Legislação

- Este Decreto estabelece as normas e as diretrizes para o compartilhamento de dados entre os órgãos e as entidades da administração pública federal direta, autárquica e fundacional e os demais Poderes da União, com a finalidade de:

I - simplificar a oferta de serviços públicos;

II - orientar e otimizar a formulação, a implementação, a avaliação e o monitoramento de políticas públicas;

III - possibilitar a análise das condições de acesso e manutenção de benefícios sociais e fiscais;

IV - promover a melhoria da qualidade e da fidedignidade dos dados custodiados pela administração pública federal; e

V - aumentar a qualidade e a eficiência das operações internas da administração pública federal.

§ 1º - O disposto neste Decreto não se aplica ao compartilhamento de dados com os conselhos de fiscalização de profissões regulamentadas e com o setor privado.

§ 2º - Ficam excluídos do disposto no caput os dados protegidos por sigilo fiscal sob gestão da Secretaria Especial da Receita Federal do Brasil do Ministério da Fazenda.

Redação anterior (original): [§ 2º - Ficam excluídos do disposto no caput os dados protegidos por sigilo fiscal sob gestão da Secretaria Especial da Receita Federal do Brasil do Ministério da Economia.]

- Para fins deste Decreto, considera-se:

I - atributos biográficos - dados de pessoa natural relativos aos fatos da sua vida, tais como nome civil ou social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar, endereço e vínculos empregatícios;

II - atributos biométricos - características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar;

III - dados cadastrais - informações identificadoras perante os cadastros de órgãos públicos, tais como:

a) os atributos biográficos;

b) o número de inscrição no Cadastro de Pessoas Físicas - CPF;

c) o número de inscrição no Cadastro Nacional de Pessoas Jurídicas - CNPJ;

d) o Número de Identificação Social - NIS;

e) o número de inscrição no Programa de Integração Social - PIS;

f) o número de inscrição no Programa de Formação do Patrimônio do Servidor Público - Pasep;

g) o número do Título de Eleitor;

h) a razão social, o nome fantasia e a data de constituição da pessoa jurídica, o tipo societário, a composição societária atual e histórica e a Classificação Nacional de Atividades Econômicas - CNAE; e

i) outros dados públicos relativos à pessoa jurídica ou à empresa individual;

IV - atributos genéticos - características hereditárias da pessoa natural, obtidas pela análise de ácidos nucleicos ou por outras análises científicas;

V - autenticidade - propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa natural, ou por um determinado sistema, órgão ou entidade;

VI - base integradora - base de dados que integra os atributos biográficos ou biométricos das bases temáticas;

VII - base temática - base de dados de determinada política pública que contenha dados biográficos ou biométricos que possam compor a base integradora;

VIII - compartilhamento de dados - disponibilização de dados pelo seu gestor para determinado recebedor de dados;

IX - confidencialidade - propriedade que impede que a informação fique disponível ou possa ser revelada à pessoa natural, sistema, órgão ou entidade não autorizado e não credenciado;

X - custo de compartilhamento de dados - valor dispendido para viabilizar a criação e a sustentação dos recursos tecnológicos utilizados no compartilhamento de dados;

XI - custodiante de dados - órgão ou entidade que, total ou parcialmente, zela pelo armazenamento, pela operação, pela administração e pela preservação de dados, coletados pela administração pública federal, que não lhe pertencem, mas que estão sob sua custódia;

XII - disponibilidade - propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa natural ou determinado sistema, órgão ou entidade;

XIII - gestor de dados - órgão ou entidade responsável pela governança de determinado conjunto de dados;

XIV - gestor de plataforma de interoperabilidade - órgão ou entidade responsável pela governança de determinada plataforma de interoperabilidade;

XV - governança de dados - exercício de autoridade e controle que permite o gerenciamento de dados sob as perspectivas do compartilhamento, da arquitetura, da segurança, da qualidade, da operação e de outros aspectos tecnológicos;

XVI - informação - dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

XVII - integridade - propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

XVIII - interoperabilidade - capacidade de diversos sistemas e organizações trabalharem em conjunto, de modo a garantir que pessoas, organizações e sistemas computacionais troquem dados;

