Publicado no DOE - PE em 30 jul 2021
Aprova a Política de Proteção de Dados Pessoais Local - PPDPL da Secretaria da Fazenda.
O Secretário da Fazenda, tendo em vista o disposto no artigo 6º do Decreto nº 49.265 , de 6.8.2020, que institui a Política Estadual de Proteção de Dados Pessoais do Poder Executivo Estadual,
Resolve:
Art. 1º Aprovar, nos termos do Anexo Único, a Política de Proteção de Dados Pessoais Local - PPDPL da Secretaria da Fazenda.
Art. 2º Delegar, ao Secretário Executivo de Coordenação Institucional, competência para desempenhar as atribuições de Controlador da PPDPL, que lhe são cometidas pelo Decreto nº 49.265 , de 6.8.2020, em especial no seu artigo 12.
Art. 3º Esta Portaria entra em vigor na data de sua publicação.
DÉCIO JOSÉ PADILHA DA CRUZ
Secretário da Fazenda
ANEXO ÚNICO - DA PORTARIA SF Nº 129/2021 POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS LOCAL - PPDPL
CAPÍTULO I - DAS DISPOSIÇÕES PRELIMINARES
Art. 1º A Política de Proteção de Dados Pessoais Local - PPDPL tem por finalidade estabelecer os princípios, diretrizes e responsabilidades mínimos a serem observados e seguidos para a proteção dos dados pessoais, dos planos estratégicos, dos programas, dos projetos e dos processos da Secretaria da Fazenda - Sefaz.
Art. 2º A PPDPL e suas eventuais normas complementares, metodologias, manuais e procedimentos aplicam-se a todos os setores da Sefaz, abrangendo os servidores, prestadores de serviço, colaboradores, estagiários, consultores externos e quem, de alguma forma, desempenhe atividades de tratamento de dados pessoais, estendendo-se àqueles que realizem tratamento de dado pessoal em nome da Sefaz.
CAPÍTULO II - DOS PRINCÍPIOS E OBJETIVOS
Art. 3º As atividades de proteção de dados pessoais no âmbito da Sefaz, bem como seus instrumentos resultantes, devem se guiar pelos seguintes princípios, além dos previstos no Decreto nº 49.265 , de 6.8.2020:
I - aderência à integridade e aos valores éticos no tratamento de dados pessoais;
II - adequação ao suporte de tecnologia da informação para apoiar os processos de adaptação dos tratamentos de dados pessoais;
III - disseminação de informações necessárias ao fortalecimento da cultura do tratamento de dados pessoais em respeito à Lei Federal nº 13.709, de 14.8.2018 - Lei Geral de Proteção de Dados Pessoais - LGPD;
IV - realização de avaliações periódicas internas para verificar a eficácia da proteção de dados pessoais, comunicando o resultado aos responsáveis pela adoção de ações corretivas, inclusive ao Secretário Executivo de Coordenação Institucional.
V - estruturação do conhecimento e das atividades em metodologias, normas, manuais e procedimentos; e
VI - aderência dos métodos e modelos de tratamento de dados às exigências regulatórias da LGPD.
Art. 4º A PPDPL tem por objetivos:
I - proporcionar a adequação das atividades desenvolvidas por meio da Sefaz à LGPD e regulamentos emitidos pela Autoridade Nacional de Proteção de Dados - ANPD, em consonância com o atingimento dos objetivos estratégicos;
II - produzir informações íntegras, confiáveis e completas das demandas dos titulares do dado;
III - salvaguardar o direito à proteção dos dados pessoais dos titulares;
IV - possibilitar a adequada apuração dos responsáveis, em todos os níveis, que tenham acesso inadequado aos dados pessoais, em especial, àqueles considerados sensíveis, considerando o disposto no Código de Ética da Sefaz, na Lei Complementar nº 107, de 14.4.2008, e na Lei nº 6.123, de 20.7.1968 - Estatuto dos Funcionários Públicos Civis do Estado de Pernambuco;
V - reduzir os riscos relacionados aos incidentes envolvendo dados pessoais, mediante a implantação de medidas de controle de segurança da informação; e
VI - orientar e servir de diretriz para os agentes de tratamento.
