|
Presidência da República
|
(Vide ADI 6649) |
Dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. |
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84, caput, incisos IV e VI, alínea "a", da Constituição, e tendo em vista o disposto no art. 5º, caput, inciso XXXIII, no art. 37, § 3º, inciso II, e no art. 216, § 2º, da Constituição, na Lei nº 12.527, de 18 de novembro de 2011, no art. 11 da Lei nº 13.444, de 11 de maio de 2017, e no Capítulo IV da Lei nº 13.709, de 14 de agosto de 2018,
DECRETA:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Este Decreto estabelece as normas e as diretrizes para o compartilhamento de dados entre os órgãos e as entidades da administração pública federal direta, autárquica e fundacional e os demais Poderes da União, com a finalidade de:
I - simplificar a oferta de serviços públicos;
II - orientar e otimizar a formulação, a implementação, a avaliação e o monitoramento de políticas públicas;
III - possibilitar a análise das condições de acesso e manutenção de benefícios sociais e fiscais;
IV - promover a melhoria da qualidade e da fidedignidade dos dados custodiados pela administração pública federal; e
V - aumentar a qualidade e a eficiência das operações internas da administração pública federal.
§ 1º O disposto neste Decreto não se aplica ao compartilhamento de dados com os conselhos de fiscalização de profissões regulamentadas e com o setor privado.
§ 2º Ficam excluídos do disposto no caput os dados protegidos por
sigilo fiscal sob gestão da Secretaria Especial da Receita Federal do Brasil
do Ministério da Economia.
§ 2º Ficam excluídos do disposto no caput os dados protegidos por sigilo fiscal sob gestão da Secretaria Especial da Receita Federal do Brasil do Ministério da Fazenda. (Redação dada pelo Decreto nº 11.574, de 2023)
Art. 2º Para fins deste Decreto, considera-se:
I - atributos biográficos - dados de pessoa natural relativos aos fatos da sua vida, tais como nome civil ou social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar, endereço e vínculos empregatícios;
II - atributos biométricos - características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar;
III - dados cadastrais - informações identificadoras perante os cadastros de órgãos públicos, tais como:
a) os atributos biográficos;
b) o número de inscrição no Cadastro de Pessoas Físicas - CPF;
c) o número de inscrição no Cadastro Nacional de Pessoas Jurídicas - CNPJ;
d) o Número de Identificação Social - NIS;
e) o número de inscrição no Programa de Integração Social - PIS;
f) o número de inscrição no Programa de Formação do Patrimônio do Servidor Público - Pasep;
g) o número do Título de Eleitor;
h) a razão social, o nome fantasia e a data de constituição da pessoa jurídica, o tipo societário, a composição societária atual e histórica e a Classificação Nacional de Atividades Econômicas - CNAE; e
i) outros dados públicos relativos à pessoa jurídica ou à empresa individual;
IV - atributos genéticos - características hereditárias da pessoa natural, obtidas pela análise de ácidos nucleicos ou por outras análises científicas;
V - autenticidade - propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa natural, ou por um determinado sistema, órgão ou entidade;
VI - base integradora - base de dados que integra os atributos biográficos ou biométricos das bases temáticas;
VII - base temática - base de dados de determinada política pública que contenha dados biográficos ou biométricos que possam compor a base integradora;
VIII - compartilhamento de dados - disponibilização de dados pelo seu gestor para determinado recebedor de dados;
IX – confidencialidade - propriedade que impede que a informação fique disponível ou possa ser revelada à pessoa natural, sistema, órgão ou entidade não autorizado e não credenciado;
X - custo de compartilhamento de dados - valor dispendido para viabilizar a criação e a sustentação dos recursos tecnológicos utilizados no compartilhamento de dados;
XI - custodiante de dados - órgão ou entidade que, total ou parcialmente, zela pelo armazenamento, pela operação, pela administração e pela preservação de dados, coletados pela administração pública federal, que não lhe pertencem, mas que estão sob sua custódia;
XII - disponibilidade - propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa natural ou determinado sistema, órgão ou entidade;
XIII - gestor de dados - órgão ou entidade responsável pela governança de determinado conjunto de dados;
XIV - gestor de plataforma de interoperabilidade - órgão ou entidade responsável pela governança de determinada plataforma de interoperabilidade;
XV - governança de dados - exercício de autoridade e controle que permite o gerenciamento de dados sob as perspectivas do compartilhamento, da arquitetura, da segurança, da qualidade, da operação e de outros aspectos tecnológicos;
XVI - informação - dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
XVII - integridade - propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
XVIII - interoperabilidade - capacidade de diversos sistemas e organizações trabalharem em conjunto, de modo a garantir que pessoas, organizações e sistemas computacionais troquem dados;
XIX - item de informação - atributo referente a determinada informação que pode ser acessado em conjunto ou de forma isolada;
XX - mecanismo de compartilhamento de dados - recurso tecnológico que permite a integração e a comunicação entre aplicações e serviços do recebedor de dados e dos órgãos gestores de dados, tais como serviços web, cópia de dados, lago de dados compartilhado e plataformas de interoperabilidade;
XXI - plataforma de interoperabilidade - conjunto de ambientes e ferramentas tecnológicas, com acesso controlado, para o compartilhamento de dados da administração pública federal entre órgãos e entidades especificados no art. 1º;
XXII - recebedor de dados - órgão ou entidade que utiliza dados após ser concedida permissão de acesso pelo gestor dos dados;
XXIII - requisitos de segurança da informação e comunicações - ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações; e
XXIII - requisitos de segurança da informação e comunicação - ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações; (Redação dada pelo Decreto nº 10.332, de 2020)
XXIV - solicitante de dados - órgão ou entidade que solicita ao gestor de dados a permissão de acesso aos dados.
