DECRETO Nº 49.265,
DE 6 DE AGOSTO DE 2020.
Institui
a Política Estadual de Proteção de Dados Pessoais do Poder Executivo Estadual
em consonância com a Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral
de Proteção de Dados Pessoais).
O GOVERNADOR DO ESTADO, no uso
das atribuições que lhe são conferidas pelos incisos II e IV do art. 37 da
Constituição Estadual,
CONSIDERANDO que os dados pessoais integram o âmbito de proteção dos
direitos fundamentais de liberdade, de privacidade, de intimidade e do livre
desenvolvimento da personalidade da pessoa natural ou jurídica;
CONSIDERANDO a promulgação
da Lei Federal nº 13.709, de 14 de agosto de 2018, que estabeleceu a Lei
Geral de Proteção de Dados Pessoais – LGPD;
CONSIDERANDO que, nos termos do
parágrafo único do art. 1º da Lei Geral de Proteção de Dados Pessoais, as
normas de proteção relativas ao tratamento de dados pessoais são de interesse
nacional e devem ser observadas pela União, Estados, Distrito Federal e
Municípios,
DECRETA:
CAPÍTULO I
DAS DISPOSIÇÕES
PRELIMINARES
Art. 1º Fica
instituída a Política Estadual de Proteção de Dados Pessoais – PEPDP, conjunto
de diretrizes, normas e ações para o desenvolvimento e a adaptação da ação
governamental à Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de
Proteção de Dados Pessoais – LGPD), no âmbito da Administração Pública Estadual
direta, autárquica e fundacional do Poder Executivo Estadual.
Parágrafo único. A
Política Estadual de Proteção de Dados Pessoais observará a boa-fé e os
seguintes princípios:
I
- finalidade: realização do tratamento para propósitos legítimos,
específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades;
II - adequação:
compatibilidade do tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;
III - necessidade:
limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados;
IV
- livre acesso: garantia, aos titulares, de consulta facilitada e
gratuita sobre a forma e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais;
V
- qualidade dos dados: garantia, aos titulares, de exatidão, clareza,
relevância e atualização dos dados, de acordo com a necessidade e para o
cumprimento da finalidade de seu tratamento;
VI
- transparência: garantia, aos titulares, de informações claras, precisas
e facilmente acessíveis sobre a realização do tratamento e os respectivos
agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança:
utilização de medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção:
adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento
de dados pessoais;
IX
- não discriminação: impossibilidade de realização do tratamento para
fins discriminatórios ilícitos ou abusivos; e
X
- responsabilização e prestação de contas: demonstração, pelo agente,
da adoção de medidas eficazes e capazes de comprovar a observância e o
cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia
dessas medidas.
Art. 2º São
diretrizes da Política Estadual de Proteção de Dados Pessoais:
I
- as regras de boas práticas e governança estabelecidas pelo controlador
e o operador levarão em consideração, em relação ao tratamento e aos dados, a
natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e
dos benefícios decorrentes de tratamento de dados do titular;
II
- alinhamento às políticas de segurança da informação do Estado de
Pernambuco;
III - o
atendimento simplificado e eletrônico das demandas do cidadão;
IV - o
alinhamento e o equilíbrio com a promoção da transparência pública, em
específico com a Lei nº 14.804, de 29 de outubro de
2012;
V
- o estabelecimento da proporcionalidade das medidas acerca de
proteção de dados, privacidade e segurança da informação;
VI
- o desenvolvimento do nível de maturidade dos tratamentos dos
dados;
VII - a manutenção
da segurança jurídica dos instrumentos firmados;
VIII - a
economicidade das ações;
IX
- o alinhamento ao planejamento estratégico do Estado; e
X
- a aderência à Política de Tecnologia da Informação e Comunicação do
Estado, instituída pela Lei nº 12.985, de 2 de janeiro
de 2006.
Art. 3º Para fins
deste Decreto, considera-se:
I
- dado pessoal: informação relacionada à pessoa natural identificada
ou identificável;
II
- dado pessoal sensível: dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou à organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III -
dado anonimizado: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião
de seu tratamento;
IV
- banco de dados: conjunto estruturado de dados pessoais, estabelecido
em um ou em vários locais, em suporte eletrônico ou físico;
V - titular:
pessoa natural a quem se referem os dados pessoais que são objetos de
tratamento;
VI
- controlador: pessoa natural ou jurídica, de direito público ou privado,
a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador:
pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;
VIII -
encarregado: pessoa indicada pelo controlador e operador corporativo para atuar
como canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD);
IX
- agentes de tratamento: o controlador e o operador; e
X
- tratamento: toda operação realizada com dados pessoais, como as que se
referem à coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração.
