O Governador do Estado de Goiás, no uso de suas atribuições constitucionais e legais, tendo em vista o disposto na Lei federal nº 13.709, de 14 de agosto de 2018, também o que consta do Processo nº 202111867002200,

Decreta:

CAPÍTULO I - DISPOSIÇÕES GERAIS

Art. 1º Este Decreto dispõe sobre a aplicação da Lei federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, no âmbito da administração pública direta e indireta do Poder Executivo estadual.

Parágrafo único. Para este Decreto os órgãos e as entidades da administração pública direta e indireta do Poder Executivo estadual compreendem as secretarias, as autarquias, as fundações, as empresas públicas, as sociedades de economia mista e as suas subsidiárias controladas direta ou indiretamente pelo Estado.

Art. 2º Consideram-se, para os fins deste Decreto, as mesmas definições do art. 5º da Lei federal nº 13.709, de 2018, com os seguintes acréscimos:

I - Comitê Estadual de Proteção de Dados Pessoais - CEPD: órgão colegiado consultivo na área de proteção de dados pessoais no âmbito da administração pública direta e indireta do Poder Executivo do Estado de Goiás;

II - Política Estadual de Proteção de Dados Pessoais - PEPD: conjunto de diretrizes, normas, objetivos, decisões públicas, metas, indicadores de avaliação, sistemas de governança, programas e ações estratégicas finalísticas coordenadas para a formulação, a implementação e a avaliação do desenvolvimento e da adaptação da ação governamental, no âmbito da administração pública estadual direta, autárquica e fundacional do Poder Executivo Estadual, à Lei Federal nº 13.709, de 2018;

III - Plano Operacional de Adequação - POA: conjunto das regras de boas práticas e de governança de dados pessoais que deve estabelecer:

a) as condições de organização e o regime de funcionamento do tratamento de dados pessoais pelos órgãos e pelas entidades da administração pública estadual;

b) os procedimentos, as normas de segurança e os padrões técnicos a serem adotados no tratamento de dados pessoais pelos órgãos e pelas entidades da administração pública estadual;

c) as obrigações específicas para os diversos agentes de tratamento envolvidos no tratamento de dados pessoais pelo poder público;

d) as ações educativas e os mecanismos internos de supervisão e de mitigação de riscos;

e) o plano de respostas a incidentes de segurança; e

f) outros aspectos relacionados ao tratamento de dados pessoais pelo poder público.

IV - encarregado: o servidor público responsável pelo tratamento de dados pessoais, com a função de atuar como canal de comunicação entre a sua instituição pública, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD, também com a incumbência de assegurar que sua instituição atue em conformidade com a Lei nº 13.709, de 2018, e demais normas de proteção de dados, para garantir que o tratamento de dados pessoais seja adequadamente realizado;

V - agentes públicos de tratamento de dados: todos os órgãos e entidades da administração pública estadual direta e indireta que atuem como controladores ou operadores de dados pessoais; e

VI - rede de encarregados: todos os servidores públicos regularmente indicados como encarregados do tratamento de dados pessoais em todos os órgãos e entidades da administração pública estadual que sejam agentes públicos de tratamento de dados.

Art. 3º As atividades de tratamento de dados pessoais pelos órgãos e pelas entidades da administração pública estadual deverão observar os seguintes fundamentos e princípios dispostos nos arts. 2º e 6º da Lei federal nº 13.709, de 2018:

I - respeito à privacidade;

II - autodeterminação informativa;

III - liberdade de expressão, de informação, de comunicação e de opinião;

IV - inviolabilidade da intimidade, da honra e da imagem;

V - desenvolvimento econômico e tecnológico e inovação;

VI - livre iniciativa, livre concorrência e defesa do consumidor;

VII - direitos humanos, livre desenvolvimento da personalidade, da dignidade e do exercício da cidadania pelas pessoas naturais;

VIII - boa-fé;

IX - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

X - adequação: compatibilidade do tratamento com as finalidades informadas ao titular de acordo com o contexto do tratamento;

XI - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

XII - livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

XIII - qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade do tratamento deles;

XIV - transparência: garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

XV - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão desses dados;

XVI - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

XVII - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e

XVIII - responsabilização e prestação de contas: demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, inclusive a demonstração da eficácia dessas medidas.