XXIV - solicitante de dados - órgão ou entidade que solicita ao gestor de dados a permissão de acesso aos dados; e (Redação dada pelo Decreto nº 10.332, de 2020)
XXV - cadastro base - informação de referência, íntegra e precisa, centralizada ou descentralizada, oriunda de uma ou mais fontes, sobre elementos fundamentais para a prestação de serviços e para a gestão de políticas públicas, tais como pessoas, empresas, veículos, licenças e locais. (Incluído pelo Decreto nº 10.332, de 2020)
Art. 3º O compartilhamento de dados pelos órgãos e entidades de que trata o art. 1º observará as seguintes diretrizes:
I - a informação do Estado será compartilhada da forma mais ampla possível, observadas as restrições legais, os requisitos de segurança da informação e comunicações e o disposto na Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais;
II - o compartilhamento de dados sujeitos a sigilo implica a assunção, pelo recebedor de dados, dos deveres de sigilo e auditabilidade impostos ao custodiante dos dados;
III - os mecanismos de compartilhamento, interoperabilidade e auditabilidade devem ser desenvolvidos de forma a atender às necessidades de negócio dos órgãos e entidades de que trata o art. 1º, para facilitar a execução de políticas públicas orientadas por dados;
IV - os órgãos e entidades de que trata o art. 1º colaborarão para a redução dos custos de acesso a dados no âmbito da administração pública, inclusive, mediante o reaproveitamento de recursos de infraestrutura por múltiplos órgãos e entidades;
V - nas hipóteses em que se configure tratamento de dados pessoais, serão observados o direito à preservação da intimidade e da privacidade da pessoa natural, a proteção dos dados e as normas e os procedimentos previstos na legislação; e
V - nas hipóteses em que se configure tratamento de dados pessoais, serão observados o direito à preservação da intimidade e da privacidade da pessoa natural, a proteção dos dados e as normas e os procedimentos previstos na legislação; (Redação dada pelo Decreto nº 11.266, de 2022)
VI - a coleta, o tratamento e o compartilhamento de dados por cada órgão
serão realizados nos termos do disposto no
art. 23 da Lei nº
13.709, de 2018.
VI - a coleta, o tratamento e o compartilhamento de dados por cada órgão serão realizados nos termos do disposto no art. 23 da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais; (Redação dada pelo Decreto nº 11.266, de 2022)
VII - a eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados pessoais, nos termos do disposto no inciso I do caput do art. 6º da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais; (Incluído pelo Decreto nº 11.266, de 2022)
VIII - a compatibilidade do tratamento de dados pessoais com as finalidades informadas, nos termos do disposto no inciso II do caput do art. 6º da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais; e (Incluído pelo Decreto nº 11.266, de 2022)
IX - a limitação do compartilhamento de dados pessoais ao mínimo necessário para o atendimento da finalidade informada, nos termos do disposto no inciso III do caput do art. 6º da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais, e o cumprimento integral dos requisitos, das garantias e dos procedimentos estabelecidos na referida Lei, no que for compatível com o setor público. (Incluído pelo Decreto nº 11.266, de 2022)
CAPÍTULO II
DOS NÍVEIS DE COMPARTILHAMENTO DE DADOS
Art. 4º O compartilhamento de dados entre os órgãos e as entidades de que trata o art. 1º é categorizado em três níveis, de acordo com sua confidencialidade:
I - compartilhamento amplo, quando se tratar de dados públicos que não estão sujeitos a nenhuma restrição de acesso, cuja divulgação deve ser pública e garantida a qualquer interessado, na forma da legislação;
II - compartilhamento restrito, quando se tratar de dados protegidos por sigilo, nos termos da legislação, com concessão de acesso a todos os órgãos e entidades de que trata o art. 1º para a execução de políticas públicas, cujo mecanismo de compartilhamento e regras sejam simplificados e estabelecidos pelo Comitê Central de Governança de Dados; e
III - compartilhamento específico, quando se tratar de dados protegidos por sigilo, nos termos da legislação, com concessão de acesso a órgãos e entidades específicos, nas hipóteses e para os fins previstos em lei, cujo compartilhamento e regras sejam definidos pelo gestor de dados.
§ 1º A categorização do nível de compartilhamento será feita pelo gestor de dados, com base na legislação.
§ 2º A categorização do nível de compartilhamento será detalhada de forma a tornar clara a situação de cada item de informação.
§ 3º A categorização do nível de compartilhamento como restrito ou específico será publicada pelo respectivo gestor de dados no prazo de noventa dias, contado da data de publicação das regras de compartilhamento de que trata o art. 31.
§ 3º A categorização do nível de compartilhamento como restrito ou específico observará as regras de compartilhamento de que trata o art. 31 e será publicada pelo respectivo gestor de dados, em prazo a ser definido pelo Comitê Central de Governança de Dados, que considerará, para a tomada de decisão, o disposto no Decreto Legislativo nº 6, de 20 de março de 2020. (Redação dada pelo Decreto nº 10.403, de 2020)
§ 4º A categorização do nível de compartilhamento como restrito e específico especificará o conjunto de bases de dados por ele administrado com restrições de acesso e as respectivas motivações.
§ 5º A categorização do nível de compartilhamento, na hipótese de ainda não ter sido feita, será realizada pelo gestor de dados quando responder a solicitação de permissão de acesso ao dado.
§ 6º A categorização do nível de compartilhamento será revista a cada cinco anos, contados da data de publicação deste Decreto ou sempre que identificadas alterações nas diretrizes que ensejaram a sua categorização.
§ 7º Os órgãos e entidades de que trata o art. 1º priorizarão a categoria de compartilhamento de dados de maior abertura, em compatibilidade com as diretrizes de acesso a informação previstas na legislação.
CAPÍTULO III
DAS REGRAS GERAIS DE COMPARTILHAMENTO DE DADOS
Seção I
Das disposições gerais para o compartilhamento de dados
Art. 5º Fica dispensada a celebração de convênio, acordo de cooperação técnica ou instrumentos congêneres para a efetivação do compartilhamento de dados entre os órgãos e as entidades de que trata o art. 1º, observadas as diretrizes do art. 3º e o disposto na Lei nº 13.709, de 2018.
