O maior programa nacional estruturado de IA aplicado à indústria brasileira

Hub de Inovação em IA
letra-01
letra-02
letra-03
letra-04

Política de Privacidade e Proteção de Dados: Desafio Brasileiro de IA para o setor produtivo

Voltar ao inicio

Última Atualização: 18 de março de 2026.

A Política de Proteção de Dados Pessoais tem por objetivo estabelecer diretrizes, princípios e conceitos a serem seguidos por todas as pessoas e entidades que se relacionam com o projeto “Desafio Brasileiro de Inteligência Artificial para o Setor Produtivo”, no âmbito da ABDI e da Agência Inova, que realizem operações de tratamento de dados pessoais, visando o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) e demais normas vigentes.

A presente Política busca, ainda, assegurar a adequada governança do tratamento de dados pessoais, promover a proteção dos direitos dos titulares e garantir a segurança das informações tratadas no contexto do projeto.

TERMOS E DEFINIÇÕES

Para os fins desta Política, aplicam-se as seguintes definições:

AGENTES DE TRATAMENTO: a ABDI – Agência Brasileira de Desenvolvimento Industrial e a Agência Inova – Agência de Desenvolvimento e Inovação Brasileira, na qualidade de controladores conjuntos no âmbito do projeto “Desafio Brasileiro de Inteligência Artificial para o Setor Produtivo”, bem como os operadores que realizem tratamento de dados pessoais em seu nome;

CONTROLADOR: pessoa jurídica, de direito privado, a quem competem as decisões referentes ao tratamento de dados pessoais, sendo, no âmbito desta Política, a ABDI e a Agência Inova;

OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome dos controladores, incluindo consultores, parceiros, fornecedores e demais agentes envolvidos na execução do projeto;

ENCARREGADO: pessoa indicada pelos controladores para atuar como canal de comunicação entre os controladores, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD);

DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável;

DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

TITULAR: pessoa natural a quem se referem os dados pessoais tratados no âmbito do projeto, incluindo representantes de startups, pesquisadores, especialistas e demais participantes;

TRANSFERÊNCIA INTERNACIONAL DE DADOS: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

USO COMPARTILHADO DE DADOS: comunicação, difusão, transferência, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais entre a ABDI, a Agência Inova, parceiros institucionais, entidades públicas ou privadas e demais agentes envolvidos no projeto, para uma ou mais modalidades de tratamento permitidas, observadas as disposições legais aplicáveis.

Art. 1º. Fica instituída a Política de Proteção de Dados Pessoais do projeto “Desafio Brasileiro de Inteligência Artificial para o Setor Produtivo”, executado pela Agência Brasileira de Desenvolvimento Industrial – ABDI e pela Agência de Desenvolvimento e Inovação Brasileira – Agência Inova, com a finalidade de estabelecer princípios e diretrizes para a implementação de ações que garantam a proteção de dados pessoais, e, no que couber, no relacionamento com outras entidades públicas ou privadas participantes do projeto.

Art. 2º. Esta Política de Proteção de Dados Pessoais aplica-se a todas as unidades, equipes, programas e frentes de atuação vinculadas ao projeto, e deverá ser observada por todos os usuários de informação, incluindo colaboradores, empregados, prestadores de serviços, consultores, parceiros institucionais, startups, pesquisadores e demais pessoas naturais ou jurídicas habilitadas, que tenham acesso aos ativos de informação sob responsabilidade da ABDI e da Agência Inova no âmbito do projeto.

Art. 3º. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

CAPÍTULO I – DAS DISPOSIÇÕES GERAIS

Art. 4º São objetivos da Política de Proteção de Dados Pessoais:

  1. estabelecer medidas eficazes para o cumprimento das normas de proteção de dados pessoais e demonstrar a eficácia das mesmas no âmbito do projeto;
  2. estabelecer revisões periódicas de processos com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados pessoais;

III. promover a adequada administração dos dados pessoais coletados e tratados, em qualquer meio, físico ou digital, custodiados ou sob orientação direta ou indireta da ABDI e da Agência Inova no âmbito do projeto;

  1. estabelecer a necessidade de criar e manter registro atualizado de todas as operações de tratamento de dados pessoais realizadas no contexto do projeto;
  2. promover a adequada gestão do tratamento dos dados pessoais, alinhada às finalidades institucionais e às disposições legais aplicáveis;
  3. promover a criação e implementação de programas de treinamento, capacitação e conscientização para que os agentes envolvidos compreendam suas responsabilidades e procedimentos na proteção de dados pessoais;

VII. promover a formulação de regras de segurança, de boas práticas e de governança, com o objetivo de definir procedimentos e ações referentes à privacidade e à proteção de dados pessoais no âmbito do projeto.

