Política Estadual de Privacidade

DECRETO Nº 4922-R, DE 09 DE JULHO DE 2021.

Institui a Política Estadual de Proteção de Dados Pessoais e da Privacidade do Poder Executivo Estadual em consonância com a Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).

O GOVERNADOR DO ESTADO DO ESPÍRITO SANTO, no uso da atribuição que lhe confere o Art. 91, III, da Constituição Estadual, e com as informações constantes do processo nº 2021-1JZXJ;

 

Considerando o disposto na Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), na Lei Federal nº 12.965, de 23 de abril de 2014 - Marco Civil da Internet (MCI), e na Lei Federal nº 12.527, 28 de novembro de 2011 - Lei de Acesso à Informação (LAI);

Considerando a necessidade de promover harmonia entre as normas da Lei Geral de Proteção de Dados e da Lei de Acesso à Informação, a fim de garantir proteção concomitante aos direitos fundamentais de autodeterminação informativa e de acesso à informação;

Considerando o volume de dados pessoais tratados pelo Poder Executivo Estadual, essenciais para a execução das políticas públicas;

Considerando os desafios estabelecidos pela Lei Geral de Proteção de Dados no âmbito da Administração Pública, que reivindicam mudanças culturais nos níveis estratégicos, táticos e operacionais dos órgãos e entidades públicas no tratamento de dados pessoais,

 

DECRETA:

 

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

 

Art. 1º Fica instituída a Política Estadual de Proteção de Dados Pessoais e da Privacidade (PEPDP) em consonância com as normas e diretrizes da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados - LGPD, e em reconhecimento e respeito ao direito fundamental à autodeterminação informativa.

  • 1º As disposições desta Política abrangem dados pessoais mantidos em suporte eletrônico ou físico e vinculam todos os órgãos e entidades do Poder Executivo Estadual que tenham personalidade jurídica de direito público.
  • 2º As empresas públicas, as sociedades de economia mista e as fundações públicas com personalidade jurídica de direito privado estabelecerão suas políticas de proteção de dados pessoais e da privacidade por ato próprio, aprovado pelos seus respectivos conselhos de administração ou curador, devendo observar o disposto no artigo 24 da Lei Geral de Proteção de Dados.

Art. 2º Além das definições previstas no artigo 5º da Lei Geral de Proteção de Dados, considera-se, para fins desta Política:

I - Alta administração: integrantes do Nível de Direção Superior, conforme artigo 9º, inciso I, da Lei Estadual nº 3.043, de 31 de dezembro de 1975, bem como os presidentes e diretores de autarquias, inclusive as especiais, e de fundações públicas, além das autoridades de hierarquia equivalente;

II - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

III - Operador: pessoa natural ou jurídica, de direito público ou privado, que, em decorrência de celebração de contrato, realiza o tratamento de dados pessoais em nome do controlador e conforme a finalidade por este delimitada;

IV - Comitê Encarregado Central: grupo que centralizará as funções de encarregado pelo tratamento de dados pessoais dos órgãos e entidades do Poder Executivo do Estado do Espírito Santo, atuando como canal de comunicação entre o controlador, os titulares dos dados, os demais órgãos e entidades públicos e a ANPD, bem como exercer as demais funções previstas no art. 41 Lei Geral de Proteção de Dados e

V - Encarregado Interno: agente público designado pela autoridade máxima do órgão ou entidade, que deverá atuar como canal de comunicação entre o Comitê Encarregado Central e os titulares dos dados, bem como exercer as demais funções previstas no art. 41 Lei Geral de Proteção de Dados no âmbito de cada órgão ou entidade.

 

CAPÍTULO II

DOS PRINCÍPIOS E DIRETRIZES

 

Art. 3º A aplicação desta Política será baseada na observância da boa-fé e nos seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas, previstos e definidos no artigo 6º da Lei Geral de Proteção de Dados.

Art. 4º São diretrizes desta Política Estadual de Proteção de Dados Pessoais e Privacidade:

I - estabelecimento de regras de boas práticas pelos agentes de tratamento, observando, para tanto, a natureza, o escopo, a finalidade e a probabilidade e gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;

II - levantamento dos dados pessoais tratados pelos agentes de tratamento;

III - mapeamento dos fluxos dos dados pessoais no âmbito dos órgãos e entidades do Poder Executivo Estadual;

IV - alinhamento à Política Estadual de Segurança da Informação do Estado do Espírito Santo (PESI);

V - revisão e adequação dos contratos firmados no âmbito dos órgãos e entidades do Poder Executivo Estadual à Lei Geral de Proteção de Dados;

VI - instituição de medidas de proporcionalidade entre os conceitos de proteção de dados, privacidade, segurança da informação e transparência, a fim de estabelecer harmonia entre a Lei Geral de Proteção de Dados - LGPD e a Lei de Acesso à Informação - LAI.

