O REITOR DA UNIVERSIDADE FEDERAL DO AMAPÁ, no uso de suas atribuições legais, e nos termos do art. 14, inciso VII, do Estatuto da UNIFAP, e do art. 17, inciso XVIII, do Regimento Geral da UNIFAP;

Considerando a Constituição da República Federativa do Brasil de 1988, especialmente o direito à proteção dos dados pessoais, tanto no ambiente físico quanto nos meios digitais (art. 5º, inciso LXXIX);

Considerando a Lei nº 12.965, de 23 de abril de 2014, art. 3º disciplina o uso da internet no Brasil, garantindo a proteção da privacidade para assegurar o sigilo das comunicações do usuário. Adicionalmente, estabelece a proteção dos dados pessoais, princípio que fundamenta a criação da Lei Geral de Proteção de Dados (LGPD).

Considerando  a Lei nº 13.709, de 14 de agosto de 2018. – Lei Geral de Proteção de Dados Pessoais (LGPD), que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

Considerando a Lei nº 12.527, de 18 de novembro de 2011 – Lei de Acesso à Informação (LAI), que regula o acesso a informações previsto na Constituição Federal e estabelece procedimentos para a garantia do direito fundamental de acesso à informação;

Considerando o Acórdão nº 1372/2025 – Plenário do Tribunal de Contas da União (TCU), referente ao processo TC 009.980/2024-5, no qual auditoria revelou que quase um terço das organizações federais ainda não implementaram medidas básicas para cumprir a LGPD, tendo sido avaliados 387 órgãos e entidades, com a constatação de descumprimentos e a formulação de recomendações para o aprimoramento da conformidade à legislação de proteção de dados;

Considerando a necessidade de que a Universidade Federal do Amapá (UNIFAP) adote políticas, práticas e mecanismos de governança que assegurem a conformidade com a legislação de proteção de dados pessoais, promovendo a cultura de privacidade, a proteção da informação e o fortalecimento da confiança institucional perante a sociedade;

Considerando a necessidade de observar os dispositivos normativos e as regulamentações publicadas pela Agência Nacional de Proteção de Dados (ANPD), como a Resolução CD/ANPD Nº 18, de 16 de julho de 2024, e suas posteriores alterações;

Considerando que a adequada implementação da LGPD é condição essencial para a proteção de dados pessoais tratados pela UNIFAP, em consonância com a sua missão institucional de ensino, pesquisa, extensão e gestão universitária;

RESOLVE: 

Art.1º Aprovar a Política de Privacidade e Proteção de Dados Pessoais da Universidade Federal Do Amapá (UNIFAP)

Art. 2º – Esta Portaria entra em vigor na data de sua publicação.

DÊ-SE CIÊNCIA, PUBLIQUE-SE E CUMPRA-SE

Reitoria da Fundação Universidade Federal do Amapá

ANEXO I

Art. 1º. Fica instituída a Política de Proteção de Dados Pessoais da UNIFAP, com a finalidade de estabelecer princípios e diretrizes para a implementação de ações que garantam a proteção de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas.

Art. 2º. Esta Política de Proteção de Dados Pessoais aplica-se a todas as unidades organizacionais da UNIFAP, e deverá ser observada por todos os servidores públicos, estudantes, contratados, estagiários, terceirizados, pesquisadores e demais indivíduos que, direta ou indiretamente, realizam o tratamento de dados pessoais pela UNIFAP ou em nome dela, por meio da assinatura de Termo de Responsabilidade, para acessar os ativos de informação sob responsabilidade da UNIFAP.