§ 1º Os órgãos e entidades de que trata o art. 1º, para os compartilhamentos de dados pessoais, darão publicidade às hipóteses em que compartilhem ou tenham acesso a banco de dados pessoais, nos termos do disposto no inciso I do caput do art. 23 da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais. (Incluído pelo Decreto nº 11.266, de 2022)
§ 2º As informações sobre compartilhamento de dados pessoais estarão disponíveis em veículos de fácil acesso nos sítios eletrônicos, deverão ser claras e atualizadas, e conterão a previsão legal do compartilhamento, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades. (Incluído pelo Decreto nº 11.266, de 2022)
§ 3º O compartilhamento de dados nos níveis de categorização restritos e específicos serão autorizados pelo gestor de dados e seu processo será formalizado por documentos de interoperabilidade cuja solicitação seguirá os critérios estabelecidos pelo Comitê Central de Governança de Dados, em observância: (Incluído pelo Decreto nº 11.266, de 2022)
I - aos dispositivos: (Incluído pelo Decreto nº 11.266, de 2022)
a) da Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais; (Incluída pelo Decreto nº 11.266, de 2022)
b) da Lei nº 14.129, de 29 de março de 2021; e (Incluída pelo Decreto nº 11.266, de 2022)
c) da Lei nº 12.527, de 18 de novembro de 2011; (Incluída pelo Decreto nº 11.266, de 2022)
II - às orientações da Autoridade Nacional de Proteção de Dados; e
III - às normas correlatas. (Incluído pelo Decreto nº 11.266, de 2022)
§ 4º Nas solicitações de interoperabilidade que envolvam dados pessoais, serão explicitados, além do disposto no § 3º: (Incluído pelo Decreto nº 11.266, de 2022)
I - o propósito legítimo, específico e explícito; (Incluído pelo Decreto nº 11.266, de 2022)
II -a compatibilidade com a finalidade; e (Incluído pelo Decreto nº 11.266, de 2022)
III - o compartilhamento do mínimo necessário para atendimento da finalidade. (Incluído pelo Decreto nº 11.266, de 2022)
Art. 6º Na hipótese de o mecanismo de compartilhamento de dados fornecido pelo custodiante de dados ser inadequado ao solicitante de dados, independentemente da categorização do nível de compartilhamento, o recebedor de dados arcará com os eventuais custos de operacionalização, quando houver, exceto disposição contrária prevista em lei, regulamento ou acordo entre as entidades ou os órgãos envolvidos, sem prejuízo do disposto no art. 4º.
Parágrafo único. O disposto no caput se limitará aos custos de operacionalização do compartilhamento dos dados e não acarretará ganhos ou benefícios de ordem financeira ou econômica para o órgão gestor de dados.
Art. 7º As plataformas de interoperabilidade contemplarão os requisitos de sigilo, confidencialidade, gestão, auditabilidade e segurança da informação necessários ao compartilhamento de dados, conforme regras estabelecidas pelo Comitê Central de Governança de Dados.
Parágrafo único. As ferramentas de gestão da plataforma de interoperabilidade incluirão meios para que o gestor de dados tenha conhecimento sobre o controle de acesso e o consumo dos dados.
Art. 8º Os custodiantes de dados disponibilizarão aos órgãos e às entidades de que trata o art. 1º os dados de compartilhamento amplo e restrito hospedados em suas infraestruturas tecnológicas, por meio das plataformas de interoperabilidade, condicionado à existência de solicitação de interoperabilidade e à ciência ao gestor dos dados.
Parágrafo único. O compartilhamento de dados de que trata o caput só ocorrerá após a categorização do dado pelo seu gestor.
Art. 9º Atendidos os critérios necessários ao compartilhamento, o acesso aos dados ocorrerá no prazo de trinta dias, contado da data da solicitação.
Art. 10. Os gestores de dados divulgarão os compartilhamentos de seus dados.
Art. 10. Os gestores de dados divulgarão os mecanismos de compartilhamento de seus dados e os cadastros base sob sua responsabilidade. (Redação dada pelo Decreto nº 10.332, de 2020)
Art. 10. Os gestores de dados divulgarão os mecanismos de compartilhamento de seus dados e os registros de referência sob sua responsabilidade. (Redação dada pelo Decreto nº 11.266, de 2022)
Parágrafo único. O Comitê Central de Governança de Dados definirá os procedimentos para o atendimento ao disposto no caput.
Art. 10-A. Os órgãos e as entidades poderão criar novas bases de dados somente quando forem esgotadas as possibilidades de utilização dos cadastros base existentes. (Incluído pelo Decreto nº 10.332, de 2020)
Seção II
Do compartilhamento amplo de dados
Art. 11. O compartilhamento amplo de dados dispensa autorização prévia pelo gestor de dados e será realizado pelos canais existentes para dados abertos e para transparência ativa, na forma da legislação.
§ 1º Na hipótese de o dado de compartilhamento amplo de que trata o caput não estar disponível em formato aberto, o solicitante de dados poderá requerer sua abertura junto ao gestor de dados.
§ 2º Na hipótese prevista no § 1º, o gestor de dados poderá condicionar a abertura ao pagamento, pelo solicitante de dados, de custos adicionais, quando estes forem desproporcionais e não previstos pelo órgão gestor de dados nos termos da legislação.
§ 3º A Controladoria-Geral da União e o Comitê Interministerial de Governança, de que trata o Decreto nº 9.203, de 22 de novembro de 2017, poderão recomendar, quando econômica e operacionalmente viável, a abertura dos dados de compartilhamento amplo em transparência ativa.
§ 4º Os solicitantes e recebedores de dados adotarão medidas para manter a integridade e a autenticidade das informações recebidas.
