|
Portaria SAD 1.820 - 25/04/2023 |
Inicio Anterior Próximo |
|
PORTARIA SAD Nº 1.820 DO DIA 25 DE ABRIL DE 2023.
A SECRETÁRIA DE ADMINISTRAÇÃO, no uso das atribuições que lhe foram conferidas pelo Decreto nº 39.117, de 8 de fevereiro de 2013,
CONSIDERANDO o disposto o previsto no art. 6º do Decreto nº 49.265, de 6 de agosto de 2020, que institui a Política Estadual de Proteção de Dados Pessoais do Poder Executivo Estadual, RESOLVE:
Art. 1º Fica aprovada a Política de Proteção de Dados Pessoais Local - PPDPL da Secretaria de Administração (SAD), na forma do Anexo Único desta portaria. Art. 2º A Política de Proteção de Dados Pessoais Local - PPDPL aprovada por esta portaria deverá ser disponibilizada para download no sítio eletrônico desta Secretaria de Administração, podendo ser revisada a qualquer tempo. Art. 3º Fica revogada a Portaria SAD nº 3.507, de 14 de dezembro de 2022. Art. 4º Esta Portaria entra em vigor na data de sua publicação.
ANA MARAÍZA DE SOUZA SILVA Secretária de Administração
ANEXO ÚNICO
POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS LOCAL - PPDPL DA SECRETARIA DE ADMINISTRAÇÃO DO ESTADO DE PERNAMBUCO
CAPÍTULO I DISPOSIÇÕES PRELIMINARES
Art. 1º A Política de Proteção de Dados Pessoais Local - PPDPL - SAD tem por finalidade estabelecer os princípios, diretrizes e responsabilidades mínimas a serem observados e seguidos para a proteção dos dados pessoais aos planos estratégicos, programas, projetos e processos da Secretaria de Administração do Estado de Pernambuco - SAD.
Parágrafo único. A Política de Proteção de Dados Pessoais Local – PPDPL- SAD será também composta pelo Plano de Implementação de Controle. Art. 2º A PPDPL-SAD e suas eventuais normas complementares, metodologias, manuais e procedimentos aplicam-se a todos os setores da SAD, abrangendo os servidores, prestadores de serviço, colaboradores, estagiários, consultores externos e quem, de alguma forma, desempenhe atividades de tratamento de dados pessoais, em nome da Secretaria.
CAPÍTULO II DOS PRINCÍPIOS E OBJETIVOS
Art. 3º As atividades de proteção de dados pessoais no âmbito da SAD, bem como seus instrumentos resultantes, devem se guiar pelos seguintes princípios, além dos previstos no Decreto nº 49.265, de 6 de agosto de 2020:
I - aderência à integridade e aos valores éticos no tratamento de dados pessoais; II - adequado suporte de tecnologia da informação para apoiar os processos de adaptação dos tratamentos de dados pessoais; III - disseminação de informações necessárias ao fortalecimento da cultura do tratamento de dados pessoais em respeitos à Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD; IV - realização de avaliações periódicas internas para verificar a eficácia da proteção de dados pessoais, comunicando o resultado aos responsáveis pela adoção de ações corretivas, inclusive à alta administração; V - estruturação do conhecimento e das atividades em metodologias, normas, manuais e procedimentos; e VI - aderência dos métodos e modelos de tratamento de dados às exigências regulatórias da LGPD.
Art. 4º A PPDPL-SAD tem por objetivos:
I - proporcionar a adequação das atividades desenvolvidas pela SAD à Lei Geral de Proteção de Dados - LGPD e regulamentos emitidos pela Autoridade Nacional de Proteção de Dados Pessoais - ANPD, em consonância com atingimento dos objetivos estratégicos;
II - produzir informações íntegras, confiáveis e completas das demandas dos titulares do dado; III - salvaguardar o direito à proteção dos dados pessoais dos titulares; IV - possibilitar a adequada apuração dos responsáveis, em todos os níveis, que tenham acesso inadequado aos dados pessoais, em especial, aqueles considerados sensíveis, considerando o disposto na Lei nº 6.123, de 20 de julho de 1968 (Estatuto do Servidor Público Estadual); V- reduzir os riscos relacionados a incidentes envolvendo dados pessoais, com a implantação de medidas de controle de segurança da informação; e VI - orientar e servir de diretriz para os agentes de tratamento.