Art. 3°. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

CAPÍTULO I – DAS DISPOSIÇÕES GERAIS

Art. 4º Para os fins desta Política, consideram-se as definições estabelecidas na LGPD e detalhadas nos anexos desta Política, incluindo, mas não se limitando a:

1. dado pessoal: informação relacionada a pessoa natural identificada ou identificável, exemplo: nome, sobrenome, data de nascimento, carteira nacional de habilitação, Carteira de trabalho, passaporte, título de eleitor, cadastro de pessoa física – CPF, cédula de identidade, endereço residencial ou comercial, email, idade, estado civil e situação patrimonial, número de celular, entre outros;
2. dado pessoal sensível: dados que devem receber tratamento diferenciado que tratam sobre origem racial ou étnica, convicções religiosas, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
3. tratamento de dados: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, armazenamento, eliminação, entre outros.
4. controlador: a Universidade Federal do Amapá atua como Controladora dos Dados Pessoais, sendo representada pela autoridade com poder decisório sobre o tratamento desses dados.
5. operador:  é a pessoa ou entidade, pública ou privada, que realiza o tratamento de dados pessoais em nome do controlador. 
6. Encarregado: pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD).
7. anonimização: processo pelo qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
8. banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico, da Reitoria e dos Campi.
9. titular: pessoa natural a quem se referem os dados pessoais que são objeto de
10. tratamento;
11. relatório de impacto a proteção de dados pessoais – RIPD: a documentação do
12. controlador que contém a descrição dos processos de tratamento de dados pessoais
13. que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como
14. medidas, salvaguardas e mecanismos de mitigação de risco;
15. Autoridade Nacional de Proteção de Dados: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados, na qual está política é baseada;

Art. 5º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios, conforme a LGPD:

1. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informado ao titular, sem possibilidade de tratamento posterior de forma compatível com essas finalidades;
2. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
3. Necessidade: limitação do tratamento ao mínimo necessário para realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
4. Livre acesso: garantia, dos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
5. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
6. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
7. Segurança: utilização de medidas técnicas e administrativas aptas a proteger dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
8. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude de tratamentos de dados pessoais;
9. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
10. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 6° São objetivos da Política de Proteção de Dados Pessoais:

1. estabelecer medidas eficazes para o cumprimento das normas de proteção de dados pessoais e demonstrar a eficácia das mesmas;
2. estabelecer revisões de processos com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados pessoais;
3. promover a administração dos dados pessoais coletados e tratados, em qualquer meio, físico ou digital, custodiados ou sob orientação direta ou indireta da UNIFAP, de acordo com as diretrizes especificadas;
4. estabelecer a necessidade de criar e manter um registro de todas as operações de tratamento de dados pessoais realizados;
5. promover a adequada gestão do tratamento dos dados pessoais;
6. promover a criação de programas de treinamento e conscientização para que os colaboradores entendam suas responsabilidades e procedimentos na proteção de dados pessoais;
7. promover a formulação regras de segurança, de boas práticas e de governança com objetivo de definir procedimentos e outras ações referentes a privacidade e proteção de dados pessoais;

Art. 7º A UNIFAP registrará e gravará as preferências e navegações realizadas nas respectivas páginas para fins estatísticos e de melhoria dos serviços ofertados, através de arquivos (cookies), respeitando o consentimento do titular. 

Art. 8º São responsabilidades da UNIFAP: 

1. atender ao disposto nos normativos e publicações da Agência Nacional de Proteção de Dados Pessoais (ANPD) que disciplinam o tratamento e a governança dos dados pessoais;
2. elaborar, quando couber, o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) relacionados às operações de tratamento, e atualizá-lo quando necessário;
3. realizar o desenvolvimento e a atualização das políticas/avisos de privacidade, que tem por finalidade o fornecimento de informações sobre o tratamento de dados pessoais em cada ambiente físico ou virtual, bem como, especificar as medidas de proteção de dados adotadas para salvaguardar esses dados pessoais.

