DECRETO Nº 4922-R, DE 09 DE JULHO DE 2021.
Institui a Política Estadual de Proteção de Dados Pessoais e da Privacidade do Poder Executivo Estadual em consonância com a Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais.
O GOVERNADOR DO ESTADO DO ESPÍRITO SANTO, no uso da atribuição que lhe confere o Art. 91, III, da Constituição Estadual, e com as informações constantes do processo nº 2021-1JZXJ;
Considerando o disposto na Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), na Lei Federal nº 12.965, de 23 de abril de 2014 - Marco Civil da Internet (MCI), e na Lei Federal nº 12.527, 28 de novembro de 2011 - Lei de Acesso à Informação (LAI);
Considerando a necessidade de promover harmonia entre as normas da Lei Geral de Proteção de Dados e da Lei de Acesso à Informação, a fim de garantir proteção concomitante aos direitos fundamentais de autodeterminação informativa e de acesso à informação;
Considerando o volume de dados pessoais tratados pelo Poder Executivo Estadual, essenciais para a execução das políticas públicas;
Considerando os desafios estabelecidos pela Lei Geral de Proteção de Dados no âmbito da Administração Pública, que reivindicam mudanças culturais nos níveis estratégicos, táticos e operacionais dos órgãos e entidades públicas no tratamento de dados pessoais,
DECRETA:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Fica instituída a Política Estadual de Proteção de Dados Pessoais e da Privacidade (PEPDP) em consonância com as normas e diretrizes da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados - LGPD, e em reconhecimento e respeito ao direito fundamental à autodeterminação informativa.
Art. 2º Além das definições previstas no artigo 5º da Lei Geral de Proteção de Dados, considera-se, para fins desta Política:
I - Alta administração: integrantes do Nível de Direção Superior, conforme artigo 9º, inciso I, da Lei Estadual nº 3.043, de 31 de dezembro de 1975, bem como os presidentes e diretores de autarquias, inclusive as especiais, e de fundações públicas, além das autoridades de hierarquia equivalente;
II - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
III - Operador: pessoa natural ou jurídica, de direito público ou privado, que, em decorrência de celebração de contrato, realiza o tratamento de dados pessoais em nome do controlador e conforme a finalidade por este delimitada;
IV - Comitê Encarregado Central: grupo que centralizará as funções de encarregado pelo tratamento de dados pessoais dos órgãos e entidades do Poder Executivo do Estado do Espírito Santo, atuando como canal de comunicação entre o controlador, os titulares dos dados, os demais órgãos e entidades públicos e a ANPD, bem como exercer as demais funções previstas no art. 41 Lei Geral de Proteção de Dados e
V - Encarregado Interno: agente público designado pela autoridade máxima do órgão ou entidade, que deverá atuar como canal de comunicação entre o Comitê Encarregado Central e os titulares dos dados, bem como exercer as demais funções previstas no art. 41 Lei Geral de Proteção de Dados no âmbito de cada órgão ou entidade.
CAPÍTULO II
DOS PRINCÍPIOS E DIRETRIZES
Art. 3º A aplicação desta Política será baseada na observância da boa-fé e nos seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas, previstos e definidos no artigo 6º da Lei Geral de Proteção de Dados.
Art. 4º São diretrizes desta Política Estadual de Proteção de Dados Pessoais e Privacidade:
I - estabelecimento de regras de boas práticas pelos agentes de tratamento, observando, para tanto, a natureza, o escopo, a finalidade e a probabilidade e gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;
II - levantamento dos dados pessoais tratados pelos agentes de tratamento;
III - mapeamento dos fluxos dos dados pessoais no âmbito dos órgãos e entidades do Poder Executivo Estadual;
IV - alinhamento à Política Estadual de Segurança da Informação do Estado do Espírito Santo (PESI);
V - revisão e adequação dos contratos firmados no âmbito dos órgãos e entidades do Poder Executivo Estadual à Lei Geral de Proteção de Dados;
VI - instituição de medidas de proporcionalidade entre os conceitos de proteção de dados, privacidade, segurança da informação e transparência, a fim de estabelecer harmonia entre a Lei Geral de Proteção de Dados - LGPD e a Lei de Acesso à Informação - LAI.