Art. 5º A Agência Inova registrará e poderá gravar as preferências e navegações realizadas nas respectivas páginas e plataformas digitais vinculadas ao projeto, para fins estatísticos e de melhoria dos serviços ofertados, através de arquivos (cookies) ou tecnologias similares, respeitando o consentimento do titular, quando aplicável.

Art. 6º São responsabilidades da Agência Inova:

  1. atender ao disposto nos normativos e publicações da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) que disciplinam o tratamento e a governança dos dados pessoais;
  2. elaborar, quando couber, o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) relacionado às operações de tratamento realizadas no âmbito do projeto, e atualizá-lo sempre que necessário;

III. realizar o desenvolvimento e a atualização de políticas e avisos de privacidade, com a finalidade de fornecer informações sobre o tratamento de dados pessoais em cada ambiente físico ou virtual do projeto, bem como especificar as medidas de proteção de dados adotadas.

Parágrafo único. As diretrizes desta Política deverão ser observadas de forma integrada aos instrumentos jurídicos do projeto, especialmente o Convênio de Cooperação Técnica e Financeira nº 09/2025, bem como às normas internas e regulatórias aplicáveis.

CAPÍTULO II – DO TRATAMENTO DE DADOS PESSOAIS

Art. 7º. O tratamento de dados pessoais deve ser sempre realizado para o atendimento de suas finalidades institucionais, no contexto do projeto, com o objetivo de viabilizar a execução das atividades previstas no Convênio nº 09/2025, incluindo seleção de participantes, diagnósticos, desenvolvimento de soluções de inteligência artificial e acompanhamento técnico.

Art. 8º. As unidades, equipes e responsáveis pelo projeto devem adotar mecanismos para que os titulares de dados pessoais usufruam dos direitos assegurados pela LGPD e normativos correlatos.

Parágrafo único. Os direitos dos titulares poderão ser exercidos por meio de canais oficiais do projeto, incluindo endereço eletrônico institucional, formulários próprios ou outros meios disponibilizados pela Agência Inova.

Art. 9º. O tratamento de dados pessoais sensíveis deve ocorrer somente nos termos da seção II do capítulo II da LGPD, sendo adotados procedimentos adicionais de segurança e controle de acesso no tratamento destes dados.

Art. 10. O tratamento de dados pessoais de crianças e de adolescentes deve ser realizado nos termos da seção III do capítulo II da LGPD, bem como pode ocorrer com base nas hipóteses legais previstas nos arts. 7º ou 11 da referida lei, desde que observado e prevalecente o seu melhor interesse.

Art. 11. O uso compartilhado de dados pessoais deve ocorrer em estrita observância ao art. 26 da LGPD.

Parágrafo único. As operações de uso compartilhado de dados entre a Agência Inova e parceiros institucionais, entidades públicas ou privadas e demais agentes envolvidos no projeto deverão observar as finalidades específicas e os limites legais aplicáveis.

Art. 12. A transferência internacional de dados pessoais deve observar o disposto no Capítulo V da LGPD.

Parágrafo único. Quando aplicável, a transferência internacional deverá observar mecanismos que assegurem o nível adequado de proteção de dados, conforme regulamentação da ANPD.

Parágrafo final. As operações de tratamento de dados pessoais no âmbito do projeto deverão observar, além das disposições desta Política, os princípios da necessidade, adequação, segurança, transparência e responsabilização, conforme previsto na LGPD.

CAPÍTULO III – CONSCIENTIZAÇÃO, CAPACITAÇÃO E SENSIBILIZAÇÃO

Art. 13. Os colaboradores, empregados, prestadores de serviço, consultores, parceiros institucionais e demais agentes envolvidos no projeto “Desafio Brasileiro de Inteligência Artificial para o Setor Produtivo”, com acesso a dados pessoais, devem participar de programas de conscientização, capacitação e sensibilização em matérias de privacidade e proteção de dados pessoais, objetivando adequar o tema aos seus papéis e responsabilidades no âmbito do projeto.