CAPÍTULO II – TRATAMENTO DE DADOS PESSOAIS

Art. 9°. A UNIFAP trata dados pessoais necessários ao cumprimento de suas atividades de ensino, pesquisa, extensão, inovação, assistência estudantil e de gestão administrativa, bem como para o cumprimento de sua missão e demais obrigações decorrentes da legislação federal, regulamentos e determinações de autoridades e órgãos reguladores e de controle, podendo ser classificados como:

1. dados cadastrais: nome, nome social, sexo, RG, CPF, data de nascimento, título de eleitor, carteira de reservista, carteira de motorista, passaporte, PIS, matrícula, dispositivos de identificação sem fio e sem contato e demais dados cadastrais; 
2. dados de contato: número de telefone, número de celular, endereço de e-mail e endereço residencial completo, contato de emergência e demais dados de contato; 
3. dados financeiros: banco, agência e conta corrente, bolsas, auxílios, remuneração, proventos, retribuição pecuniária e demais dados financeiros; 
4. dados relacionados à vida escolar: escolaridade, nota Enem, Histórico Escolar do ensino infantil, fundamental, médio, técnico, superior, diploma de graduação ou certificado de conclusão de curso, certificado de conclusão de especialização e/ou residência, diploma de mestrado, diploma de doutorado, certificado de pós-doutorado, certificado de cursos de curta duração e demais dados escolares; 
5. dados de saúde: situação vacinal, atestados médicos, dados relacionados às ações de atendimento em saúde, como exames, consultas, anamneses, ações de cuidado com a saúde e demais dados de saúde; 
6. dados socioeconômicos: renda pessoal, renda familiar, benefício em programas sociais, cadastro em Programas do Governo Federal, tipo de residência, meio de transporte e demais dados socioeconômicos; 
7. dados étnicos, religiosos e culturais: raça, etnia, religião, cor, proficiência em línguas e demais dados étnicos, religiosos e culturais
8. dados biométricos: características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e imagens e demais dados étnicos, religiosos e culturais; e 
9. outros dados pessoais e dados pessoais sensíveis.

Art. 10. As unidades organizacionais da UNIFAP devem adotar mecanismos para que os titulares de dados pessoais usufruam dos direitos assegurados pela LGPD e normativos correlatos.

Art. 11. O tratamento de dados pessoais sensíveis deve ocorrer somente nos termos da seção II do capítulo II da LGPD e são estabelecidos procedimentos de segurança no tratamento destes dados conforme orientações da LGPD e demais normativos. 

Art. 12. O tratamento de dados pessoais de crianças e de adolescentes deve ser realizado nos termos da seção III do capítulo II da LGPD, bem como, pode ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da mesma lei, desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei. 

 Art. 13 O tratamento de dados pessoais deverá ser realizado para o atendimento de sua finalidade pública, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que sejam informadas as hipóteses em que, no exercício de suas competências e/ou atribuições, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades. 

• 1º Os dados pessoais deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral. 
• 2º Caso ocorram mudanças na finalidade para o tratamento de dados pessoais, não compatíveis com as hipóteses legais para tratamento desses dados pela Universidade, deverá ser solicitado o consentimento do titular dos dados. 
• 3º Deverá ser garantida, sempre que possível, a anonimização de dados pessoais e dados pessoais sensíveis na realização de estudos ou pesquisas científicas.

Art. 14 A UNIFAP poderá compartilhar dados pessoais com órgãos públicos e entidades externas, tais como: Ministérios, Agências, Fundações, Autarquias, Órgãos de Controle e a Rede Nacional de Ensino e Pesquisa, bem como para atender determinação judicial.

Parágrafo Único: O compartilhamento com entidades privadas é vedado, exceto em casos de execução descentralizada de atividade pública, previsão legal, ou instrumentos congêneres com observância da LGPD.

Art. 15. O uso compartilhado de dados pessoais deve ocorrer em estrita observância ao art. 26 da LGPD. 

Parágrafo Único. As operações remanescentes de uso compartilhado de dados devem seguir o disposto no Art. 27 da LGPD.

Art. 16. A transferência internacional de dados pessoais deve observar o disposto no Capítulo V da LGPD.