§ 5º Os dados de compartilhamento amplo serão catalogados no Portal Brasileiro de Dados Abertos em formato aberto.
Seção III
Do compartilhamento restrito de dados
Art. 12. O compartilhamento restrito de dados pelos gestores de dados ocorrerá com base nas regras estabelecidas pelo Comitê Central de Governança de Dados.
§ 1º Os solicitantes e recebedores de dados, para ter acesso a dados por compartilhamento restrito, se responsabilizarão por implementar e seguir as regras de sigilo e de segurança da informação estabelecidas pelo Comitê Central de Governança de Dados e, adicionalmente, na hipótese de dados disponíveis em uma das plataformas de interoperabilidade, pelo respectivo gestor.
§ 2º Os dados de compartilhamento restrito que possuam, no âmbito do gestor de dados, nível de segurança da informação superior ao definido pelo Comitê Central de Governança de Dados poderão ser categorizados como de compartilhamento específico.
§ 3º Na hipótese de que trata o § 2º, o gestor de dados comunicará ao Comitê Central de Governança de Dados a categorização atribuída e suas justificativas.
§ 4º Os dados recebidos por compartilhamento restrito poderão ser retransmitidos ou compartilhados com outros órgãos ou entidades que comprovem a necessidade de acesso, exceto se proibido expressamente na autorização concedida pelo gestor de dados ou se houver posterior revogação da permissão desse, mediante fundamentação, nas duas hipóteses.
§ 4º Os dados recebidos por compartilhamento restrito não serão retransmitidos ou compartilhados com outros órgãos ou entidades, exceto quando previsto expressamente na autorização concedida pelo gestor de dados ou se houver posterior permissão deste, observados os requisitos previstos no art. 5º. (Redação dada pelo Decreto nº 11.266, de 2022)
Art. 13. O órgão interessado poderá solicitar o acesso
aos dados compartilhados no nível restrito diretamente ao gestor de
plataforma de interoperabilidade, quando estiverem disponíveis em
plataformas de interoperabilidade.
Art. 13. O órgão interessado poderá solicitar o acesso aos dados compartilhados no nível restrito diretamente ao gestor de plataforma de interoperabilidade, respeitado o disposto no § 3º do art. 5º. (Redação dada pelo Decreto nº 11.266, de 2022)
Seção IV
Do compartilhamento específico de dados
Art. 14. O compartilhamento específico de dados está condicionado:
I - à concessão de permissão de acesso pelo gestor de dados; e
II - ao atendimento dos requisitos definidos pelo gestor de dados como condição para o compartilhamento.
§ 1º Os requisitos exigidos pelo gestor de dados de que trata o inciso II do caput serão compatíveis com aqueles adotados internamente pelo próprio gestor de dados no tratamento da mesma informação.
§ 2º Os dados recebidos por compartilhamento específico não serão retransmitidos ou compartilhados com outros órgãos ou entidades, exceto quando previsto expressamente na autorização concedida pelo gestor de dados ou se houver posterior permissão desse.
Art. 15. O órgão interessado em acessar dados sujeitos
a compartilhamento específico enviará a solicitação de permissão de
compartilhamento para o gestor de dados, observadas as normas, as condições
e os requisitos de acesso por ele definidos, nos termos do inciso III do
caput do art. 4º, e deverá fundamentar o pedido e especificar os dados
solicitados no maior nível de detalhamento possível.
Art. 15. O órgão interessado em acessar dados sujeitos a compartilhamento específico enviará os documentos de interoperabilidade para o gestor de dados, observados as normas, as condições e os requisitos de acesso por ele estabelecidos, nos termos do disposto no inciso III do caput do art. 4º, e fundamentará o pedido e especificará os dados solicitados no maior nível de detalhamento possível. (Redação dada pelo Decreto nº 11.266, de 2022)
§ 1º A Secretaria de Governo Digital da Secretaria Especial de
Desburocratização, Gestão e Governo Digital do Ministério da Economia
prestará apoio consultivo aos solicitantes de dados para a formulação da
solicitação de permissão de compartilhamento.
§ 1º A Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos prestará apoio consultivo aos solicitantes de dados para a formulação da solicitação de permissão de compartilhamento. (Redação dada pelo Decreto nº 11.574, de 2023)
§ 2º O gestor de dados se manifestará quanto à solicitação de que trata o caput no prazo de trinta dias, contado da data do recebimento da solicitação.
§ 3º O recebedor de dados por compartilhamento específico é responsável por implementar e seguir as regras de segurança da informação estabelecidas pelo gestor de dados de compartilhamento específico, conforme o disposto no inciso III do caput do art. 4º.
Seção V
(Incluída pelo Decreto nº 11.266, de 2022)
Da responsabilidade
Art. 15-A. O tratamento de dados pessoais, em qualquer nível de categorização para compartilhamento, pelos órgãos e pelas entidades de que trata o art. 1º, está sujeito ao atendimento dos parâmetros legais e constitucionais e importará a responsabilidade civil do Estado pelos danos suportados pelos particulares. (Incluído pelo Decreto nº 11.266, de 2022)
Parágrafo único. O disposto no caput está associado ao exercício do direito de regresso contra os agentes públicos responsáveis pelo ato ilícito, em caso de culpa ou dolo. (Incluído pelo Decreto nº 11.266, de 2022)
CAPÍTULO IV
DO CADASTRO BASE DO CIDADÃO
Art. 16. Fica instituído o Cadastro Base do Cidadão com a finalidade de:
I - aprimorar a gestão de políticas públicas;
II - aumentar a confiabilidade dos cadastros de cidadãos existentes na administração pública, por meio de mecanismos de manutenção da integridade das bases de dados para torná-las qualificadas e consistentes;
III - viabilizar a criação de meio unificado de identificação do cidadão para a prestação de serviços públicos;
IV - disponibilizar uma interface unificada de atualização cadastral, suportada por soluções tecnológicas interoperáveis das entidades e órgãos públicos participantes do cadastro;
V - facilitar o compartilhamento de dados cadastrais do cidadão entre os órgãos da administração pública; e
VI - realizar o cruzamento de informações das bases de dados cadastrais oficiais a partir do número de inscrição do cidadão no CPF.
