Saiba como o MPF garante a proteção de dados pessoais — Procuradoria-Geral da República

Saiba como o MPF garante a proteção de dados pessoais

Resolução do CNMP orienta como os dados devem ser compartilhados, transferidos e eliminados

O Ministério Público Federal (MPF) lida diariamente com dados pessoais, necessários para as atividades da instituição. Para garantir o sigilo e a proteção dessas informações, o MPF conta com a Unidade de Proteção de Dados Pessoais (UPDP) e segue uma série de leis e diretrizes, com o objetivo de assegurar a privacidade dos cidadãos.

Em 2023, o Conselho Nacional do Ministério Público (CNMP) editou a Resolução CNMP 281/2023, que instituiu a Política Nacional de Proteção de Dados Pessoais do Ministério Público. A norma estabelece diretrizes importantes para todo o ciclo de vida dos dados pessoais, desde a coleta até o encerramento do tratamento. A resolução define, por exemplo, os critérios para o compartilhamento e a transferência dessas informações, com o objetivo de garantir segurança jurídica, proteção da privacidade e a integridade dos dados tratados pelas unidades do MP.

Veja, a seguir, alguns pontos essenciais:

Compartilhar e transferir: qual a diferença?

Segundo as definições previstas na Resolução 281/2023, o compartilhamento ocorre entre órgãos do Ministério Público, enquanto a transferência refere-se ao envio de dados a instituições externas. Em ambos os casos, devem ser adotadas medidas que assegurem a integridade, a origem e a finalidade adequada das informações.

No Ministério Público, o compartilhamento interno é permitido e necessário para o desempenho das atribuições institucionais, inclusive sem a formalização de convênios ou termos de cooperação. Já a transferência para entidades externas, públicas ou privadas, exige critérios legais específicos. Em situações de atuação conjunta com outras instituições públicas, a norma considera cada órgão envolvido como controlador dos dados pessoais compartilhados ou transferidos.

Essas operações devem ser formalizadas e, uma vez concluídas de forma segura, isentam o órgão de origem de responsabilidade por eventuais incidentes posteriores.

A transferência de dados para entidades privadas é, em regra, vedada – salvo exceções legais que exigem garantias técnicas adequadas e comunicação à Unidade Especial de Proteção de Dados Pessoais (UEPDAP), órgão vinculado ao Conselho Nacional do Ministério Público. Da mesma forma, a transferência internacional de dados só é permitida quando há proteção compatível no país de destino ou nas hipóteses previstas na Lei Geral de Proteção de Dados Pessoais (LGPD) e na própria resolução.

Por fim, o fornecimento de dados para finalidades distintas da coleta pode ocorrer mediante consentimento do titular, quando aplicável.

Como garantir a segurança durante o tratamento de dados?

A resolução determina que os responsáveis e operadores mantenham registros cronológicos das operações de tratamento, como coleta, alteração, visualização, divulgação, transferência e eliminação. Esses registros devem permitir demonstrar a licitude do tratamento; garantir a integridade dos dados; possibilitar auditorias e atividades correcionais; e, quando necessário, servir como prova em processos judiciais.

Sempre que possível, os registros devem indicar o motivo da operação, a data e o horário e identificar a pessoa que acessou ou divulgou os dados e os respectivos destinatários. Esses registros devem ser disponibilizados à UEPDAP quando requisitados.

Outro ponto essencial é o controle de acessos, que deve limitar-se ao mínimo necessário para o desenvolvimento das atividades, em conformidade com os princípios da proporcionalidade e da finalidade.

E quando termina o tratamento de dados?

O término do tratamento deve ocorrer quando a finalidade original for alcançada, quando os dados se tornarem desnecessários ou impertinentes ao seu propósito, ou ao fim do período de uso. O encerramento também pode ser motivado por solicitação do titular, inclusive no exercício do direito de revogação do consentimento, ou por determinação da Uepdap, em caso de violação à norma, ressalvadas as hipóteses de interesse público.

Ainda assim, em determinados casos, os dados podem ser mantidos por mais tempo, desde que haja justificativa legal ou institucional, como o cumprimento de obrigações regulatórias, a realização de pesquisas ou a produção de conhecimento interno.

Nos casos de exclusão das informações, devem ser observadas também as tabelas de temporalidade e classificação de documentos, sempre que existentes. O tratamento só é considerado finalizado quando há eliminação ou anonimização dos dados, conforme os critérios da Política.

Tem dúvidas sobre Proteção de Dados Pessoais?

Entre em contato com o encarregado ou a equipe da UPDP pelos seguintes canais:

E-mail: pgr-updp@mpf.mp.br
Telefone: (61) 3105-6250
Site: www.mpf.mp.br/mpfservicos/lgpd