XIX - item de informação - atributo referente a determinada informação que pode ser acessado em conjunto ou de forma isolada;

XX - mecanismo de compartilhamento de dados - recurso tecnológico que permite a integração e a comunicação entre aplicações e serviços do recebedor de dados e dos órgãos gestores de dados, tais como serviços web, cópia de dados, lago de dados compartilhado e plataformas de interoperabilidade;

XXI - plataforma de interoperabilidade - conjunto de ambientes e ferramentas tecnológicas, com acesso controlado, para o compartilhamento de dados da administração pública federal entre órgãos e entidades especificados no art. 1º; [[Decreto 10.046/2019, art. 1º]]

XXII - recebedor de dados - órgão ou entidade que utiliza dados após ser concedida permissão de acesso pelo gestor dos dados;

XXIII - requisitos de segurança da informação e comunicação - ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

Redação anterior: [XXIII - requisitos de segurança da informação e comunicações - ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações; e]

XXIV - solicitante de dados - órgão ou entidade que solicita ao gestor de dados a permissão de acesso aos dados; e

Redação anterior: [XXIV - solicitante de dados - órgão ou entidade que solicita ao gestor de dados a permissão de acesso aos dados.]

XXV - cadastro base - informação de referência, íntegra e precisa, centralizada ou descentralizada, oriunda de uma ou mais fontes, sobre elementos fundamentais para a prestação de serviços e para a gestão de políticas públicas, tais como pessoas, empresas, veículos, licenças e locais.

- O compartilhamento de dados pelos órgãos e entidades de que trata o art. 1º observará as seguintes diretrizes: [[Decreto 10.046/2019, art. 1º]]

I - a informação do Estado será compartilhada da forma mais ampla possível, observadas as restrições legais, os requisitos de segurança da informação e comunicações e o disposto na Lei 13.709, de 14/08/2018 - Lei Geral de Proteção de Dados Pessoais;

II - o compartilhamento de dados sujeitos a sigilo implica a assunção, pelo recebedor de dados, dos deveres de sigilo e auditabilidade impostos ao custodiante dos dados;

III - os mecanismos de compartilhamento, interoperabilidade e auditabilidade devem ser desenvolvidos de forma a atender às necessidades de negócio dos órgãos e entidades de que trata o art. 1º, para facilitar a execução de políticas públicas orientadas por dados;

IV - os órgãos e entidades de que trata o art. 1º colaborarão para a redução dos custos de acesso a dados no âmbito da administração pública, inclusive, mediante o reaproveitamento de recursos de infraestrutura por múltiplos órgãos e entidades; [[Decreto 10.046/2019, art. 1º]]

V - nas hipóteses em que se configure tratamento de dados pessoais, serão observados o direito à preservação da intimidade e da privacidade da pessoa natural, a proteção dos dados e as normas e os procedimentos previstos na legislação;

Redação anterior (original): [V - nas hipóteses em que se configure tratamento de dados pessoais, serão observados o direito à preservação da intimidade e da privacidade da pessoa natural, a proteção dos dados e as normas e os procedimentos previstos na legislação; e]

VI - a coleta, o tratamento e o compartilhamento de dados por cada órgão serão realizados nos termos do disposto no art. 23 da Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais; [[Lei 13.709/2018, art. 23.]]

Redação anterior (original): [VI - a coleta, o tratamento e o compartilhamento de dados por cada órgão serão realizados nos termos do disposto no art. 23 da Lei 13.709/2018. [[Lei 13.709/2018, art. 23.]]]

VII - a eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados pessoais, nos termos do disposto no inciso I do caput do art. 6º da Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais; [[Lei 13.709/2018, art. 6º.]]

VIII - a compatibilidade do tratamento de dados pessoais com as finalidades informadas, nos termos do disposto no inciso II do caput do art. 6º da Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais; e [[Lei 13.709/2018, art. 6º.]]

IX - a limitação do compartilhamento de dados pessoais ao mínimo necessário para o atendimento da finalidade informada, nos termos do disposto no inciso III do caput do art. 6º da Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais, e o cumprimento integral dos requisitos, das garantias e dos procedimentos estabelecidos na referida Lei, no que for compatível com o setor público. [[Lei 13.709/2018, art. 6º.]]