Parágrafo único. É vedado o uso do Cadastro Base do Cidadão, ou o cruzamento deste com outras bases, para a realização de tratamentos de dados que visem mapear ou explorar comportamentos individuais ou coletivos de cidadãos, sem o consentimento expresso, prévio e específico dos indivíduos afetados e sem a devida transparência da motivação e finalidade. (Incluído pelo Decreto nº 11.266, de 2022)
Art. 17. O Cadastro Base do Cidadão será composto pela base integradora e pelos componentes de interoperabilidade necessários ao intercâmbio de dados dessa base com as bases temáticas, e servirá como base de referência de informações sobre cidadãos para os órgãos e entidades do Poder Executivo federal.
Parágrafo único. A interoperabilidade de que trata o caput observará a legislação e as recomendações técnicas estabelecidas pelo Sistema de Administração dos Recursos de Tecnologia da Informação - Sisp do Poder Executivo federal, e, ainda, as recomendações do Comitê Central de Governança de Dados. (Revogado pelo Decreto nº 11.266, de 2022)
§ 1º A interoperabilidade de que trata o caput observará a legislação e as recomendações técnicas estabelecidas pelo Sistema de Administração dos Recursos de Tecnologia da Informação - Sisp do Poder Executivo federal, e, ainda, as recomendações do Comitê Central de Governança de Dados. (Incluído pelo Decreto nº 11.266, de 2022)
§ 2º O acesso dos órgãos e das entidades de que trata o art. 1º ao Cadastro Base do Cidadão fica condicionado ao atendimento integral das diretrizes de que tratam os incisos VII, VIII e IX do caput do art. 2º. (Incluído pelo Decreto nº 11.266, de 2022)
§ 3º Ato do Comitê Central de Governança de Dados irá estabelecer mecanismos de controle de acesso ao Cadastro Base do Cidadão, o qual será limitado a órgãos e entidades que comprovarem real necessidade de acesso aos dados pessoais nele reunidos. (Incluído pelo Decreto nº 11.266, de 2022)
Art. 18. A base integradora será, inicialmente, disponibilizada com os dados biográficos que constam da base temática do CPF.
§ 1º Os atributos biográficos e cadastrais que inicialmente comporão a base integradora serão, no mínimo, os seguintes:
I - número de inscrição no CPF;
II - situação cadastral no CPF;
III - nome completo;
IV - nome social;
V - data de nascimento;
VI - sexo;
VII - filiação;
VIII - nacionalidade;
IX - naturalidade;
X - indicador de óbito;
XI - data de óbito, quando cabível; e
XII - data da inscrição ou da última alteração no CPF.
§ 2º A base integradora será acrescida de outros dados, provenientes de bases temáticas, por meio do número de inscrição do CPF, atributo chave para a consolidação inequívoca dos atributos biográficos, biométricos e cadastrais.
§ 3º O Comitê Central de Governança de Dados estabelecerá solução temporária caso ocorra a impossibilidade momentânea de consolidação de dados das bases temáticas por meio do número de inscrição do CPF.
§ 4º As bases temáticas serão atualizadas e mantidas com relacionamento unívoco em relação à base integradora.
§ 5º As bases temáticas serão atualizadas, inclusive quanto aos atributos provenientes de outras bases com as quais aquela se integra ou venha a se integrar, e enviadas periodicamente à base integradora.
§ 6º Excetuam-se do disposto no § 2º os atributos genéticos.
§ 7º A inclusão de novos dados pessoais na base integradora e a escolha de novas bases temáticas serão precedidas de justificativa formal detalhada, em consonância com os princípios da proporcionalidade, da razoabilidade e da proteção de dados pessoais. (Incluído pelo Decreto nº 11.266, de 2022)
Art. 19. Compete à Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia:
Art. 19. Compete à Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos: (Redação dada pelo Decreto nº 11.574, de 2023)
I - adotar as medidas necessárias para viabilizar a implantação, a operação e o monitoramento do Cadastro Base do Cidadão;
II - propor ao Comitê Central de Governança de Dados a política de governança de dados do Cadastro Base do Cidadão;
III - orientar os órgãos responsáveis por bases temáticas no processo de atualização dos dados do Cadastro Base do Cidadão; e
IV - arcar com os custos de implantação do Cadastro Base do Cidadão, incluídos os custos de criação e atualização da base integradora e excluídos os custos inerentes aos processos exclusivos de manutenção e atualização das bases temáticas.
Art. 20. É responsabilidade das entidades e órgãos públicos os custos de adaptação de suas bases temáticas para viabilizar a interoperabilidade com a base integradora.
Parágrafo único. A Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia, em casos específicos, poderá arcar, a seu critério, total ou parcialmente, com os custos de execução das atividades previstas no caput.