CAPÍTULO III DAS DIRETRIZES
Art. 5º São diretrizes da PPDPL-SAD:
I - a gestão da integridade com a promoção da cultura ética, focada na preservação da privacidade; II - o fortalecimento da integridade institucional, a partir do diagnóstico de vulnerabilidades na segurança da informação; III – a capacitação adequada da Encarregada e sua equipe de apoio e dos agentes de tratamento; IV - o fortalecimento dos mecanismos de comunicação de possíveis incidentes deve ser pautado pela tempestividade, a implementação de melhorias de segurança e a obtenção de informações sobre as origens da vulnerabilidade; V – a disponibilização de informações ao titular primada pela atuação transparente e garantia da disponibilização do dado de forma clara, precisa e adequada, conforme legislação vigente; e VI - a gestão de riscos será sistematizada e suportada pelas premissas de metodologias técnicas.
Parágrafo único. O modelo de gestão de gerenciamento de riscos deve seguir o método de priorização de processos, considerando sua relevância e impacto na estratégia da Secretaria.
CAPÍTULO IV DOS INSTRUMENTOS
Art. 6º São instrumentos da PPDPL-SAD: I - a metodologia: o modelo de gestão de riscos deve ser estruturado com base nas orientações da Secretaria da Controladoria Geral do Estado; II - a capacitação continuada: o Plano Anual de Capacitação, incluindo o eixo temático de Segurança da Informação e Proteção de Dados Pessoais; III – a normatização: legislação, manuais e procedimentos formalmente definidos, em especial, no âmbito da SAD; e IV - a solução tecnológica: o processo de gestão de riscos deve ser apoiado por adequado suporte de tecnologia da informação.
CAPÍTULO V DAS INSTÂNCIAS DE SUPERVISÃO, COMPOSIÇÃO E DAS ATRIBUIÇÕES E RESPONSABILIDADES
Seção I Do Controlador, Encarregada e Operadores
Art. 7º A Secretaria de Administração de Pernambuco é a controladora dos dados pessoais por ela tratados, nos termos das suas competências legal e institucional.
Art. 8º A Secretária de Administração do Estado, enquanto representante legal, tem responsabilidade pela definição final da gestão dos riscos e controles internos quanto à adequação à LGPD na SAD, nos termos do art. 12 do Decreto nº 49.265, de 2020.
Art. 9º A autoridade indicada pela Secretária de Administração para fins da LGPD, terá responsabilidade pelo gerenciamento do projeto de implantação e dos riscos e controles internos quanto à adequação à LGPD na Secretaria, conforme art. 13 do Decreto nº 49.265, de 2020.
Parágrafo único. A Encarregada da SAD será assessorada pelo Comitê de Proteção de Dados Pessoais - CPDP, instituído por portaria da Secretária de Administração.
Art. 10. Os provedores de serviços de Tecnologia da Informação e Comunicação - TIC e demais prestadores de serviços à SAD que tratem dado pessoal em nome desta serão considerados operadores e deverão aderir a esta Política, além de cumprir os deveres legais, contratuais e de parceria respectivos, dentre os quais se incluirão, mas não se limitarão aos seguintes:
I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pela SAD; II - apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança, para a proteção dos dados pessoais, segundo a legislação, os instrumentos contratuais e de compromissos; III - manter os registros de tratamento de dados pessoais que realizar, assim como aqueles compartilhados, com condições de rastreabilidade e de prova eletrônica a qualquer tempo; IV - seguir fielmente as diretrizes e instruções transmitidas pela SAD; V - permitir acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição à SAD, mediante solicitação; VI - permitir a realização de auditorias da SAD e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas; VII - auxiliar, sempre que necessário, no atendimento pela SAD de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados; VIII - comunicar formalmente e de imediato à SAD a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções; IX - descartar de forma irrecuperável, ou devolver para a SAD, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.
Seção II Das Instituições
Art. 11. O Comitê de Proteção de Dados Pessoais será designado por meio de portaria da Secretária de Administração.
Art. 12. O Gestor de Processos corresponde a todo e qualquer responsável pela unidade de execução de um determinado processo de trabalho, inclusive sobre a gestão de riscos.
Seção III Das Atribuições e Responsabilidades
Art. 13. Compete à Secretária de Administração, enquanto representante legal:
I - aprovar práticas e princípios de conduta e padrões de tratamento de dados pessoais; II - aprovar as alterações da PPDPL-SAD; III - deliberar sobre o Plano de Implementação de Controles Internos; IV - aprovar a estrutura, extensão e conteúdo do Inventário de Dados; V - acompanhar os ajustes contratuais e de termos de compromisso decorrentes da implementação da PPDPL-SAD; VI - acompanhar o diagnóstico preliminar de controles internos; VII - tomar conhecimento do andamento e resultados da avaliação de controles internos; VIII - tomar ciência do monitoramento do PPDPL-SAD; IX - aprovar e promover o Plano de Tratamento de Incidentes com Dados Pessoais; e X - aprovar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade. XI - Designar a Encarregada; e XII - Designar o Comitê de Proteção de Dados Pessoais.
