O Secretário de Estado da Fazenda, no uso da atribuição que lhe confere o art. 114, inciso II, da Constituição Estadual, resolve expedir a seguinte:

INSTRUÇÃO NORMATIVA:

Art. 1º O anexo A - Termo de Sigilo e Confidencialidade da Instrução Normativa SEF nº 11, de 02 de março de 2018, passa a vigorar com a seguinte redação:

"ANEXO A - ACORDO DE CONFIDENCIALIDADE E DE NÃO DIVULGAÇÃO DE DADOS: TRATAMENTO DE DADOS E SIGILO FISCAL

A Secretaria de Estado da Fazenda de Alagoas de Alagoas - SEFAZ/AL, pessoa jurídica de direito público inscrita no CNPJ sob o nº 12.200.192/0001-69, com sede na Rua General Hermes, 80 - Centro, Maceió - AL - CEP: 57.017-900, aqui assinada por seu representante legal e doravante referida como SEFAZ.

A xxxxxxxxxxxxxx, sociedade empresária, inscrita no CNPJ/MF sob o nº xxxxxxxxxxxxxxxx, com sede na xxxxxxxxxxxxxx - CEP: xxxxxxxxxx, representada por xxxxxxxxxxxxxxx, inscrito no CPF sob o nº xxxxxxxxxxxxxx, doravante denominada xxxxxxxxxxxx.

Considerando QUE:

I - Em razão da relação contratual havida entre as PARTES SEFAZ e xxxxxxxxx serão realizadas operações de tratamento de dados pessoais e de empresas conforme definidos no artigo 5º, I e X da L13709/2018 - transmitidos de PARTE a PARTE, e econômico-fiscais -, protegidos nos termos do artigo 198 do Código Tributário Nacional - CTN;

II - Referida lei disciplina tais operações, estabelecendo seus princípios e requisitos; os direitos conferidos a titulares de dados pessoais e de empresas (nesse caso a SEFAZ); as obrigações a serem cumpridas pelos agentes de tratamento, bem como os critérios de responsabilização civil e administrativa destes;

III - O art. 198 do CTN preleciona que, sem prejuízo do disposto na legislação criminal, é vedada a divulgação, por parte da Fazenda Pública ou de seus servidores, de informação obtida em razão do ofício sobre a situação econômica ou financeira do sujeito passivo ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades;

IV - A observância estrita às normas de proteção de dados pessoais bem como ao sigilo fiscal deve ser cumprida pela presente contratação;

V - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VI - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VII - Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para

uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

As PARTES acordam que:

1. COMPROMISSO GERAL DE CONFORMIDADE

1.1. As PARTES se comprometem a atuar em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) em vigor, nomeadamente a Lei nº 13.709/2018, bem como com o disposto no Código Tributário Nacional, comprometendo-se a cumprir os dispositivos desse Acordo.

1.2. Sem prejuízo das determinações estabelecidas em suas políticas de privacidade, as PARTES, ao tratarem dados pessoais e econômico-fiscais, observarão a boa-fé e os seguintes princípios:

a) Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

b) Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

c) Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

d) Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais e econômicos-fiscais.

e) Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e econômico-fiscais e, inclusive, da eficácia dessas medidas.

f) Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais e econômico-fiscais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

g) Transparência: garantia de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

1.3. Toda informação disponibilizada, desde que não sejam informações públicas, em razão do desempenho do Contrato, doravante denominada simplesmente Informação(ões) Confidencial(is), incluindo, dentre outras, todas e quaisquer informações orais e/ou escritas, transmitidas e/ou divulgadas, será considerada confidencial.

1.4. Informação(ões) Confidencial(is) deve(m) significar, sem se limitar, toda e qualquer informação, de natureza técnica, operacional, comercial, financeira, fiscal, jurídica, know-how, planos de negócios, métodos de contabilidade, técnicas e experiências acumuladas, documentos, contratos, papéis, estudos, pareceres, pesquisas transmitidas e dados pessoais.

