Decreto nº 15572 DE 28/12/2020

Norma Estadual - Mato Grosso do Sul - Publicado no DOE em 29 dez 2020

Dispõe sobre a adoção de medidas destinadas à aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Estadual.

O Governador do Estado de Mato Grosso do Sul, no exercício da competência que lhe confere o art. 89, inciso VII, da Constituição Estadual, e

Considerando que os dados pessoais integram o âmbito de proteção dos direitos fundamentais de liberdade, de privacidade, de intimidade e do livre desenvolvimento da personalidade da pessoa natural ou jurídica;

Considerando a entrada em vigor da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD);

Considerando que, nos termos do parágrafo único do art. 1º da LGPD, as normas de proteção relativas ao tratamento de dados pessoais são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios,

Decreta:

CAPÍTULO I - DISPOSIÇÕES PRELIMINARES

Art. 1º Este Decreto dispõe sobre a adoção de medidas destinadas à aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Estadual, estabelecendo diretrizes, competências, procedimentos e providências correlatas a serem observados pelos órgãos da Administração Direta, pelas autarquias e pelas fundações, visando a garantir a proteção de dados pessoais.

Parágrafo único. As empresas públicas e as sociedades de economia mista estabelecerão suas políticas de proteção de dados pessoais por ato próprio, observado o disposto no art. 24 da Lei Federal nº 13.709, de 2018.

Art. 2º Para os fins deste Decreto, serão adotados os conceitos previstos no art. 5º da Lei Geral de Proteção de Dados.

Parágrafo único. Será adotado, ainda, como conceito de Plano de Adequação o conjunto de regras de boas práticas e de governança de dados pessoais, estabelecidas pelos Controladores e Operadores, no âmbito de suas competências, que visem à implantação da LGPD pelos órgãos da Administração Direta, pelas autarquias e pelas fundações do Poder Executivo Estadual e que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.

Art. 3º No âmbito do Poder Executivo Estadual e, consoante definição dos incisos VI, VII e VIII do art. 5º da LGPD, consideram-se:

I - Controlador: o Estado de Mato Grosso do Sul por intermédio dos Secretários de Estado, do Controlador-Geral, do Procurador-Geral do Estado e dos dirigentes das entidades da Administração Indireta, respeitadas suas respectivas competências e campos funcionais. (Redação do inciso dada pelo Decreto Nº 15723 DE 12/07/2021).

Nota: Redação Anterior:
I - Controlador: a pessoa jurídica do órgão da Administração Direta, da autarquia ou da fundação estadual sujeita à LGPD, representada pela autoridade imbuída de adotar as decisões acerca do tratamento de dados;

II - Operador: o(s) agente(s) público(s), no sentido amplo, que exerça(m) o tratamento de dados, bem como pessoa(s) jurídica(s) diversa(s) daquela representada pelo Controlador, que exerça(m) atividade de tratamento no âmbito de contrato ou de instrumento congênere;

III - Encarregado: o(s) agente(s) público(s), formalmente designado(s), para o desempenho da comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), bem como das demais funções previstas no art. 41 da LGPD.

§ 1º A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, no Portal da Transparência, em seção específica sobre tratamento de dados pessoais, como também na página do órgão da Administração Direta, da autarquia ou da fundação do Poder Executivo Estadual na internet.

§ 2º A nomeação do encarregado deverá atender prerrogativas e qualificações necessárias ao exercício dessa função.

§ 3º O Encarregado estará subordinado diretamente ao Controlador, devendo possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos a gestão de riscos e governança de dados, com assessoria jurídica e tecnológica, e poderes para tratar questões que afetem os operadores. (Redação do parágrafo dada pelo Decreto Nº 15723 DE 12/07/2021).

