Texto Original



ATO DA MESA DIRETORA Nº 2, DE 10 DE DEZEMBRO DE 2024.

 

Institui a Política de Proteção de Dados Pessoais da Assembleia Legislativa do Estado de Pernambuco (Alepe).

 

A MESA DIRETORA DA ASSEMBLEIA LEGISLATIVA DO ESTADO DE PERNAMBUCO, no uso de suas atribuições regimentais,

 

RESOLVE:

 

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

 

Art. 1º Fica instituída a Política de Proteção de Dados Pessoais da Assembleia Legislativa do Estado de Pernambuco.

 

§ 1º A política instituída por este Ato regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) -, no âmbito da Alepe.

 

§ 2º Para os fins deste Ato, adotam-se as terminologias previstas no art. 5º da LGPD, reproduzidas no Anexo Único deste normativo.

 

§ 3º Este Ato não se aplica ao tratamento de dados pessoais realizado por gabinetes parlamentares, lideranças partidárias e frentes parlamentares, quando o tratamento não utilizar procedimentos administrativos ou sistemas institucionais da Alepe.

 

Art. 2º A Assembleia Legislativa do Estado de Pernambuco, representada pelo seu presidente, nos termos do art. 2º de seu Regimento Interno, é controladora dos dados pessoais por ela tratados.

 

Parágrafo único. São consideradas operadoras as pessoas naturais ou jurídicas, de direito público ou privado, vinculadas à Alepe por meio de contrato, convênio ou instrumento congênere, designadas para realizar o tratamento de dados pessoais em nome da Assembleia e no limite das finalidades por ela determinadas.

 

CAPÍTULO II

DO TRATAMENTO DE DADOS PESSOAIS NA ALEPE

 

Art. 3º O tratamento de dados pessoais na Alepe ocorrerá em atendimento à sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais ou cumprir as atribuições legais do serviço público.

 

Art. 4º A Alepe poderá realizar tratamento de dados pessoais com base em qualquer das hipóteses autorizadas pela Legislação, em especial aquelas previstas nos arts. 7º, 11, 14 e 23 da LGPD.

 

Art. 5º Considera-se legítimo interesse da Alepe, de que trata o art. 10 da LGPD, sem prejuízo de outras hipóteses, o fortalecimento da democracia, a promoção da instituição, a aproximação com a sociedade, a preservação histórica, o exercício das atividades de representação do povo pernambucano, de legislar sobre os assuntos de interesse estadual, de controle e fiscalização dos atos da Administração Pública e da aplicação dos recursos públicos em Pernambuco.

 

Art. 6º Os direitos do titular de dados pessoais, em qualquer caso, serão ponderados com o interesse público de conservação de dados históricos, preservação da transparência da instituição e das condutas de agentes públicos, no exercício de suas atribuições, e divulgação de informações relevantes à sociedade, no exercício da democracia.

 

Art. 7º O tratamento de dados pessoais sensíveis pela Alepe somente ocorrerá nas seguintes hipóteses:

 

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades determinadas;

 

II - sem o consentimento do titular, nos casos em que for indispensável para:

 

a) cumprimento de obrigação constitucional, legal ou regulatória;

 

b) tratamento compartilhado de dados necessários à execução de políticas públicas previstas em legislação específica;

 

c) realização de estudos, garantida, sempre que possível, sua anonimização;

 

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 1996 (Lei de Arbitragem);

 

e) proteção da vida ou da incolumidade física do titular ou de terceiros;

 

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou

 

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da LGPD, e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

 

Art. 8º O tratamento de dados pessoais de crianças e adolescentes será realizado com vistas ao seu melhor interesse, nos termos deste artigo e da legislação pertinente, observando-se:

 

I - a restrição a situações que demandem a utilização desses dados em atividades e documentos do processo legislativo, cumprimento de obrigações legais ou regulatórias e demais hipóteses ressalvadas pela LGDP;

 

II - a necessidade de consentimento específico do responsável legal em formulário próprio, quando o tratamento não tiver amparo em outra base legal;

 

III - a obtenção de dados pessoais mínimos, com respeito ao princípio da necessidade.

 

§ 1º A Alepe poderá coletar e divulgar internamente dados pessoais de crianças e adolescentes sem o consentimento a que se refere o inciso II:

 

I - quando for necessário contatar o responsável legal, para a proteção do menor;

 

II - em razão de dever previsto na Lei Federal nº 8.069, de 13 de julho de 1990, que dispõe sobre o Estatuto da Criança e do Adolescente - ECA.

 

§ 2º Os dados coletados na forma prevista no § 1º não serão armazenados, podendo ser utilizados uma única vez e divulgados externamente apenas:

 

I - para fins do disposto no inciso II do § 1º;

 

II - mediante requisição de autoridade policial ou judicial.

 

§ 3º Nos termos do § 6º do art. 14 LGPD, as informações relativas ao tratamento de dados de crianças e adolescentes deverão ser fornecidas pela Alepe de maneira simples, clara, acessível e adequada ao entendimento do titular dos dados ou do seu responsável legal.

 

CAPÍTULO III

DOS DIREITOS DO TITULAR

 

Art. 9º O titular dos dados pessoais tem o direito de obter da Alepe, mediante requerimento, em relação a seus dados:

 

I - a confirmação da existência de tratamento;

 

II - o acesso aos dados pessoais submetidos a tratamento;

 

III - a possibilidade de correção de dados incompletos, inexatos ou desatualizados;

 

IV - a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD e neste Ato;

 

V - a eliminação dos dados pessoais tratados com o consentimento do titular, observadas as exceções previstas neste Ato ou em outros normativos;

 

VI - a informação das entidades públicas e privadas com as quais realizou uso compartilhado de dados;

 

VII - a informação sobre a possibilidade de não consentir no tratamento de seus dados pessoais e sobre as consequências da negativa;

 

VIII - a revogação do consentimento de tratamento de seus dados pessoais, nos termos do § 5º do art. 8º da LGPD.