Parágrafo único. A Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos, em casos específicos, poderá arcar, a seu critério, total ou parcialmente, com os custos de execução das atividades previstas no caput. (Redação dada pelo Decreto nº 11.574, de 2023)
Art. 20-A. Os órgãos e as entidades gestores de dados pessoais utilizarão sistema eletrônico de registro de acesso a ser estabelecido pelo Comitê Central de Governança de Dados para efeito de responsabilização em caso de eventuais abusos nos compartilhamentos de dados pessoais. (Incluído pelo Decreto nº 11.266, de 2022)
Parágrafo único. O Comitê de que trata o caput poderá instituir medidas de segurança compatíveis com os princípios de proteção previstos na Lei nº 13.709, de 2018 - Lei Geral de Proteção de Dados Pessoais. (Incluído pelo Decreto nº 11.266, de 2022)
CAPÍTULO V
DO COMITÊ CENTRAL DE GOVERNANÇA DE DADOS
Seção I
Das competências
Art. 21. Fica instituído o Comitê Central de Governança de Dados, a quem compete deliberar sobre:
I - as orientações e as diretrizes para a categorização de compartilhamento amplo, restrito e específico, e a forma e o meio de publicação dessa categorização, observada a legislação pertinente, referente à proteção de dados pessoais;
II - as regras e os parâmetros para o compartilhamento restrito, incluídos os padrões relativos à preservação do sigilo e da segurança;
III - a compatibilidade entre as políticas de segurança da informação e as comunicações efetuadas pelos órgãos e entidades de que trata o art. 1º, no âmbito das atividades relativas ao compartilhamento de dados;
IV - a forma de avaliação da integridade, da qualidade e da consistência de bases de dados derivadas da integração de diferentes bases com o Cadastro Base do Cidadão;
V - as controvérsias sobre a validade das informações cadastrais e as regras de prevalência entre eventuais registros administrativos conflitantes, quando ocorrer o cruzamento de informações entre bases de dados do Cadastro Base do Cidadão;
VI - as orientações e as diretrizes para a integração dos órgãos e das entidades de que trata o art. 1º com o Cadastro Base do Cidadão;
VII - a inclusão, na base integradora do Cadastro Base do Cidadão, de novos dados provenientes das bases temáticas, considerada a eficiência técnica e a economicidade;
VIII - a escolha e aprovação das bases temáticas que serão integradas ao Cadastro Base do Cidadão e a definição do cronograma de integração, em comum acordo com os gestores de dados;
IX - as propostas relativas à estratégia para viabilizar, econômica e financeiramente, o Cadastro Base do Cidadão no âmbito do setor público;
X - a instituição de subcomitês técnicos permanentes ou temporários, para assessorá-lo em suas atividades;
XI - a instituição de outros cadastros base de referência do setor público de uso obrigatório pelos órgãos e entidades de que trata o art. 1º; e
XI - a instituição de outros cadastros base de referência do setor público de uso obrigatório pelos órgãos e entidades de que trata o art. 1º; (Redação dada pelo Decreto nº 10.403, de 2020)
XII - seu regimento interno.
XII - seu regimento interno; e (Redação dada pelo Decreto nº 10.403, de 2020)
XIII - o prazo para a publicação da categorização do nível de compartilhamento de que trata o § 3º do art. 4º. (Incluído pelo Decreto nº 10.403, de 2020)
§ 1º Para fins do disposto no caput, o Comitê Central de Governança de Dados observará as deliberações da Comissão Mista de Reavaliação de Informações, de que trata a Lei nº 12.527, de 18 de novembro de 2011, a respeito do acesso público a dados e informações.
§ 2º O Comitê Central de Governança de Dados poderá consultar o Comitê Interministerial de Governança em casos considerados estratégicos.
§ 3º Os subcomitês técnicos de que trata o inciso X do caput:
I - serão instituídos e compostos na forma de ato do Comitê;
II - não poderão ter mais de sete membros;
III - na hipótese de serem temporários, terão duração não superior a um ano; e
IV - estão limitados a quatro operando simultaneamente.
§ 4º A Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia poderá consultar o Comitê Central de Governança de Dados sobre questões relativas a políticas e diretrizes de governança de dados para a administração pública direta, autárquica e fundacional.
§ 4º A Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos poderá consultar o Comitê Central de Governança de Dados sobre questões relativas a políticas e diretrizes de governança de dados para a administração pública direta, autárquica e fundacional. (Redação dada pelo Decreto nº 11.574, de 2023)
Seção II
Da composição
Art. 22. O Comitê Central de Governança de Dados é
composto por representantes dos seguintes órgãos e entidade:
(Vide ADI 6649)
Art. 22. O Comitê Central de Governança de Dados é composto pelos seguintes representantes: (Redação dada pelo Decreto nº 11.266, de 2022)
I - dois do Ministério da Economia, dentre os quais um da Secretaria Especial de Desburocratização, Gestão e Governo Digital, que o presidirá, e um da Secretaria Especial da Receita Federal do Brasil;
I - um do órgão central do Sistema de Administração dos Recursos de Tecnologia da Informação - Sisp, que o presidirá; (Redação dada pelo Decreto nº 11.266, de 2022)
II - um da Casa Civil da Presidência da República;
II - um da Advocacia-Geral da União; (Redação dada pelo Decreto nº 11.266, de 2022)
III - um da Secretaria de Transparência e Prevenção da Corrupção da Controladoria-Geral da União;
III - um da Casa Civil da Presidência da República; (Redação dada pelo Decreto nº 11.266, de 2022)
IV - um da Secretaria Especial de Modernização do Estado da Secretaria-Geral da Presidência da República;
IV - um da Controladoria-Geral da União; (Redação dada pelo Decreto nº 11.266, de 2022)
V - um da Advocacia-Geral da União; e
V - um da Secretaria Especial da Receita Federal do Brasil do Ministério da Economia; (Redação dada pelo Decreto nº 11.266, de 2022)
V - um da Secretaria Especial da Receita Federal do Brasil do Ministério da Fazenda; (Redação dada pelo Decreto nº 11.574, de 2023)
VI - um do Instituto Nacional do Seguro Social.
VI - um do Ministério da Justiça e Segurança Pública; (Redação dada pelo Decreto nº 11.266, de 2022)
VII - um do Ministério do Trabalho e Previdência;
(Incluído pelo Decreto nº
11.266, de 2022)
VII - um do Ministério da Previdência Social; (Redação dada pelo Decreto nº 11.574, de 2023)
VIII - um da Secretaria-Geral da Presidência da República; e
(Incluído pelo Decreto nº
11.266, de 2022)
VIII - um do Ministério do Trabalho e Emprego; e (Redação dada pelo Decreto nº 11.574, de 2023)
IX - dois de organizações da sociedade com atuação comprovada na temática de proteção de dados pessoais. (Incluído pelo Decreto nº 11.266, de 2022)
§ 1º Cada membro do Comitê terá um suplente, que o substituirá em suas
ausências e impedimentos.
