados pessoais a que tenham acesso, atendendo às orientações do controlador e aos preceitos legais.

Parágrafo único. A violação à segurança da informação dos dados pessoais sujeita o autor às penalidades e às sanções legais e disciplinares cabíveis.

Art. 11. Nenhum arquivo ou informação será extraído do disco rígido do usuário com o emprego de cookies, bem como não é possível a obtenção de informações pessoais que não tenham partido do usuário ou da forma como utiliza os recursos do serviço e/ou sistema disponibilizado no sítio ou na intranet do MPM.

Parágrafo único. O usuário poderá se opor à gravação de cookies pelo sítio do MPM, desativando essa funcionalidade em seu próprio navegador. No entanto, deve ser cientificado de que desativar cookies pode afetar a disponibilidade de algumas ferramentas e funcionalidades do serviço e/ou comprometer o correto funcionamento delas.

Art. 12. Todo e qualquer serviço e/ou sistema que solicite o registro de dados pessoais de usuários, internos ou externos, deverá apresentar ao respectivo titular dos dados um aviso de privacidade e um termo de uso.

§ 1º O Anexo I desta Portaria dispõe do aviso de privacidade geral, que será aplicável à maior parte dos serviços e/ou sistemas ofertados pelo MPM. Por esta razão, deverá ficar disponível na página da LGPD no sítio eletrônico do MPM;

§ 2º Quando houver necessidade de criar um aviso de privacidade específico para o serviço e/ou sistema, a unidade prestadora do serviço deverá elaborá-lo de acordo com o modelo apresentado no Anexo II desta Portaria;

§ 3º Deverá ser disponibilizado na página da LGPD no sítio eletrônico do MPM o modelo de um termo de uso específico para o serviço e/ou sistema, a fim de ser utilizado para elaboração pela unidade prestadora do serviço quando houver necessidade;

§ 4º O termo de consentimento, tanto o geral quanto o relacionado aos dados pessoais de crianças e adolescentes, deverá ter seu modelo disponibilizado na página da LGPD no sítio eletrônico do MPM para utilização sempre que houver necessidade.

Art. 13. Caberá ao Procurador-Geral dirimir dúvidas suscitadas na aplicação desta Portaria, ouvindo, sempre que necessário, o Comitê Executivo de Privacidade

O Ministério Público Militar (MPM) tem compromisso com a segurança das informações dos usuários de seus serviços em todo o fluxo institucional e em todos os seus canais de atendimento e, no exercício das suas atribuições e competências constitucionais e legais, trata os dados pessoais de acordo com princípios e regras decorrentes da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709, de 14 de agosto de 2018).

O acesso aos conteúdos e serviços é livre e gratuito, sendo que, em alguns casos, é exigido cadastramento prévio para utilização dos sistemas de acesso personalizado. Os dados e as informações pessoais serão tratados e apresentados para fins estatísticos de forma anonimizada, de maneira a não permitir qualquer identificação dos dados pessoais de seus usuários.

Este Aviso de Privacidade estabelece diretrizes e procedimentos para o tratamento dos dados pessoais no âmbito do MPM e está em conformidade com a Lei Geral de Proteção de Dados Pessoais - LGPD (Lei Federal nº 13.709, de 14 de agosto de 2018), com o Marco Civil da Internet (Lei Federal nº 12.965, de 23 de abril de 2014), com a Lei de Acesso à Informação (Lei Federal nº 12.527, de 18 de novembro de 2011) e, também, com a Política Geral de Proteção de Dados Pessoais do MPM.

Na qualidade de responsável pelo tratamento de dados pessoais, o MPM respeita os princípios da legalidade, da boa-fé, da coleta dos dados para finalidades determinadas, explícitas e legítimas; da adequação, da necessidade, do livre acesso, da minimização dos dados coletados, da transparência, da prevenção, da não discriminação, da exatidão, da segurança e integridade da informação e da responsabilidade em prestação de contas, observando, assim, os princípios enunciados no art. 6º da LGPD, ressalvadas as hipóteses elencadas no art. 4º do diploma legal, que traz hipóteses de tratamento não regulamentadas pela lei.

Neste aviso de privacidade são disponibilizadas informações sobre as hipóteses em que, na execução das competências ou no cumprimento das atribuições legais do MPM, é realizado o tratamento de dados pessoais de membros, advogados, cidadãos, servidores, colaboradores, contratados, demais partes interessadas e público em geral, com a descrição da previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, atendendo ao disposto no art. 23, inciso I, da LGPD (Lei nº 13.079, de 14 de agosto de 2018).