CAPÍTULO II - DO COMITÊ ESTADUAL DE PROTEÇÃO DE DADOS PESSOAIS

Art. 4º Fica criado o Comitê Estadual de Proteção de Dados Pessoais - CEPD, órgão colegiado consultivo na área de proteção de dados pessoais no âmbito da administração pública direta e indireta do Poder Executivo, regido pelo disposto na Lei federal nº 13.709, de 2018.

Art. 5º Compete ao CEPD:

I - auxiliar os agentes públicos estaduais de tratamento de dados no desempenho das atividades de monitoramento de dados pessoais e de fluxos das suas respectivas operações de tratamento;

II - elaborar a Política Estadual de Proteção de Dados Pessoais - PEPD e propor diretrizes estratégicas para a sua implementação;

III - orientar os agentes públicos estaduais de tratamento de dados quanto à elaboração do POA, com ações de curto, médio e longo prazo para a adequação à LGPD, no âmbito dos órgãos e das entidades da administração pública estadual direta e indireta, de acordo com as diretrizes estratégicas previstas em seu regimento interno;

IV - articular tecnicamente com especialistas de outros entes, como as universidades e com outras instituições de atuação técnica e institucional no assunto, para o diagnóstico e a proposição de soluções para a implementação da PEPD;

V - fomentar com os agentes públicos estaduais de tratamento de dados, a difusão do conhecimento das normas, e as medidas de segurança sobre a proteção de dados pessoais;

VI - promover, elaborar estudos e realizar audiências públicas, caso sejam necessárias, sobre as práticas nacionais e internacionais de proteção de dados pessoais e da privacidade;

VII - formular orientações sobre a indicação do encarregado pelo tratamento dos dados pessoais no âmbito dos órgãos e das entidades da administração pública estadual direta e indireta;

VIII - orientar a rede de encarregados responsáveis pela implementação da PEPD;

IX - orientar os agentes públicos estaduais de tratamento de dados a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;

X - produzir diretrizes e manuais para orientar a implementação da PEPD;

XI - estimular a adoção de padrões para o tratamento e a proteção de dados pessoais pelos agentes públicos estaduais de tratamento de dados;

XII - orientar e sugerir requisitos mínimos do canal de atendimento entre os cidadãos e os agentes públicos estaduais de tratamento de dados nos assuntos relacionados à LGPD;

XIII - realizar ações de cooperação com ANPD, para o cumprimento das suas diretrizes no âmbito estadual;

XIV - disseminar orientações para padronizar cláusulas nos instrumentos contratuais administrativos propostos pela Procuradoria-Geral do Estado - PGE;

XV - recomendar a publicação dos relatórios de impacto à proteção de dados pessoais previstos no art. 32 da Lei federal nº 13.709, de 2018;

XVI - elaborar relatórios anuais de avaliação da execução das ações da PEPD e da privacidade a serem encaminhados aos titulares dos órgãos e das entidades do Poder Executivo, ao Conselho e às Câmaras de governança de que trata o Decreto nº 9.660, de 6 de maio de 2020, e à ANPD, na forma definida no regimento interno do comitê; e

XVII - disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade para a população goiana.

§ 1º O CEPD deverá obedecer ao disposto na Lei federal nº 12.527, de 18 de novembro de 2011, e na Lei estadual nº 18.025 , de 22 de maio de 2013, para disseminar boas práticas e evitar o conflito entre essas normas, resguardadas as competências da PGE.

§ 2º O CEPD, no exercício das competências dispostas no caput, deverá zelar pela preservação das hipóteses legais de sigilo, de segredo de justiça e de segredo industrial ou empresarial.

§ 3º O CEPD articulará sua atuação com outros órgãos e entidades com competências relacionadas à proteção de dados pessoais para orientar, estimular e promover a implementação da LGPD na administração pública direta e indireta do Poder Executivo estadual.

Art. 6º O CEPD terá autonomia para propor diretrizes estratégicas e para orientar a implementação da PEPD, observado o disposto na Lei federal nº 13.709, de 2018, nas diretrizes da ANPD, neste Decreto e no seu regimento interno.

