Publicado no DOE - PA em 8 set 2025
Estabelece diretrizes para a implementação e cumprimento da Lei Nº 13709/2018, que institui a Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito da Secretaria de Estado da Fazenda (SEFA).
O Secretário de Estado da Fazenda, no uso das atribuições que lhe conferem o inciso II do parágrafo único do art. 138 da Constituição Estadual e o inciso II do art. 6º do Decreto nº 1.604, de 18 de abril de 2005, e tendo em vista a Lei nº 13.709 , de 14 de agosto de 2018,
RESOLVE:
CAPÍTULO I - DAS DISPOSIÇÕES GERAIS
Art. 1º Esta Instrução Normativa estabelece princípios, normas, diretrizes e responsabilidades que regulam o tratamento de dados pessoais, em meios físicos e digitais, no âmbito da Secretaria de Estado da Fazenda (SEFA), para fins de conformidade com a Lei nº 13.709 , de 14 de agosto de 2018.
Parágrafo único. O tratamento a que se refere o caput deste artigo compreende os dados sob controle, usados ou transmitidos, pela SEFA, ou em seu nome, por qualquer meio, inclusive por meio de sistemas de computador e dispositivos portáteis.
Art. 2º As normas dispostas nesta Instrução Normativa se aplicam:
a) da SEFA, inclusive aos comissionados, terceirizados e estagiários;
b) de outros órgãos, desde que acessem os dados pessoais tratados pela SEFA;
II - às pessoas naturais ou jurídicas de direito público ou privado que forneçam ou operem dados pessoais no âmbito da SEFA;
III - a qualquer pessoa natural ou jurídica de direito público ou privado que realize operação de tratamento de dados pessoais no âmbito da SEFA;
IV - aos titulares dos dados pessoais tratados pela SEFA, ou seus representantes legalmente constituídos.
Art. 3º O tratamento dos dados pessoais de que trata esta Instrução Normativa será pautado no dever de boa-fé e observar os princípios previstos da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas, nos termos do art. 6º da Lei nº 13.709/2018 .
Art. 4º Para os fins desta Instrução Normativa, considerar-se-ão todos os conceitos e definições estabelecidos no art. 5º da Lei nº 13.709/2018 .
CAPÍTULO II - DO TRATAMENTO DE DADOS PESSOAIS NA SEFA
Seção I - Das Bases Legais e Normativas
Art. 5º As competências e finalidades que disciplinam o tratamento de dados pessoais pela SEFA são as previstas na Constituição da República Federativa do Brasil, na Constituição do Estado do Pará, nas leis nacionais e estaduais e nos normativos internos que disciplinam as relações com este órgão e as pessoas de que trata o art. 2º.
Art. 6º Ao tratamento de dados pessoais pela SEFA aplicar-se-ão as disposições da Lei nº 13.709 , de 14 de agosto de 2018, nº 12.527, de 18 de novembro de 2011, nº 9.507, de 12 de novembro de 1997, nº 12.965, de 23 de abril de 2014, e demais legislações vigentes.
Parágrafo único. Deverão ser aplicadas também:
I - a NBR ABNT ISO/IEC 27001 e demais normas técnicas comumente aceitas; e
II - normas de políticas públicas de dados abertos, de inclusão digital, de boas práticas de governança de dados e de segurança da informação.
Seção II - Do Tratamento dos Dados Pessoais
Art. 7º O tratamento dos dados pessoais efetuados pela SEFA será realizado para o atendimento de suas finalidades públicas, na persecução do interesse público, com o objetivo de executar suas competências legais ou cumprir as atribuições legais do serviço público.
§ 1º No tratamento de dados pessoais a que se refere o caput deste artigo deve-se observar o exercício de competências e atribuições legais, fornecendo-se informações sobre a finalidade, formas de execução, prazo de armazenamento e fundamentação legal ao titular dos dados pessoais, ou seu representante legalmente constituído, de forma clara e precisa.
§ 2º Fica dispensado o consentimento do titular dos dados pessoais, ou de seu representante legalmente constituído, para o atendimento às finalidades previstas no caput deste artigo, observado o disposto no inciso II do caput do artigo 11 da Lei nº 13.709/2018 .
Art. 8º Os dados pessoais tratados no âmbito da SEFA devem ser:
I - protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;
II - mantidos disponíveis, exatos, adequados, pertinentes e atualizados, devendo ser retificado ou eliminado o dado pessoal:
a) por solicitação de seu titular ou representante legalmente constituído, quando coletado mediante consentimento;
b) quando constatada sua impropriedade; ou
c) quando não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção;
III - compartilhados, exclusivamente, para o exercício das competências e atribuições legais ou para atendimento de políticas públicas aplicáveis, nos termos do art. 28.