 

§ 1º O requerimento previsto neste artigo deverá ser encaminhado ao Encarregado de Proteção de Dados Pessoais, pelo canal disponibilizado no portal da Alepe na internet.

 

§ 2º A Alepe poderá exigir meios adequados e proporcionais para confirmar a identidade do titular requerente ou de seu representante legalmente constituído;

 

§ 3º O requerimento previsto neste Ato deverá ser respondido em até 30 dias, salvo impedimento de ordem legal, técnica ou administrativa, que deverá ser devidamente informada ao titular requerente.

 

§ 4º Quando for realizada a anonimização ou pseudonimização de dado pessoal em documento vinculado ao processo legislativo, a Secretaria Geral da Mesa Diretora (SGMD) deverá guardar a versão original do documento, cujo acesso será restrito a servidores e colaboradores essenciais à respectiva tramitação ou arquivamento.

 

CAPÍTULO IV

DO ENCARREGADO

 

Art. 10. O Encarregado de Proteção de Dados Pessoais é o responsável por atuar como canal de comunicação entre a Alepe, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

 

§ 1º O Encarregado de Proteção de Dados Pessoais da Alepe deverá ser designado por Ato do Presidente nos termos dos arts. 23 e 41 da LGPD e do art. 6º, § 4-F, da Lei estadual 15.161/2013.

 

§ 2º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, no portal da Alepe na internet.

 

Art. 11. Compete ao Encarregado:

 

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

 

II - receber comunicações da autoridade nacional e adotar providências;

 

III - orientar os servidores e os contratados da Assembleia a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

 

IV - fomentar a cultura de proteção de dados pessoais na Alepe;

 

V - expor sobre assunto de sua competência quando convocado pela Mesa Diretora; e

 

VI - executar as demais atribuições determinadas pela Alepe ou estabelecidas em normas complementares.

 

CAPÍTULO V

DAS BOAS PRÁTICAS

 

Art. 12. A Alepe e aqueles que, sob sua determinação, atuarem na condição de operadores de tratamento de dados pessoais, adotarão medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração ou vazamento.

 

Parágrafo único. As medidas previstas no caput deste artigo deverão ser observadas desde a fase de concepção até a conclusão de sua execução.

 

Art. 13. A Alepe comunicará à ANPD e ao titular de dados pessoais a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante.

 

§ 1º A comunicação será feita em prazo razoável, conforme definido em regulamentação específica, e deverá mencionar, no mínimo:

 

I - a descrição da natureza dos dados afetados;

 

II - as informações sobre os titulares envolvidos;

 

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

 

IV - os riscos relacionados ao incidente;

 

V - os motivos da demora, caso a comunicação não tenha sido imediata; e

 

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

 

§ 2º O Comitê de Resposta a Incidentes de Segurança da Informação, ou órgão equivalente da Assembleia, deverá comunicar ao Encarregado a ocorrência de incidente que possa acarretar risco ou dano relevante aos titulares de dados pessoais controlados pela Alepe, bem como as medidas técnicas e administrativas tomadas para investigar e mitigar os efeitos do evento.

 

Art. 14. A Alepe manterá um plano para oferecer capacitação, em diferentes níveis de complexidade, aos seus servidores e colaboradores na temática de proteção de dados pessoais.

Parágrafo único. O plano de capacitação deverá considerar a necessidade de treinamentos específicos e personalizados para aqueles servidores e colaboradores que atuam diretamente na proteção de dados ou segurança da informação.

 

Art. 15. A Alepe disponibilizará plataforma digital para centralizar o acesso interno aos dados pessoais tratados na Casa.

 

Art. 16. A adequação progressiva de bancos de dados e sistemas constituídos e utilizados pela Alepe será objeto de regulamentação específica por Ato da Mesa Diretora ou Portaria da Superintendência Geral, consideradas a complexidade das operações de tratamento e a natureza dos dados envolvidos.

 

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS

 

Art. 17. Será criado Grupo de Trabalho Permanente de Gestão de Dados Pessoais, com competência para auxiliar a Mesa Diretora na:

 

I - governança dos dados pessoais controlados pela Alepe;

 

II - acompanhamento da aplicação deste Ato e demais normativos relacionados a proteção de dados;

 

III - adoção de novas medidas técnicas e administrativas necessárias para aumentar a proteção dos dados pessoais controlados pela Alepe; e

 

IV - revisão periódica deste Ato e de outros normativos internos relacionados à proteção de dados.

 

Art. 18. Este Ato entra em vigor na data de sua publicação.

 

Sala Torres Galvão, em 10 de dezembro de 2024.

 

Deputado Álvaro Porto

Presidente

 

Deputado Aglailson Victor

1º Vice-Presidente

 

Deputado Francismar Pontes

2º Vice-Presidente

 

Deputado Gustavo Gouveia

1º Secretário

 

Deputada Socorro Pimentel

3ª Secretária

 

Deputado Joel da Harpa

4º Secretário

 

Rodrigo Farias

1º Suplente

 

ANEXO ÚNICO

 

As terminologias previstas no art. 5º da LGPD adotadas pelo art. 1º, § 2º, deste Ato são:

 

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

 

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

 

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

 

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

 

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

 

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

 

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

 

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

 

IX - agentes de tratamento: o controlador e o operador;

 

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

 

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

 

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

 

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

 

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

 

XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

 

XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

 

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

 

XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

 

XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Este texto não substitui o publicado no Diário Oficial do Estado.