Art. 14. Compete à Encarregada:
I - propor práticas e princípios de conduta e padrões de tratamento de dados pessoais; II - propor alterações da PPDPL-SAD; III - consolidar propostas de ações, avaliar e elaborar o Plano de Implementação de Controles Internos; IV - elaborar a estrutura, extensão e conteúdo do Inventário de Dados; V - realizar, em conjunto com a Superintendência de Tecnologia da Informação, o Controle Interno e o Gestor de Processo, o diagnóstico preliminar e o inventário de dados; VI - promover a aderência às regulamentações, leis, códigos, normas e padrões na condução da PPDPL-SAD; VII - recomendar ajustes contratuais e de termos de compromisso decorrentes da implementação da PPDPL-SAD; VIII - definir o diagnóstico preliminar de controles internos; IX - instituir e acompanhar a avaliação de controles internos; X - monitorar o PPDPL-SAD; XI - elaborar o Plano de Gestão de Resposta a Incidentes com Dados Pessoais; XII - subsidiar a elaboração do Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade; XIII - cumprir os objetivos e metas previstas na Política de Proteção de Dados Pessoais Local; XIV - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, em articulação com a Ouvidoria; XV- receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais - ANPD e adotar providências; XVI - orientar os funcionários e os operadores no cumprimento das práticas necessárias à proteção de dados pessoais; XVII - quando provocado, entregar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade; XVIII - atender às normas complementares da Autoridade Nacional de Proteção de Dados Pessoais; e XIX - informar à Autoridade Nacional de Proteção de Dados Pessoais e aos titulares dos dados pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um Plano de Tratamento de Incidentes com Dados Pessoais.
Art. 15. Compete à Gerência Geral de Assuntos Jurídicos:
I - auxiliar a Encarregada, gestores de processos e aos operadores na resolução de controvérsias jurídicas relacionadas à aplicação da LGPD e dos normativos dela decorrentes; II - emitir manifestações quanto aos aspectos jurídico-formais dos ajustes contratuais e de termos de compromisso decorrentes da implementação da PPDPL-SAD; e III- apoiar a elaboração de normativos e instrumentos internos, em especial Termos de Uso e Termos de Consentimento, quanto à proteção de dados pessoais. Parágrafo Único. O exercício das competências elencadas no caput deste dispositivo dar-se-ão à luz dos procedimentos estabelecidos no Decreto nº 52.359, de 02 de março de 2022, considerando a exclusividade da Procuradoria Geral do Estado na representação judicial e consultoria jurídica dos órgãos, autarquias e fundações públicas do Poder Exercutivo.
Art. 16. Compete à Superintendência de Tecnologia da Informação:
I - prestar orientação técnica à Encarregada e aos operadores sobre questionamentos e boas práticas em segurança da informação; II - apoiar as ações de capacitação nas áreas de Segurança da Informação e Proteção de Dados Pessoais; III- apoiar a Encarregada, a Gerência de Controle Interno e o Gestor de Processo, na elaboração do diagnóstico preliminar e o inventário de dados; IV - apoiar a Encarregada, a Gerência de Controle Interno e o Gestor de Processo, na avaliação de controles internos dos processos priorizados; V - apoiar, com propostas técnicas de segurança da informação, a elaboração do Plano de Tratamento de Incidentes com Dados Pessoais; VI - apoiar a elaboração do Relatório de Impacto de Proteção aos Dados Pessoais; VII - extrair estrutura e conteúdo de dados pessoais em sistemas informatizados para elaboração do Inventário de Dados; VIII - extrair conteúdo de dados pessoais em sistemas informatizados para atendimentos das demandas dos titulares; IX - apoiar, com propostas técnicas de segurança da informação, a elaboração instrumentos, em especial contratos e congêneres; e X - apoiar a elaboração do Plano de Implementação de Controles Internos. Art. 17. Compete à Gerência de Controle Interno:
I - propor melhorias metodológicas no gerenciamento dos riscos associados à proteção de dados pessoais; II - realizar, em conjunto com a Encarregada, a Superintendência de Tecnologia da Informação e o Gestor de Processo, o diagnóstico preliminar e o inventário de dados; III - realizar, em conjunto com a Encarregada, a unidade de tecnologia da informação e o Gestor de Processo, a avaliação de controles internos dos processos priorizados; IV - apoiar a elaboração do Relatório de Impacto de Proteção aos Dados Pessoais; e V - apoiar a elaboração do Plano de Implementação de Controles Internos.