2. ESCOPO DO TRATAMENTO DE DADOS PESSOAIS

2.1. As PARTES estão autorizadas a realizar tratamento dos DADOS tão somente em consonância com o previsto no CONTRATO, sem prejuízo do tratamento necessário ao cumprimento de obrigação legal ou regulatória a que esteja sujeita no Brasil ou para o exercício de direitos em processos judiciais, administrativos e arbitrais, ESPECIALMENTE:

a) Execução dos serviços acordados;

b) Cadastro em seus sistemas internos de controle;

c) Controle e liberação de acesso dos titulares às suas dependências e sistemas;

d) Realização de processos de due diligence;

e) Estabelecimento de contato e relacionamento comercial;

f) Cumprimento de obrigações relacionadas ao CONTRATO, à lei ou regulamentos;

g) Análise e validação de documentação tributária, contratual e societária;

h) Atendimento a demandas jurídicas.

2.2. Após concluída a finalidade de tratamento, as Partes deverão eliminar todos os dados recebidos, tratados em razão do CONTRATO, sendo permitido seu armazenamento apenas nas hipóteses legalmente previstas e desde que haja o consentimento expresso e prévio da Administração Pública. A eliminação dos dados deve ser realizada de forma que não seja possível a recuperação dos mesmos.

3. CONFIDENCIALIDADE DOS DADOS PESSOAIS

3.1. As PARTES se obrigam a zelar pelo sigilo dos DADOS que venham a ser compartilhados entre si.

3.2. As PARTES submeterão ao dever de confidencialidade referido no item anterior, todos aqueles a quem derem acesso aos DADOS.

3.3 As PARTES concederão acesso aos DADOS apenas a pessoas afeitas às tarefas relacionadas ao CONTRATO.

4. SUBCONTRATAÇÃO DE OPERAÇÕES DE TRATAMENTO DOS

DADOS

4.1. As Partes NÃO poderão compartilhar DADOS com instituições terceiras sem a anuência formal e por escrito das Partes, mesmo havendo subcontratação para a execução de atividades como armazenamento de dados em nuvem; gestão de seus sistemas integrados; eliminação e descarte de dados; serviços de segurança.

4.2. Qualquer atividade das PARTES que implique em tratamento dos DADOS em âmbito internacional, somente poderá ser realizada nas hipóteses autorizadas pela legislação e desde que haja o consentimento expresso e prévio da Administração Pública.

5. BOAS PRÁTICAS DE GOVERNANÇA

5.1. Cada uma das PARTES:

a) Adotará boas práticas de governança em relação ao tratamento dos DADOS, compatíveis com a estrutura, a escala e o volume de suas operações, bem como à sensibilidade dos dados tratados, devendo gerar e guardar evidências;

b) Somente realizará armazenamento de DADOS quando tal se evidenciar necessário, hipótese em que o armazenamento se dará pelo período definido em lei ou regulamento ou aquele necessário

para a execução de suas obrigações, e desde que haja o consentimento prévio da administração.

c) Prestará as informações que lhe forem solicitadas formalmente pela outra PARTE, para a verificação de sua conformidade com as disposições deste instrumento.

d) Notificará em até 24h (vinte e quatro) horas qualquer:

(i) suspeita ou efetivo descumprimento de disposições legais relativas à proteção de Dados Pessoais e/ou Fiscais;

(ii) suspeita ou efetivo descumprimento de obrigações contratuais relativas ao tratamento dos Dados Pessoais e/ou Fiscais;

(iii) suspeita ou efetiva violação de segurança dos DADOS, no âmbito de sua organização ou de subcontratados seus;

(iv) ordem emanada de autoridade pública.

SEGURANÇA DOS DADOS

Nota: Redação conforme publicação oficial.