 

CAPÍTULO III

DO TRATAMENTO DE DADOS

 

Art. 5º O tratamento de dados pessoais no âmbito do Poder Executivo Estadual deverá ser realizado para o atendimento de suas finalidades públicas, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Art. 6º Em estrita observância e cumprimento de suas finalidades públicas, os agentes de tratamento poderão tratar dados pessoais, inclusive os dados pessoais sensíveis, com dispensa de consentimento dos respectivos titulares.

Parágrafo Único. A execução de atividades que ultrapassem as funções públicas condiciona-se à obtenção de consentimento dos titulares dos dados pessoais, na forma do art. 8º da Lei Geral de Proteção de Dados.

Art. 7º Os órgãos e entidades do Poder Público Estadual deverão informar as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

Art. 8º Os dados pessoais tratados no âmbito do Poder Executivo Estadual deverão:

I - ser mantido em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e acesso das informações pelo público em geral, quando for o caso;

II - ser compartilhados somente em razão do atendimento das finalidades específicas de execução de políticas públicas e atribuições legais pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais que orientam a execução desta Política.

Parágrafo único. Fica dispensada a celebração de convênio, acordo de cooperação técnica ou instrumentos congêneres quando o compartilhamento de dados ocorrer entre os órgãos, autarquias e fundações do Poder Executivo Estadual, observados os princípios e diretrizes desta Política e as demais normas da LGPD.

Art. 9º Todas as operações realizadas com dados pessoais deverão ser devidamente registradas pelos agentes de tratamento.

Art. 10. Sempre que necessário, e nos limites técnicos e operacionais de seus serviços de tecnologia da informação, os agentes de tratamento deverão aplicar medidas de anonimização de dados, além de adotar medidas que inviabilizem o acesso dos dados pessoais por terceiros não autorizados.

 

CAPÍTULO IV

DO COMITÊ ENCARREGADO CENTRAL

 

Art. 11. Fica instituído o Comitê Encarregado Central, que centralizará as funções de encarregado pelo tratamento de dados pessoais dos órgãos e entidades do Poder Executivo do Estado do Espírito Santo, atuando como canal de comunicação entre o controlador, os titulares dos dados, os demais órgãos e entidades públicos e a ANPD.

Parágrafo único. Caberá ao Comitê Encarregado Central, ainda, exercer, em primeiro plano, as funções previstas no art. 41 da Lei Geral de Proteção de Dados, e orientar os Encarregados Internos no exercício destas mesmas funções, no âmbito de cada órgão ou entidade.

Art. 12. O Comitê Encarregado Central será representado pelo Presidente e terá a seguinte composição:

  1. O Presidente e um coordenador indicados pela Secretaria de Estado do Governo - SEG;
  2. um representante e um suplente do Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo - PRODEST;

III. um representante e um suplente da Secretaria de Estado de Controle e Transparência - SECONT;

  1. um representante e um suplente da Procuradoria Geral do Estado - PGE e
  2. um representante e um suplente da Secretaria de Direitos Humanos - SEDH.
  • 1º Os membros do Comitê Encarregado Central serão indicados pela autoridade máxima de cada órgão ou entidade descrita no caput deste artigo, em até 30 (trinta) dias da publicação deste Decreto e designados pela Secretaria de Estado do Governo.
  • 2º A Secretaria de Estado do Governo oferecerá a estrutura organizacional necessária para o desenvolvimento das atividades do Comitê Encarregado Central.