Nota: Redação Anterior:
§ 3º O Encarregado deve estar subordinado diretamente ao Controlador, devendo ter experiência em gestão de riscos e governança de dados, com assessoria jurídica e tecnológica, e poderes para tratar questões que afetem os operadores. (Redação do parágrafo dada pelo Decreto Nº 15646 DE 06/04/2021).
§ 3º O Encarregado deve estar subordinado diretamente ao Controlador, devendo ter experiência em gestão, com assessoria jurídica e tecnológica, e poderes para tratar questões que afetem os operadores.

§ 4º De acordo com o § 3º do art. 41 da LGPD, a Autoridade Nacional de Proteção de Dados poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte do órgão da Administração Direta, da autarquia ou da fundação, ou o volume de operações de tratamento de dados.

Art. 4º As atividades de tratamento de dados pessoais pelos órgãos da Administração Direta, pelas autarquias e pelas fundações do Poder Executivo Estadual deverão observar os princípios previstos no art. 6º da LGPD.

CAPÍTULO II - DAS BOAS PRÁTICAS E DA GOVERNANÇA

Art. 5º Os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual, nos termos da Lei Federal nº 13.709, de 2018, devem realizar e manter continuamente atualizados:

I - o mapeamento dos processos e dos fluxos que envolvam o tratamento de dados pessoais em suas unidades;

II - a análise de riscos;

III - o Plano de Adequação, observadas as exigências do art. 6º deste Decreto;

IV - o relatório de impacto à proteção de dados pessoais, quando solicitado.

Parágrafo único. Para fins do inciso III do caput deste artigo, os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual devem atender às diretrizes a serem editadas por Comitê próprio, designado por ato do Presidente do Conselho de Governança de Mato Grosso do Sul (CGMS), que serão publicadas observando-se as deliberações do Comitê Estratégico de Tecnologia da Informação. (Redação do parágrafo dada pelo Decreto Nº 15646 DE 06/04/2021).

Nota: Redação Anterior:
Parágrafo único. Para fins do inciso III do caput deste artigo, os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual devem observar as diretrizes a serem editadas por Comitê próprio, designado por ato do Conselho de Governança de Mato Grosso do Sul (CGMS).

Art. 6º Os planos de adequação devem observar, no mínimo, o seguinte:

I - publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos da Administração Direta, das autarquias e das fundações do Poder Executivo Estadual na internet, bem como no Portal da Transparência, em seção específica a que se refere o § 1º do art. 3º deste Decreto;

II - atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23, § 1º, e do art. 27, parágrafo único da Lei Federal nº 13.709, de 2018;

III - manutenção de dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

CAPÍTULO III - DAS RESPONSABILIDADES

Art. 7º São atribuições do Controlador de dados pessoais a que se refere o inciso VI do art. 5º da LGPD:

I - designar, por ato próprio, o(s) encarregado(s) de proteção de dados pessoais do respectivo órgão da Administração Direta, da autarquia ou da fundação;

II - manter registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse;

III - elaborar o relatório de impacto à proteção de dados pessoais, quando determinado pela Autoridade Nacional de Proteção de Dados;

IV - verificar a observância, pelo Operador, das instruções dadas para o tratamento de dados pessoais e das normas sobre a matéria;

V - adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

VI - dar cumprimento, no âmbito dos respectivos órgãos da Administração Direta, das autarquias e das fundações, às orientações e às recomendações do encarregado de proteção de dados pessoais;

VII - atender às solicitações encaminhadas pelo encarregado de proteção de dados pessoais, no sentido de fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 2018, ou apresentar as justificativas pertinentes;

VIII - encaminhar ao encarregado, no prazo por este fixado:

a) informações sobre o tratamento de dados pessoais que venham a ser solicitadas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 29 da Lei Federal nº 13.709, de 2018;

b) relatórios de impacto à proteção de dados pessoais, ou informações necessárias à elaboração de tais relatórios, nos termos do art. 32 da Lei Federal nº 13.709, de 2018.

IX - assegurar que o encarregado seja informado, de forma adequada e em tempo útil, de todas as questões relacionadas com a proteção de dados pessoais no âmbito do respectivo órgão da Administração Direta, da autarquia ou da fundação do Poder Executivo Estadual;

X - exercer outras atribuições correlatas.