Alguns serviços estão sujeitos a disposições complementares, que constarão de termos específicos.

1.1 O QUE SÃO DADOS PESSOAIS? (Conforme o art. 5º, incisos I ao III, da LGPD)

1.1.1 Dado pessoal: é a informação relacionada à pessoa natural identificada ou identificável, ou seja, qualquer informação que permita identificar, direta ou indiretamente, um indivíduo é considerada um dado pessoal.

Exemplos: nome, RG, CPF, gênero, data e local de nascimento, número do telefone, endereço residencial, endereço eletrônico (e-mail), dados de localização via GPS, placa de automóvel, imagem fotográfica ou computacional, cartão bancário, etc.

1.1.2 Dado pessoal sensível: diz respeito aos dados que revelam informações pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual, à genética ou à biometria.

1.1.3 Dado anonimizado: é o dado relativo a um indivíduo que não possa ser identificado, pois passou por algum meio técnico de tratamento para garantir sua desvinculação, direta ou indireta, a uma pessoa. Aqui, como não há possibilidade de o indivíduo ser identificável, a LGPD nem se aplica.

1.2 QUAIS SÃO OS AGENTES DE TRATAMENTO E SUAS COMPETÊNCIAS? (Conforme o art. 5º, incisos VI, VII e IX, e arts. 37 ao 40, todos da LGPD)

1.2.1 Controlador: é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade desse tratamento. Pode ser uma pessoa natural ou pessoa jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O Controlador tem, entre outras, as seguintes competências previstas na LGPD:

- Elaborar relatório de impacto à proteção de dados pessoais, inclusive dados sensíveis, relativo ao tratamento de dados;

- Orientar o operador quanto ao tratamento de dados segundo instruções internas, da legislação vigente e das regulamentações da Autoridade Nacional de Proteção de Dados (ANPD).

O Controlador aqui, portanto, é o Ministério Público Militar (Procuradoria-Geral de Justiça Militar – PGJM).

1.2.2 Co-controlador (Controladoria Conjunta): quando dois ou mais controladores possuem poder de decisão sobre o tratamento e determinam conjuntamente as finalidades, os meios e os elementos essenciais desse tratamento.

O MPM atuará como co-controlador quando, por força de lei, convênio ou contrato, determinar as finalidades e os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.

1.2.3 Operador: é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome e por ordem do controlador e conforme a finalidade por este delimitada.

No MPM, operador é a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional da Instituição, que realiza o tratamento de dados pessoais em nome e por ordem do controlador (MPM). Exemplo: um contratado pelo MPM, vencedor de um certame licitatório, que presta algum serviço para a Instituição e realiza tratamento de dados pessoais decorrente da contratação; esse contratado, portanto, deverá realizar o tratamento dos dados pessoais a que tiver acesso em decorrência da execução do objeto da contratação dentro das diretrizes estabelecidas pelo MPM.

1.3 QUAL A FUNÇÃO DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS? (Conforme art. 23, III e art. 41, todos da LGPD)

É a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

- Receber as reclamações e comunicações dos titulares, responder e adotar providências;

- Orientar todos os colaboradores da instituição sobre as práticas a serem tomadas em relação à proteção de dados pessoais; e

- Executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares estabelecidas pela ANPD.

Contato: O Encarregado pelo Tratamento de Dados Pessoais do MPM é o Promotor de Justiça Militar Jorge Augusto Caetano de Farias.

Seu contato é pelo e-mail encarregado.lgpd@mpm.mp.br e demais informações podem ser acessadas através do link:

1.4 QUAIS DADOS PESSOAIS SÃO TRATADOS PELO MPM? (De acordo com o art. 6º, VI, da LGPD)

O MPM trata os dados pessoais estritamente necessários, adequados e pertinentes à execução das finalidades de interesse público que lhe são atribuídas por lei e no cumprimento de suas obrigações legais. Também trata dados pessoais com base em contratos celebrados com os seus membros, servidores, estagiários, colaboradores e prestadores de serviços.