CAPÍTULO III
DO TRATAMENTO DE DADOS
Art. 5º O tratamento de dados pessoais no âmbito do Poder Executivo Estadual deverá ser realizado para o atendimento de suas finalidades públicas, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
Art. 6º Em estrita observância e cumprimento de suas finalidades públicas, os agentes de tratamento poderão tratar dados pessoais, inclusive os dados pessoais sensíveis, com dispensa de consentimento dos respectivos titulares.
Parágrafo Único. A execução de atividades que ultrapassem as funções públicas condiciona-se à obtenção de consentimento dos titulares dos dados pessoais, na forma do art. 8º da Lei Geral de Proteção de Dados.
Art. 7º Os órgãos e entidades do Poder Público Estadual deverão informar as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.
Art. 8º Os dados pessoais tratados no âmbito do Poder Executivo Estadual deverão:
I - ser mantido em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e acesso das informações pelo público em geral, quando for o caso;
II - ser compartilhados somente em razão do atendimento das finalidades específicas de execução de políticas públicas e atribuições legais pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais que orientam a execução desta Política.
Parágrafo único. Fica dispensada a celebração de convênio, acordo de cooperação técnica ou instrumentos congêneres quando o compartilhamento de dados ocorrer entre os órgãos, autarquias e fundações do Poder Executivo Estadual, observados os princípios e diretrizes desta Política e as demais normas da LGPD.
Art. 9º Todas as operações realizadas com dados pessoais deverão ser devidamente registradas pelos agentes de tratamento.
Art. 10. Sempre que necessário, e nos limites técnicos e operacionais de seus serviços de tecnologia da informação, os agentes de tratamento deverão aplicar medidas de anonimização de dados, além de adotar medidas que inviabilizem o acesso dos dados pessoais por terceiros não autorizados.
CAPÍTULO IV
DO COMITÊ ENCARREGADO CENTRAL
Art. 11. Fica instituído o Comitê Encarregado Central, que centralizará as funções de encarregado pelo tratamento de dados pessoais dos órgãos e entidades do Poder Executivo do Estado do Espírito Santo, atuando como canal de comunicação entre o controlador, os titulares dos dados, os demais órgãos e entidades públicos e a ANPD.
Parágrafo único. Caberá ao Comitê Encarregado Central, ainda, exercer, em primeiro plano, as funções previstas no art. 41 da Lei Geral de Proteção de Dados, e orientar os Encarregados Internos no exercício destas mesmas funções, no âmbito de cada órgão ou entidade.
Art. 12. O Comitê Encarregado Central será representado pelo Presidente e terá a seguinte composição:
III. um representante e um suplente da Secretaria de Estado de Controle e Transparência - SECONT;
Art. 13. No exercício de suas atribuições, competirá ao Comitê Encarregado Central:
I - ser o canal central de comunicação entre os órgãos e entidades do Poder Executivo Estadual, os titulares de dados pessoais, e a ANPD;
II - prestar esclarecimentos, realizar comunicações, orientar operadores, agentes públicos e encarregados internos sobre as práticas tomadas, ou a serem tomadas, para garantir a proteção dos dados pessoais;
III - receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;
IV - requisitar que os encarregados internos prestem informações e forneçam subsídios, no prazo assinalado, que se façam necessárias ao exercício de suas atribuições;
V - sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelos órgãos e entidades do Poder Executivo Estadual;
VI - apoiar a implementação e a manutenção de práticas de conformidade dos órgãos e entidades do Poder Executivo Estadual à legislação sobre o tratamento de dados pessoais;
VII - estabelecer campanhas educativas nos órgãos e entidades do Poder Executivo Estadual sobre o tratamento de dados pessoais;
VIII - fomentar a atuação dos encarregados internos pelo tratamento dos dados pessoais, através de capacitação individual e coordenação dos trabalhos;
IX - realizar auditorias e auxiliar os órgãos e entidades do Poder Executivo Estadual na elaboração de relatórios de impacto à proteção de dados pessoais, ou orientar e acompanhar a sua realização pelos encarregados internos pelo tratamento de dados pessoais;
X - exercer demais atribuições que venham a ser estabelecidas pela ANPD, na forma do § 3º do art. 41 da Lei Geral de Proteção de Dados.
