Art. 1º Instituir a Política de Privacidade e Proteção de Dados Pessoais no âmbito da Administração Pública Estadual direta, autárquica e fundacional do Poder Executivo do Estado de Rondônia, que tem por finalidade descrever os preceitos gerais para o tratamento de dados pessoais.
Art. 2º A Política de Privacidade e Proteção de Dados Pessoais deve ser aplicada a qualquer operação de tratamento de dados pessoais, nos meios físicos ou digitais, com vistas à proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, sem prejuízo da aplicação e exceções previstas na Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) e da Lei Federal nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI).
§ 1º As disposições desta Política prevalecem, no que for conflitante, sobre as políticas de privacidade e proteção de dados pessoais já existentes nos órgãos e entidades do Poder Executivo Estadual.
§ 2º Os órgãos e entidades do Poder Executivo Estadual, considerando suas competências e especificidades, poderão formular suas próprias políticas de privacidade e proteção de dados pessoais, respeitando as disposições desta Instrução Normativa.
Art. 3º Para efeitos desta Instrução Normativa, considera-se:
- I - agentes de tratamento: o controlador e o operador;
- II - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
- III - Autoridade Nacional de Proteção de Dados - ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional;
- IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
- V - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
- VI - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
- VII - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- VIII - cookies: são arquivos armazenados nos computadores ou dispositivos móveis do usuário que, ao acessar uma página web, guardam e recuperam informações relacionadas à sua navegação;
- IX - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- X - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- XI - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
- XII - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
- XIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
- XIV - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- XV - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
- XVI - Relatório de Impacto à Proteção de Dados Pessoais (RIPD): documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
- XVII- titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- XVIII - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
- XIX- tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; e
- XX - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
Art. 4º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios elencados no art. 6º da LGPD.
Art. 5º O Estado de Rondônia, no âmbito da Administração Pública Estadual Direta, será o controlador por direito, sendo que seus órgãos e entidades desempenharão funções típicas de controlador por força da desconcentração administrativa.
§ 1º Os integrantes das pessoas jurídicas tais como empregados, administradores, sócios,
servidores públicos, funcionários e equipes de trabalho não serão caracterizados como controladores ou operadores, tendo em vista sua subordinação e atuação sob o poder diretivo dos agentes de tratamento.
§ 2º Dependendo da atividade de tratamento de dados pessoais e considerando suas competências, o órgão ou a entidade poderão ser caracterizados como operador.
Art. 6º O tratamento de dados pessoais será realizado para o atendimento da finalidade pública, na persecução do interesse público, com o objetivo de executar competências legais ou cumprir com as atribuições legais do serviço público, devendo os órgãos e entidades pertencentes à Administração Pública Estadual direta, autárquica e fundacional:
- I - informarem as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos; e
- II - indicarem um encarregado pelo tratamento de dados pessoais.
Art. 7º O tratamento de dados pessoais ou de dados pessoais sensíveis deverá observar as hipóteses previstas nos arts. 7º e 11 da LGPD.
Art. 8º A transferência internacional de dados pessoais observará as previsões legais e se orientará pelas disposições da LGPD e normas correlatas.
Art. 9º O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, devendo, quando se tratar de crianças, haver consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, sem prejuízo das exceções previstas na Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).
Art. 10. Os órgãos e entidades poderão tratar dados em caráter temporário (cookies), para a geração de informações estatísticas de visitação em portais institucionais e aperfeiçoamento da experiência do usuário na utilização de serviços online, desde que devidamente informado.
Art. 11. Os órgãos e entidades manterão registro das operações de tratamento de dados pessoais que realizarem.
§ 1º Para atendimento ao disposto no caput deste artigo, os órgãos e entidades deverão realizar o Inventário de Dados Pessoais - IDP.
§ 2º Quando necessário, os órgãos e entidades deverão proceder com a elaboração do Relatório de Impacto à Proteção de Dados Pessoais - RIPD.
Art. 12. O IDP e o RIPD a que se refere o artigo anterior, serão objetos de regulamentação pelo Comitê Gestor de Privacidade e Proteção de Dados Pessoais - CGPD.