Art. 7º Integram o CEPD os membros indicados pelos dirigentes máximos dos seguintes órgãos:

I - Controladoria-Geral do Estado - CGE, por meio da Chefia de Gabinete do Secretário-Chefe da CGE, que o presidirá e coordenará os trabalhos;

II - Secretaria de Estado da Administração - SEAD;

III - Secretaria de Estado de Desenvolvimento e Inovação - SEDI; e

IV - Procuradoria-Geral do Estado - PGE.

§ 1º Cada órgão de que trata o caput deste artigo indicará 4 (quatro) membros para o CEPD, que serão 2 (dois) titulares e 2 (dois) suplentes, dentre os servidores com qualificação compatível com uma das matérias relativas ao CEPD, na forma definida em seu regimento interno.

§ 2º A participação no comitê não será remunerada.

§ 3º O mandato dos membros do comitê será de 2 (dois) anos, permitida uma recondução.

§ 4º A CGE indicará qual dos seus dois membros titulares exercerá a função de presidente e qual exercerá a de vice-presidente do CEPD, para um mandato de 2 (dois) anos, permitida a recondução do presidente para essa função, a serem definidos no regimento interno.

§ 5º A CGE, por meio da Chefia de Gabinete do seu Secretário-Chefe, exercerá as funções de Secretaria-Executiva do CEPD, cujas competências serão definidas no regimento interno de que trata o art. 10.

Art. 8º O CEPD se reunirá:

I - ordinariamente, 1 (uma) vez a cada 2 (dois) meses; e

II - extraordinariamente, sempre que houver convocação por seu presidente.

§ 1º As reuniões serão realizadas com a presença de, no mínimo, 5 (cinco) de seus integrantes, admitida via teleconferência.

§ 2º Nas ausências ou nos impedimentos do presidente do CEPD, assumirá essa função o vice-presidente e, na ausência deste, o membro presente com maior tempo de serviço público na administração do Estado de Goiás.

Art. 9º As deliberações do CEPD serão tomadas por maioria simples dos votos.

§ 1º Na hipótese de empate, o voto de qualidade será exercido por aquele que presidir o CEPD no momento da votação.

§ 2º Os atos do CEPD serão publicados em sítio eletrônico a ser definido pelo próprio CEPD, de acordo com os prazos definidos no regimento interno.

Art. 10. O CEPD definirá e aprovará, por maioria absoluta, seu regimento interno, que disporá sobre sua organização, seu funcionamento e sobre diretrizes estratégicas para a PEPD, nos termos do art. 8º e do art. 9º deste Decreto.

Parágrafo único. O regimento interno do CEPD deverá ser publicado no Diário Oficial do Estado até 90 (noventa) dias após a sua instalação.

CAPÍTULO III - DAS RESPONSABILIDADES

Seção I - Das responsabilidades dos órgãos e das entidades da administração pública direta, autárquica e fundacional

Art. 11. Os agentes públicos de tratamento de dados da administração pública direta, autárquica e fundacional, nos termos da Lei federal nº 13.709, de 2018, devem realizar e manter continuamente atualizados:

I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;

II - a análise de risco;

III - o POA, observadas as exigências do inciso III do art. 5º deste Decreto; e

IV - o relatório de impacto à proteção de dados pessoais, quando necessário, apontando a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo poder público.

Parágrafo único. Para fins do inciso III deste artigo, os órgãos e as entidades da administração pública direta, autárquica e fundacional devem observar as orientações formuladas pelo CEPD.

Art. 12. O órgão, a autarquia ou a fundação, no papel de controlador ou de operador, deverá indicar o encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, de preferência no sítio eletrônico do órgão ou da entidade, e essas informações da rede de encarregados serão reunidas no sítio da SEDI.

§ 2º São atividades do encarregado:

I - receber comunicações da ANPD e adotar providências;

II - orientar os servidores e os contratados do agente público de tratamento de dados a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;

III - receber e processar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências pertinentes; e

IV - executar as demais atribuições determinadas pelo agente público de tratamento de dados ou estabelecidas em normas complementares.

