Art. 1º. Instituir, no âmbito da Superintendência Estadual de Tecnologia da Informação e Comunicação (SETIC), a Política de Privacidade, que tem por finalidade descrever os preceitos gerais adotados no tratamento de dados pessoais.
Art. 2º. A Política de Privacidade deve ser aplicada a qualquer operação de tratamento de dados pessoais com vistas à proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, sem prejuízo das exceções previstas na Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).
- I. Agentes de tratamento: o controlador e o operador;
- II. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, pormeio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
- III. Autoridade Nacional de Proteção de Dados - ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional;
- IV. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
- V. Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
- VI. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
- VII. Cookies: são arquivos armazenados nos computadores ou dispositivos móveis do usuário que, ao acessar uma página web, guardam e recuperam informações relacionadas à sua navegação;
- VIII. Possuir Firewall Ativo e Configurado
- IX. Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- X. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- XI. Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
- XII. Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
- XIII. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
- XIV. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- XV. Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
- XVI. Relatório de Impacto à Proteção de Dados Pessoais (RIPD): documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
- XVII. Termo de uso: documento que estabelece as regras e condições de uso de determinado serviço;
- XVIII. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- XIX. Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
- XX. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
- XXI. Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
- XXII. Usuário: pessoa física, seja servidor ou equiparado, empregado ou prestador de serviços, habilitada pela administração para acessar os ativos de informação de um órgão ou entidade da administração pública, formalizada por meio da assinatura de Termo de Responsabilidade.
Art. 4º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
- I. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- II. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- III. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- IV. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- V. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- VI. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- VII. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- VIII. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- IX. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
- X. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 5º. A SETIC é controladora, nos termos da LGPD, em relação ao tratamento de dados pessoais que realiza sob os quais detém o poder de decisão.
§ 1º A SETIC poderá ser caracterizada como operadora, de acordo com sua atuação quanto ao tratamento de dados pessoais, considerando suas competências definidas em Lei.
§ 2º A SETIC poderá atuar em conjunto com operadores, que deverão realizar o tratamento de dados pessoais segundo as instruções fornecidas.
§ 3º Os integrantes da pessoa jurídica tais como servidores públicos, empregados, funcionários e equipes de trabalho não serão caracterizados como controladores ou operadores, tendo em vista sua subordinação e atuação sob o poder diretivo dos agentes de tratamento.
Art. 6º. O tratamento de dados pessoais será realizado para o atendimento da finalidade pública, na persecução do interesse público, com o objetivo de executar competências legais ou cumprir atribuições legais do serviço público, devendo a SETIC:
- I. Informar as hipóteses em que, no exercício de suas competências, realiza o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seu sítio eletrônico;
- II. indicar um encarregado pelo tratamento de dados pessoais.
Art. 7º. O tratamento de dados pessoais no âmbito da SETIC deve observar as hipóteses previstas nos arts. 7º e 11 da LGPD.
Art. 8º. A transferência internacional de dados pessoais observará as previsões legais e se orientará pelas disposições da LGPD e normas correlatas.
Art. 9º. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, sem prejuízo das exceções previstas na Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).
Art. 10. A SETIC poderá tratar dados em caráter temporário (cookies), para geração de informações estatísticas de visitação em portais institucionais e aperfeiçoamento da experiência do usuário na utilização de serviços online.
Art. 11. A SETIC manterá registro das operações de tratamento de dados pessoais que realizar. Parágrafo único. Para atendimento ao disposto no caput, será realizado o inventário de dados pessoais que conterá no mínimo as seguintes informações:
- I. Descrição do serviço ou do produto;
- II. Forma de acesso ao serviço ou produto;
- III. Hipótese de tratamento;
- IV. Previsão legal para realização do tratamento;
- V. Forma de coleta dos dados pessoais;
- VI. Fluxo de tratamento;
- VII. Duração do tratamento;
- VIII. Descrição dos dados pessoais tratados, destacando-se os sensíveis e de crianças e adolescentes;
- IX. Informações sobre o compartilhamento dos dados pessoais;
- X. Aspectos relativos à segurança no tratamento
Art. 12. O relatório de impacto à proteção de dados pessoais, quando necessário, deverá conter no mínimo:
- I. A descrição dos tipos de dados coletados;
- II. A metodologia utilizada para a coleta e para a garantia da segurança das informações;
- III. A análise com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Art. 13. O encarregado pelo tratamento de dados pessoais, nomeado por ato próprio da autoridade máxima da SETIC, terá como atividades as previstas no § 2º, art. 41, da Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), bem como as atribuições previstas no art. 2º, da Portaria nº 43, de 18 de maio de 2021, da SETIC.