Diante disso, a depender da finalidade em cada caso, poderão ser tratados os seguintes tipos de dados pessoais:

- Dados de identificação pessoal (exemplos: nome, nacionalidade, data e local de nascimento, sexo, estado civil, filiação, ocupação profissional, números de RG, CPF, CNH, previdência, título de eleitor, passaporte);

- Dados de localização e contato (exemplos: endereços residenciais e profissionais, telefones, email, GPS);

- Escolaridade (exemplos: histórico escolar, diplomas, certificados, títulos);

- Dados financeiros (exemplos: relação de bens, renda, dados bancários e fiscais);

- Informações contidas em aparelhos eletrônicos (exemplos: IP, IMEI, dados telefônicos e telemáticos);

- Documentos diversos (comprovante de quitação militar, comprovante eleitoral, certidões judiciais);

- Dados pessoais sensíveis – exemplos: Dados de raça/cor/etnia/gênero, dados de filiação partidária, dados de saúde (atestados, prontuários e laudos médicos), dados biométricos.

Além desses dados, o MPM coleta, sobre navegação no site e serviços, dados de cookies, endereço IP e registros de acesso aos sistemas.

1.5 O QUE SÃO AS ATIVIDADES DE TRATAMENTO? (Conforme o art. 5º, X, e art. 6º, ambos da LGPD)

O tratamento de dados pessoais é qualquer ação que se faça com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Além da boa-fé, são princípios a serem seguidos pelo MPM para as atividades de tratamento de dados pessoais, segundo a LGPD:

- Finalidade legítima, específica e explícita, que deve ser informada ao titular. É vedado o tratamento posterior dos dados para outras finalidades e fins discriminatórios ilícitos ou abusivos;

- Adequação do tratamento dos dados, que deve ser compatível com as finalidades informadas ao usuário (titular);

- Necessidade do tratamento dos dados ser limitada ao mínimo necessário para a realização das finalidades informadas ao titular, abrangendo somente os dados pertinentes, proporcionais e não excessivos. Esse princípio também é conhecido como “princípio da minimização” e está sempre vinculado à finalidade do tratamento dos dados para a qual foram coletados;

- Livre acesso remete à garantia, aos titulares, de consulta facilitada e gratuita;

- Qualidade dos dados requer garantir aos titulares que os seus dados sejam tratados com exatidão, clareza, relevância e veracidade, além de manter nos registros a versão atualizada dos dados, sempre de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

- Transparência remete à garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

- Segurança e prevenção: é a utilização de medidas técnicas e administrativas adequadas ao tratamento e proteção de dados pessoais quanto aos acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, sempre perseguindo a adoção de melhorias com foco na prevenção de danos;

- Não discriminação: diz respeito à proibição do tratamento para fins discriminatórios, ilícitos ou abusivos;

- Responsabilização e prestação de contas: o agente deve demonstrar que tomou as providências necessárias e medidas eficazes para o cumprimento das normas de proteção de dados pessoais.

BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS (De acordo com o art. 7º, incisos I ao X, art. 10, art. 11 e caput do art. 23, todos da LGPD)

O tratamento de dados pessoais no MPM poderá ser realizado de acordo com o expresso e inequívoco consentimento do usuário (titular dos dados) ou, ainda, nas seguintes hipóteses:

- Pela administração pública, para a execução de políticas públicas, incluindo o tratamento e uso compartilhado de dados;

- Para a realização de estudos por órgão de pesquisa, via anonimização dos dados pessoais, sempre que possível;

- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;

- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

- Quando necessário para atender ao legítimo interesse do controlador ou de terceiro;

- Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente;

- Para prevenção à fraude e à segurança do titular, considerando o dever do controlador em garantir a segurança nos processos de identificação e autenticação de cadastro em sistemas eletrônicos; e

- Atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências ou cumprir as atribuições legais.

Pelo legítimo interesse do controlador como base legal entende-se o tratamento de dados pessoais em situações de apoio e promoção às suas atividades; ou, ainda, a proteção do exercício regular dos direitos do titular ou da prestação de serviços que o beneficiem, respeitados os direitos e liberdades fundamentais do titular dos dados.

Nesse caso, a finalidade deve ser indicada e pautada em fundamentações claras, precisas e legítimas, a partir de situações concretas, e somente serão coletados os dados estritamente necessários para essa finalidade.

- O consentimento referente à coleta de dados do usuário é obtido de forma livre, expressa, individual, clara, específica e legítima e poderá ser revogado a qualquer momento pelo usuário, basta entrar em contato com o MPM pelo canal do Encarregado encontrado no link inserido no item acima chamado “Encarregado pelo Tratamento de Dados Pessoais”;

- O consentimento é dispensado para o tratamento de dados pessoais tornados manifestamente públicos pelo titular, desde que seja realizado de acordo com a finalidade, a boa-fé e o interesse público, resguardados os direitos do titular;

- As hipóteses de tratamento citadas neste item 1.5 também constituem dispensa de consentimento;

- O usuário tem o direito de negar ou retirar o consentimento fornecido ao MPM, o que poderá encerrar a consecução dos serviços relacionados a essa base legal (hipótese) de tratamento de dados pessoais;

- Ao acessar o conteúdo do site do MPM, o usuário está consentindo com a presente Política de Privacidade e de Proteção de Dados Pessoais e autoriza a coleta e o tratamento dos dados conforme os princípios e diretrizes descritas neste documento;

- Caso não esteja de acordo com esta normativa, poderá descontinuar o seu acesso.

