
O Instituto Nacional da Propriedade Industrial (INPI) determinou que todos os contratos, convênios e acordos atualmente em vigor que envolvam tratamento de dados pessoais sejam adaptados às novas regras de proteção de dados da autarquia. A medida atinge fornecedores de tecnologia, prestadores de serviços e quaisquer empresas que processem informações em nome do instituto, que passarão a cumprir requisitos mínimos de segurança da informação, restrições sobre o uso dos dados e regras para descarte das informações ao término da relação contratual.
A determinação integra a nova Política de Proteção de Dados Pessoais do INPI, instituída pela Portaria Normativa nº 83. Embora a criação de políticas internas de privacidade já seja uma consequência natural da Lei Geral de Proteção de Dados (LGPD), o texto vai além das diretrizes gerais ao transformar essas obrigações em cláusulas contratuais obrigatórias, tanto para contratos futuros quanto para aqueles que já estão em execução.
A portaria estabelece que todos os instrumentos atualmente vigentes deverão incorporar cláusulas específicas sobre proteção de dados. Entre elas estão requisitos mínimos de segurança da informação, proibição de utilização dos dados para finalidade diversa daquela definida pelo INPI, regras para devolução ou eliminação segura das informações após o encerramento do contrato e critérios para eventual subcontratação de terceiros que também tenham acesso aos dados pessoais.
Rigor
As novas exigências são ainda mais rigorosas para as contratações de tecnologia da informação e comunicação. A partir de agora, todo Termo de Referência ou Projeto Básico deverá prever requisitos de Segurança da Informação e Privacidade compatíveis com os riscos envolvidos em cada contratação. Isso significa que a proteção de dados deixa de ser um item genérico de conformidade e passa a integrar o planejamento técnico das licitações promovidas pelo instituto.
A equipe responsável pela contratação deverá exigir das empresas medidas destinadas a evitar vazamentos de dados e fraudes digitais, implantação de processos formais de gestão de riscos, manutenção de trilhas de auditoria, mecanismos para continuidade dos serviços, procedimentos estruturados para tratamento de incidentes, desenvolvimento seguro de software, gestão de mudanças, utilização de criptografia, registros de logs e políticas formais de segurança da informação e privacidade.
Outra mudança relevante é que a portaria obriga a inclusão de sanções administrativas específicas para o descumprimento de cada requisito de segurança e privacidade previsto na contratação. Na prática, o INPI passa a vincular as obrigações de proteção de dados às penalidades contratuais, fortalecendo a responsabilização de fornecedores que deixarem de cumprir os requisitos técnicos estabelecidos pela administração pública.
A política amplia também a responsabilidade dos operadores de dados. O texto considera operadores todas as pessoas físicas ou jurídicas que tratem dados pessoais em nome do INPI, incluindo fornecedores de produtos e serviços. Esses operadores deverão seguir integralmente as diretrizes da autarquia, não poderão utilizar os dados para finalidades próprias, terão obrigação de comunicar imediatamente qualquer incidente de segurança ou vazamento e deverão eliminar as informações de forma segura quando o contrato terminar ou quando houver determinação do controlador. A norma também impede que o operador decida unilateralmente sobre os meios ou as finalidades do tratamento dos dados pessoais.
LGPD
Internamente, a política reforça a estrutura de governança em privacidade do instituto. O Comitê de Segurança da Informação passa a coordenar a implementação da LGPD, supervisionar planos de ação, estabelecer indicadores de desempenho, acompanhar a comunicação de incidentes e orientar a elaboração dos Relatórios de Impacto à Proteção de Dados Pessoais (RIPD). O encarregado pelo tratamento de dados, por sua vez, terá garantida autonomia técnica, acesso direto à alta administração e recursos humanos e administrativos para exercer suas atribuições.
A portaria também incorpora conceitos modernos de governança previstos na LGPD, como Privacy by Design e Privacy by Default. Isso significa que novos sistemas e serviços deverão ser concebidos desde a origem para coletar apenas os dados estritamente necessários e adotar a proteção da privacidade como configuração padrão, reduzindo a exposição de informações pessoais durante toda a operação dos serviços digitais do INPI.
Entre as medidas operacionais previstas estão a manutenção de inventário de todas as operações de tratamento de dados, limitação do período de retenção das informações ao tempo estritamente necessário, classificação dos dados obrigatórios e opcionais na coleta, treinamento contínuo dos servidores, elaboração de Relatórios de Impacto, comunicação transparente aos titulares e revisão permanente dos processos internos para reduzir riscos relacionados à privacidade.
A política regulamenta ainda a utilização de cookies no portal do instituto. O INPI deverá permitir que o cidadão gerencie suas preferências e forneça consentimento específico para cada categoria de cookies, excetuando apenas aqueles considerados estritamente necessários ao funcionamento dos serviços eletrônicos.
No campo da fiscalização, o instituto estabelece que a conformidade com a política será verificada periodicamente por meio de auditorias internas e também junto a fornecedores, parceiros e clientes. Além da análise documental, o monitoramento deverá avaliar o cumprimento das cláusulas de responsabilidade e sigilo previstas em contratos, convênios e acordos firmados pelo INPI.
Em caso de descumprimento das regras, a portaria prevê responsabilização administrativa, civil e penal, conforme a legislação aplicável. Agentes públicos envolvidos em infrações poderão responder com base no Estatuto dos Servidores, na Lei de Improbidade Administrativa, na LGPD e na Lei de Acesso à Informação.
A nova política revoga a Portaria INPI/PR nº 28, de 2021, e estabelece revisão obrigatória de seu conteúdo a cada dois anos, consolidando um modelo permanente de governança em privacidade e proteção de dados dentro da autarquia.