CAPÍTULO III – CONSCIENTIZAÇÃO, CAPACITAÇÃO E SENSIBILIZAÇÃO

Art. 17. Os servidores da UNIFAP, com acesso a dados pessoais, devem participar de programas de conscientização, capacitação e sensibilização em matérias de privacidade e proteção de dados pessoais, objetivando adequar o tema aos seus papeis e responsabilidades. 

CAPÍTULO IV – SEGURANÇA E BOAS PRÁTICAS

Art. 18.  Considerando a necessidade de mitigar incidentes com dados pessoais, devem ser adotadas as seguintes medidas técnicas e organizacionais de privacidade e proteção de dados:  

1. O acesso aos dados pessoais deve estar limitado às pessoas que realizam o tratamento. 
2. As funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais devem ser claramente estabelecidas e comunicadas;  
3. Devem ser estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores de dados pessoais;  
4. Todos os dados pessoais devem estar armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los. 
5. Nos sistemas informatizados os documentos que contenham Dados Pessoais ou sensíveis devem estar em modo restrito.
6. Na utilização de formulários usar somente ferramentas institucionais.
7. Vedado o uso de ferramentas particulares para tratamento de dados pessoais ou sensíveis.

Art. 19. Qualquer ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos dados pessoais dos titulares deve ser comunicada à Agência Nacional de Proteção de Dados (ANPD) dentro do prazo previsto pela LGPD.  

Art. 20. As unidades organizacionais da UNIFAP devem manter uma base de conhecimento com documentos que apresentam condutas e recomendações que melhoram o gerenciamento de risco e orientam na tomada de decisões adequadas em casos de comprometimento de dados pessoais.

CAPÍTULO V – AUDITORIA E CONFORMIDADE

Art. 21. O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de privacidade e proteção de dados pessoais e da garantia das cláusulas de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.   

Art. 22. As atividades, produtos e serviços desenvolvidos no(a) UNIFAP devem observar os requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes para estarem em conformidade.   

Art. 23. Os resultados de cada ação de verificação de conformidade devem ser documentados em relatório de avaliação de conformidade. 

CAPÍTULO VI – FUNÇÕES E RESPONSABILIDADES

Art. 24. Qualquer pessoa natural ou jurídica de direito público ou privado que tenha interação em qualquer fase do tratamento de dados pessoais deve assegurar a privacidade e a proteção de dados pessoais que trata, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pela UNIFAP. 

Art. 25. Compete ao Comitê de Proteção de Dados Pessoais (CPDP):

1. promover a proteção de dados pessoais e a adequação da UNIFAP à LGPD;
2. constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre proteção de dados pessoais;  
3. participar da elaboração da Política de Proteção de Dados Pessoais e das demais normas internas de privacidade e proteção de dados pessoais, além de propor atualizações e alterações nesses dispositivos;  
4. a responsabilidade por gerenciar a implementação da LGPD dentro da organização e a administração da Política de Proteção de Dados Pessoais
5. incentivar a conscientização, capacitação e sensibilização das pessoas que desempenham qualquer atividade de tratamento de dados pessoais dentro da UNIFAP.

Art. 26. O Comitê de Proteção de Dados Pessoais (CPDP)  é constituído no mínimo por:   

1. gestor de Segurança da Informação;
2. o encarregado pelo tratamento de dados pessoais;
3. um representante da PROAD;
4. um representante do NTI;
5. um representante da PROJU;
6. um representante da OUVIDORIA;
7. um representante da unidade de controle interno;
8. um representante da PROGEP;
9. um representante da PROPLAN.

Art. 27. A presidência do Comitê de Proteção de Dados Pessoais (CPDP) será exercida pelo encarregado da UNIFAP.  