CAPÍTULO II
DAS POLÍTICAS DE
ATUAÇÃO CONJUNTA
Art. 4º A Política
Estadual de Proteção de Dados Pessoais – PEPDP será implementada através do
Plano Quadrienal Estratégico de Proteção de Dados Pessoais – PPDP que
estabelecerá as prioridades estaduais quanto à adequação à Lei Federal nº
13.709, de 2018, contribuindo para aumentar a efetividade na integração das
ações e a conformidade da ação governamental.
§ 1º O Plano
Quadrienal de que trata o caput será executado pelos órgãos e
entidades da Administração Pública Estadual direta, autárquica e fundacional e
terá acompanhamento anual de indicadores de desempenho.
§ 2º As empresas
públicas e as sociedades de economia mistas estabelecerão suas políticas de
proteção de dados pessoais por ato próprio aprovado pelos seus respectivos
conselhos de administração.
Art. 5º (REVOGADO)
(Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
I - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
II - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
III - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
IV - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
V - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
Art. 6º Os órgãos
e as entidades da Administração Pública Estadual direta, autárquica e
fundacional deverão estabelecer suas respectivas Políticas de Proteção de Dados
Pessoais Locais – PPDPL a serem aprovadas pelo dirigente máximo.
§ 1º As Políticas
de Proteção de Dados Pessoais Locais – PPDPL deverão considerar as prioridades
previstas no Plano Quadrienal Estratégico de Proteção de Dados Pessoais – PPDP
e deverão estabelecer, no mínimo:
I
- princípios, diretrizes e prioridades locais da proteção de dados
pessoais;
II
- responsabilidades e papéis pela proteção de dados pessoais;
III
- processo de gerenciamento de riscos;
IV
- controles internos de proteção de dados pessoais; e
V - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
§ 2º Os dirigentes
máximos agregarão objetivos e metas próprias de acordo com a maturidade e
capacidade operacional do ente público.
CAPÍTULO III
DA GOVERNANÇA DA
POLÍTICA ESTADUAL DE PROTEÇÃO DE DADOS PESSOAIS
Art. 7º Compete ao
Comitê Executivo de Governança Digital – CEGD, instituído pelo art. 2-B da Lei nº 12.985, de 2 de janeiro de 2006:
I
- aprovar normas de proteção de dados pessoais a serem regulamentadas
por portaria do Secretário da Controladoria-Geral do Estado;
II
- aprovar o Plano Quadrienal Estratégico de Proteção de Dados
Pessoais; e
III - aprovar o
parecer sobre os resultados da auditoria interna sobre a adequabilidade dos
órgãos e entidades quanto à aderência à Política Estadual de Proteção de Dados
Pessoais.
Art. 8º Compete ao
Comitê Técnico de Governança Digital – CTGD, instituído pelo art. 2-D da Lei nº 12.985, de 2006:
I
- monitorar o desempenho e riscos produzidos pela Política de
Proteção de Dados Pessoais Locais para que os tratamentos adotem as lições
aprendidas no ciclo anual e alcancem a padronização, a redução do custeio, a
automação e a celeridade necessária às mudanças da legislação e ao cenário das
ameaças cibernéticas;
II
- assessorar a Secretaria da Controladoria-Geral do Estado no
acompanhamento da Política Estadual de Proteção de Dados Pessoais com
informações que apoiem decisões e orientem ações estratégicas;
III - deliberar a
adoção de padrões para serviços e produtos que apoiem os controladores nas
decisões referentes ao tratamento de dados pessoais;
IV
- decidir sobre as questões de integração e de articulação entre os
diversos órgãos e entidades da Administração Pública Estadual para o
desenvolvimento e a operacionalização das ações de adequação à Lei Federal nº
13.709, de 2018;
V
- apoiar a promoção da proteção dos dados pessoais com a divulgação
de ações entre os seus membros e a criação de grupos de estudos sobre boas
práticas em política de proteção de dados; e
VI
- aprovar a padronização de cláusulas contratuais técnicas para fins
de compartilhamento e tratamento de dados pessoais.
