LGPD.
A governança institucional de proteção de dados do Grupo NTC.

Posicionamento institucional

O Instituto NTC do Brasil compreende a proteção de dados pessoais como pilar inafastável da formação institucional pública. Por isso, mantém um programa de governança formal de privacidade que se aplica integralmente a todas as marcas do Grupo NTC — Instituto NTC do Brasil, NTC Educação, NTC Gestão Pública, NTC Saúde — e à Plataforma EventOn.

Esta página apresenta, de forma consolidada, a estrutura institucional adotada para implementação da Lei Geral de Proteção de Dados Pessoais — Lei n.º 13.709/2018 (LGPD), os canais oficiais e os procedimentos para o exercício de direitos pelo titular.

Agentes de tratamento

Conforme a LGPD, o tratamento de dados pessoais envolve três figuras principais:

Em programas contratados por instituições públicas, é frequente o regime de controle conjunto — caso em que o Instituto NTC do Brasil e a Instituição Contratante atuam em cooperação e responsabilidade compartilhada, sempre formalizados por instrumento contratual específico.

Princípios da LGPD

Todas as decisões institucionais sobre tratamento de dados são orientadas pelos 10 princípios elencados no art. 6.º da LGPD:

1. Finalidade — propósito legítimo, específico, explícito e informado.
2. Adequação — compatibilidade com a finalidade informada.
3. Necessidade — coleta mínima dos dados estritamente necessários.
4. Livre acesso — consulta facilitada e gratuita pelo titular.
5. Qualidade dos dados — exatidão, clareza e atualização.
6. Transparência — informações claras sobre o tratamento.
7. Segurança — medidas técnicas e administrativas adequadas.
8. Prevenção — adoção de medidas para evitar danos.
9. Não discriminação — vedação ao uso para fins discriminatórios, ilícitos ou abusivos.
10. Responsabilização e prestação de contas — demonstração da adoção de medidas eficazes.

Programa de Governança

O Programa de Governança em Privacidade do Instituto NTC do Brasil é estruturado em sete frentes coordenadas pelo Encarregado:

• Cultura organizacional: capacitação contínua dos colaboradores e docentes em proteção de dados.
• Mapeamento e Registro de Operações de Tratamento (ROT): inventário vivo de todas as operações de tratamento, com bases legais, finalidades, retenção e responsáveis.
• Avaliação de impacto (RIPD): análise de risco sempre que uma nova operação envolver volumes significativos, dados sensíveis ou impacto sobre liberdades fundamentais.
• Gestão de operadores: due diligence prévia, contratação com cláusulas de proteção de dados e monitoramento periódico.
• Direitos dos titulares: canal exclusivo, fluxo formal e SLA de 15 dias úteis.
• Segurança da informação: políticas, controles técnicos e administrativos, testes periódicos.
• Resposta a incidentes: plano formal, equipe designada, comunicação à ANPD e aos titulares quando aplicável.

Encarregado (DPO)

O Encarregado (DPO) é o canal oficial de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Atua com autonomia funcional, recursos adequados e acesso direto à diretoria executiva do Instituto NTC do Brasil.

Exercício de direitos

O titular dos dados pode exercer todos os direitos previstos no art. 18 da LGPD enviando solicitação ao Encarregado (DPO). Para garantir atendimento ágil e seguro, recomenda-se:

1. Acessar o e-mail dpo@institutontc.com.br;
2. Informar nome completo e e-mail vinculado ao tratamento, quando aplicável;
3. Indicar de forma objetiva o direito que se deseja exercer (confirmação, acesso, correção, eliminação, portabilidade, revogação de consentimento etc.);
4. Quando relevante, contextualizar o canal ou evento em que o tratamento ocorreu (por exemplo: “Inscrição no Seminário Nacional EventOn de 12/04/2026”).

O atendimento será realizado nos prazos previstos na LGPD e na regulamentação aplicável. Quando cabível declaração completa nos termos do art. 19 da LGPD, a resposta será fornecida em até 15 dias, contados do recebimento da solicitação, ressalvadas hipóteses legalmente justificadas.

O atendimento é gratuito. Em casos de manifestação repetitiva ou abusiva, o controlador poderá, fundamentadamente, recusar pedidos manifestamente infundados, conforme arts. 18, §6.º, e 19 da LGPD.

Fluxo institucional de atendimento

Toda solicitação relacionada à LGPD segue um fluxo formal documentado pelo Encarregado:

1. Recebimento e protocolo — registro imediato, atribuição de protocolo único e confirmação ao titular.
2. Validação de identidade — confirmação razoável da identidade do solicitante para evitar fraude.
3. Análise jurídica e operacional — verificação da pertinência, da base legal aplicável e dos sistemas envolvidos.
4. Execução — atendimento concreto do pedido (envio dos dados, retificação, anonimização, eliminação, portabilidade, etc.).
5. Resposta formal ao titular — comunicação estruturada do desfecho, com fundamentação adequada em caso de eventual recusa.
6. Encerramento e registro — arquivamento do caso no histórico para futura prestação de contas.

Relação com a ANPD

O Instituto NTC do Brasil reconhece a Autoridade Nacional de Proteção de Dados (ANPD) como autoridade competente para fiscalização, regulação e aplicação da LGPD. Mantém canal aberto de comunicação institucional, cumpre regulamentos editados pela Autoridade e responde tempestivamente a eventuais requisições.

O titular cuja solicitação não tenha sido atendida pelo Encarregado, ou que entenda haver violação à LGPD, pode peticionar diretamente à ANPD, conforme arts. 18, §1.º, e 55-J, IV, da Lei.

Plano de incidentes

O Instituto NTC do Brasil mantém Plano de Resposta a Incidentes formalmente aprovado, com a seguinte estrutura sumária:

• Detecção: alertas técnicos, comunicados de operadores ou de titulares dos dados, monitoramento contínuo.
• Acionamento: equipe interna de segurança, jurídico e Encarregado (DPO), com fluxo de escalonamento.
• Contenção: isolamento técnico do vetor, suspensão preventiva de acessos comprometidos.
• Avaliação de risco: análise do volume, natureza, gravidade e potencial de dano aos titulares dos dados.
• Comunicação: quando configurado incidente de segurança com dados pessoais que possa acarretar risco ou dano relevante aos titulares, o Instituto NTC do Brasil adotará as medidas de contenção, avaliação, registro e comunicação cabíveis, observando o prazo de até 3 dias úteis para comunicação à ANPD e aos titulares, quando aplicável, contado do conhecimento de que o incidente afetou dados pessoais, nos termos da regulamentação vigente da ANPD.
• Aprendizado: relatório pós-incidente e revisão dos controles preventivos.

Documentos relacionados

Esta página deve ser lida em conjunto com os seguintes documentos institucionais:

• Política de Privacidade — detalhes do tratamento por finalidade e base legal.
• Política de Cookies — categorias, tabela e controles de preferência.
• Termos de Uso — regras de uso dos Canais Digitais.
• Mapa do site — visão completa da estrutura institucional do portal.

Versão vigente: v1.0 · 14/05/2026. Toda alteração substantiva é revisada e aprovada pelo Encarregado.