Art. 5º São diretrizes da PPDPL:
I - a gestão da integridade, com a promoção da cultura ética focada na preservação da privacidade;
II - o fortalecimento da integridade institucional, a partir do diagnóstico de vulnerabilidades na segurança da informação;
III - a capacitação adequada do encarregado e sua equipe de apoio e dos agentes de tratamento;
IV - o fortalecimento dos mecanismos de comunicação de possíveis incidentes, que deve ser pautado pela tempestividade, implementação de melhorias de segurança e obtenção de informações sobre as origens da vulnerabilidade; e
V - a gestão de riscos, a ser sistematizada e suportada pelas premissas de metodologias técnicas;
Parágrafo único. O modelo de gestão de gerenciamento de riscos deve seguir o método de priorização de processos, considerando sua relevância e impacto na estratégia da Sefaz
CAPÍTULO IV - DOS INSTRUMENTOS
Art. 6º São instrumentos da PPDPL:
I - a metodologia: o modelo de gestão de riscos deve ser estruturado com base nas boas práticas produzidas pela International Organization for Standardization, em especial, as ISO 31000, 31010, 27001, 27002, 27004, 27005, 27701 e 29100;
II - a capacitação continuada: o Plano Anual de Capacitação, incluindo o eixo temático de Segurança da Informação e Proteção de Dados Pessoais;
III - a normatização: legislação, manuais e procedimentos formalmente definidos, em especial, no âmbito da Sefaz; e
IV - a solução tecnológica: o processo de gestão de riscos deve ser apoiado por adequado suporte de tecnologia da informação.
CAPÍTULO V - DAS INSTÂNCIAS DE SUPERVISÃO, COMPOSIÇÃO E DAS ATRIBUIÇÕES E RESPONSABILIDADES
Seção I - Do Controlador, do Encarregado e dos Operadores
Art. 7º A Sefaz é a controladora dos dados pessoais por ela tratados, nos termos das suas competências legal e institucional.
Art. 8º O Secretário Executivo de Coordenação Institucional, enquanto representante legal, terá responsabilidade pela aprovação final da gestão dos riscos e controles internos quanto à adequação à LGPD na Sefaz, nos termos do artigo 12 do Decreto nº 49.265, de 2020.
Art. 9º A autoridade indicada pelo Secretário Executivo de Coordenação Institucional para o exercício de Encarregado, para fins da LGPD, terá responsabilidade pelo gerenciamento do projeto de implantação e dos riscos e controles internos quanto à adequação à LGPD na Sefaz, conforme artigo 13 do Decreto nº 49.265, de 2020.
Art. 10. Os provedores de serviços de Tecnologia da Informação e Comunicação - TIC e demais prestadores de serviços à Sefaz, que vierem a tratar dado pessoal em nome da Secretaria, poderão ser considerados operadores e deverão aderir à Política de que trata esta Portaria, além de cumprir os deveres legais, contratuais e de parceria respectivos, dentre os quais se incluirão, mas a eles não se limitarão, os seguintes:
I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais;
II - apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança para a proteção dos dados pessoais, segundo a legislação, os instrumentos contratuais e de compromissos;
III - manter os registros de tratamento de dados pessoais que realizar, assim como aqueles compartilhados, com condições de rastreabilidade e de prova eletrônica a qualquer tempo;
IV - seguir fielmente as diretrizes e instruções transmitidas pela Sefaz;
V - facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição à Sefaz, mediante solicitação;
VI - permitir a realização de auditorias da Sefaz e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;
VII - auxiliar, sempre que possível, no atendimento pela Sefaz de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;
VIII - comunicar formalmente e de imediato à Sefaz a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções; e
IX - descartar de forma irrecuperável, ou devolver à Sefaz, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.
Art. 11. O Gestor de Processos corresponde a todo e qualquer responsável pela unidade de execução de um determinado processo de trabalho, inclusive sobre a gestão de riscos.
Seção III - Das Atribuições e Responsabilidades
Art. 12. Compete ao Secretário Executivo de Coordenação Institucional, enquanto representante legal:
I - aprovar práticas e princípios de conduta e padrões de tratamento de dados pessoais;
II - aprovar as alterações da PPDPL;
III - deliberar sobre o Plano de Implementação de Controles Internos;
IV - aprovar a estrutura, extensão e conteúdo do Inventário de Dados;
V - acompanhar o diagnóstico preliminar de controles internos;
VI - tomar conhecimento do andamento e resultados da avaliação de controles internos;
VII - tomar ciência do monitoramento da PPDPL;
VIII - aprovar e promover o Plano de Tratamento de Incidentes com Dados Pessoais; e
IX - aprovar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da Sefaz.