• 1° Os membros desse comitê terão mandato de 1 (um) ano, podendo ser reconduzidos por igual período. 
• 2° Este comitê terá reunião em caráter ordinário, a cada 3 (três) meses e, extraordinariamente, sempre que houver necessidade e convocado por seu presidente.

Art. 28. A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais é da UNIFAP que no exercício das atribuições típicas de controlador determina as medidas necessárias para executar a Política de Proteção de Dados Pessoais dentro de sua estrutura organizacional. 

Art. 29. Compete ao controlador: 

1. observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela LGPD e por normativos correlatos no momento de decidir sobre um futuro tratamento ou realizá-lo;  
2. considerar o preconizado pelos art. 7º, art. 11 e art. 23 antes de realizar o tratamento de dados pessoais;
3. cumprir o previsto pelos art. 46 e art. 50 da LGPD buscando à proteção de dados pessoais e sua governança;  
4. indicar um encarregado pelo tratamento de dados pessoais, divulgando a identidade e as informações de contato do encarregado de forma clara e objetiva, preferencialmente no sítio institucional, sendo o e-mail encarregado.lgpd@unifap.br o canal oficial de comunicação.
5. elaborar o inventário de dados pessoais a fim de manter registros das operações de tratamento de dados pessoais;  
6. reter dados pessoais somente pelo período necessário para o cumprimento da hipótese legal e finalidade utilizadas como justificativa para o tratamento de dados pessoais;
7. criar e manter atualizados os avisos ou políticas de privacidade, que informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico ou virtual, e como os dados pessoais neles tratados são protegidos; e
8. requerer do titular a ciência com o termo de uso para cada serviço ofertado, informatizado ou não, que trate dados pessoais.

• 1º É vedado qualquer tratamento de dados pessoais para fins não relacionados com as atividades desenvolvidas pela organização ou por pessoa não autorizada formalmente pela UNIFAP. 
• 2º No âmbito desta Instituição de Ensino Superior, o controlador de dados pessoais é a própria Universidade Federal do Amapá – UNIFAP, CNPJ 34.868.257/0001-81, com sede na Rodovia Juscelino Kubitschek, Km 02, S/N, bairro Jardim Marco Zero, em Macapá, Amapá, com o CEP 68903-419.
• 3º As informações de contato do Controlador podem ser obtidas através do e-mail gabinete.reitoria@unifap.br.

Art. 30. Na UNIFAP, o operador é qualquer unidade organizacional representada por sua chefia ou por um servidor formalmente designado, responsável pelos processos das áreas finalísticas e de suporte da instituição, que tenha acesso aos dados pessoais dos titulares. 

• 1º Quando terceiros realizam o tratamento em nome da UNIFAP, suas informações de contato serão divulgadas em política de privacidade específica. Além disso, a identidade do responsável pelo tratamento deve ser divulgada de forma clara e pública, preferencialmente no site do controlador ou da unidade responsável.

Art. 31. O operador do processo de tratamento de dados pessoais, informado no art. 30, no exercício de suas competências legais ou na execução de políticas públicas, deve:

1. Elaborar e manter atualizado o inventário de Dados Pessoais, nos termos da LGPD;
2. Elaborar e manter atualizado o Relatório de Impacto à proteção de dados pessoais, nos termos da LGPD;
3. Elaborar e manter atualizado o mapeamento do processo de tratamento de dados pessoais;
4. Elaborar e manter atualizado o Relatório de Gestão do risco de vazamento de dados;
5. Realizar o controle dos usuários que interagem com o processo de tratamento de dados pessoais;
6. Dar publicidade sobre a finalidade e a forma como o dado será tratado em cada processo de tratamento de dados.

Art. 32. É dever de todos os agentes de tratamento no âmbito da Universidade Federal do Amapá (UNIFAP):

1. respeitar integralmente os princípios e diretrizes previstos nesta Política;
2. zelar pela privacidade e pela proteção dos dados pessoais sob sua responsabilidade;
3. abster-se de acessar, utilizar ou compartilhar dados pessoais sem a devida autorização ou finalidade legítima;
4. comunicar imediatamente ao Encarregado quaisquer incidentes de segurança ou indícios de violação à proteção de dados.