Art. 13. No exercício de suas atribuições, competirá ao Comitê Encarregado Central:

I - ser o canal central de comunicação entre os órgãos e entidades do Poder Executivo Estadual, os titulares de dados pessoais, e a ANPD;

II - prestar esclarecimentos, realizar comunicações, orientar operadores, agentes públicos e encarregados internos sobre as práticas tomadas, ou a serem tomadas, para garantir a proteção dos dados pessoais;

III - receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;

IV - requisitar que os encarregados internos prestem informações e forneçam subsídios, no prazo assinalado, que se façam necessárias ao exercício de suas atribuições;

V - sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelos órgãos e entidades do Poder Executivo Estadual;

VI - apoiar a implementação e a manutenção de práticas de conformidade dos órgãos e entidades do Poder Executivo Estadual à legislação sobre o tratamento de dados pessoais;

VII - estabelecer campanhas educativas nos órgãos e entidades do Poder Executivo Estadual sobre o tratamento de dados pessoais;

VIII - fomentar a atuação dos encarregados internos pelo tratamento dos dados pessoais, através de capacitação individual e coordenação dos trabalhos;

IX - realizar auditorias e auxiliar os órgãos e entidades do Poder Executivo Estadual na elaboração de relatórios de impacto à proteção de dados pessoais, ou orientar e acompanhar a sua realização pelos encarregados internos pelo tratamento de dados pessoais;

X - exercer demais atribuições que venham a ser estabelecidas pela ANPD, na forma do § 3º do art. 41 da Lei Geral de Proteção de Dados.

 

CAPÍTULO V

DO ENCARREGADO INTERNO

 

Art. 14. Fica instituída da função de Encarregado Interno pelo tratamento dos dados pessoais, que deverá atuar como canal de comunicação entre o Comitê Encarregado Central e os titulares dos dados, bem como exercer as funções previstas no art. 41 da Lei Geral de Proteção de Dados, no âmbito de cada órgão ou entidade.

  • 1º A autoridade máxima do órgão ou da entidade da administração pública estadual deverá designar o Encarregado Interno em até 90(noventa) dias da publicação deste Decreto.
  • 2º O Encarregado Interno pelo tratamento dos dados pessoais indicado pelo órgão ou entidade da administração pública estadual, deverá:

I - possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público; e

II - não se encontrar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação do órgão ou da entidade.

Art. 15. A identidade e as informações de contato do Encarregado Interno pelo tratamento dos dados pessoais deverão ser divulgadas publicamente, de forma clara e objetiva, no sítio eletrônico institucional do órgão ou da entidade, nos termos do § 1º do art. 41 da Lei nº 13.709, de 2018.

Art. 16. A autoridade máxima do órgão ou da entidade deverá assegurar ao Encarregado Interno pelo tratamento dos dados pessoais:

I - acesso direto a alta administração do órgão ou entidade a que está vinculado;

II - pronto apoio das unidades administrativas no atendimento das solicitações de informações;

III - contínuo aperfeiçoamento relacionado aos temas de privacidade e proteção de dados pessoais, com auxílio do Comitê Encarregado Central, e observada a disponibilidade orçamentária e financeira do órgão ou entidade.

Art. 17. O Comitê Encarregado Central poderá dispensar a designação de Encarregados Internos em órgãos ou entidades de pequena infraestrutura, assumindo as suas funções diretamente.

Art. 18. Os operadores deverão indicar ao Comitê Encarregado Central, bem como aos Encarregados Internos de cada órgão ou entidade com quem mantenham qualquer tipo de relação contratual, o nome dos seus respectivos encarregados, que estarão sujeitos à fiscalização dos encarregados do poder público.

Parágrafo único. Os operadores responderão solidariamente com o controlador por qualquer tipo de dano causado em virtude de descumprimento da legislação de proteção de dados ou inobservância das instruções do controlador, representado pelo Comitê Encarregado Central ou pelos Encarregados Internos.

 

CAPÍTULO VI

DOS INCIDENTES DE SEGURANÇA

 

Art. 19. O controlador, através do Comitê Encarregado Central, deverá comunicar à ANPD e aos titulares dos dados a ocorrência de qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos moldes do art. 48, §1º da Lei Geral de Proteção de Dados.

Art. 20. O operador deverá comunicar ao Comitê Encarregado Central e aos Encarregados Internos, no prazo máximo de 48 horas, a ocorrência de incidente de segurança que possa acarretar riscos ou danos relevantes aos titulares.

Art. 21. Recebida a comunicação pelo Comitê Encarregado Central, este deve, além de adotar as providências que lhe sejam cabíveis, reportar o ocorrido ao Comitê Estadual de Tratamento e Resposta a Incidentes de Segurança da Informação do Poder Executivo do Estado do Espírito Santo - CETRIN.

 

 

CAPÍTULO VII

DAS POLÍTICAS INTERNAS DE PROTEÇÃO DE

DADOS PESSOAIS E PRIVACIDADE

 

Art. 22. Os órgãos e entidades do Poder Executivo Estadual deverão elaborar e publicar em locais de fácil acesso, preferencialmente em seus sítios eletrônicos, suas Políticas Internas de Proteção de Dados Pessoais e Privacidade.