Parágrafo único. As ações de conscientização, capacitação e sensibilização deverão considerar as especificidades do projeto, especialmente no que se refere ao tratamento de dados em ambientes de inovação, desenvolvimento tecnológico e soluções baseadas em inteligência artificial.

CAPÍTULO IV – SEGURANÇA E BOAS PRÁTICAS

Art. 14. Considerando a necessidade de mitigar incidentes com dados pessoais, devem ser adotadas as seguintes medidas técnicas e organizacionais de privacidade e proteção de dados:

  1. o acesso aos dados pessoais deve estar limitado às pessoas que realizam o tratamento no âmbito do projeto;
  2. as funções e responsabilidades dos agentes envolvidos nos tratamentos de dados pessoais devem ser claramente estabelecidas e comunicadas;

III. devem ser estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores, parceiros e demais agentes que tenham acesso a dados pessoais;

  1. todos os dados pessoais devem estar armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los.

Parágrafo único. Sempre que aplicável, deverão ser adotadas medidas adicionais de segurança compatíveis com a natureza dos dados tratados e com os riscos envolvidos nas atividades do projeto.

Art. 15. Qualquer ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos dados pessoais dos titulares deve ser comunicada à Autoridade Nacional de Proteção de Dados (ANPD), nos termos e prazos previstos na legislação aplicável.

Art. 16. A Agência Inova deverão manter base de conhecimento com documentos, diretrizes e orientações que apresentem condutas e recomendações voltadas à melhoria do gerenciamento de riscos e à tomada de decisões adequadas em casos de comprometimento de dados pessoais no âmbito do projeto.

Parágrafo único. As diretrizes de segurança e boas práticas deverão ser aplicadas de forma integrada aos processos operacionais e aos instrumentos jurídicos do projeto.

CAPÍTULO V – AUDITORIA E CONFORMIDADE

Art. 17. O cumprimento desta Política, bem como dos normativos que a complementam, deve ser avaliado periodicamente por meio de verificações de conformidade, com o objetivo de assegurar o cumprimento dos requisitos de privacidade e proteção de dados pessoais, bem como das cláusulas de responsabilidade e sigilo constantes de contratos, convênios, acordos e instrumentos congêneres vinculados ao projeto.

Art. 18. As atividades, produtos e serviços desenvolvidos no âmbito do projeto devem observar os requisitos de privacidade e proteção de dados pessoais constantes da legislação aplicável, regulamentos, normas e instrumentos jurídicos vigentes, de modo a garantir sua conformidade.

Art. 19. Os resultados de cada ação de verificação de conformidade devem ser documentados em relatórios próprios, contendo a avaliação das práticas adotadas e, quando necessário, recomendações para adequação e melhoria contínua.

Parágrafo único. As atividades de auditoria e conformidade poderão ser realizadas por equipes internas ou por terceiros designados, conforme a necessidade e a complexidade das operações de tratamento de dados pessoais no projeto.

CAPÍTULO VI – FUNÇÕES E RESPONSABILIDADES

Art. 20. Qualquer pessoa natural ou jurídica de direito público ou privado que tenha interação em qualquer fase do tratamento de dados pessoais no âmbito do projeto “Desafio Brasileiro de Inteligência Artificial para o Setor Produtivo” deve assegurar a privacidade e a proteção de dados pessoais que trata, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pela Agência Inova.

Art. 21. Compete à estrutura de governança de proteção de dados pessoais adotada pela Agência Inova, ou instância equivalente responsável pelo tema no âmbito do projeto:

  1. promover a proteção de dados pessoais e a adequação à LGPD no âmbito do projeto;
  2. constituir, quando necessário, grupos de trabalho para tratar de temas específicos e propor soluções relacionadas à proteção de dados pessoais;

III. participar da elaboração da Política de Proteção de Dados Pessoais e das demais normas internas relacionadas à privacidade, bem como propor atualizações e alterações;

  1. acompanhar a implementação da LGPD no âmbito do projeto e a gestão desta Política;
  2. incentivar a conscientização, capacitação e sensibilização dos agentes envolvidos nas atividades de tratamento de dados pessoais.