Art. 18. Compete à Ouvidoria:
I - apoiar no recebimento de manifestações e comunicações dos titulares de dados pessoais; II - realizar a interlocução do titular de dados pessoais com a Encarregada; III - mapear as principais possíveis demandas do titular de dado pessoal, considerando o Inventário de Dados; IV - apoiar a Encarregada na propositura de ações que facilitem o atendimento às demandas dos titulares de dados pessoais; e V - promover a transparência dos tratamentos de dados pessoais sob a responsabilidade da SAD.
Art. 19. Compete à Gerência Geral de Planejamento e Gestão:
I - apoiar a promoção da disseminação da cultura de proteção de dados pessoais; II - prover a capacitação dos agentes públicos no exercício do cargo, função e emprego no conteúdo de proteção de dados pessoais; e III - praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.
Art. 20. Compete aos Gestores de Processos: I - realizar, em conjunto com a Encarregada, a Gerência de Controle Interno e a Superintendência de Tecnologia da Informação, a elaboração do diagnóstico preliminar e o inventário de dados; II - realizar, em conjunto com a Encarregada, a Gerência de Controle Interno e a Superintendência de Tecnologia da Informação, a avaliação de controles internos dos processos priorizados; III - elaborar propostas de ação ao Plano de Implementação de Controles dos processos sob sua responsabilidade; IV - cumprir os objetivos e as prioridades estabelecidas pelo Plano de Implementação de Controles; V - gerenciar as ações do Plano de Implementação de Controles e avaliar os seus resultados dos processos sob sua responsabilidade; VI - disponibilizar o conteúdo de dados pessoais para elaboração do Inventário de Dados; VII - disponibilizar conteúdo de dados pessoais para atendimentos das demandas dos titulares; VIII - cumprir com as recomendações e observar as orientações emitidas pelo Secretária de Administração do Estado e pela Encarregada; e IX - adotar princípios de conduta e padrões de comportamento no âmbito da sua estrutura organizacional.
Art. 21. Compete ao Comitê de Proteção de Dados Pessoais:
I - acompanhar as ações para implementação da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados) no âmbito desta Secretaria, zelando pela observância das recomendações definidas no Decreto Estadual nº 49.265, de 2020 (Política Estadual de Proteção de Dados Pessoais – PEPDP); II - coordenar ações, referente a elaboração do inventário e implementação de melhorias nos processos organizacionais, nas áreas de negócio responsáveis pelos mapeamentos dos tratamentos de dados; III - assessorar o controlador de dados, quando solicitado, na formulação de princípios e diretrizes para a gestão de dados pessoais e na sua regulamentação; IV - acompanhar o programa de conscientização sobre a LGPD no âmbito da SAD; e V - auxiliar a Encarregada, fornecendo-lhe subsídios e propostas para o desempenho de sua missão.
CAPÍTULO VI DO TRATAMENTO DE DADOS PESSOAIS
Art. 22. O tratamento de dados pessoais pela SAD será realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público. Parágrafo único. O Regulamento da SAD e demais normas de organização definem as funções e atividades que constituem as finalidades e balizadores do tratamento de dados pessoais para fins desta Política.
Art. 23. Em atendimento a suas competências legais, a SAD poderá, no estrito limite de suas atividades, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares. Parágrafo único. Eventuais atividades que transcendam o escopo da função institucional estarão sujeitas à obtenção de consentimento dos titulares dos dados pessoais a serem objeto de tratamento.
Art. 24. A SAD manterá contratos com terceiros para o fornecimento de produtos ou a prestação de serviços necessários a suas operações, os quais poderão, conforme o caso, importar em disciplina própria de proteção de dados pessoais, a qual deverá estar disponível e ser consultada pelos interessados.
Art. 25 Os dados pessoais tratados pela SAD são:
I - protegidos por procedimentos internos para registrar autorizações e utilizações; II - mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade ou face a solicitação de remoção, devendo a neutralização ou descarte do dado observar as condições e períodos da tabela de temporalidade de retenção de dados; III - compartilhados somente para o exercício das funções institucionais ou para atendimento de políticas públicas aplicáveis; e IV - revistos em periodicidade mínima bianual, sendo de imediato eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.
Art. 26. A responsabilidade da SAD pelo tratamento de dados pessoais estará circunscrita ao dever de se ater ao exercício de sua competência legal e institucional e de empregar boas práticas de governança e de segurança.
Art. 27. Os casos omissos ou excepcionalidades serão deliberados pela Secretária de Administração, consultado o Comitê de Proteção de Dados Pessoais.
|