Art. 8º São atribuições do Operador de dados pessoais de que trata o inciso VII do art. 5º da LGPD:

I - manter registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse;

II - realizar o tratamento de dados segundo as instruções fornecidas pelo Controlador e de acordo com as normas aplicáveis;

III - adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

IV - subsidiar o Controlador no intuito de dar cumprimento às solicitações, orientações e às recomendações do Encarregado;

V - executar outras atribuições correlatas.

Art. 9º São atribuições do Encarregado da proteção de dados pessoais de que trata o inciso VII do art. 5º da LGPD:

I - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da Autoridade Nacional de Proteção de Dados e adotar providências;

III - orientar os funcionários e os contratados do órgão da Administração Direta, da autarquia ou da fundação a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;

IV - submeter à Comissão Mista de Avaliação de Informações Classificadas, ao Comitê Encarregado de Editar Diretrizes do Plano de Adequação e ao Comitê Estratégico de Tecnologia da Informação, sempre que julgar necessário, no que couber, matérias atinentes a este Decreto; (Redação do inciso dada pelo Decreto Nº 15646 DE 06/04/2021).

Nota: Redação Anterior:
IV - submeter à Comissão Mista de Avaliação de Informações Classificadas, sempre que julgar necessário, matérias atinentes a este Decreto;

V - decidir sobre as sugestões formuladas pela Autoridade Nacional de Proteção de Dados a respeito da adoção de padrões e de boas práticas para o tratamento de dados pessoais, nos termos do art. 32 da Lei Federal nº 13.709, de 2018;

VI - providenciar, quando solicitados pela Autoridade Nacional de Proteção de Dados, a publicação dos relatórios de impacto à proteção de dados pessoais previstos pelo art. 32 da Lei Federal nº 13.709, de 2018;

VII - adotar providências, quando do recebimento de informe da Autoridade Nacional de Proteção de Dados nos termos do art. 31 da Lei nº 13.709, de 2018, visando a cessar violação à referida Lei, em decorrência do tratamento de dados pessoais por parte do respectivo órgão da Administração Direta, da autarquia ou da fundação, fixando prazo para atendimento à solicitação ou à apresentação de justificativas pertinentes;

VIII - avaliar as justificativas apresentadas nos termos do inciso VII deste artigo, para o fim de:

a) caso avalie ter havido a violação, determinar a adoção das medidas solicitadas pela Autoridade Nacional de Proteção de Dados;

b) caso avalie não ter havido a violação, apresentar as justificativas pertinentes à Autoridade Nacional de Proteção de Dados, segundo o procedimento cabível;

IX - executar as demais atribuições estabelecidas em normas complementares.

Parágrafo único. O encarregado da proteção de dados pessoais está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 13.709, de 2018, com a Lei Federal nº 12.527, de 18 de novembro de 2011, e com a Lei Estadual nº 4.416 , de 16 de outubro de 2013, e com o Decreto Estadual nº 14.471, de 12 de maio de 2016.

Art. 10. Cabe às Unidades de Tecnologia da Informação dos órgãos, autarquias e fundações do Poder Executivo Estadual e, caso estes não possuam tal unidade formalmente estabelecida, à Superintendência de Gestão da Informação da Secretaria de Estado de Fazenda, em relação aos dados pessoais que se encontrem em meios digitais: (Redação dada pelo Decreto Nº 15646 DE 06/04/2021).

Nota: Redação Anterior:
Art. 10. Cabe à Superintendência de Gestão da Informação da Secretaria de Estado de Fazenda, em relação aos dados pessoais que se encontrem em meios digitais:

I - oferecer os subsídios técnicos necessários à edição das diretrizes pelo Comitê a que se refere o art. 5º, parágrafo único, deste Decreto, para a elaboração dos planos de adequação;

II - orientar, sob o ponto de vista tecnológico, os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual na implantação dos respectivos planos de adequação;

III - implementar medidas de segurança em tecnologia da informação apropriadas para garantir o atendimento às premissas da Lei Federal nº 13.709, de 2018.