6.1. As PARTES declaram que os sistemas que utilizam para realizar o tratamento dos DADOS são estruturados e serão mantidos de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança estabelecidos na legislação vigente, além dos princípios inerentes à privacidade, garantindo sua adequada proteção, assim como a inviolabilidade da intimidade, da honra e da imagem dos seus TITULARES.

6.2. As PARTES manterão procedimentos de segurança de DADOS que assegurem a sua confidencialidade, integridade e disponibilidade e que atendam aos padrões mínimos sugeridos pela Autoridade Nacional de Proteção de Dados (ANPD). O descumprimento do disposto neste item importará em inadimplemento culposo, sendo facultada a resolução do CONTRATO.

6.3. AS PARTES deverão manter relatórios que indiquem, no mínimo:

(i) os sistemas em que os DADOS são tratados;

(ii) as medidas de segurança que tais sistemas oferecem;

(iii) o tempo registrado de eventual inatividade das medidas técnicas de segurança;

(iv) a conformidade/inconformidade do sistema com relação às medidas de segurança e governança de dados especificadas neste contrato;

(v) as eventuais ameaças ou efetivas violações de dados e/ou incidentes de segurança; e

(vi) as contramedidas ou salvaguardas recomendadas, exigidas e implementadas.

7. INCIDENTES DE SEGURANÇA

7.1. AS PARTES notificarão imediatamente a respeito da ocorrência de incidentes relacionados à segurança dos DADOS, em relação às atividades de tratamento realizadas por si ou por subcontratados, assim entendido como qualquer evento adverso, confirmado ou sob suspeita, que possa afetar a confidencialidade, a integridade e a disponibilidade daqueles.

7.2. A notificação deverá conter:

(i) data e hora do incidente;

(ii) data e hora da ciência pela PARTE responsável;

(iii) descrição dos dados pessoais e/ou fiscais afetados;

(iv) número de titulares afetados;

(v) relação dos titulares envolvidos;

(vi); riscos relacionados ao incidente;

(vii) indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;

(viii) motivos da demora, no caso de a comunicação não haver sido imediata;

(ix) medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo;

(x) o contato do Encarregado de Proteção de Dados ou de outra pessoa junto a Ì? qual seja possível obter maiores informações sobre o ocorrido.

7.3. Na hipótese de incidentes relacionados à segurança dos DADOS, as PARTES atuarão em regime de cooperação de modo a:

(i) definir e implementar as medidas necessárias para fazer cessar o incidente e minimizar seus impactos;

(ii) prover as informações necessárias à apuração do ocorrido no menor prazo possível;

(iii) definir o padrão de respostas a serem dadas aos TITULARES, terceiros, à Autoridade Nacional de Proteção de Dados e demais autoridades competentes.

7.4. As PARTES poderão compartilhar informações referentes a eventuais incidentes de segurança com os TITULARES, autoridades judiciais, Autoridade Nacional de Proteção de Dados e demais instituições fiscalizadoras.

8. RESPOSTA A DEMANDAS DE TITULARES

8.1. As PARTES deverão colaborar entre si para responder a demandas formuladas por TITULARES, autoridades judiciais, pela Autoridade Nacional de Proteção de Dados ou outras instituições fiscalizadoras.

9. RESPONSABILIDADE DAS PARTES

9.1. As PARTES responderão solidariamente por eventuais danos causados ao TITULAR dos DADOS, sendo assegurado o direito de regresso de uma parte contra a outra nos termos da legislação.

Maceió, xx de xxxxx de 2022.

SECRETARIA DA FAZENDA DO ESTADO DE ALAGOAS

xxxxxxxxxxxxxxxxxxxxxxxxxxxx

(CONTRATADA)

CNPJ nº xxxxxxxxxxx."

Art. 2º Esta Instrução Normativa entra em vigor na data de sua publicação.

SECRETARIA DE ESTADO DA FAZENDA, em Maceió, 27 de maio de 2022.

GEORGE ANDRÉ PALERMO SANTORO

Secretário de Estado da Fazenda