Art. 22. A estrutura de governança de proteção de dados pessoais, quando formalmente instituída, poderá ser composta por representantes das áreas relacionadas à execução do projeto, incluindo, quando aplicável:

  1. responsável pela segurança da informação;
  2. encarregado pelo tratamento de dados pessoais;

III. representante da área de tecnologia da informação;

  1. representante da área jurídica;
  2. representante das áreas técnicas e operacionais do projeto;
  3. representantes de unidades ou equipes diretamente envolvidas na execução das atividades.

Parágrafo único. A composição da estrutura de governança deverá observar as necessidades e a realidade operacional do projeto.

Art. 23. A coordenação da estrutura de governança de proteção de dados pessoais será exercida por representante designado pela Agência Inova, conforme definição interna.

Art. 24. A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais é da Agência Inova, que, na condição de controladoras conjuntas, determinam as medidas necessárias para executar a Política de Proteção de Dados Pessoais no âmbito do projeto.

Art. 25. Compete às controladoras:

  1. observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela LGPD e normativos correlatos no momento de decidir sobre o tratamento de dados pessoais;
  2. considerar o disposto nos arts. 7º, 11 e 23 da LGPD antes de realizar o tratamento de dados pessoais;

III. cumprir o previsto nos arts. 46 e 50 da LGPD, buscando a proteção de dados pessoais e sua governança;

  1. indicar encarregado pelo tratamento de dados pessoais, divulgando sua identidade e informações de contato de forma clara e acessível;
  2. elaborar e manter atualizado o inventário de dados pessoais e os registros das operações de tratamento;
  3. reter dados pessoais somente pelo período necessário ao cumprimento da finalidade e da base legal utilizada;

VII. criar e manter atualizados os avisos ou políticas de privacidade relacionados aos ambientes do projeto;

VIII. assegurar que os titulares tenham ciência dos termos de uso e das condições de tratamento de dados pessoais quando da utilização de serviços vinculados ao projeto.

  • 1º É vedado qualquer tratamento de dados pessoais para fins não relacionados com as atividades do projeto ou por pessoa não autorizada pelas controladoras.

Art. 26. São considerados operadores de dados pessoais as pessoas naturais ou jurídicas de direito público ou privado que realizam operações de tratamento de dados pessoais em nome da Agência Inova no âmbito do projeto.

Parágrafo único. Quaisquer fornecedores, parceiros ou prestadores de serviços que realizem tratamento de dados pessoais a eles confiados são considerados operadores e devem seguir as diretrizes estabelecidas nesta Política, especialmente quanto às obrigações de segurança, confidencialidade e limitação de finalidade.

Art. 27. Compete ao operador:

  1. observar os princípios estabelecidos no art. 6º da LGPD, ao realizar tratamento de dados pessoais no âmbito do projeto;
  2. seguir as diretrizes estabelecidas pelas controladoras, ABDI – Agência Brasileira de Desenvolvimento Industrial e Agência Inova – Agência de Desenvolvimento e Inovação Brasileira;

III. antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelas controladoras cumprem os requisitos legais presentes nos arts. 7º, 11 e 23 da LGPD.

Parágrafo único. Não é competência do operador decidir unilateralmente quanto aos meios e finalidades utilizados para o tratamento de dados pessoais.

 

Art. 28. Compete ao encarregado de proteção de dados:

  1. receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  2. receber comunicações e requisições da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;

III. orientar os colaboradores, parceiros e demais agentes envolvidos no projeto a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;

  1. executar as demais atribuições determinadas pelas controladoras ou estabelecidas em normas complementares.