1.7 O MPM TRATA OS DADOS PARA QUAL FINALIDADE? (De acordo com o art. 9º, I, da LGPD)

Todo tratamento de dados pessoais será realizado para o atendimento de finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, nos termos do art. 23 e seguintes da LGPD.

Em muitos casos, o tratamento de dados pessoais tem por finalidade a prestação dos serviços jurisdicionais ou administrativos, ou, ainda, para o exercício de direito, nos termos da legislação vigente.

De acordo com a Constituição Federal de 1988, o Ministério Público é incumbido da defesa da ordem jurídica, do regime democrático e dos interesses sociais e individuais indisponíveis. Além disso, incumbem ao Ministério Público as medidas necessárias para garantir o respeito dos Poderes Públicos e dos serviços de relevância pública aos direitos assegurados pela Constituição Federal.

O MPM integra o Ministério Público da União, que é regido pela Lei Complementar nº 75/1993. É essa lei que detalha as atividades finalísticas realizadas pelo MPM para cumprimento de suas atribuições e competências constitucionais. Também o Regimento Interno do Ministério Público Militar, bem como outros atos normativos regulamentares (a exemplo das Políticas), define as funções e atividades que constituem as finalidades e os critérios que orientam o tratamento de dados pessoais na Instituição.

Na esfera judicial, o MPM atua como fiscal da lei, emitindo pareceres nos casos previstos em lei, mas também age como parte em certas demandas, sempre na defesa do interesse público.

As operações de tratamento de dados pessoais realizadas nessas atividades finalísticas não dependem do consentimento do titular, uma vez que se destinam ao cumprimento de obrigação legal e à execução das competências e atribuições legais do MPM para atendimento de sua finalidade pública, na persecução do interesse público, estando, assim, amparadas no art. 7º, inciso II, no art. 11, inciso II, alínea “a”, e no art. 23 da LGPD. Ressalta-se, ainda, que a LGPD não se aplica ao tratamento de dados pessoais realizados para fins exclusivos de atividades de investigação e repressão de infrações penais, conforme art. 4º, inciso III, alínea “d”.

Em sua atuação administrativa, o Ministério Público Militar está sujeito, como qualquer outro órgão público, aos princípios constitucionais de legalidade, impessoalidade, moralidade, publicidade e eficiência. Nesta seara, o tratamento de dados pessoais tem por principal fundamento o cumprimento de obrigação legal, conforme o disposto no art. 7º, inciso II, e no art. 11, inciso II, alínea “a”, da LGPD, dispensando o consentimento.

1.8 COMO É REALIZADO O ARMAZENAMENTO, A ELIMINAÇÃO E O TÉRMINO DO TRATAMENTO DE DADOS NO MPM? (De acordo com o art. 9º, II, e arts. 15 e 16, todos da LGPD)

Os dados pessoais serão armazenados pelo período legalmente previsto ou, na ausência dessa estimativa, pelo período necessário para o atendimento das finalidades descritas nos dispositivos legais e nas políticas de privacidade. Esses dados serão eliminados após o término de seu tratamento.

O período de armazenamento pode ser alterado quando o interesse público associado, motivos históricos, científicos ou estatísticos o justifiquem, casos em que o MPM adotará as adequadas medidas de conservação e segurança.

A guarda e a eliminação de dados seguem o disposto na Lei nº 8.159/1991, bem como outros atos normativos pertinentes à classificação de documentos e à tabela de temporalidade e destinação de documentos a que a Instituição esteja submetida.

Desse modo, os dados pessoais produzidos e custodiados pelo Ministério Público Militar não poderão ser eliminados logo que cumprida a finalidade inicial do tratamento. Eles serão guardados por tempo determinado e poderão ser eliminados após esse prazo, conforme previsão na legislação arquivística. Tal medida se deve ao interesse público em manter esses dados sob segurança e protegidos e às obrigações legais e regulatórias a que está sujeito todo órgão público.