§ 1º A identidade e as informações de contato do encarregado serão divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico da SETIC.
§ 2º O encarregado estará vinculado ao Controle Interno que lhe prestará apoio e subsídios, em nível tático e operacional, na execução de suas atividades, devendo ainda, o encarregado, integrar o Comitê Gestor de Privacidade e Proteção de Dados Pessoais (CGPD) da SETIC.
Art. 14. O titular dos dados pessoais tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
- I. Finalidade específica do tratamento;
- II. Forma e duração do tratamento, observados os segredos comercial e industrial;
- III. Identificação do controlador;
- IV. Informações acerca do uso compartilhado de dados pelo controlador e a finalidade; e
- V. Responsabilidades dos agentes que realizarão o tratamento.
Art. 15. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
- I. Confirmação da existência de tratamento;
- II. Acesso aos dados;
- III. Correção de dados incompletos, inexatos ou desatualizados;
- IV. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- V. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- VI. Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
- VII. Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- VIII. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- IX. Revogação do consentimento, nos termos do § 5º do art. 8º da LGPD;
- X. Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade;
- XI. Informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial;
- XII. Cópia eletrônica integral de seus dados pessoais quando o tratamento tiver origem no seu consentimento ou em contrato, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento;
Art. 16. As manifestações do titular deverão ser efetivadas por meio do Fala.BR Rondônia da Ouvidoria-Geral do Estado de Rondônia - OGE, direcionadas à SETIC.
Parágrafo único. O processo de atendimento de que trata o caput seguirá preferencialmente o fluxo constante no Anexo Único desta Portaria.
Art. 17. A SETIC, dispondo desta Política de Privacidade, empreenderá esforços para adoção gradual de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
§ 2º Embora a SETIC siga padrões e critérios nacionais e internacionais amplamente aceitos, tal precaução não implica em garantia contra a possibilidade de incidentes de segurança ou violação da proteção de dados pessoais, tendo em vista, sobretudo, a contínua diversificação dos riscos cibernéticos.
Art. 18. As atividades de tratamento de dados pessoais serão realizadas observando-se os ditames da Política de Segurança da Informação da SETIC, instituída por meio da Portaria nº 97, de 9 de junho de 2021.
Art. 19. A gestão da segurança da informação compete à Coordenadoria de Segurança da Informação da SETIC, que adotará ou recomendará medidas e controles adequados para promover a proteção dos dados pessoais tratados pela SETIC.
Art. 20. A segurança da informação deve ser observada pelos agentes de tratamento ou por qualquer pessoa que intervenha em uma das fases do tratamento, inclusive após o seu término.
Art. 21. Compete às unidades administrativas da SETIC em todos os níveis:
- I. Documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais, cumprindo com o disposto no art. 11 desta Portaria;
- II. Proteger a privacidade dos dados pessoais desde seu ingresso na Instituição;
- III. Limitar-se ao tratamento do mínimo necessário para a realização de suas finalidades, quando controlador dos dados pessoais, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados pessoais, submetendo ao encarregado para apreciação;
- IV. Manter controles internos em suas atividades, conforme necessidade, a fim de promover a conformidade com o adequado tratamento de dados pessoais previsto na LGPD e normas correlatas;
- V. Prestar esclarecimentos e demais informações relativas ao tratamento de dados pessoais ao controlador, encarregado e ao Comitê Gestor de Privacidade e Proteção de Dados Pessoais da SETIC;
- VI. Conduzir esforços para implementação de boas práticas de privacidade, segurança e de governança visando o adequado tratamento de dados pessoais em conformidade com as orientações do controlador, encarregado e do Comitê Gestor de Privacidade e Proteção de Dados Pessoais da SETIC;
- VII. Prestar suporte ao encarregado pelo tratamento de dados pessoais no cumprimento de suas atribuições;
- VIII. Participar de ações de capacitação, quando promovidas e indicadas pela SETIC ou pelo encarregado, visando exercer as atividades que envolvam o tratamento de dados pessoais com eficiência, ética, critério e responsabilidade.