Art. 13. Cabe aos órgãos, às autarquias e às fundações dar cumprimento às recomendações do CEPD.

Seção II - Da governança e das competências

Art. 14. Compete à CGE:

I - presidir o CEPD por meio da Chefia de Gabinete do Secretário-Chefe da CGE, bem como coordenar e apoiar administrativamente esse comitê;

II - apoiar o CEPD na elaboração PEPD, com relação às diretrizes estratégicas traçadas pelo CEPD;

III - apoiar o CEPD na consolidação dos resultados e no monitoramento dos agentes públicos de tratamento de dados quanto à elaboração do seu respectivo POA;

IV - incentivar a elaboração de manuais e de modelos de documentos para a implementação da PEPD;

V - apoiar nas capacitações, nos seminários e nos eventos com relação à LGPD; e

VI - realizar atividades correlatas.

Art. 15. Compete à SEDI:

I - orientar e desenvolver, com auxílio do Comitê Estadual de Tecnologia da Informação e Comunicação - CETIC, soluções de Tecnologia da Informação - TI relacionadas à proteção de dados pessoais;

II - apoiar os órgãos e as entidades na adequação dos sistemas às exigências da Lei federal nº 13.709, de 2018;

III - promover e coordenar ações de integração e compartilhamento de dados dos sistemas informatizados da sua competência, para a proteção de dados pessoais;

IV - apoiar nas capacitações, seminários e eventos com relação à LGPD; e

V - realizar atividades correlatas.

Art. 16. Cabe ao Comitê Estadual de Tecnologia da Informação e Comunicação - CETIC, criado pelo Decreto estadual nº 8.800, de 10 de novembro de 2016:

I - oferecer os subsídios técnicos necessários à formulação das diretrizes estratégicas e das orientações pelo CEPD para a elaboração dos POAs;

II - orientar, do ponto de vista tecnológico, os agentes públicos de tratamento de dados na implementação dos respectivos POAs;

III - propor padrões de desenvolvimento de novas soluções de TI, para a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução; e

IV - incluir no Plano Diretor de Tecnologia da Informação - PDTI ações e medidas de novas tecnologias no campo dos sistemas de informação e comunicação relacionadas à proteção de dados pessoais.

Art. 17. Compete à SEAD:

I - promover as ações de treinamento e capacitação gerais e abrangentes do CEPD, como também auxiliar nas capacitações específicas de cada órgão e entidade, por meio da Escola de Governo, para contribuir com a disseminação de conhecimentos técnicos e operacionais para a implementação da Política Estadual de Proteção de Dados Pessoais;

II - auxiliar o CEPD na formulação e na gestão de metodologias, instrumentos e padrões de planejamento e planos gerenciais com relação ao POA e à Política Estadual de Proteção de Dados Pessoais;

III - auxiliar na ordenação e execução de programas de apoio à modernização e inovação da gestão com relação à proteção de dados pessoais;

IV - promover e coordenar ações de integração e compartilhamento de dados dos sistemas informatizados da sua competência, para a proteção de dados pessoais; e

V - realizar atividades correlatas.

Art. 18. Compete à PGE:

I - responder às consultas específicas referentes à aplicação da LGPD no Estado, desde que sejam encaminhadas pelo titular dos órgãos e das entidades ou pelo CEPD, observado o disposto na Lei Complementar nº 58, de 4 de julho de 2006;

II - disponibilizar minutas padronizadas de contratos, convênios, acordos de cooperação, termos de uso de sistema de informação da administração pública e instrumentos jurídicos congêneres necessários à implementação da Lei federal nº 13.709, de 2018;

III - promover e coordenar ações de integração e compartilhamento de dados dos sistemas informatizados da sua competência, para a proteção de dados pessoais;

IV - apoiar nas capacitações, seminários e eventos com relação à LGPD; e

V - realizar atividades correlatas.