Art. 11. Cabe à Comissão Mista de Avaliação de Informações Classificadas de que trata o Decreto Estadual nº 14.471, de 12 de maio de 2016, por solicitação do Encarregado:

I - deliberar sobre proposta de diretrizes para elaboração dos planos de adequação, nos termos do art. 5º, parágrafo único, deste Decreto;

II - deliberar sobre qualquer assunto relacionado à aplicação da Lei Federal nº 13.709, de 2018, e deste Decreto pelos órgãos da Administração Direta, pelas autarquias e pelas fundações do Poder Executivo Estadual.

CAPÍTULO IV - DO TRATAMENTO E COMPARTILHAMENTO DE DADOS PESSOAIS

Art. 12. O tratamento de dados pessoais pelos órgãos da Administração Direta, pelas autarquias e pelas fundações do Poder Executivo Estadual, observado o disposto no Capítulo IV da LGPD, será realizado para atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Parágrafo único. Os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual devem conferir publicidade, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos, às hipóteses de realização de tratamento de dados pessoais, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.

Art. 13. Os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual podem efetuar o uso compartilhado de dados pessoais para atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei Federal nº 13.709, de 2018, observadas as seguintes diretrizes:

I - o compartilhamento de dados sujeitos a sigilo implica a assunção, pelo recebedor de dados, dos deveres de sigilo e auditabilidade impostos ao custodiante dos dados;

II - os mecanismos de compartilhamento, interoperabilidade e auditabilidade devem ser desenvolvidos de forma a atender às necessidades de negócio dos órgãos da Administração Direta, das autarquias e das fundações, para facilitar a execução de políticas públicas orientadas por dados;

III - os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual colaborarão para a redução dos custos de acesso a dados no âmbito da administração pública, inclusive, mediante o reaproveitamento de recursos de infraestrutura por múltiplos órgãos e entidades;

IV - serão observados o direito à preservação da intimidade e da privacidade da pessoa natural, a proteção dos dados e as normas e os procedimentos previstos na legislação;

V - o tratamento e o compartilhamento de dados serão realizados nos termos do art. 23 da Lei Federal nº 13.709, de 2018.

Parágrafo único. Fica dispensada a celebração de convênio, acordo de cooperação técnica ou instrumentos congêneres quando o compartilhamento de dados ocorrer entre os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual, observadas as diretrizes previstas no caput deste artigo e o disposto na Lei Federal nº 13.709, de 2018.

Art. 14. É vedado aos órgãos da Administração Direta, às autarquias e às fundações do Poder Executivo Estadual transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 2011;

II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709, de 2018;

III - quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao encarregado para comunicação à Autoridade Nacional de Proteção de Dados;

IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

Parágrafo único. Em quaisquer das hipóteses previstas neste artigo:

I - a transferência de dados dependerá de autorização específica conferida pelo órgão da Administração Direta, pela autarquia ou pela fundação do Poder Executivo Estadual à entidade privada;

II - as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão da Administração Direta, pela autarquia ou pela fundação do Poder Executivo Estadual.

Art. 15. Os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:

I - o encarregado informe a Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;

II - seja obtido o consentimento do titular, salvo:

a) nas hipóteses de dispensa de consentimento previstas na Lei Federal nº 13.709, de 2018;

b) nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do art. 12, parágrafo único, deste Decreto;

c) nas hipóteses do art. 13 deste Decreto.

Parágrafo único. Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.