CAPÍTULO V
DO ENCARREGADO INTERNO
Art. 14. Fica instituída da função de Encarregado Interno pelo tratamento dos dados pessoais, que deverá atuar como canal de comunicação entre o Comitê Encarregado Central e os titulares dos dados, bem como exercer as funções previstas no art. 41 da Lei Geral de Proteção de Dados, no âmbito de cada órgão ou entidade.
I - possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público; e
II - não se encontrar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação do órgão ou da entidade.
Art. 15. A identidade e as informações de contato do Encarregado Interno pelo tratamento dos dados pessoais deverão ser divulgadas publicamente, de forma clara e objetiva, no sítio eletrônico institucional do órgão ou da entidade, nos termos do § 1º do art. 41 da Lei nº 13.709, de 2018.
Art. 16. A autoridade máxima do órgão ou da entidade deverá assegurar ao Encarregado Interno pelo tratamento dos dados pessoais:
I - acesso direto a alta administração do órgão ou entidade a que está vinculado;
II - pronto apoio das unidades administrativas no atendimento das solicitações de informações;
III - contínuo aperfeiçoamento relacionado aos temas de privacidade e proteção de dados pessoais, com auxílio do Comitê Encarregado Central, e observada a disponibilidade orçamentária e financeira do órgão ou entidade.
Art. 17. O Comitê Encarregado Central poderá dispensar a designação de Encarregados Internos em órgãos ou entidades de pequena infraestrutura, assumindo as suas funções diretamente.
Art. 18. Os operadores deverão indicar ao Comitê Encarregado Central, bem como aos Encarregados Internos de cada órgão ou entidade com quem mantenham qualquer tipo de relação contratual, o nome dos seus respectivos encarregados, que estarão sujeitos à fiscalização dos encarregados do poder público.
Parágrafo único. Os operadores responderão solidariamente com o controlador por qualquer tipo de dano causado em virtude de descumprimento da legislação de proteção de dados ou inobservância das instruções do controlador, representado pelo Comitê Encarregado Central ou pelos Encarregados Internos.
CAPÍTULO VI
DOS INCIDENTES DE SEGURANÇA
Art. 19. O controlador, através do Comitê Encarregado Central, deverá comunicar à ANPD e aos titulares dos dados a ocorrência de qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos moldes do art. 48, §1º da Lei Geral de Proteção de Dados.
Art. 20. O operador deverá comunicar ao Comitê Encarregado Central e aos Encarregados Internos, no prazo máximo de 48 horas, a ocorrência de incidente de segurança que possa acarretar riscos ou danos relevantes aos titulares.
Art. 21. Recebida a comunicação pelo Comitê Encarregado Central, este deve, além de adotar as providências que lhe sejam cabíveis, reportar o ocorrido ao Comitê Estadual de Tratamento e Resposta a Incidentes de Segurança da Informação do Poder Executivo do Estado do Espírito Santo - CETRIN.
CAPÍTULO VII
DAS POLÍTICAS INTERNAS DE PROTEÇÃO DE
DADOS PESSOAIS E PRIVACIDADE
Art. 22. Os órgãos e entidades do Poder Executivo Estadual deverão elaborar e publicar em locais de fácil acesso, preferencialmente em seus sítios eletrônicos, suas Políticas Internas de Proteção de Dados Pessoais e Privacidade.
