ATO DA MESA DIRETORA Nº 2, DE 10 DE
DEZEMBRO DE 2024.
Institui a Política
de Proteção de Dados Pessoais da Assembleia Legislativa do Estado de Pernambuco
(Alepe).
A
MESA DIRETORA DA ASSEMBLEIA LEGISLATIVA DO ESTADO DE PERNAMBUCO, no uso de suas
atribuições regimentais,
RESOLVE:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Fica instituída a Política de
Proteção de Dados Pessoais da Assembleia Legislativa do Estado de Pernambuco.
§ 1º A política instituída por este Ato
regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei
Geral de Proteção de Dados Pessoais (LGPD) -, no âmbito da Alepe.
§ 2º Para os fins deste Ato, adotam-se as
terminologias previstas no art. 5º da LGPD, reproduzidas no Anexo Único deste normativo.
§ 3º Este Ato não se aplica ao tratamento
de dados pessoais realizado por gabinetes parlamentares, lideranças partidárias
e frentes parlamentares, quando o tratamento não utilizar procedimentos
administrativos ou sistemas institucionais da Alepe.
Art. 2º A Assembleia Legislativa do Estado
de Pernambuco, representada pelo seu presidente, nos termos do art. 2º de seu Regimento Interno, é controladora dos
dados pessoais por ela tratados.
Parágrafo único. São consideradas
operadoras as pessoas naturais ou jurídicas, de direito público ou privado,
vinculadas à Alepe por meio de contrato, convênio ou instrumento congênere,
designadas para realizar o tratamento de dados pessoais em nome da Assembleia e
no limite das finalidades por ela determinadas.
CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS NA ALEPE
Art. 3º O tratamento de dados pessoais na
Alepe ocorrerá em atendimento à sua finalidade pública, na persecução do interesse
público, com o objetivo de executar suas competências legais ou cumprir as
atribuições legais do serviço público.
Art. 4º A Alepe poderá realizar tratamento
de dados pessoais com base em qualquer das hipóteses autorizadas pela Legislação,
em especial aquelas previstas nos arts. 7º, 11, 14 e 23 da LGPD.
Art. 5º Considera-se legítimo interesse da
Alepe, de que trata o art. 10 da LGPD, sem prejuízo de outras hipóteses, o fortalecimento
da democracia, a promoção da instituição, a aproximação com a sociedade, a
preservação histórica, o exercício das atividades de representação do povo pernambucano,
de legislar sobre os assuntos de interesse estadual, de controle e fiscalização
dos atos da Administração Pública e da aplicação dos recursos públicos em
Pernambuco.
Art. 6º Os direitos do titular de dados pessoais,
em qualquer caso, serão ponderados com o interesse público de conservação de
dados históricos, preservação da transparência da instituição e das condutas de
agentes públicos, no exercício de suas atribuições, e divulgação de informações
relevantes à sociedade, no exercício da democracia.
Art. 7º O tratamento de dados pessoais
sensíveis pela Alepe somente ocorrerá nas seguintes hipóteses:
I - quando o titular ou seu responsável
legal consentir, de forma específica e destacada, para finalidades determinadas;
II - sem o consentimento do titular, nos
casos em que for indispensável para:
a) cumprimento de obrigação
constitucional, legal ou regulatória;
b) tratamento compartilhado de dados
necessários à execução de políticas públicas previstas em legislação
específica;
c) realização de estudos, garantida,
sempre que possível, sua anonimização;
d) exercício regular de direitos,
inclusive em contrato e em processo judicial, administrativo e arbitral, este
último nos termos da Lei nº 9.307, de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade
física do titular ou de terceiros;
f) tutela da saúde, exclusivamente, em
procedimento realizado por profissionais de saúde, serviços de saúde ou
autoridade sanitária; ou
g) garantia da prevenção à fraude e à
segurança do titular, nos processos de identificação e autenticação de cadastro
em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da
LGPD, e exceto no caso de prevalecerem direitos e liberdades fundamentais do
titular que exijam a proteção dos dados pessoais.
Art. 8º O tratamento de dados pessoais de
crianças e adolescentes será realizado com vistas ao seu melhor interesse, nos termos
deste artigo e da legislação pertinente, observando-se:
I - a restrição a situações que demandem a
utilização desses dados em atividades e documentos do processo legislativo, cumprimento
de obrigações legais ou regulatórias e demais hipóteses ressalvadas pela LGDP;
II - a necessidade de consentimento
específico do responsável legal em formulário próprio, quando o tratamento não
tiver amparo em outra base legal;
III - a obtenção de dados pessoais
mínimos, com respeito ao princípio da necessidade.
§ 1º A Alepe poderá coletar e divulgar
internamente dados pessoais de crianças e adolescentes sem o consentimento a
que se refere o inciso II:
I - quando for necessário contatar o
responsável legal, para a proteção do menor;
II - em razão de dever previsto na Lei
Federal nº 8.069, de 13 de julho de 1990, que dispõe sobre o Estatuto da
Criança e do Adolescente - ECA.
