O Secretário da Fazenda do Estado do Piauí, no uso de suas atribuições legais,

Resolve:

CAPÍTULO I - DAS DISPOSIÇÕES PRELIMINARES

Art. 1º A Política de Proteção de dados Pessoais - PPDP e suas eventuais normas complementares aplicam-se a todos os setores da Secretaria da Fazenda do Estado do Piauí - SEFAZ-PI, abrangendo os servidores, prestadores de serviço, colaboradores, estagiários, consultores externos e quem, de alguma forma, desempenhe atividade de tratamento de dados pessoais, bem como aqueles que realizem tratamento de dado pessoal em nome da SEFAZ-PI.

Art. 2º A Segurança da Informação abrange, dentre outros aspectos:

1. disponibilidade, integridade, confidencialidade, autenticidade, responsabilidade, confiabilidade e não repúdio aplicado aos dados e sistemas;

2. uso de contas, senhas e rede, acesso à Internet, mensagens eletrônicas, acesso remoto;

3. instalação e remoção de software, cópias de segurança e alienação do equipamento.

Art. 3º A responsabilidade da SEFAZ-PI pelo tratamento de dados pessoais está circunscrita ao dever de se ater ao exercício de sua competência legal e institucional e de empregar boas práticas de governança e de segurança.

CAPÍTULO II - DOS OBJETIVOS

Art. 4º A PPDP visa estabelecer, em conformidade com a Política de Segurança da Informação e Comunicação do Estado do Piauí (POSIC-ATI) princípios, diretrizes e responsabilidades mínimas a serem observados e seguidos, bem como uniformizar os procedimentos no que concerne à Proteção de Dados Pessoais (PPDP) da SEFAZ-PI.

Art. 5º Os objetivos específicos dessa PPDP são:

1. adequar as atividades desenvolvidas por esta Secretaria no âmbito da Lei nº 13.709 , de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais-LGPD e regulamentos emitidos pela Autoridade Nacional de Proteção de Dados - ANPD, em consonância com os objetivos estratégicos.

2. produzir informações íntegras, confiáveis e completas das demandas dos titulares dos dados pessoais;

3. salvaguardar o direito à proteção dos dados pessoais dos titulares;

4. possibilitar a adequada apuração dos responsáveis, em todos os níveis, que tenham acesso inadequado aos dados pessoais, em especial, àqueles considerados sensíveis;

5. mitigar os riscos relacionados aos incidentes envolvendo dados pessoais, mediante a implantação de medidas de controle de segurança da informação.

CAPÍTULO III - DOS PRINCÍPIOS

Art. 6º As atividades de proteção de dados pessoais no âmbito da SEFAZ-PI, bem como seus instrumentos resultantes, serão orientados pelos princípios definidos na POSIC da ATI-PI além dos a seguir relacionados:

1. aderência à integridade e aos valores éticos no tratamento de dados pessoais;

2. disseminação de informações necessárias ao fortalecimento da cultura do tratamento de dados pessoais em respeito à LGPD;

3. realização de avaliações periódicas internas para verificar a eficácia da proteção de dados pessoais;

4. aderência dos métodos e modelos de tratamento de dados às exigências regulatórias da LGPD.

CAPÍTULO IV - DO ESCOPO DE APLICAÇÃO

Art. 7º A PPDP da SEFAZ-PI tem aplicabilidade imediata e indistinta, a partir da sua publicação, a todas as áreas, equipamentos, materiais, documentos, pessoas e sistemas de informação existentes na SEFAZ-PI, como também às atividades de todos os servidores, colaboradores, consultores externos, estagiários e prestadores de serviço, seja qual for o vínculo que possuam ou as atividades que exercem para a SEFAZ-PI ou a quem quer que venha a ter acesso a dados ou informações, incumbindo a cada um a responsabilidade e o comprometimento no seu tratamento e aplicação.

CAPÍTULO V - DAS DIRETRIZES

Seção I - Tratamento dos dados pessoais

Art. 8º Os dados pessoais serão tratados de forma lícita e transparente, sempre para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Art. 9º Os dados serão mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

Art. 10. O uso compartilhado de dados pessoais pelo Poder Público atenderá às finalidades específicas de execução de políticas públicas e à atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais dispostos na LGPD.

Parágrafo único. nas trocas de informações, será observada a restrição de acesso a informações sigilosas.