CAPÍTULO V - DO ATENDIMENTO AO TITULAR

Art. 16. O atendimento ao titular dos dados pessoais, será efetuado por meio dos canais de atendimento da Ouvidoria-Geral do Estado ou das Unidades Setoriais e Seccionais de Controle Interno, observado o seguinte:

I - o titular dos dados deve ser identificado;

II - na hipótese de titulares incapazes, absoluta ou relativamente, estes deverão ser representados ou assistidos por seus pais, tutores ou curadores, na forma da lei civil;

III - a utilização dos canais em meio digital está vinculada à identificação do titular por meio do "cadastro gov.br" do governo federal ou equivalente em âmbito estadual, quando disponível.

Art. 17. O Ouvidor-Geral do Estado ou o responsável pela Unidade Setorial ou Seccional de Controle Interno do órgão da Administração Direta, da autarquia ou da fundação do Poder Executivo Estadual encaminhará atendimento ao encarregado do órgão, da autarquia ou da fundação responsável pelos dados e acompanhará sua resolutividade. (Redação do caput dada pelo Decreto Nº 15723 DE 12/07/2021).

Nota: Redação Anterior:
Art. 17. A Ouvidoria-Geral Estado ou a Unidade Setorial ou Seccional de Controle Interno do órgão da Administração Direta, da autarquia ou da fundação do Poder Executivo Estadual encaminhará o atendimento ao encarregado do órgão, da autarquia ou da fundação responsável pelos dados e acompanhará sua resolutividade.

§ 1º O encarregado deverá adotar as providências para apensar os dados solicitados ao atendimento.

§ 2º Os dados pessoais solicitados no atendimento deverão ser entregues ao titular ou seu representante legal, por meio eletrônico protegido ou pessoalmente.

§ 3º O encaminhamento a que se refere o caput deste artigo não será realizado nas hipóteses em que o responsável pela Unidade Setorial ou Seccional de Controle Interno do órgão da Administração Direta, da autarquia ou da fundação do Poder Executivo Estadual exercer, cumulativamente, a função de encarregado. (Parágrafo acrescentado pelo Decreto Nº 15723 DE 12/07/2021).

Art. 18. Em qualquer forma de atendimento, o encarregado observará que as informações pessoais produzidas pelo órgão da Administração Direta, pela autarquia ou pela fundação do Poder Executivo Estadual não devem ser providas quando estiverem vinculadas a tratamento sigiloso nos termos da legislação vigente.

Parágrafo único. O encarregado informará a base legal que fundamenta o indeferimento de entrega da informação sigilosa solicitada.

CAPÍTULO VI - DISPOSIÇÕES FINAIS

Art. 19. A Procuradoria-Geral do Estado, mediante solicitação da autoridade contratante, orientará os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual quanto às alterações que se façam necessárias nos contratos, convênios, parcerias e congêneres, a fim de adequá-los às disposições da Lei Federal nº 13.709, de 2018.

Art. 20. Os órgãos da Administração Direta, as autarquias e as fundações do Poder Executivo Estadual deverão promover capacitação, sensibilização e campanhas para servidores, contratados e parceiros sobre a importância do tratamento dos dados pessoais e a necessidade de observância das disposições da LGPD.

Art. 21. O art. 45 do Decreto Estadual nº 14.471, de 12 de maio de 2016, passa a vigorar com a seguinte alteração:

"Art. 45.....:

.....

V - deliberar sobre qualquer assunto relacionado à aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, pelos órgãos da Administração Direta, pelas autarquias e pelas fundações do Poder Executivo Estadual.

Parágrafo único. A Comissão Mista de Reavaliação de Informações Classificadas reunir-se-á sempre que convocada por seu Presidente." (NR)

Art. 22. Fica delegada ao Comitê a que se refere o art. 5º, parágrafo único, deste normativo, a competência para propor a edição de normas complementares e para realizar o monitoramento do atendimento das disposições deste Decreto.

Art. 23. Este Decreto entra em vigor na data de sua publicação.

Campo Grande, 28 de dezembro de 2020.

REINALDO AZAMBUJA SILVA

Governador do Estado

CARLOS EDUARDO GIRÃO DE ARRUDA

Controlador-Geral do Estado