- Fica dispensada a celebração de convênio, acordo de cooperação técnica ou instrumentos congêneres para a efetivação do compartilhamento de dados entre os órgãos e as entidades de que trata o art. 1º, observadas as diretrizes do art. 3º e o disposto na Lei 13.709/2018. [[Decreto 10.046/2019, art. 1º. Lei 13.709/2018, art. 3º.]]

§ 1º - Os órgãos e entidades de que trata o art. 1º, para os compartilhamentos de dados pessoais, darão publicidade às hipóteses em que compartilhem ou tenham acesso a banco de dados pessoais, nos termos do disposto no inciso I do caput do art. 23 da Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais. [[Lei 13.709/2018, art. 23.]]

§ 2º - As informações sobre compartilhamento de dados pessoais estarão disponíveis em veículos de fácil acesso nos sítios eletrônicos, deverão ser claras e atualizadas, e conterão a previsão legal do compartilhamento, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.

§ 3º - O compartilhamento de dados nos níveis de categorização restritos e específicos serão autorizados pelo gestor de dados e seu processo será formalizado por documentos de interoperabilidade cuja solicitação seguirá os critérios estabelecidos pelo Comitê Central de Governança de Dados, em observância:

I - aos dispositivos:

a) da Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais;

b) da Lei 14.129, de 29/03/2021; e

c) da Lei 12.527, de 18/11/2011;

II - às orientações da Autoridade Nacional de Proteção de Dados; e

III - às normas correlatas.

§ 4º - Nas solicitações de interoperabilidade que envolvam dados pessoais, serão explicitados, além do disposto no § 3º:

I - o propósito legítimo, específico e explícito;

II -a compatibilidade com a finalidade; e

III - o compartilhamento do mínimo necessário para atendimento da finalidade.

- Na hipótese de o mecanismo de compartilhamento de dados fornecido pelo custodiante de dados ser inadequado ao solicitante de dados, independentemente da categorização do nível de compartilhamento, o recebedor de dados arcará com os eventuais custos de operacionalização, quando houver, exceto disposição contrária prevista em lei, regulamento ou acordo entre as entidades ou os órgãos envolvidos, sem prejuízo do disposto no art. 4º. [[Decreto 10.046/2019, art. 4º]]

Parágrafo único - O disposto no caput se limitará aos custos de operacionalização do compartilhamento dos dados e não acarretará ganhos ou benefícios de ordem financeira ou econômica para o órgão gestor de dados.

- As plataformas de interoperabilidade contemplarão os requisitos de sigilo, confidencialidade, gestão, auditabilidade e segurança da informação necessários ao compartilhamento de dados, conforme regras estabelecidas pelo Comitê Central de Governança de Dados.

Parágrafo único - As ferramentas de gestão da plataforma de interoperabilidade incluirão meios para que o gestor de dados tenha conhecimento sobre o controle de acesso e o consumo dos dados.

- Os custodiantes de dados disponibilizarão aos órgãos e às entidades de que trata o art. 1º os dados de compartilhamento amplo e restrito hospedados em suas infraestruturas tecnológicas, por meio das plataformas de interoperabilidade, condicionado à existência de solicitação de interoperabilidade e à ciência ao gestor dos dados.

Parágrafo único - O compartilhamento de dados de que trata o caput só ocorrerá após a categorização do dado pelo seu gestor.

- Atendidos os critérios necessários ao compartilhamento, o acesso aos dados ocorrerá no prazo de trinta dias, contado da data da solicitação.

- Os gestores de dados divulgarão os mecanismos de compartilhamento de seus dados e os registros de referência sob sua responsabilidade.

Redação anterior (caput do Decreto 10.332, de 28/04/2020, art. 12): [Art. 10 - Os gestores de dados divulgarão os mecanismos de compartilhamento de seus dados e os cadastros base sob sua responsabilidade.]

Redação anterior (original): [Art. 10 - Os gestores de dados divulgarão os compartilhamentos de seus dados.]

Parágrafo único - O Comitê Central de Governança de Dados definirá os procedimentos para o atendimento ao disposto no caput.

- Os órgãos e as entidades poderão criar novas bases de dados somente quando forem esgotadas as possibilidades de utilização dos cadastros base existentes.