§ 1º Cada membro do Comitê Central de Governança de Dados terá um suplente, que o substituirá em suas ausências e seus impedimentos. (Redação dada pelo Decreto nº 11.266, de 2022)
§ 2º Os membros do Comitê e respectivos suplentes serão indicados pelos
titulares dos órgãos ou da entidade que representam e designados pelo
Ministro de Estado da Economia.
§
2º O membro do Comitê Central de Governança de Dados de que trata o inciso
I do caput e o respectivo suplente serão indicados e designados em
ato do Ministro de Estado da Economia.
(Redação dada pelo Decreto nº
11.266, de 2022)
§ 2º Os membros do Comitê Central de Governança de Dados de que tratam os incisos I a VIII do caput e os respectivos suplentes serão indicados pelo Secretário-Executivo, ou equivalente, dos órgãos que representam e designados em ato do Secretário de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos. (Redação dada pelo Decreto nº 11.574, de 2023)
§
3º Os membros do Comitê Central de Governança de Dados de que tratam os
incisos II a VIII do caput e os respectivos suplentes serão indicados
pelo Secretário-Executivo, ou equivalente, dos órgãos que representam e
designados em ato do Presidente do Comitê.
(Incluído pelo Decreto nº
11.266, de 2022)
(Revogado
pelo Decreto nº 11.574, de 2023)
§ 4º Podem compor o Comitê Central de Governança de Dados representantes dos seguintes órgãos, na qualidade de membros convidados: (Incluído pelo Decreto nº 11.266, de 2022)
I - um do Conselho Nacional de Justiça; (Incluído pelo Decreto nº 11.266, de 2022)
II - um do Senado Federal; e (Incluído pelo Decreto nº 11.266, de 2022)
III - um da Câmara dos Deputados. (Incluído pelo Decreto nº 11.266, de 2022)
§ 5º A indicação dos membros do Comitê Central de Governança de Dados de que trata o § 4º e dos respectivos suplentes é ato discricionário dos órgãos representados. (Incluído pelo Decreto nº 11.266, de 2022)
§ 6º Os membros do Comitê Central de Governança de Dados de que trata o § 4º terão direito a voto nas deliberações relativas à gestão e ao tratamento de dados pessoais. (Incluído pelo Decreto nº 11.266, de 2022)
§ 7º Os membros do Comitê Central de Governança de Dados de que tratam os incisos I a VIII do caput e o § 4º e os respectivos suplentes comporão o Comitê pelo prazo máximo de dois anos, permitida uma recondução. (Incluído pelo Decreto nº 11.266, de 2022)
§ 8º Os membros do Comitê Central de Governança de Dados de que trata o inciso IX do caput e os respectivos suplentes: (Incluído pelo Decreto nº 11.266, de 2022)
I - serão selecionados por meio de processo seletivo, conforme regulamento a ser editado pelo Comitê Central de Governança de Dados; (Incluído pelo Decreto nº 11.266, de 2022)
II - terão direito a voto nas deliberações relativas à gestão e tratamento de dados pessoais; e (Incluído pelo Decreto nº 11.266, de 2022)
III - terão mandato de dois anos, permitida uma recondução. (Incluído pelo Decreto nº 11.266, de 2022)
Art. 23. O Comitê Central de Governança de Dados se
reunirá, em caráter ordinário, a cada dois meses, e, em caráter
extraordinário, sempre que convocado por seu Presidente ou por solicitação
de um de seus membros.
Art. 23. O Comitê Central de Governança de Dados se reunirá, em caráter ordinário, a cada três meses, e, em caráter extraordinário, sempre que convocado por seu Presidente ou por solicitação de um de seus membros. (Redação dada pelo Decreto nº 11.266, de 2022)
§ 1º O quórum de reunião do Comitê é de dois terços de seus membros e o
quórum de aprovação é por consenso.
§ 1º O quórum de reunião do Comitê Central de Governança de Dados é de dois terços de seus membros e o quórum de aprovação é de maioria simples. (Redação dada pelo Decreto nº 11.266, de 2022)
§ 2º O Comitê Central de Governança de Dados deliberará por meio de resoluções, que serão publicadas pela Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia.
§ 2º O Comitê Central de Governança de Dados deliberará por meio de resoluções, que serão publicadas pela Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos. (Redação dada pelo Decreto nº 11.574, de 2023)
§ 3º Qualquer membro do Comitê Central de Governança de Dados poderá convidar especialistas para participar de suas reuniões, sem direito a voto.
§ 4º Os membros do Comitê Central de Governança de Dados que se encontrarem no Distrito Federal se reunirão presencialmente e os membros que se encontrem em outros entes federativos participarão da reunião por meio de videoconferência.
Art. 24. A Secretaria-Executiva do Comitê será exercida pela Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia, a quem compete:
Art. 24. A Secretaria-Executiva do Comitê será exercida pela Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos, a quem compete: (Redação dada pelo Decreto nº 11.574, de 2023)
I - organizar as reuniões do Comitê e sua respectiva pauta; e
I - organizar as reuniões do Comitê Central de Governança de Dados e sua respectiva pauta, de modo a envolver os atores da administração pública federal impactados; e (Redação dada pelo Decreto nº 11.266, de 2022)
II - monitorar e reportar ao Comitê a implementação de suas resoluções.
Art. 25. A participação no Comitê e nos subcomitês técnicos será considerada prestação de serviço público relevante, não remunerada.
CAPÍTULO VII
DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 26. As controvérsias no compartilhamento de dados entre órgãos e entidades públicas federais solicitantes de dados e o gestor de dados serão decididas pelo Comitê Central de Governança de Dados.