Art. 11. Os dados pessoais tratados pela SEFAZ-PI serão:

1. protegidos por procedimentos internos para registrar autorizações e utilizações;

2. mantidos disponíveis, íntegros e atualizados;

3. retificados ou eliminados mediante informação ou constatação de impropriedade ou em face de solicitação de remoção;

4. neutralizados ou descartados observando as condições de viabilidade de realização e a tabela de temporalidade de retenção de dados;

5. compartilhados somente para o exercício das funções institucionais ou para atendimento de políticas públicas aplicáveis;

6. revistos em periodicidade anual, sendo eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.

Art. 12. Os serviços corporativos de correio eletrônico, mídias sociais, mensagens instantâneas, Intranet e Internet terão seu uso orientado para o interesse do Estado do Piauí.

Art. 13. O uso dos serviços de Internet e de mensagem estarão em conformidade com a Política de Privacidade da SEFAZ-PI.

Art. 14. 0 usuário respeitará toda a conduta de uso de mensagens eletrônicas e de acesso à internet e à intranet.

Seção II - Auditoria e Conformidade

Art. 15. Serão realizadas auditorias a fim de:

1. proceder ao exame sistemático do grau de atendimento dos requisitos relativos à segurança dos dados pessoais com as legislações e normas vigentes;

2. fortalecer a integridade institucional, a partir do diagnóstico de vulnerabilidades na segurança dos dados pessoais;

Seção III - Backup

Art. 16. O backup dos sistemas governamentais será controlado pela Diretor da Unidade de Tecnologia e Segurança da Informação-UNITEC, e concedido somente a pessoas identificadas e autorizadas.

§ 1º As cópias de segurança serão testadas e avaliadas.

§ 2º A UNITEC manterá relatórios de logs dos backups realizados.

Seção IV - Capacitação e Certificação

Art. 19. Servidores e colaboradores da SEFAZ-PI serão treinados e certificados, desde a fase de admissão, nos procedimentos e no uso correto das informações e ativos sob sua responsabilidade, a fim de minimizar possíveis riscos de segurança.

Art. 20. A SEFAZ-PI assegurará a capacitação adequada do Encarregado e da sua equipe de apoio e dos agentes de tratamento.

Seção V - Desenvolvimento Seguro de Sistemas

Art. 21. Os processos de desenvolvimento de Sistemas de Informação observarão as melhores práticas e padrões de desenvolvimento seguro, desde a fase do planejamento, visando à Privacidade e Gestão de Riscos de Segurança da Informação e Comunicação.

Seção VI - Gestão de Riscos

Art. 22. A SEFAZ-PI estabelecerá o processo de Gestão de Riscos de Segurança de Dados Pessoais que abordará:

1. a definição do contexto para identificação dos riscos;

2. a análise e avaliação dos riscos; o tratamento, aceitação e comunicação às partes interessadas; além da realização contínua do monitoramento e da análise crítica dos riscos.

Seção VII - Tratamento de Incidentes

Art. 23. É dever dos Gestores, Servidores Públicos, Colaboradores, Prestadores de Serviços e Parceiros da SEFAZ-PI reportar imediatamente eventos ou incidentes de segurança da informação ao Comitê Técnico da LGPD da SEFAZ-PI.

Parágrafo único. os incidentes de segurança, relativos a dados pessoais, serão registrados, avaliados e tratados.

Art. 24. A SEFAZ-PI, através do Encarregado, estabelecerá contato com autoridades legais, organismos reguladores e provedores de serviço de informação, a fim de garantir que ações adequadas e apoio especializado possam ser rapidamente acionados na ocorrência de incidentes de segurança da informação.

Parágrafo único. a comunicação de incidentes será pautada pela tempestividade, implementação de melhorias de segurança e obtenção de informações sobre as origens da vulnerabilidade.

CAPÍTULO VI - DAS RESPONSABILIDADES E DAS COMPETÊNCIAS

Art. 25. Os recursos de Tecnologia da Informação e Comunicações são de propriedade da SEFAZ-PI e serão fornecidos para uso corporativo, para os fins a que se destinam e no interesse da administração pública.

Parágrafo único. É considerada imprópria a utilização destes recursos, assim como das informações de propriedade da SEFAZ-PI, para fins não profissionais ou não autorizados, devendo os servidores e colaboradores, quando do conhecimento desta prática, informá-la ao superior imediato, para que sejam aplicadas as ações disciplinares cabíveis.