A utilização dos dados pessoais para finalidades diversas daquelas para as quais foram coletados poderá ocorrer apenas nas hipóteses de execução de atividades de interesse público, nas hipóteses de tratamento para a execução das competências constitucionais e legais e de compartilhamento com órgãos ou entidades para a execução de atividades de interesse público ou, ainda, mediante consentimento fornecido pelo titular dos dados.

De acordo com a LGPD, o término do tratamento de dados pessoais pelo MPM ocorrerá nas seguintes hipóteses:

- Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

- Comunicação do titular quanto à revogação do consentimento, resguardado o interesse público; ou

- Determinação pela ANPD, em caso de violação à proteção de dados pessoais.

Lembrando que o MPM realiza o tratamento de dados pessoais pelo tempo necessário para cumprir a finalidade para os quais foram coletados, de acordo com sua base legal. Quando do término do tratamento, os dados pessoais serão eliminados, sendo autorizada a conservação nas situações previstas na legislação vigente.

1.9 COMPARTILHAMENTO E DIVULGAÇÃO DE DADOS PESSOAIS (De acordo com o art. 9º, V, arts. 26 e 27, todos da LGPD)

Para a execução das competências constitucionais e legais, e apenas nos estritos termos desses deveres, o MPM pode compartilhar dados pessoais com outras entidades, desde que a finalidade seja a efetiva prestação de serviço público, a execução de atividades de interesse público ou o atendimento de demanda judicial ou autoridade requisitória.

De acordo com a especificidade do serviço, os dados pessoais poderão ser compartilhados entre setores ou unidades do MPM, com demais órgãos do Ministério Público da União, dos Poderes Executivo, Legislativo ou Judiciário. A depender da finalidade de cada caso, dados pessoais também podem ser repassados a instituições privadas, como as de ensino superior (programas de estágio), instituições bancárias (para fins de pagamento) e prestadores de serviços de saúde (plano de assistência) conveniadas com o MPM.

O compartilhamento atende às finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas. Os casos de compartilhamento com entidades privadas possuem respaldo no art. 26, § 1º, I, IV e V, e nas hipóteses do art. 27 da LGPD.

Além disso, poderá haver a divulgação de certos dados pessoais para fins de comunicação social e para o atendimento das normas de publicidade, transparência e acesso à informação de interesse público (LAI), casos em que as informações serão restritas ao conteúdo adequado, relevante e necessário para atendimento da respectiva finalidade. Por exemplo, nome e CPF poderão ser disponibilizados publicamente para fins de consulta acerca de andamentos de feitos judiciais e extrajudiciais e para controle social na divulgação de resultados de processo seletivo ou licitatório, bem como divulgação para controle social baseada em outros fundamentos legais.

1.10 QUEM É O RESPONSÁVEL PELOS DADOS PESSOAIS NO MPM? (De acordo com o art. 9º, VI, da LGPD)

O MPM, como Controlador, é o responsável pelo tratamento dos dados pessoais que estão sob sua tutela.

Importante ressaltar que o MPM toma as medidas técnicas e organizacionais necessárias para garantir o atendimento dos princípios preconizados pela LGPD, bem como pelas demais normas aplicáveis ao ecossistema de proteção de dados pessoais no nosso país.

Os agentes de tratamento que, por qualquer motivo, usarem indevidamente os dados pessoais estarão sujeitos às penalidades e às sanções legais e disciplinares.

1.11 QUAIS SÃO OS DIREITOS DO TITULAR DE DADOS? (De acordo com o art. 9º, VII, e art. 18, ambos da LGPD)

Abaixo estão reproduzidos os direitos do titular dos dados pessoais trazidos pela LGPD, a fim de facilitar o entendimento.

- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD (art. 18, IV).

Mas atenção! Esse direito só é possível de ser exercido quando o tratamento estiver em desacordo com os princípios e as regras estabelecidos pela LGPD e demais normas que fundamentam a finalidade do tratamento.

Lembrete: O Ministério Público Militar trata somente os dados necessários para o atendimento das finalidades públicas às quais está submetido.

- Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da lei (art. 18, VI).

Mas atenção! Como em qualquer órgão público, a maioria das operações de tratamento de dados pessoais realizadas pelo MPM estão amparadas em bases legais que dispensam o consentimento do titular.

- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados (art. 18, VII);

- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa (art. 18, VIII);

- Revogação do consentimento, nos termos do § 5º do art. 8º da lei (art. 18, IX).

Mas atenção! A revogação somente se aplica aos casos em que a base legal para o tratamento tenha sido o consentimento. E, ainda, o titular tem o direito de receber informações sobre as consequências do não consentimento (ou revogação) ao uso de seus dados pessoais.