Parágrafo único. Ao receber comunicações da ANPD, o encarregado adotará as medidas necessárias para o atendimento da solicitação e para o fornecimento de informações pertinentes, adotando, dentre outras, as seguintes providências:

  1. encaminhar internamente a demanda para as unidades ou responsáveis competentes;
  2. fornecer orientação e assistência necessárias aos agentes de tratamento;

III. indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.

 

Art. 29. O encarregado de proteção de dados prestará assistência e orientação às controladoras na elaboração, definição e implementação de:

  1. registro e comunicação de incidente de segurança;
  2. registro das operações de tratamento de dados pessoais;

III. relatório de impacto à proteção de dados pessoais;

  1. mecanismos internos de supervisão e mitigação de riscos relativos ao tratamento de dados pessoais;
  2. medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas;
  3. processos e políticas internas que assegurem o cumprimento da LGPD e das orientações da ANPD;

VII. instrumentos contratuais que disciplinem o tratamento de dados pessoais;

VIII. transferências internacionais de dados;

  1. regras de boas práticas, governança e programas de governança em privacidade;
  2. produtos e serviços que adotem padrões compatíveis com os princípios da LGPD, incluindo privacidade por padrão e minimização de dados;
  3. outras atividades e decisões estratégicas referentes ao tratamento de dados pessoais no âmbito do projeto.

 

Art. 30. Compete às controladoras:

  1. prover os meios necessários para o exercício das atribuições do encarregado, incluindo recursos humanos, técnicos e administrativos;
  2. solicitar assistência e orientação do encarregado nas atividades e decisões estratégicas relacionadas ao tratamento de dados pessoais;

III. garantir ao encarregado autonomia técnica para o desempenho de suas funções;

  1. assegurar aos titulares meios adequados para comunicação com o encarregado e exercício de seus direitos;
  2. garantir ao encarregado acesso direto às instâncias decisórias e às áreas responsáveis pelo tratamento de dados pessoais no âmbito do projeto.

CAPÍTULO VII – CONTRATOS, CONVÊNIOS, ACORDOS E INSTRUMENTOS CONGÊNERES

Art. 31. Os contratos, convênios, acordos e instrumentos similares, no âmbito do projeto, que envolvam tratamento de dados pessoais, deverão conter cláusulas específicas em conformidade com esta Política de Proteção de Dados Pessoais, contemplando, no mínimo:

  1. requisitos mínimos de segurança da informação;
  2. determinação de que o operador não processe os dados pessoais para finalidades diversas daquelas definidas pelas controladoras;

III. requisitos de proteção de dados pessoais que os operadores devem atender;

  1. condições para devolução ou descarte seguro dos dados pessoais após a conclusão do serviço, rescisão contratual ou solicitação das controladoras;
  2. diretrizes sobre o uso de subcontratados pelo operador, quando houver tratamento de dados pessoais.

Art. 32. As unidades, equipes e responsáveis pela execução do projeto “Desafio Brasileiro de Inteligência Artificial para o Setor Produtivo” devem adotar medidas rigorosas com o propósito de assegurar que os terceiros, parceiros e operadores de dados pessoais contratados estejam plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração dos instrumentos jurídicos firmados com a Agência Inova – Agência de Desenvolvimento e Inovação Brasileira.       

CAPÍTULO VIII – PENALIDADES

Art. 33. Ações que violem a Política de Proteção de Dados Pessoais poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 34. Casos de descumprimento desta Política serão registrados e comunicados às instâncias competentes da Agência Inova, para ciência e adoção das providências cabíveis.

Parágrafo único. As medidas aplicáveis observarão os instrumentos jurídicos vigentes, incluindo contratos, convênios e regulamentos internos relacionados ao projeto.

CAPÍTULO IX – DISPOSIÇÕES FINAIS

Art. 35. A estrutura de governança de proteção de dados pessoais, quando instituída, poderá expedir instruções complementares, no âmbito de suas competências, detalhando procedimentos e diretrizes relacionados à proteção de dados pessoais no projeto, em conformidade com esta Política e com os instrumentos jurídicos aplicáveis.

Art. 36. As dúvidas relativas a esta Política e aos seus documentos correlatos deverão ser submetidas ao encarregado pelo tratamento de dados pessoais ou à instância de governança responsável, conforme definido pela Agência Inova.

Art. 37. Esta Política será revisada periodicamente, a partir do início de sua vigência, sempre que necessário para garantir sua aderência à legislação aplicável e às necessidades do projeto.

Art. 38. Os casos omissos serão resolvidos pela Agência Inova, observadas as disposições legais e normativas aplicáveis.

Art. 39. Esta Política entra em vigor na data de sua publicação.