Art. 9º Compete à
Secretaria da Controladoria-Geral do Estado:
I - coordenar
e orientar a rede de encarregados responsáveis pela implementação da
PEPD;
II
- elaborar o Plano Quadrienal Estratégico de Proteção de Dados
Pessoais, considerando a inclusão de objetivos e de metas comuns aos
controladores públicos;
III - consolidar
os resultados e apoiar o monitoramento da Política Estadual de Proteção de
Dados Pessoais;
IV
- disponibilizar canal de atendimento ao titular, considerando as
atividades desempenhadas pela Ouvidoria-Geral do Estado;
V
- coordenar a qualidade do atendimento ao titular do dado;
VI
- produzir e manter atualizados manuais de implementação das
Políticas de Proteção de Dados Pessoais Locais e modelos de documentos, bem
como capacitações para os agentes públicos; e
VII - estabelecer
sistemática de auditoria interna com vistas a aumentar e proteger o valor
organizacional do Estado, fornecendo avaliação, assessoria e conhecimento
objetivos baseados em riscos.
Art. 10. Compete à
Agência de Tecnologia da Informação – ATI:
I
- orientar a aplicação de soluções de TIC relacionadas à proteção de
dados pessoais;
II
- adequar as arquiteturas e as operações compartilhadas de TIC
hospedadas no datacenter e na rede corporativa às exigências da Lei Federal nº
13.709, de 2018; e
III - propor
padrões de desenvolvimento de novas soluções de TIC, considerando a proteção de
dados pessoais, desde a fase de concepção do produto e serviço até a sua
execução.
Parágrafo único.
As arquiteturas e as operações de que trata o inciso II poderão ter seu escopo
alterado por meio de acordo entre as partes responsáveis pelo
compartilhamento.
Art. 11. Compete à
Procuradoria-Geral do Estado:
I
- disponibilizar aos agentes de tratamento e ao encarregado
consultoria jurídica para dirimir questões e emitir pareceres do significado e
alcance da Lei Federal nº 13.709, de 2018;
II
- disponibilizar modelos de contratos, convênios e acordos de
cooperação internacional aderentes à Lei Federal nº 13.709, de 2018, a serem
utilizados pelos agentes de tratamento; e
III -
disponibilizar modelo de termo de uso de sistema de informação da Administração
Pública.
Art. 12. Compete aos órgãos integrantes da
estrutura administrativa do Poder Executivo Estadual dispostos nos art. 1º da Lei nº 16.520, de 27 de dezembro de 2018 o desempenho
das atribuições típicas de controlador de dados pessoais previstas na Lei
Federal nº 13.790, de 14 de agosto de 2018: (Redação
alterada pelo art. 1º do Decreto nº 51.745, de 28 de
outubro de 2021.)
I - aprovar,
prover condições e promover ações para efetividade da Política de Proteção de
Dados Pessoais Locais;
II - designar o encarregado para conduzir
a Política de Proteção de Dados Pessoais Locais, através de ato próprio; (Redação alterada pelo art. 1º do Decreto
nº 51.745, de 28 de outubro de 2021.)
III - elaborar o
Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o
apoio técnico das áreas jurídica e tecnológica da entidade; e
IV
- fornecer aos operadores termos de uso, manuais de instruções e
treinamento dos tratamentos sob sua responsabilidade.
§ 1º (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
§ 2º A designação do encarregado deverá
atender prerrogativas e qualificações necessárias ao exercício dessa função. (Redação alterada pelo art. 1º do Decreto
nº 51.745, de 28 de outubro de 2021.)
§ 3º O encarregado deve estar subordinado
diretamente ao dirigente máximo dos órgãos ou entidades previstos no caput
do art. 1º, devendo ter experiência em gestão pública, na área jurídica ou de
tecnologia, bem como poderes para tratar questões que afetem os operadores e
para orientar a adequação dos processos internos à LGPD. (Redação alterada pelo art. 1º do Decreto
nº 51.745, de 28 de outubro de 2021.)
Art. 13. Compete
ao encarregado e sua equipe de apoio:
I - apoiar a Política de Proteção de Dados
Local – PPDL, no sentido de: (Redação alterada pelo
art. 1º do Decreto nº 51.745, de 28 de outubro de 2021.)
a) inventariar os
tratamentos do controlador, inclusive os eletrônicos;
b) analisar a
maturidade dos tratamentos em face dos objetivos e metas estabelecidos e do
consequente risco de incidentes de privacidade;
c) avaliar medidas
de segurança, técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito;
d) orientar as providências cabíveis para
implementar as medidas de segurança avaliadas; e (Redação
alterada pelo art. 1º do Decreto nº 51.745, de 28 de
outubro de 2021.)
e) cumprir os
objetivos e metas previstas na Política de Proteção de Dados Pessoais
Locais.