Art. 33. Compete ao encarregado de proteção de dados:   

1. receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;  
2. receber comunicações e requisições da ANPD e adotar providências;
3. orientar os colaboradores da organização a respeito das práticas a serem adotadas em relação à proteção de dados pessoais; e

executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.

• 1º  O Encarregado poderá atuar de forma colaborativa na elaboração e na análise dos Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), com o suporte da área de Segurança da Informação, bem como auxiliar na verificação da conformidade dos processos de tratamento de dados pessoais com as seguintes políticas institucionais:

1. Política de segurança da informação;
2. Política de controle de acesso;
3. Política de criação e uso de senhas;
4. Política de cópias de segurança e restauração de dados;
5. Política de e-mail.

Art. 34 O encarregado de proteção de dados prestará assistência e orientação ao agente de tratamento na elaboração, definição, e implementação de:

1. registro e comunicação de incidente de segurança;
2. registro das operações de tratamento de dados pessoais;
3. relatório de impacto à proteção de dados pessoais;
4. mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
5. medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
6. processos e políticas internas que assegurem o cumprimento da LGPD, e dos regulamentos e orientações da ANPD;
7. instrumentos contratuais que disciplinam questões relacionadas ao tratamento de dados pessoais;
8. transferências internacionais de dados;
9. regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da LGPD.
10. produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e
11. outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.

Art. 35 Compete ao agente de tratamento:

1. prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos;
2. solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais;
3. garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
4. assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos; e
5. garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização.

CAPÍTULO VII – CONTRATOS, CONVÊNIOS, ACORDOS E INSTRUMENTOS CONGÊNERES

Art. 36. Os contratos, convênios, acordos e instrumentos similares atualmente em vigor, que de alguma forma envolvam o tratamento de dados pessoais, precisam incorporar cláusulas específicas em total conformidade com a presente Política de Proteção de Dados Pessoais e que contemple minimamente:

1. requisitos mínimos de segurança da informação. 
2. determinação de que o operador não processe os dados pessoais para finalidades que divergem da finalidade principal informada pelo controlador. 
3. requisitos de proteção de dados pessoais que os operadores de dados pessoais devem atender. 
4. condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do controlador 
5. diretrizes específicas sobre o uso de subcontratados pelo operador para execução contratual que envolva tratamento de dados pessoais.

Art. 37. As unidades organizacionais da UNIFAP devem adotar medidas rigorosas com o propósito de assegurar que os terceiros e processadores de dados pessoais contratados estejam plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração do acordo entre as partes envolvidas. 

CAPÍTULO VIII – PENALIDADES

Art. 38. Ações que violem a Política de Proteção de Dados Pessoais poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa. 

Art. 39. Casos de descumprimento desta Política serão registrados e comunicados à corregedoria para ciência e tomada das providências cabíveis. 

CAPÍTULO IX – DISPOSIÇÕES FINAIS

Art. 40. Os integrantes do Comitê de Proteção de Dados Pessoais (CPDP) poderão expedir instruções complementares, no âmbito de suas competências, que detalharam suas particularidades e procedimentos relativos à Proteção de Dados Pessoais alinhados às diretrizes emanadas pelo CPDP e aos respectivos Planos Estratégicos Institucionais da UNIFAP.

Art. 41. As dúvidas sobre a Política de Proteção de Dados Pessoais e seus documentos serão submetidas ao Comitê de Proteção de Dados Pessoais. 

Art. 42. Esta política será revisada no a qualquer momento, a partir do início de sua vigência.  

Art. 43. Os casos omissos serão resolvidos pela CPDP.  

Art. 44. Esta política entra em vigor na data de sua publicação.