Art. 13. Os órgãos e entidades deverão indicar formalmente o encarregado pelo tratamento de dados pessoais em atendimento à LGPD e ao Decreto Estadual nº 26.451/2021.
Art. 14. Compete ao encarregado pelo tratamento de dados pessoais:
- I - auxiliar o órgão ou entidade a adaptar seus processos de acordo com a LGPD, incluindo a responsabilidade quanto à orientação e aplicação de boas práticas e governança;
- II - trabalhar de forma integrada com os respectivos agentes de tratamento, considerando a necessidade de monitoramento regular e sistemático das atividades destes;
- III - receber reclamações e comunicações dos titulares, prestar esclarecimentos, alertar o controlador, sugerir e monitorar a implementação de medidas pertinentes;
- IV - receber comunicações da Autoridade Nacional de Proteção de Dados - ANPD, alertar o controlador, bem como sugerir e monitorar a implementação de medidas pertinentes;
- V - orientar os funcionários, servidores e contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e às normas internas estabelecidas, se houver;
- VI - recomendar as salvaguardas para mitigar quaisquer riscos aos direitos dos titulares de dados pessoais tratados pelo órgão, inclusive salvaguardas técnicas e medidas organizacionais;
- VII - assessorar os responsáveis pelo tratamento de dados pessoais na realização de inventários de dados pessoais e emissão de relatórios de impacto à proteção de dados pessoais; e
- VIII - executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Art. 15. O uso compartilhamento de dados pessoais pelos órgãos e entidades do Poder Executivo do Estado deve atender a finalidades específicas de execução de políticas públicas e suas atribuições legais, respeitados os princípios do art. 4º desta Instrução Normativa.
Parágrafo único. É vedado aos órgãos e entidades transferirem a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
- I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
- II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da LGPD;
- III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
- IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Art. 16. O titular dos dados pessoais tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
- I - finalidade específica do tratamento;
- II - forma e duração do tratamento, observados os segredos comercial e industrial;
- III - identificação do controlador;
- IV - informações acerca do uso compartilhado de dados pelo controlador e a finalidade; e
- V - responsabilidades dos agentes que realizarão o tratamento.
Art. 17. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
- I - confirmação da existência de tratamento;
- II - acesso aos dados;
- III - correção de dados incompletos, inexatos ou desatualizados;
- IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
- VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- IX - revogação do consentimento, nos termos do § 5º do art. 8º da LGPD;
- X - revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade;
- XI - informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial; e
- XII - cópia eletrônica integral de seus dados pessoais quando o tratamento tiver origem no seu consentimento ou em contrato, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive Instrução Normativa 1 (0031566191) SEI 0007.068261/2022-81 / pg. 5 em outras operações de tratamento.
Art. 18. As manifestações do titular deverão ser efetivadas por meio do canal Fala.BR Rondônia da Ouvidoria-Geral do Estado de Rondônia - OGE, direcionadas aos órgãos e entidades a que se referem.
Art. 19. Os órgãos do Poder Executivo Estadual, dispondo desta Política, empreenderão esforços para adoção gradual de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Parágrafo único. As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Art. 20. As atividades de tratamento de dados pessoais serão realizadas observando-se as diretrizes da Política de Segurança da Informação elaborada pela Superintendência Estadual de Tecnologia da Informação e Comunicação - SETIC, nos termos do inciso IV, art. 114-A, da Lei Complementar nº965/2017.
Art. 21. A gestão da segurança da informação compete à SETIC, que estabelecerá diretrizes gerais, bem como medidas e controles adequados para promover a proteção dos dados pessoais no âmbito do Poder Executivo Estadual.
Art. 22. A segurança da informação deve ser observada pelos agentes de tratamento ou por qualquer pessoa que intervenha em uma das fases do tratamento, inclusive após o seu término.