II
- receber reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências, em articulação com a Ouvidoria de cada
órgão e entidade;
III - receber comunicações da Autoridade
Nacional de Proteção de Dados Pessoais - ANPD e adotar providências; (Redação alterada pelo art. 1º do Decreto
nº 51.745, de 28 de outubro de 2021.)
IV
- orientar os funcionários e os contratados no cumprimento das
práticas necessárias à privacidade de dados pessoais;
V
- quando provocado, entregar o Relatório de Impacto de Proteção aos
Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e
tecnológica da entidade;
VI - atender às normas complementares da
Autoridade Nacional de Proteção de Dados Pessoais; e (Redação
alterada pelo art. 1º do Decreto nº 51.745, de 28 de
outubro de 2021.)
VII - informar à Autoridade Nacional de
Proteção de Dados Pessoais e aos titulares dos dados pessoais eventuais
incidentes de privacidade de dados pessoais, dentro da execução de um plano de
respostas a incidentes. (Redação alterada pelo art. 1º
do Decreto nº 51.745, de 28 de outubro de 2021.)
CAPÍTULO IV
DO ATENDIMENTO AO
TITULAR
Art. 14. O
atendimento ao titular do dado será prestado de forma eletrônica nos canais
eletrônicos de atendimento da Ouvidoria-Geral Estado.
§ 1º (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
§ 2º O canal de
atendimento deve prover funções de registro e gerenciamento para servir ao
acompanhamento dessa forma de atendimento.
Art. 15. O
atendimento ao titular poderá ser prestado de forma presencial na entidade onde
os dados se encontram, desde que haja a conferência de documento oficial e
infraestrutura adequada.
§ 1º Quando o
titular for incapaz, o atendente deve conferir a certidão de nascimento do
titular e o documento de identidade de um dos pais ou responsáveis
legais.
§ 2º Atestada a
legitimidade do titular ou de seu procurador, o atendente coletará dados de
identificação e de contato do solicitante, protocolará e transcreverá a
solicitação através dos canais de atendimento da Ouvidoria-Geral do
Estado.
§ 3º O atendimento
presencial ao procurador ou curador somente será aceito através do instrumento
de outorga.
Art. 16.
A Ouvidoria-Geral Estado encaminhará o atendimento ao encarregado
responsável pelos dados e acompanhará sua resolutividade.
§ 1º O encarregado
deverá adotar as providências para apensar os dados solicitados ao atendimento.
§ 2º Os dados
pessoais solicitados no atendimento deverão ser entregues ao titular ou seu
representante legal, através de meio eletrônico protegido ou
pessoalmente.
Art. 17. (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de
outubro de 2021.)
Parágrafo único. (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de
outubro de 2021.)
CAPÍTULO V
DO TRATAMENTO DE
DADOS PESSOAIS
Art. 18. (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de
outubro de 2021.)
§ 1º (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
§ 2º (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
§ 3º (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
§ 4º (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
§ 5º (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
CAPÍTULO VI
DO
COMPARTILHAMENTO DE DADOS PESSOAIS
Art. 19. (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de
outubro de 2021.)
I - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
II - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
§ 1º (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
§ 2º (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
Art. 20. (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de
outubro de 2021.)
Parágrafo único. (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de
outubro de 2021.)
Art. 21. (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de
outubro de 2021.)
I - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
II - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
III - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
IV - (REVOGADO) (Revogado pelo art. 3º do Decreto nº 51.745, de 28 de outubro de 2021.)
Art. 22. A
Secretaria da Controladoria-Geral do Estado editará normas e procedimentos
complementares para o fiel cumprimento das metas e diretrizes estabelecidas na
Política Estadual de Proteção de Dados Pessoais.
Art. 23. Este
Decreto entra em vigor na data de sua publicação.
Palácio do Campo das Princesas, Recife, 6
de agosto do ano de 2020, 204º da Revolução Republicana Constitucionalista e
198º da Independência do Brasil.
PAULO HENRIQUE SARAIVA CÂMARA
Governador do Estado
ÉRIKA GOMES LACET
JOSÉ FRANCISCO DE MELO CAVALCANTI
NETO
ERNANI VARJAL MEDICIS PINTO