§ 1º A definição e execução das trilhas de auditoria referidas no inciso I do caput deste artigo será de competência da Diretoria de Tecnologia da Informação (DTI).
§ 2º As trilhas de auditoria definidas pela DTI deverão ser previamente validadas pelo Comitê Gestor de Proteção de Dados Pessoais.
Art. 9º Os agentes públicos a que se refere a alínea "a" do inciso I do caput do art. 2º poderão ter acesso aos dados pessoais no âmbito desse órgão, respeitadas as suas atribuições legais e regulamentares e a finalidade para a qual o dado foi tratado, observado o art. 14 a 16.
Parágrafo único. Para o regular acesso de que trata o caput deste artigo devem ser utilizados apenas recursos, plataformas e aplicações disponibilizados ou autorizados pela SEFA, a fim de evitar que os dados sejam transferidos, sem autorização, para aplicações ou bancos de dados de terceiros.
Art. 10. Excepcionalmente, poderão ter acesso aos dados pessoais controlados pela SEFA:
I - fornecedores e prestadores de serviços que auxiliam a SEFA no desenvolvimento de suas atividades, cujas categorias incluem, dentre outros, serviços de manutenção de hardware e software, suporte a ambientes de Tecnologia de Informação e Comunicação (TIC), serviços administrativos diversos;
II - autoridades de fiscalização e investigação;
Parágrafo único. Às pessoas a que se referem este artigo devem atuar em conformidade com os atos normativos dispostos nos art. 5º e 6º e ficam vedadas de utilizar os dados pessoais para qualquer outra finalidade.
Seção III - Do Tratamento de Dados Pessoais Sensíveis
Art. 11. O tratamento de dados pessoais sensíveis realizado no âmbito da SEFA poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador dos dados;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em lei ou regulamentos;
c) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307 , de 23 de setembro de 1996;
d) proteção da vida ou da incolumidade física do titular ou de terceiros;
e) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da Lei Federal nº 13.709/2018 , exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Parágrafo único. Nos casos de aplicação do disposto nas alíneas "a" e "b" do inciso II do caput deste artigo, será dada publicidade à referida dispensa de consentimento, na forma do inciso I do caput do art. 23 da Lei Federal nº 13.709/2018 .
Seção IV - Dos Direitos Dos Titulares
Art. 12. A SEFA deve zelar para que o titular do dado pessoal possa usufruir dos direitos assegurados pelos art. 18 e 19 da Lei nº 13.709/2018 .
Art. 13. As manifestações do titular de dados ou de seu representante legal deverão ser atendidas nas formas e nos prazos dispostos na Lei nº 13.709/2018 .
Seção V - Dos Deveres para Uso Adequado de Dados Pessoais
Art. 14. São deveres dos agentes de que trata o art. 2º desta Instrução Normativa:
I - não disponibilizar ou garantir acesso aos dados pessoais mantidos no âmbito SEFA para pessoas não autorizadas ou competentes de acordo com as normas legais, regulamentares e internas da SEFA;
II - cumprir as normas, recomendações, orientações de segurança da informação e prevenção de incidentes de segurança da informação internas da SEFA.
Art. 15. É dever de todas as pessoas elencadas no art. 2º desta Instrução Normativa contatar, através do correio eletrônico institucional ou outro meio idôneo, a SEFA, quando da suspeita ou da ocorrência efetiva das seguintes ações:
I - operação de tratamento de dados pessoais realizada sem base legal que a justifique;
II - operação de tratamento de dados pessoais que ultrapasse as atribuições regulamentares ou contratuais do agente de tratamento;
III - operação de tratamento de dados pessoais que seja realizada em desconformidade com orientações de segurança da informação da SEFA;
IV - operação de tratamento de dados pessoais com infração aos princípios dispostos no art. 6º da Lei Federal nº 13.709/2018 ;
V - eliminação ou destruição de dados pessoais, não autorizada pela SEFA, de plataformas digitais ou acervos físicos em todas as instalações da instituição ou por ela utilizadas;
VI - violação às disposições desta Instrução Normativa.
Art. 16. Para cumprimento das obrigações dispostas nesta Seção deverão ser observadas as normas de que tratam os art. 5º e 6º.
Seção VI - Das Relações com Terceiros
Art. 17. Os contratos com terceiros que envolvam acesso ou tratamento de dados pessoais controlados pela SEFA deverão conter cláusulas referentes à proteção de dados pessoais, estabelecendo deveres e obrigações e atestando o compromisso dos terceiros com as legislações de proteção de dados pessoais aplicáveis nos termos desta Instrução Normativa.
