O Governador do Estado do Tocantins, consoante o disposto no art. 40, inciso II, da Constituição do Estado,

Decreta:

Art. 1º Este Decreto regulamenta a aplicação da Lei nº 13.709 , de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), quanto aos agentes de tratamento e aos encarregados, no âmbito da Administração Pública Estadual direta e indireta do Poder Executivo do Estado do Tocantins.

CAPÍTULO I - DOS AGENTES DE TRATAMENTO

Seção I - Do Controlador

Art. 2º O Estado do Tocantins será considerado controlador dos dados pessoais, devendo ser observada a distribuição interna das competências decorrentes da desconcentração administrativa no âmbito dos poderes, podendo os órgãos públicos atuarem como agentes de tratamento.

Art. 3º Compete ao controlador:

I - controlar e gerir a atividade de tratamento de dados;

II - instruir os operadores sobre a realização do tratamento de dados;

III - fiscalizar a observância pelos operadores internos das instruções e das normas sobre a matéria;

IV - elaborar e manter atualizado o Relatório de Impacto à Proteção de Dados Pessoais - RIPD;

V - informar ao encarregado governamental os nomes dos operadores internos e externos da sua unidade gestora;

VI - obter o consentimento específico do titular, quando necessário;

VII - informar e prestar contas ao encarregado governamental;

VIII - instrumentalizar a portabilidade dos dados;

IX - garantir a transparência no tratamento de dados;

X - manter o registro das operações de tratamento de dados pessoais;

XI - reportar ao encarregado governamental a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da Lei nº 13.709/2018 ;

XII - manter atualizado o site do órgão ou entidade sobre a LGPD.

Seção II - Dos Operadores

Art. 4º O operador é o agente responsável por realizar o tratamento de dados em nome do controlador, podendo ser órgão ou entidade do Poder Executivo Estadual, ou pessoa jurídica de direito privado contratada que, seguindo a finalidade de tratamento estabelecida pelo controlador, com estrita observância ao artigo 26 da Lei nº 13.709/2018 , realiza o tratamento de dados pessoais.

Art. 5º Compete ao operador:

I - realizar o tratamento de dados pessoais segundo as instruções fornecidas pelo controlador;

II - manter os dados pessoais protegidos de acesso não autorizado, divulgação, destruição, perda acidental ou qualquer tipo de violação de dados pessoais;

III - manter registros das operações de tratamentos de dados pessoais que realizar;

IV - observar as boas práticas e padrões de governança previstos na Lei nº 13.709/2018 ;

V - comunicar ao encarregado a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos da Lei nº 13.709/2018 ;

VI - quando autorizado pelo controlador, decidir sobre:

a) sistema, método ou ferramentas utilizadas para coletar os dados pessoais;

b) meios utilizados para transferir os dados pessoais de uma organização para outra;

c) métodos utilizados para recuperar dados pessoais de determinados indivíduos;

d) maneira de garantir que o cronograma de retenção seja respeitado;

e) meio de garantir a segurança dos dados;

f) método de armazenamento de dados pessoais.

CAPÍTULO II - DO ENCARREGADO

Do Encarregado Pelo Tratamento Dos Dados Pessoais

Art. 6º O encarregado é o órgão ou entidade do Poder Executivo Estadual, designado por ato do Chefe do Poder Executivo, para atuar como canal de comunicação entre a Administração Pública Estadual direta ou indireta e o titular dos dados e a Autoridade Nacional de Proteção de Dados - ANPD.

Parágrafo único. Compete ao encarregado:

I - determinar as ações de tratamento de dados a serem adotadas pela Administração Pública Direta e Indireta do Poder Executivo do Estado do Tocantins;

II - orientar o controlador do Poder Executivo Estadual a respeito das boas práticas e padrões de governança de dados e segurança da informação, a serem tomadas em relação à proteção de dados pessoais, conforme disposto na Lei nº 13.709/2018 ;

III - elaborar e disponibilizar material de divulgação e capacitação a respeito das boas práticas e padrões de governança de dados e segurança da informação, a serem tomadas em relação à proteção de dados pessoais no Poder Executivo do Estado do Tocantins;

IV - receber comunicações da ANPD e adotar providências;

V - solicitar que sejam atualizadas informações públicas sobre a LGPD, no âmbito da Administração Pública Direta e Indireta do Poder Executivo do Estado do Tocantins;

VI - instrumentalizar a transparência dos dados, nos termos da Lei nº 13.709/2018 , sem prejuízo da responsabilidade dos órgãos e entidades pela manutenção desses dados em seus respectivos sítios eletrônicos;

VII - comunicar à ANPD e ao titular dos dados pessoais, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da Lei nº 13.709/2018 .

CAPÍTULO III - DAS BOAS PRÁTICAS DE TRATAMENTO DE DADOS

Art. 7º As atividades de tratamento de dados pessoais deverão observar as boas práticas e padrões de governança de dados e segurança da informação previstos no art. 50 da Lei nº 13.709/2018 .

Art. 8º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com tais desígnios;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 9º Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Parágrafo único. Os agentes de tratamento deverão aplicar as normas de boas práticas de tratamento de dados editadas pela ANPD.

CAPÍTULO IV - DA RESPONSABILIDADE

Art. 10. Os agentes de tratamento ficam sujeitos às sanções previstas na Lei nº 13.709/2018 , aplicáveis pela ANPD.

Parágrafo único. São agentes de tratamento o controlador e operador, podendo os demais envolvidos no tratamento serem responsabilizados civil, penal e administrativamente.

CAPÍTULO V - DAS DISPOSIÇÕES FINAIS

Art. 11. Compete aos controladores de cada órgão ou entidade, do Poder Executivo do Estado do Tocantins, encaminhar ao Encarregado pelo tratamento de dados, relação de operadores internos e externos existentes em sua unidade.

Art. 12. Compete ao Encarregado pelo tratamento de dados dirimir dúvidas acerca da aplicação deste Decreto, bem como subsidiar a regulamentação complementar no âmbito de suas competências.

Art. 13. Compete às Unidades do Sistema de Ouvidoria do Poder Executivo Estadual (Se-OUV) proceder ao atendimento do titular do dado, facultada a forma presencial, devendo cada demanda ser registrada, classificada e encaminhada ao Encarregado pelo tratamento de dados pessoais.

Art. 14. Compete à Agência de Tecnologia da Informação - ATI elaborar, coordenar e executar a Política Estadual de Tecnologia da Informação, a Política de Segurança da Informação dos órgãos e entidades da Administração Pública Direta e Indireta do Poder Executivo;

Art. 15. Este Decreto entra em vigor na data de sua publicação.

Palácio Araguaia, em Palmas, aos 13 dias do mês de dezembro de 2022; 201º da Independência, 134º da República e 34º do Estado.

WANDERLEI BARBOSA CASTRO

Governador do Estado

Senivan Almeida de Arruda

Secretário-Chefe da Controladoria-Geral do Estado

Klédson de Moura Lima

Procurador-Geral do Estado

Adams Cirino Gregório

Presidente da Agência de Tecnologia da Informação - ATI/ TO

Respondendo

Deocleciano Gomes Filho

Secretário-Chefe da Casa Civil