§ 1º As resoluções do Comitê Central de Governança de Dados a respeito de controvérsias observarão as normas que protegem os dados objeto da controvérsia.
§ 2º Para fins do disposto no caput, o Comitê Central de Governança de Dados poderá consultar o Comitê Interministerial de Governança.
§ 3º O Comitê Central de Governança de Dados atuará de forma a buscar a composição de interesses entre as partes envolvidas na solução das controvérsias que lhe forem encaminhadas e se manifestará por meio de resolução.
§ 4º A revisão da categorização dos níveis de compartilhamentos de dados pelo Comitê Central de Governança de Dados será de ofício, com a anuência do Comitê Interministerial de Governança, ou mediante provocação do solicitante de dados.
§ 5º A Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia, na qualidade de Secretaria-Executiva do Comitê Central de Governança de Dados, poderá responder diretamente ao solicitante de dados, se houver resolução anterior sobre o mesmo pleito.
§ 5º A Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos, na qualidade de Secretaria-Executiva do Comitê Central de Governança de Dados, poderá responder diretamente ao solicitante de dados, se houver resolução anterior sobre o mesmo pleito. (Redação dada pelo Decreto nº 11.574, de 2023)
Art. 27. A Advocacia-Geral da União, na hipótese de controvérsia a respeito da abrangência, do enquadramento ou do instituto jurídico aplicável a temas inerentes à governança e ao compartilhamento de dados, inclusive sobre os níveis de compartilhamento, quando aplicáveis limitações em razão de sigilo legal, poderá assessorar os órgãos e entidades de que trata o art. 1º e fixar-lhes, por meio de parecer jurídico, a interpretação a ser seguida.
Art. 28. A Secretaria Especial da Receita Federal do Brasil do Ministério da Economia disponibilizará aos órgãos interessados os seguintes dados não protegidos por sigilo fiscal:
Art. 28. A Secretaria Especial da Receita Federal do Brasil do Ministério da Fazenda disponibilizará aos órgãos interessados os seguintes dados não protegidos por sigilo fiscal: (Redação dada pelo Decreto nº 11.574, de 2023)
I - informações constantes da declaração de operações imobiliárias relativas à existência de bem imóvel, localização do ato registral, números de inscrição e respectivas situações cadastrais no CPF e no CNPJ das partes envolvidas na operação;
II - informações constantes da declaração do Imposto sobre a Propriedade Territorial Rural relativas à existência de bem imóvel;
III - informações referentes a registros de natureza pública ou de conhecimento público constantes de nota fiscal;
IV - informações sobre parcelamento e moratória de natureza global dos débitos por ela administrados;
V - informações sobre débitos de pessoas jurídicas de direito público; e
VI - demais informações de natureza pública constantes das bases de dados sob sua gestão.
Art. 29. A Procuradoria-Geral da Fazenda Nacional disponibilizará aos órgãos interessados os seguintes dados não protegidos por sigilo fiscal:
I - dados constantes do termo de inscrição na dívida ativa da União e do Fundo de Garantia do Tempo de Serviço - FGTS;
II - informações sobre parcelamento e moratória de natureza global dos débitos inscritos em Dívida Ativa da União;
III - informações sobre débitos inscritos em dívida ativa da União, incluídos os de pessoas jurídicas de direito público e aqueles em fase de execução fiscal; e
IV - demais informações de natureza pública constantes das bases de dados sob a sua gestão.
Art. 30. A Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia poderá expedir normas complementares para execução deste Decreto, observadas as competências do Comitê Central de Governança de Dados e as normas referentes ao acesso à informação.
Art. 30. A Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos poderá expedir normas complementares para execução deste Decreto, observadas as competências do Comitê Central de Governança de Dados e as normas referentes ao acesso à informação. (Redação dada pelo Decreto nº 11.574, de 2023)
§ 1º Os órgãos e entidades de que trata o art. 1º publicarão catálogo dos dados sob sua gestão e informarão os compartilhamentos vigentes.
§ 2º A Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia definirá os procedimentos para a criação do catálogo de que trata o § 1º.
§ 2º A Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos definirá os procedimentos para a criação do catálogo de que trata o § 1º. (Redação dada pelo Decreto nº 11.574, de 2023)
Art. 31. Ato do Comitê Central de Governança de Dados estabelecerá as regras de compartilhamento e segurança, no prazo de noventa dias, contado da data de publicação deste Decreto.
§ 1º A categorização de compartilhamento restrito poderá ser usada somente após a edição do ato de que trata o caput.
§ 2º Os compartilhamentos de dados públicos serão categorizados como amplos e aqueles protegidos por norma serão categorizados como específicos até que seja editado o ato de que trata o caput.
Art. 32. Os acordos, os convênios e demais instrumentos de compartilhamento de dados estabelecidos voluntariamente entre os órgãos e as entidades de que trata o art. 1º permanecem vigentes, pelos prazos neles estabelecidos.
Parágrafo único. Os acordos, convênios e demais instrumentos que envolverem dados pessoais serão adequados até 1º de dezembro de 2023. (Incluído pelo Decreto nº 11.266, de 2022)
Art. 33. Os primeiros membros do Comitê Central de Governança de Dados serão indicados no prazo de quinze dias, contado da data de publicação deste Decreto.
Parágrafo único. A primeira reunião ordinária do Comitê Central de Governança de Dados ocorrerá no prazo de trinta dias, contado da data de publicação deste Decreto
Art. 34. Fica revogado o Decreto nº 8.789, de 29 de junho de 2016.
Art. 35. Este Decreto entra em vigor na data de sua publicação.
Brasília, 9 de outubro de 2019; 198º da Independência e 131º da República.
JAIR MESSIAS BOLSONARO
Paulo Guedes
Este texto não substitui o publicado no DOU de 10.10.2019
*