§ 2º Os dados coletados na forma prevista
no § 1º não serão armazenados, podendo ser utilizados uma única vez e divulgados
externamente apenas:
I - para fins do disposto no inciso II do
§ 1º;
II - mediante requisição de autoridade policial
ou judicial.
§ 3º Nos termos do § 6º do art. 14 LGPD,
as informações relativas ao tratamento de dados de crianças e adolescentes deverão
ser fornecidas pela Alepe de maneira simples, clara, acessível e adequada ao
entendimento do titular dos dados ou do seu responsável legal.
CAPÍTULO III
DOS DIREITOS DO TITULAR
Art. 9º O titular dos dados pessoais tem o
direito de obter da Alepe, mediante requerimento, em relação a seus dados:
I - a confirmação da existência de
tratamento;
II - o acesso aos dados pessoais
submetidos a tratamento;
III - a possibilidade de correção de dados
incompletos, inexatos ou desatualizados;
IV - a anonimização, o bloqueio ou a
eliminação de dados desnecessários, excessivos ou tratados em desconformidade
com o disposto na LGPD e neste Ato;
V - a eliminação dos dados pessoais
tratados com o consentimento do titular, observadas as exceções previstas neste
Ato ou em outros normativos;
VI - a informação das entidades públicas e
privadas com as quais realizou uso compartilhado de dados;
VII - a informação sobre a possibilidade
de não consentir no tratamento de seus dados pessoais e sobre as consequências da
negativa;
VIII - a revogação do consentimento de
tratamento de seus dados pessoais, nos termos do § 5º do art. 8º da LGPD.
§ 1º O requerimento previsto neste artigo
deverá ser encaminhado ao Encarregado de Proteção de Dados Pessoais, pelo canal
disponibilizado no portal da Alepe na internet.
§ 2º A Alepe poderá exigir meios adequados
e proporcionais para confirmar a identidade do titular requerente ou de seu representante
legalmente constituído;
§ 3º O requerimento previsto neste Ato
deverá ser respondido em até 30 dias, salvo impedimento de ordem legal, técnica
ou administrativa, que deverá ser devidamente informada ao titular requerente.
§ 4º Quando for realizada a anonimização
ou pseudonimização de dado pessoal em documento vinculado ao processo legislativo,
a Secretaria Geral da Mesa Diretora (SGMD) deverá guardar a versão original do
documento, cujo acesso será restrito a servidores e colaboradores essenciais à
respectiva tramitação ou arquivamento.
CAPÍTULO IV
DO ENCARREGADO
Art. 10. O Encarregado de Proteção de
Dados Pessoais é o responsável por atuar como canal de comunicação entre a
Alepe, os titulares de dados e a Autoridade Nacional de Proteção de Dados
(ANPD).
§ 1º O Encarregado de Proteção de Dados
Pessoais da Alepe deverá ser designado por Ato do Presidente nos termos dos arts.
23 e 41 da LGPD e do art. 6º, § 4-F, da Lei
estadual 15.161/2013.
§ 2º A identidade e as informações de
contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva,
no portal da Alepe na internet.
Art. 11. Compete ao Encarregado:
I - aceitar reclamações e comunicações dos
titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade
nacional e adotar providências;
III - orientar os servidores e os
contratados da Assembleia a respeito das práticas a serem tomadas em relação à
proteção de dados pessoais;
IV - fomentar a cultura de proteção de
dados pessoais na Alepe;
V - expor sobre assunto de sua competência
quando convocado pela Mesa Diretora; e
VI - executar as demais atribuições
determinadas pela Alepe ou estabelecidas em normas complementares.
CAPÍTULO V
DAS BOAS PRÁTICAS
Art. 12. A Alepe e aqueles que, sob sua
determinação, atuarem na condição de operadores de tratamento de dados
pessoais, adotarão medidas de segurança, técnicas e administrativas, aptas a
proteger os dados pessoais de acessos não autorizados e de situações acidentais
ou ilícitas de destruição, perda, alteração ou vazamento.
Parágrafo único. As medidas previstas no caput
deste artigo deverão ser observadas desde a fase de concepção até a conclusão
de sua execução.
Art. 13. A Alepe comunicará à ANPD e ao
titular de dados pessoais a ocorrência de incidente de segurança que possa acarretar
risco ou dano relevante.
§ 1º A comunicação será feita em prazo
razoável, conforme definido em regulamentação específica, e deverá mencionar,
no mínimo:
I - a descrição da natureza dos dados
afetados;
II - as informações sobre os titulares
envolvidos;
III - a indicação das medidas técnicas e
de segurança utilizadas para a proteção dos dados, observados os segredos comercial
e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, caso a
comunicação não tenha sido imediata; e
VI - as medidas que foram ou que serão
adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º O Comitê de Resposta a Incidentes de
Segurança da Informação, ou órgão equivalente da Assembleia, deverá comunicar
ao Encarregado a ocorrência de incidente que possa acarretar risco ou dano
relevante aos titulares de dados pessoais controlados pela Alepe, bem como as
medidas técnicas e administrativas tomadas para investigar e mitigar os efeitos
do evento.