Parágrafo único. As Políticas Internas de Proteção de Dados Pessoais e Privacidade deverão ser elaboradas com base nas prioridades e na realidade de cada órgão ou entidade, tomando-se por base os princípios e diretrizes deste Decreto, e estabelecendo processos de gerenciamento de riscos e ações mitigadoras dos riscos identificados.

 

 

CAPÍTULO VIII

DA GOVERNANÇA DA POLÍTICA ESTADUAL

DE PROTEÇÃO DE DADOS PESSOAIS E

PRIVACIDADE

 

Art. 23. Além de suas atribuições ordinárias, competirá ao Conselho Estadual de Segurança da Informação do Poder Executivo - CESI, criado pela Política Estadual de Segurança da Informação, as seguintes atribuições:

I - definir os procedimentos e mecanismos de fiscalização e cumprimento desta Política no âmbito do Poder Executivo Estadual;

II - aprovar normas de proteção de dados pessoais no âmbito do Poder Executivo Estadual;

III - aprovar o Plano Quadrienal Estratégico de Proteção de Dados Pessoais;

IV - aprovar o parecer sobre os resultados da auditoria interna sobre a adequabilidade dos órgãos e entidades quanto à aderência à Política Estadual de Proteção de Dados Pessoais.

Art. 24. Compete à Procuradoria Geral do Estado:

I - disponibilizar aos agentes de tratamento e aos encarregados consultoria jurídica para dirimir questões e emitir pareceres do significado e alcance da Lei Federal nº 13.709, de 2018 e

II - disponibilizar modelos de contratos, convênios e acordos de cooperação internacional aderentes à Lei Federal nº 13.709, de 2018, a serem utilizados pelos agentes de tratamento.

 

 

CAPÍTULO IX

DOS DIREITOS DOS TITULARES

 

Art. 25. Esta Política se compromete com os direitos dos titulares de dados pessoais, garantidos pelos artigos 18 e 19 da Lei Geral de Proteção de Dados, exigindo dos agentes de tratamento uma atuação transparente e assecuratória dos mecanismos de participação do titular.

  • 1º A aplicação dos direitos de que tratam o caput será feita em conformidade com as normas previstas na LAI, em observância ao princípio da proporcionalidade.
  • 2º O direito à eliminação dos dados, previsto no art. 18 da Lei Geral de Proteção de Dados, somente será atendido quando verificada a existência de dados pessoais desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.

Art. 26. Os agentes de tratamento de dados pessoais deverão oferecer atendimento simplificado e eletrônico das demandas dos cidadãos.

Parágrafo único. Os agentes de tratamento deverão estabelecer meios idôneos de identificação do titular ou do seu procurador.

Art. 27. A confirmação da existência de tratamento ou o acesso aos dados pelos titulares, direitos previstos no art. 18, incisos I e II da Lei Geral de Proteção de Dados, serão fornecidos pelos agentes de tratamento no prazo máximo de 15 (quinze) dias úteis.

Art. 28. Em caso de solicitação de informações sigilosas, a resposta deverá indicar o fundamento legal que sustenta o indeferimento da entrega da informação solicitada.

 

CAPÍTULO X

DAS DISPOSIÇÕES FINAIS

 

Art. 29. Considerando as atribuições da Agência Nacional de Proteção de Dados - ANPD de regulamentação e fiscalização da LGPD, eventuais conflitos entre o disposto neste Decreto e as orientações ou regulamentações que venham a ser emanadas pela referida autoridade, deverão ser resolvidos privilegiando-se o entendimento da ANPD. Em caso de dúvida jurídica fundada sobre o conflito de normas, a Procuradoria Geral do Estado deverá ser consultada.

Art. 30. Esta Política deverá ser revisada e aperfeiçoada, conforme seja constatada necessidade de novas previsões para conformidade do Poder Executivo Estadual à Lei Geral de Proteção de Dados.

Art. 31. Este Decreto entra em vigor na data de sua publicação.

 

 

Palácio Anchieta, em Vitória, aos 09 dias de julho de 2021, 200º da Independência, 133º da República e 487º do Início da Colonização do Solo Espírito-Santense.

 

 

JOSÉ RENATO CASAGRANDE

Governador do Estado

 

(Este texto não substitui o publicado no D.O.E. em 12/07/2021)

2015 / Desenvolvido pelo PRODEST utilizando o software livre Orchard