Art. 22. Quando a SETIC estiver fornecendo serviços aos órgãos da Administração Pública Estadual Direta ou Indireta, no âmbito de suas competências, caracterizando-se assim como operadora, seguirá as diretrizes do controlador que é responsável pelas decisões referentes ao tratamento de dados pessoais nos termos da LGPD.
Parágrafo único. A SETIC, no limite de suas competências, orientará o controlador quanto ao adequado tratamento de dados pessoais, cabendo as decisões finais ao controlador.
Art. 23. A SETIC comunicará à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Art. 24. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma gradual objetivando atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) e às demais normas regulamentares.
Art. 25. A SETIC, no âmbito de suas competências, visando o tratamento de dados pessoais, individualmente ou por meio de associações, poderá formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, a SETIC levará em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
§ 2º As regras de boas práticas e de governança serão publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
§ 3º A SETIC norteará suas ações de conformidade com o tratamento de dados pessoais tendo como base o Programa de Governança em Privacidade (PGP), instituído por meio da Portaria nº 54, de 28 de julho de 2021, da SETIC.
§ 4º A SETIC contará com o assessoramento, em nível estratégico e tático, do Comitê Gestor de Privacidade e Proteção de Dados Pessoais (CGPD), instituído mediante Portaria nº 42, de 18 de março de 2021, da SETIC.
Art. 26. Os serviços prestados pela SETIC estarão adstritos ao aceite de seus respectivos termos de uso, que conterão, no mínimo:
- I. Descrição do produto/serviço;
- II. Forma de acesso;
- III. Hipótese de tratamento;
- IV. Previsão legal;
- V. Forma de coleta dos dados pessoais;
- VI. Fluxo de tratamento;
- VII. Duração do tratamento;
- VIII. Descrição dos dados pessoais tratados, destacando-se os sensíveis e de crianças e adolescentes;
- IX. Informações sobre o compartilhamento dos dados pessoais;
- X. Aspectos relativos à segurança no tratamento;
- XI. Direitos do usuário;
- XII. Responsabilidades das partes envolvidas;
- XIII. Informações sobre alterações, contato e foro.
Art. 27. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
- I. Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada
- II. Fim do período de tratamento;
- III. Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento resguardado o interesse público; ou
- IV. Determinação da autoridade nacional, quando houver violação ao disposto na LGPD.
Art. 28. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
- I. Cumprimento de obrigação legal ou regulatória pelo controlador;
- II. Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- III. Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD;
- IV. Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Art. 29. O descumprimento das disposições constantes nesta Política poderá implicar em sanções administrativas, civis e penais previstas na legislação em vigor, inclusive na responsabilização de agentes públicos nos termos da Lei Complementar Estadual nº 68, de 9 de dezembro de 1992, sem prejuízo da aplicação de outras normas correlatas.
Art. 30. Esta Política de Privacidade será revisada e aperfeiçoada permanentemente, conforme o surgimento de novos entendimentos e de inovação na legislação, ambos correlatos ao tratamento de dados pessoais, devendo a SETIC publicar informação sobre sua atualização por meio do seu sítio eletrônico.
Parágrafo único. A proposta de alteração desta Política de Privacidade deverá ser submetida ao CGPD para deliberação e manifestação, para posterior submissão à aprovação pela autoridade máxima da SETIC.
Art. 31. A SETIC atenderá às normas pertinentes ao tratamento de dados pessoais, bem como às regulamentações e requisições da autoridade nacional.
Art. 32. Esta Portaria entra em vigor na data de sua publicação.
Figura - Fluxo de atendimento da SETIC a titular de dados pessoais
Fonte: Elaboração Própria(2021)