Art. 14. A Alepe manterá um plano para
oferecer capacitação, em diferentes níveis de complexidade, aos seus servidores
e colaboradores na temática de proteção de dados pessoais.
Parágrafo
único. O plano de capacitação deverá considerar a necessidade de treinamentos
específicos e personalizados para aqueles servidores e colaboradores que atuam
diretamente na proteção de dados ou segurança da informação.
Art. 15. A Alepe disponibilizará
plataforma digital para centralizar o acesso interno aos dados pessoais
tratados na Casa.
Art. 16. A adequação progressiva de bancos
de dados e sistemas constituídos e utilizados pela Alepe será objeto de regulamentação
específica por Ato da Mesa Diretora ou Portaria da Superintendência Geral, consideradas
a complexidade das operações de tratamento e a natureza dos dados envolvidos.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 17. Será criado Grupo de Trabalho
Permanente de Gestão de Dados Pessoais, com competência para auxiliar a Mesa Diretora
na:
I - governança dos dados pessoais
controlados pela Alepe;
II - acompanhamento da aplicação deste Ato
e demais normativos relacionados a proteção de dados;
III - adoção de novas medidas técnicas e
administrativas necessárias para aumentar a proteção dos dados pessoais controlados
pela Alepe; e
IV - revisão periódica deste Ato e de
outros normativos internos relacionados à proteção de dados.
Art. 18. Este Ato entra em vigor na data
de sua publicação.
Sala Torres Galvão, em 10 de dezembro de
2024.
Deputado Álvaro Porto
Presidente
Deputado Aglailson Victor
1º Vice-Presidente
Deputado Francismar Pontes
2º Vice-Presidente
Deputado Gustavo Gouveia
1º Secretário
Deputada Socorro Pimentel
3ª Secretária
Deputado Joel da Harpa
4º Secretário
Rodrigo Farias
1º Suplente
ANEXO ÚNICO
As
terminologias previstas no art. 5º da LGPD adotadas pelo art. 1º, § 2º, deste
Ato são:
I
- dado pessoal: informação relacionada a pessoa natural identificada ou
identificável;
II
- dado pessoal sensível: dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político, dado referente à saúde ou à
vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa
natural;
III
- dado anonimizado: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na
ocasião de seu tratamento;
IV
- banco de dados: conjunto estruturado de dados pessoais, estabelecido em um
ou em vários locais, em suporte eletrônico ou físico;
V
- titular: pessoa natural a quem se referem os dados pessoais que são objeto
de tratamento;
VI
- controlador: pessoa natural ou jurídica, de direito público ou privado, a
quem competem as decisões referentes ao tratamento de dados pessoais;
VII
- operador: pessoa natural ou jurídica, de direito público ou privado, que
realiza o tratamento de dados pessoais em nome do controlador;
VIII
- encarregado: pessoa indicada pelo controlador e operador para atuar como
canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD);
IX
- agentes de tratamento: o controlador e o operador;
X
- tratamento: toda operação realizada com dados pessoais, como as que se
referem a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração;
XI
- anonimização: utilização de meios técnicos razoáveis e disponíveis no
momento do tratamento, por meio dos quais um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo;
XII
- consentimento: manifestação livre, informada e inequívoca pela qual o
titular concorda com o tratamento de seus dados pessoais para uma finalidade
determinada;
XIII
- bloqueio: suspensão temporária de qualquer operação de tratamento, mediante
guarda do dado pessoal ou do banco de dados;
XIV
- eliminação: exclusão de dado ou de conjunto de dados armazenados em banco
de dados, independentemente do procedimento empregado;
XV
- transferência internacional de dados: transferência de dados pessoais para
país estrangeiro ou organismo internacional do qual o país seja membro;
XVI
- uso compartilhado de dados: comunicação, difusão, transferência
internacional, interconexão de dados pessoais ou tratamento compartilhado de
bancos de dados pessoais por órgãos e entidades públicos no cumprimento de
suas competências legais, ou entre esses e entes privados, reciprocamente,
com autorização específica, para uma ou mais modalidades de tratamento
permitidas por esses entes públicos, ou entre entes privados;
XVII
- relatório de impacto à proteção de dados pessoais: documentação do
controlador que contém a descrição dos processos de tratamento de dados
pessoais que podem gerar riscos às liberdades civis e aos direitos
fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de
risco;
XVIII
- órgão de pesquisa: órgão ou entidade da administração pública direta ou
indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente
constituída sob as leis brasileiras, com sede e foro no País, que inclua em
sua missão institucional ou em seu objetivo social ou estatutário a pesquisa
básica ou aplicada de caráter histórico, científico, tecnológico ou
estatístico;
XIX
- autoridade nacional: órgão da administração pública responsável por zelar,
implementar e fiscalizar o cumprimento desta Lei em todo o território
nacional.
|