Nota: Importante informar que, além das informações constantes deste aviso, é bom que o titular consulte o aviso de privacidade específico do serviço utilizado, quando cabível, ou solicite as informações através do contato do Encarregado exposto neste documento (item 1.3).

Com base na legislação vigente, os prazos e procedimentos para o exercício dos direitos do titular observarão o disposto em legislação específica, tais como:

Caberá, ainda, ao titular dos dados pessoais apresentar reclamação à ANPD das questões não solucionadas pelo Controlador (MPM), se for o caso.

1.12 COMO É REALIZADO O TRATAMENTO DE DADOS DE CRIANÇAS E ADOLESCENTES PELO MPM? (De acordo com o art. 14 da LGPD)

O tratamento de dados pessoais de crianças e de adolescentes deve ser realizado com maior rigor, por exigência legal específica e, também, pela LGPD. A lei impõe, para esses casos, que o tratamento tenha a finalidade de atender o melhor interesse de crianças e adolescentes e seja realizado com o consentimento expresso, inequívoco e em destaque de um dos pais ou responsável legal, bem como específico quanto à finalidade do tratamento.

O MPM segue a orientação para todo o MPU no sentido de realizar o tratamento dos dados de crianças e adolescentes fazendo constar apenas as iniciais do nome e sobrenome deles nos atos oficiais.

Os tipos de dados coletados podem ser equivalentes aos descritos no item 1.4 deste Aviso. Entretanto, são restritos apenas àqueles estritamente necessários ao atendimento do melhor interesse da criança e do adolescente. Além disso, a forma de utilização desses dados deverá sempre estar vinculada à sua finalidade na coleta, bem como os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei também são os mesmos constantes no item 1.11 deste documento.

Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º do art. 14 da LGPD quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o mesmo dispositivo.

Por essa razão, poderá ser solicitado que um dos pais ou representante legal assine termo de consentimento quando se tratar de dados pessoais de crianças ou adolescentes.

A ANPD dispõe que o tratamento de dados pessoais de crianças e adolescentes pode ser realizado com base nas hipóteses legais previstas na LGPD, ou seja, as do art. 7º (dados pessoais comuns) e do art. 11 (dados pessoais sensíveis), sempre fazendo prevalecer o melhor interesse da criança e do adolescente, exigindo avaliação do caso concreto por parte do controlador (MPM) no ato do tratamento. Assim, esse tratamento pode ser realizado nas mesmas hipóteses descritas no item 1.6 deste Aviso.

1.13 TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS PELO MPM (De acordo com arts. 33 a 36 da LGPD)

No cumprimento das atribuições legais do MPM, poderá haver a necessidade de transferências internacionais de dados pessoais para outros países (desde que o país atenda a requisitos similares aos da LGPD) e para organismos internacionais dos quais o Brasil seja membro.

Exemplos de casos em que a LGPD autoriza a transferência internacional de dados pessoais, conforme o art. 33 da lei, são: quando necessário ao cumprimento de acordos de cooperação jurídica internacional entre órgãos públicos de inteligência, para fins de investigação; proteção da vida ou da incolumidade física do titular ou de terceiro; execução de política pública ou atribuição legal do serviço público; mediante consentimento específico e em destaque do titular dos dados pessoais; para o cumprimento de obrigação legal ou regulatória; exercício regular de direitos em processo judicial, administrativo ou arbitral; entre outros.

Em todos os casos, o MPM aplicará todas as medidas necessárias e adequadas, cumprindo rigorosamente as disposições legais relativamente aos requisitos aplicáveis a tais transferências.

Cookies são pequenos arquivos de texto que guardam determinados dados sobre o usuário ao acessar sites ou serviços na internet.

Nenhum arquivo ou informação será extraído do disco rígido do usuário com o emprego de cookies e não é possível a obtenção de informações pessoais que não tenham partido do usuário ou da forma como utiliza os recursos do serviço e/ou sistema disponibilizado no sítio ou na intranet do MPM.

O usuário poderá se opor à gravação de cookies pelo sítio, desativando essa funcionalidade no navegador que utiliza. No entanto, desativar cookies pode afetar a disponibilidade de algumas ferramentas e funcionalidades do serviço e/ou comprometer o correto funcionamento delas.

Os cookies são utilizados para garantir o bom funcionamento de sites e demais serviços online, assim como para fornecer informações sobre o endereço IP, tipo de navegador, sistema operacional, páginas visitadas, duração da visita, entre outras.