Art. 26. A violação das normas de Segurança de Dados poderá ensejar a suspensão temporária ou permanente de privilégios de acesso aos recursos computacionais e será apurada em processo administrativo disciplinar, podendo haver responsabilização penal, civil e administrativa, na forma da legislação em vigor.

Art. 27. Os casos omissos desta política serão tratados pelo Comitê Técnico da LGPD.

Seção I - Do Comitê de Segurança

Art. 28. O Comitê Técnico já definido na Portaria SEFAZ-PI/GASEC/SUPAFT/UNAFIN nº 9/2022 assumirá as funções de Segurança de Dados Pessoais no âmbito dessa PPDP, com a responsabilidade de assessorar a implementação das atividades de Segurança de Dados Pessoais na SEFAZ-PI tal como a seguir se descreve:

1. supervisionar a execução, revisar e atualizara PPDP da SEFAZ-PI;

2. disseminar a cultura de Segurança de Dados Pessoais na SEFAZ-PI;

3. analisar e monitorar os incidentes de Segurança de Dados Pessoais;

4. analisar, aprovar, acompanhar e avaliar as principais iniciativas de segurança de dados pessoais nos ambientes de Tecnologias de informação e Comunicação (TIC) da SEFAZ-PI;

5. promover a elaboração, atualização, validação e divulgação das Diretrizes, objetivos estratégicos, ações prioritárias, normas e procedimentos da PPDP da SEFAZ-PI;

6. promover a elaboração e implantação de planos de contingência e recuperação de desastres;

7. propor diretrizes, normas e procedimentos de segurança da informação aplicáveis à SEFAZ-PI;

8. planejar e coordenar a execução dos programas, planos, projetos e ações de segurança;

9. supervisionar, analisar e avaliar a efetividade dos processos, procedimentos, sistemas e dispositivos de segurança da informação;

10. recepcionar, organizar, armazenar e tratar adequadamente as informações de eventos e incidentes de segurança de dados pessoais na SEFAZ-PI, determinando aos respectivos gestores as ações corretivas ou de contingência em cada caso;

11. relatar ao Controlador, para as devidas providências, as ocorrências, eventos e incidentes de segurança da informação, na forma de relatório detalhado e circunstanciado.

Seção II - Do Encarregado de Dados

Art. 29. O Encarregado de dados indicado na portaria SEFAZ-PI/GASEC/SUPAFT/UNAFIN nº 9/2022, será responsável, em conformidade com a LGPD, por:

1. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

2. receber comunicações da autoridade nacional e adotar providências;

3. orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

4. executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Seção III - Dos Diretores de Unidades

Art. 30. Compete aos Diretores das Unidades:

1. disseminar permanentemente a PPDP;

2. garantir o cumprimento da PPDP;

3. solicitar a disponibilidade ou cancelamento dos recursos de informática necessários aos seus subordinados para o bom desempenho de suas funções.

Seção IV - Do Usuário Interno ou Externo

Art. 31. Cabe aos usuários:

1. conhecer e seguir a PPDP;

2. notificar a sua chefia imediata ou a qualquer membro do Comitê Técnico da LGPD, indício ou falha na Segurança da Informação, respondendo por toda atividade consequentemente executada;

3. seguir padrões ou diretrizes para o uso aceitável de ativos organizacionais;

4. observar a boa-fé e os princípios definidos no art. 6º da LGPD.

CAPÍTULO VII - DAS ATUALIZAÇÕES DA PPDP

Art. 32. As atualizações da PPDP serão realizadas pelo Comitê Técnico da LGPD-SEFAZ-PI com periodicidade bianual.

CAPÍTULO VIII - DAS CONSIDERAÇÕES FINAIS

Art. 33. Os casos omissos e eventual procedimento diverso do previsto nesta PPDP serão submetidos à análise do Comitê Técnico da LGPD.

Art. 34. Esta PPDP, bem como os demais documentos que a complementam, encontram-se disponíveis na intranet ou no endereço https://portal.sefaz.pi.gov.br/lgpd/.

Art. 35. Esta PPDP entra em vigor na data de sua publicação.

Publique-se.

Cumpra-se.

ANTONIO LUIZ SOARES DOS SANTOS

Secretário da Fazenda