Art. 13. Compete ao Encarregado:
I - propor práticas e princípios de conduta e padrões de tratamento de dados pessoais;
II - elaborar alterações da PPDPL;
III - consolidar propostas de ações, avaliar e elaborar o Plano de Implementação de Controles Internos;
IV - elaborar a estrutura, extensão e conteúdo do Inventário de Dados;
V - promover a aderência às regulamentações, leis, códigos, normas e padrões na condução da PPDPL;
VI - recomendar ajustes contratuais e de termos de compromisso decorrentes da implementação da PPDPL;
VII - definir o diagnóstico preliminar de controles internos;
VIII - instituir e acompanhar a avaliação de controles internos;
X - elaborar o Plano de Tratamento de Incidentes com Dados Pessoais;
XI - elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da Sefaz;
XII - cumprir os objetivos e metas previstas na Política de Proteção de Dados Pessoais Local;
XIII - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, em articulação com a Ouvidoria de cada órgão e entidade;
XIV - receber comunicações da ANPD e adotar providências;
XV - orientar os funcionários e os operadores no cumprimento das práticas necessárias à proteção de dados pessoais;
XVI - quando provocado, entregar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da Sefaz;
XVII - atender às normas complementares da ANPD; e
XVIII - informar, à ANPD e aos titulares dos dados pessoais, eventuais incidentes de privacidade de dados pessoais, dentro da execução de um Plano de Tratamento de Incidentes com Dados Pessoais.
Parágrafo único. As competências do Encarregado serão desempenhadas com apoio do Grupo Técnico GT LGPD, criado por meio da Portaria SF nº 206, de 7.12.2020.
Art. 14. Compete à Unidade de Tecnologia da Informação:
I - prestar orientação técnica ao encarregado e aos operadores sobre questionamentos e boas práticas em segurança da informação;
II - apoiar as ações de capacitação nas áreas de Segurança da Informação e Proteção de Dados Pessoais;
III - realizar, em conjunto com o GT LGPD e o Gestor de Processo, o diagnóstico preliminar;
IV - realizar, em conjunto com o GT LGPD e o Gestor de Processo, a avaliação de controles internos dos processos priorizados;
V - apoiar, com propostas técnicas de segurança da informação, a elaboração do Plano de Tratamento de Incidentes com Dados Pessoais;
VI - apoiar a elaboração do Relatório de Impacto de Proteção aos Dados Pessoais;
VII - extrair estrutura e conteúdo de dados pessoais em sistemas informatizados para elaboração do Inventário de Dados;
VIII - extrair conteúdo de dados pessoais em sistemas informatizados para atendimentos das demandas dos titulares;
IX - apoiar, com propostas técnicas de segurança da informação, a elaboração instrumentos, em especial contratos e congêneres; e
X - apoiar a elaboração do Plano de Implementação de Controles Internos.
I - receber manifestações e comunicações dos titulares de dados pessoais;
II - realizar a interlocução do titular de dados pessoais com o encarregado;
III - mapear as principais possíveis demandas do titular de dado pessoal, considerando o Inventário de Dados;
IV - apoiar o encarregado na propositura de ações que facilitem o atendimento às demandas dos titulares de dados pessoais; e
V - promover a transparência dos tratamentos de dados pessoais sob a responsabilidade da Sefaz.
Art. 16. Compete à Unidade de Contratos da Superintendência Administrativa e Financeira realizar os ajustes contratuais e de termos de compromisso decorrentes da implementação da PPDPL.
CAPÍTULO VI - DO TRATAMENTO DE DADOS PESSOAIS
Art. 17. O tratamento de dados pessoais pela Sefaz será realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
Parágrafo único. Regulamento e demais normas de organização definirão as funções e atividades que constituem as finalidades e os balizadores do tratamento de dados pessoais para fins da Política de que trata esta Portaria.
Art. 18. Em atendimento a suas competências legais, a Sefaz poderá, no estrito limite de suas atividades, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares.
Parágrafo único. Eventuais atividades que transcendam o escopo da função institucional estarão sujeitas à obtenção de consentimento dos titulares dos dados pessoais a ser objeto de tratamento.
Art. 19. A Sefaz manterá contratos com terceiros para o fornecimento de produtos ou a prestação de serviços necessários a suas operações, os quais poderão, conforme o caso, importar em disciplina própria de proteção de dados pessoais, a qual deverá estar disponível e ser consultada pelos interessados.
Art. 20. Os dados pessoais tratados pela Sefaz são:
I - protegidos por procedimentos internos para registrar autorizações e utilizações;
II - mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade ou em face de solicitação de remoção, devendo a neutralização ou descarte do dado observar as condições e períodos da tabela de temporalidade de retenção de dados;
III - compartilhados somente para o exercício das funções institucionais ou para atendimento de políticas públicas aplicáveis; e
IV - revistos em periodicidade mínima bianual, sendo de imediato eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.
Art. 21. A responsabilidade da Sefaz pelo tratamento de dados pessoais estará circunscrita ao dever de se ater ao exercício de sua competência legal e institucional e de empregar boas práticas de governança e de segurança.