Assim, ao acessar o conteúdo do Portal do domínio mpm.mp.br poderão ser coletados cookies pelo navegador. Nós utilizamos cookies para melhorar o uso e a funcionalidade do nosso Portal e dos serviços disponíveis para a prestação jurisdicional e administrativa. Os cookies também nos fornecem informações que nos ajudam a entender melhor como os usuários utilizam esses serviços.

Portanto, o uso de cookies no Portal institucional e serviços online tem as seguintes finalidades:

- Cookies de sessão: são cookies de uso temporário, que são excluídos no momento em que o usuário fecha o seu navegador.

- Cookies persistentes: são aqueles cookies que permanecem no seu navegador até você deletá-los manualmente ou até o seu navegador deletálos de acordo com o período de duração estabelecido pelo cookie.

- Cookies necessários: são cookies estritamente necessários para a operação de um site ou serviço de internet. Eles permitem que o usuário navegue pelo site e use todos os recursos necessários para atendimento da operação.

A maioria dos navegadores permite que o usuário estabeleça regras para avisá-lo antes de aceitar cookies ou simplesmente recusá-los. Entretanto, se o usuário recusar o uso de cookies, nem todos os recursos de navegação no site e nos serviços poderão ser acessados.

3. DAS BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA (De acordo com arts. 46 a 51 da LGPD)

Em conformidade com os princípios da LGPD e com as boas práticas de segurança da informação e de proteção de dados pessoais, o MPM garante que os dados pessoais coletados via Portal Institucional são tratados de forma íntegra e segura, de acordo com padrões de segurança da informação, confidencialidade, disponibilidade e integridade pelo tempo que for necessário para realizar as finalidades para as quais foram coletados ou para cumprir com as obrigações legais aplicáveis.

São adotadas medidas de segurança adequadas para a proteção contra acesso não autorizado, alteração, divulgação ou destruição de dados pessoais coletados e armazenados.

O MPM possui equipe técnica dedicada ao tema segurança da informação nos meios de TI em sua área de tecnologia, com crescente investimento em capacitação. A sua infraestrutura tecnológica tem sido aprimorada sistematicamente em segurança cibernética, com rigor na avaliação de eventuais vulnerabilidades de serviços e sistemas oferecidos ao público.

No entanto, é necessário esclarecer que nenhum sistema é completamente seguro.

Conforme previsto na legislação, as medidas de segurança existentes consideram a natureza dos dados e do tratamento, os riscos envolvidos, a tecnologia existente e sua disponibilidade.

Caso haja solicitação do titular, os dados pessoais coletados via Portal Institucional poderão ser excluídos antes do prazo. No entanto, por motivos legais, por determinação judicial ou para fins de auditoria e segurança, eles poderão ser mantidos por período superior, findo o qual, serão excluídos com uso de métodos de descarte seguro.

Em caso de incidente de segurança que envolva dados pessoais, a ocorrência será comunicada à ANPD e ao titular quando envolver risco ou dano relevante, tudo na forma da lei.

A governança de dados pessoais no MPM está sendo implementada em conformidade com a LGPD e com as boas práticas de governança e segurança da informação.

São adotadas boas práticas de governança em segurança da informação visando orientar comportamentos adequados e mitigar os riscos de comprometimento dos dados pessoais tratados nas atividades do Órgão. Além disso, o MPM busca utilizar ferramentas de tecnologia da informação que sejam aderentes, por padrão e desde a concepção, às boas práticas em segurança da informação e privacidade.

A fim de reforçar todas as medidas adotadas pela Instituição, recomendamos que, ao se cadastrar:

O presente Aviso de Privacidade pode ser alterado a qualquer momento, havendo necessidade. Caso ocorram alterações, elas entrarão em vigor a partir do dia seguinte à sua publicitação no sítio, fazendo-se expressa referência à data de atualização no quadro “Mudanças de versões”.

Por isso, recomenda-se que seja consultada com regularidade e verificada a data de modificação.

Em caso de dúvidas ou solicitações, entre em contato através dos seguintes endereços eletrônicos:

Esta Política pode ser utilizada para promover uma cultura de privacidade e a conscientização das pessoas para a proteção de seus dados pessoais, pois os conceitos nela contidos não se aplicam somente ao MPM.

Todos que tratam dados pessoais são responsáveis por sua proteção, inclusive o próprio titular.

O MPM observa as regras de tratamento de dados pessoais aplicáveis aos órgãos públicos, previstas no art. 23 e subsequentes da LGPD.

São resguardadas as formas de atendimento aos direitos dos titulares, conforme art. 17 e subsequentes da LGPD.