Seção III - Das responsabilidades das empresas públicas, sociedades de economia mista e suas subsidiárias e empresas controladas direta ou indiretamente pelo Estado

Art. 19. As empresas públicas, sociedades de economia mista, suas subsidiárias e empresas controladas direta ou indiretamente pelo Estado que atuarem em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição federal , deverão observar o regime relativo às pessoas jurídicas de direito privado, exceto quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, nos termos do parágrafo único do art. 24 da Lei federal nº 13.709, de 2018, caso em que seguirão as mesmas disposições de tratamento de dados pessoais que se aplicam ao setor público, nos termos dos arts. 23, 24, 25 e 26 da LGPD.

CAPÍTULO IV - DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA DIRETA E INDIRETA DO PODER EXECUTIVO

Art. 20. O tratamento de dados pessoais pelos agentes públicos de tratamento de dados da administração pública estadual direta e indireta do Poder Executivo deverá:

I - atender à sua finalidade pública, na persecução do interesse público;

II - ter por objetivo executar as competências legais ou cumprir as atribuições legais do serviço público;

III - informar as hipóteses de realização do tratamento de dados pessoais, no exercício da competência dos agentes públicos de tratamento de dados, devendo ser claras e atualizadas, de forma a evidenciar:

a) a previsão legal;

b) a finalidade; e

c) os procedimentos e as práticas utilizadas para a execução dessas atividades; e

IV - disponibilizar as informações do inciso III em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

Art. 21. Os agentes públicos de tratamento de dados da administração pública direta e indireta podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, observados os princípios de proteção de dados pessoais elencados no art. 6º da Lei federal nº 13.709, de 2018, e no art. 3º deste Decreto.

Art. 22. É vedado aos agentes públicos de tratamento de dados da administração pública direta e indireta transferir a entidades privadas dados pessoais constantes de bases de dados a que tenham acesso, exceto:

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei federal nº 12.527, de 2011;

II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei federal nº 13.709, de 2018;

III - quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo respectivo encarregado pelo tratamento de dados pessoais à ANPD; e

IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que esteja vedado o tratamento para outras finalidades.

§ 1º A comunicação (ou o uso compartilhado) de dados pessoais por pessoa jurídica de direito público a pessoa jurídica de direito privado será informada à ANPD e dependerá de consentimento do titular, exceto:

I - nas hipóteses de dispensa de consentimento previstas na Lei federal nº 13.709, de 2018;

II - nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 da Lei federal nº 13.709, de 2018, e do art. 20, inciso III, alíneas "a" a "c", deste Decreto; e

III - nas exceções constantes dos incisos I ao IV do caput deste artigo.

§ 2º Em quaisquer das hipóteses previstas neste artigo:

I - a transferência de dados dependerá de autorização específica conferida pelos agentes públicos estaduais de tratamento de dados estadual à entidade privada;

II - as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelos agentes públicos de tratamento de dados estadual; e

III - a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre elas e os agentes públicos estaduais de tratamento de dados estaduais, quando for necessário o consentimento do titular, poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.

Art. 23. Os agentes públicos de tratamento de dados da administração pública direta e indireta do Poder Executivo deverão:

I - dar publicidade às informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e das entidades na internet, e no Portal da Transparência em seção específica;

II - atender às exigências que vierem a ser estabelecidas pela ANPD, nos termos do § 1º do art. 23 e do parágrafo único do art. 27 da Lei federal nº 13.709, de 2018; e

III - manter dados em formato interoperável e estruturado para o uso compartilhado de dados para a execução de políticas públicas, a prestação de serviços públicos, a descentralização da atividade pública, a disseminação das informações e o acesso a elas pelo público em geral.

CAPÍTULO V - DAS DISPOSIÇÕES FINAIS

Art. 24. As indicações dos encarregados pelo tratamento de dados pessoais pelos órgãos e pelas entidades da administração pública estadual, realizadas nos termos da Resolução nº 1, de 22 de abril de 2021, do Comitê Estadual de Tecnologia da Informação - CETIC, permanecerão válidas até que sejam aperfeiçoados os seus requisitos por meio de orientação do CEPD ou pelo estabelecimento de nova regulamentação.

Art. 25. Este Decreto entra em vigor na data de sua publicação.

Goiânia, 6 de junho de 2022; 134º da República.

RONALDO CAIADO

Governador do Estado