Parágrafo único. As Políticas Internas de Proteção de Dados Pessoais e Privacidade deverão ser elaboradas com base nas prioridades e na realidade de cada órgão ou entidade, tomando-se por base os princípios e diretrizes deste Decreto, e estabelecendo processos de gerenciamento de riscos e ações mitigadoras dos riscos identificados.
CAPÍTULO VIII
DA GOVERNANÇA DA POLÍTICA ESTADUAL
DE PROTEÇÃO DE DADOS PESSOAIS E
PRIVACIDADE
Art. 23. Além de suas atribuições ordinárias, competirá ao Conselho Estadual de Segurança da Informação do Poder Executivo - CESI, criado pela Política Estadual de Segurança da Informação, as seguintes atribuições:
I - definir os procedimentos e mecanismos de fiscalização e cumprimento desta Política no âmbito do Poder Executivo Estadual;
II - aprovar normas de proteção de dados pessoais no âmbito do Poder Executivo Estadual;
III - aprovar o Plano Quadrienal Estratégico de Proteção de Dados Pessoais;
IV - aprovar o parecer sobre os resultados da auditoria interna sobre a adequabilidade dos órgãos e entidades quanto à aderência à Política Estadual de Proteção de Dados Pessoais.
Art. 24. Compete à Procuradoria Geral do Estado:
I - disponibilizar aos agentes de tratamento e aos encarregados consultoria jurídica para dirimir questões e emitir pareceres do significado e alcance da Lei Federal nº 13.709, de 2018 e
II - disponibilizar modelos de contratos, convênios e acordos de cooperação internacional aderentes à Lei Federal nº 13.709, de 2018, a serem utilizados pelos agentes de tratamento.
CAPÍTULO IX
DOS DIREITOS DOS TITULARES
Art. 25. Esta Política se compromete com os direitos dos titulares de dados pessoais, garantidos pelos artigos 18 e 19 da Lei Geral de Proteção de Dados, exigindo dos agentes de tratamento uma atuação transparente e assecuratória dos mecanismos de participação do titular.
Art. 26. Os agentes de tratamento de dados pessoais deverão oferecer atendimento simplificado e eletrônico das demandas dos cidadãos.
Parágrafo único. Os agentes de tratamento deverão estabelecer meios idôneos de identificação do titular ou do seu procurador.
Art. 27. A confirmação da existência de tratamento ou o acesso aos dados pelos titulares, direitos previstos no art. 18, incisos I e II da Lei Geral de Proteção de Dados, serão fornecidos pelos agentes de tratamento no prazo máximo de 15 (quinze) dias úteis.
Art. 28. Em caso de solicitação de informações sigilosas, a resposta deverá indicar o fundamento legal que sustenta o indeferimento da entrega da informação solicitada.
CAPÍTULO X
DAS DISPOSIÇÕES FINAIS
Art. 29. Considerando as atribuições da Agência Nacional de Proteção de Dados - ANPD de regulamentação e fiscalização da LGPD, eventuais conflitos entre o disposto neste Decreto e as orientações ou regulamentações que venham a ser emanadas pela referida autoridade, deverão ser resolvidos privilegiando-se o entendimento da ANPD. Em caso de dúvida jurídica fundada sobre o conflito de normas, a Procuradoria Geral do Estado deverá ser consultada.
Art. 30. Esta Política deverá ser revisada e aperfeiçoada, conforme seja constatada necessidade de novas previsões para conformidade do Poder Executivo Estadual à Lei Geral de Proteção de Dados.
Art. 31. Este Decreto entra em vigor na data de sua publicação.
Palácio Anchieta, em Vitória, aos 09 dias de julho de 2021, 200º da Independência, 133º da República e 487º do Início da Colonização do Solo Espírito-Santense.
JOSÉ RENATO CASAGRANDE
Governador do Estado
(Este texto não substitui o publicado no D.O.E. em 12/07/2021)