Informar nome e contatos (entendemos que aqui não muda, sempre será a PGJM/MPM).

É o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade desse tratamento. Pode ser uma pessoa natural ou pessoa jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

O Controlador aqui, portanto, é o Ministério Público Militar (Procuradoria-Geral de Justiça Militar – PGJM).

<Informar se é caso de Co-controlador (Controladoria Conjunta): quando dois ou mais controladores possuem poder de decisão sobre o tratamento e determinam conjuntamente as finalidades, os meios e os elementos essenciais desse tratamento.

Informar nome do operador e contatos, caso este seja um terceiro contratado. Caso o tratamento dado ocorra inteiramente no MPM e a interpretação prevalecer igual à do CNMP de que operador é apenas terceiro, não preencher nada.

É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome e por ordem do controlador e conforme a finalidade por este delimitada.

Informar nome e contatos (tanto do Controlador quanto do Operador, caso este não seja o MPM).

Especificar quais dados pessoais serão tratados pelo serviço e/ou sistema. Os dados serão aqueles captados por algum formulário ou sistema que o usuário preencha, valide e envie para o MPM.

Informar como a coleta será realizada. Os dados do usuário possivelmente serão informados pessoalmente durante as prestações dos serviços, em formulários online de sistema.

Os dados do dispositivo utilizado ou do acesso são coletados e transmitidos por meio da internet ao acessar o serviço.

Dados de navegação no sítio do MPM são obtidos por meio de cookies durante a navegação.

Os dados pessoais são tratados de acordo com as finalidades para as quais foram coletados e podem ser informações necessárias para o estabelecimento de ações coordenadas por unidades do MPM no desempenho de suas atribuições legais.

O MPM se compromete a aplicar as medidas técnicas e institucionais aptas a proteger os dados pessoais de acessos não autorizados e de situações de destruição, perda, alteração, comunicação ou difusão de tais dados.

Para a garantia da segurança, serão adotadas soluções que levem em consideração: as técnicas adequadas, os custos de aplicação, a natureza, o âmbito, o contexto e as finalidades do tratamento, e os riscos para os direitos e liberdades do usuário.

O sítio do MPM utiliza criptografia (deveria usar em todos os formulários submetidos pela página) para que os dados sejam transmitidos de forma segura e confidencial, de maneira que a transmissão dos dados entre o servidor e o usuário ocorra de maneira totalmente cifrada.

O MPM se compromete a tratar os dados pessoais do usuário com confidencialidade, dentro dos limites legais, e informar ao titular dos dados pessoais acessos suspeitos às suas informações.

Caso haja, especificar com que entidades públicas os dados são compartilhados.

Nas hipóteses em que houver transferência internacional, deverá ser avisado ao titular que: “nas circunstâncias permitidas em lei, pode haver transferência de dados pessoais entre países como, por exemplo, quando há cooperação jurídica internacional entre órgãos públicos.”

O usuário poderá se opor à gravação de cookies pelo sítio do MPM, desativando essa funcionalidade no navegador que estiver utilizando. No entanto, desativar cookies pode afetar a disponibilidade de algumas ferramentas e funcionalidades do serviço e/ou comprometer o correto funcionamento delas.

Especificar o período legalmente previsto. Na ausência deste, deixar a mensagem padrão:

“Os dados pessoais serão armazenados pelo período legalmente previsto ou, na ausência deste, pelo período necessário para o atendimento das finalidades descritas nos dispositivos legais e nas políticas de privacidade. Os dados serão eliminados após o término de seu tratamento."

O período de armazenamento pode ser alterado quando o interesse público associado, motivos históricos, científicos ou estatísticos o justifiquem, comprometendo-se o MPM a adotar as adequadas medidas de conservação e segurança.

A utilização dos dados pessoais para finalidades diversas daquelas para as quais foram coletados poderá ocorrer nas hipóteses de execução de atividades de interesse público.

O presente Aviso de Privacidade pode ser alterado a qualquer momento. Caso haja mudança, as alterações entram em vigor a partir do dia seguinte à sua publicação no sítio, fazendo-se expressa referência à data de atualização no “Quadro de mudanças de versões”.

Documento assinado eletronicamente por ANTÔNIO PEREIRA DUARTE, Procurador-Geral de Justiça Militar, em 22/09/2023, às 17:31, conforme art. 1º, III, "b", da Lei 11.419/2006.

A autenticidade do documento pode ser conferida no site http://sei.mpm.mp.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0 informando o código verificador 1355168 e o código CRC A2177640.