Art. 23. Compete aos órgãos e entidades do Poder Executivo Estadual em todos os níveis:
- I - documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais, cumprindo com o disposto no art. 11 desta Instrução Normativa;
- II - proteger a privacidade dos dados pessoais desde seu ingresso na Instituição;
- III - limitar-se ao tratamento do mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados pessoais;
- IV - manter controles internos em suas atividades, conforme necessidade, a fim de promover a conformidade com o adequado tratamento de dados pessoais previsto na LGPD e normas correlatas;
- V - prestar esclarecimentos e demais informações relativas ao tratamento de dados pessoais ao CGPD, Controladoria-Geral do Estado - CGE, Ouvidoria-Geral do Estado - OGE e demais órgãos de monitoramento;
- VI - conduzir esforços para implementação de boas práticas de privacidade, segurança e de governança visando o adequado tratamento de dados pessoais em conformidade com as orientações e recomendações do CGPD e da Autoridade Nacional de Proteção de Dados - ANPD;
- VII - prestar suporte aos órgãos de fiscalização e ao encarregado pelo tratamento de dados pessoais no cumprimento de suas atribuições; e
- VIII - incentivar a participação de seus servidores em ações de capacitação, quando promovidas e indicadas pelo CGPD, visando exercer as atividades que envolvam o tratamento de dados pessoais com eficiência, ética e responsabilidade.
Art. 24. Quando um órgão ou entidade estiver fornecendo serviços a outro, no âmbito de Instrução Normativa 1 (0031566191) SEI 0007.068261/2022-81 / pg. 6 suas competências, caracterizando-se como operador, seguirá as diretrizes do controlador que é responsável pelas decisões referentes ao tratamento de dados pessoais nos termos da LGPD.
Art. 25. O órgão ou entidade comunicará ao CGPD a ocorrência de incidente de segurança da informação que envolva dados pessoais, permitindo que o referido Comitê acompanhe as investigações e avaliações.
Art. 26. O Comitê Gestor de Privacidade e Proteção de Dados Pessoais - CGPD estabelecerá o conjunto de regras de boas práticas e de governança, diretrizes, políticas, projetos, ações e metas estratégicas a serem observados pelos órgãos e entidades do Poder Executivo do Estado.
§ 1º Os órgãos e entidades implementarão plano de adequação à LGPD ou programa de governança em privacidade, atentando-se aos requisitos mínimos do inciso I do § 2° do art. 50 da Lei Federal n° 13.709, de 2018, sempre que, na sua avaliação, a estrutura, a escala e o volume das operações de tratamento de dados pessoais na sua repartição recomendarem.
§ 2º Os órgãos e entidades poderão formular regras de boas práticas e de governança complementares às do CGPD, que estabeleçam as condições de organização, o regime de funcionamento, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 3º As regras de boas práticas e de governança a que se referem o parágrafo anterior deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pelo CGPD e
pela ANPD.
Art. 27. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
- I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
- II - fim do período de tratamento;
- III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento resguardado o interesse público; ou
- IV - determinação da autoridade nacional, quando houver violação ao disposto na LGPD.
Art. 28. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
- I - cumprimento de obrigação legal ou regulatória pelo controlador;
- II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou
- IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Art. 29. O descumprimento das disposições constantes nesta Política poderá implicar em sanções administrativas, civis e penais previstas na legislação em vigor, inclusive na responsabilização de agentes públicos nos termos da Lei Complementar Estadual nº 68, de 9 de dezembro de 1992, sem prejuízo da aplicação de outras normas correlatas.
Art. 30. Esta Política de Privacidade e Proteção de Dados Pessoais será revisada e aperfeiçoada permanentemente, conforme o surgimento de novos entendimentos e de inovação na legislação, ambos correlatos ao tratamento de dados pessoais, devendo o Comitê Gestor de Privacidade e Proteção de Dados Pessoais - CGPD publicar informação sobre sua atualização por meio de sítio eletrônico.
Parágrafo único. A proposta de alteração desta Política de Privacidade deverá ser submetida ao CGPD para deliberação e manifestação.
Art. 31. Os órgãos do Poder Executivo Estadual atenderão as normas pertinentes ao tratamento de dados pessoais, bem como às regulamentações e requisições da autoridade nacional e do CGPD.
Art. 32. Esta Instrução Normativa entra em vigor na data de sua publicação