Art. 18. A SEFA pode, a qualquer tempo, requisitar informações acerca dos dados pessoais confiados seus fornecedores, particularmente no caso de serviços de Tecnologia da Informação e Comunicação (TIC).
Art. 19. Os fornecedores de serviços que envolvam tratamento de dados pessoais serão considerados operadores, nos termos dos art. 32 a 36 e, nos deveres legais e contratuais respectivos deverão ser incluídos:
I - assinatura do contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pela SEFA;
II - apresentação de evidências e garantias de que o conjunto de medidas técnicas e administrativas de segurança, para a proteção dos dados pessoais, conforme a legislação e os instrumentos contratuais e de compromissos, são suficientes e adequadas;
III - manutenção de registros dos tratamentos de dados pessoais que realizar, com condições de rastreabilidade e de prova eletrônica a qualquer tempo;
IV - disponibilização de acesso aos dados pessoais, no que for estritamente necessário, somente às pessoas devidamente autorizadas, e que tenham assumido o compromisso formal de preservação da confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição à SEFA, mediante solicitação;
V - observância a não-violação das disposições desta Instrução Normativa, em especial, dos princípios de proteção de dados elencados no art. 6º da Lei nº 13.709/2018 ;
VI - permissão de realização de auditorias, incluindo inspeções realizadas pela SEFA ou por auditor independente, por ela autorizado, e disponibilização de toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas e possibilitar essa medida;
VII - auxílio a toda providência sob seu alcance, no atendimento pela SEFA de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;
VIII - comunicação formal e imediata à SEFA de ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;
IX - descarte, de forma irrecuperável, ou devolução para a SEFA, de todos os dados pessoais e as cópias desses existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento, por decurso de prazo ou por extinção de vínculo legal ou contratual.
Seção VII - Dos Prazos de Conservação dos Dados Pessoais
Art. 20. Sem prejuízo de disposições legais em contrário, os dados pessoais serão conservados pelo período mínimo necessário para alcançar a finalidade que motivou o seu tratamento em cada caso.
Art. 21. No caso de dados pessoais armazenados em documentos físicos e digitais, deverão ser observadas a tabela de temporalidade constante no Manual de Gestão de Documentos do Estado do Pará e a tabela de temporalidade de documentos concernentes às atividades finalísticas da SEFA.
Art. 22. Nas hipóteses em que o tratamento de dados for efetivado com base em pedido de consentimento, os dados serão mantidos de acordo com as condições nesse especificadas.
Art. 23. Os prazos de manutenção dos dados pessoais relativos à dívida ativa e à área fiscal deverão estar alinhados àqueles que forem definidos ou habitualmente praticados pela Secretaria de Estado da Fazenda.
Art. 24. Os prazos de manutenção dos dados pessoais relativos a processos judiciais deverão estar alinhados àqueles que forem definidos ou praticados pelo Poder Judiciário.
Seção VIII - Do Uso de Mídias, Dispositivos Móveis e Aplicativos
Art. 25. O uso de mídias ou dispositivos móveis por servidores para armazenamento de documentos ou arquivos com dados pessoais deverá ser acompanhado das medidas de segurança previstas em norma complementar específica.
Art. 26. Com o objetivo de afastar qualquer risco de vazamento de dados no processo de descarte de mídias ou recursos de armazenamento, todos os dados armazenados deverão ser prévia e plenamente eliminados, conforme orientações de segurança da informação da SEFA.
Art. 27. Os recursos de tecnologia disponibilizados pela SEFA para o exercício de atividades profissionais, como correio eletrônico institucional, ambiente de servidores, aplicações, acesso à internet e recursos de impressão, devem ser utilizados única e exclusivamente para os fins do serviço público.
Parágrafo único. Qualquer uso fora do escopo de que trata o caput deste artigo, inclusive para fins pessoais, é de exclusiva responsabilidade do usuário, ficando a SEFA desobrigada de qualquer ônus referente à proteção ou privacidade destes dados.
Seção IX - Do Compartilhamento de Dados
Art. 28. É permitido o compartilhamento de dados pessoais entre órgãos e entidades do Estado, desde que atenda a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei nº 13.709/2018 .
CAPÍTULO III - DOS AGENTES DE TRATAMENTO
Art. 29. Cabe à SEFA exercer as atribuições legais de controlador de dados pessoais no seu âmbito de atuação.
Art. 30. A SEFA, no cumprimento das atribuições de controlador, e sem prejuízo das competências definidas na Lei nº 13.709/2018 , deverá:
I - indicar, através de ato próprio, encarregado para tratamento de dados pessoais, nos termos do art. 41 da Lei nº 13.709/2018 e observados o art. 37 a 39 desta Instrução Normativa;
II - dar cumprimento ao disposto na Lei nº 13.709/2018 e às orientações e recomendações internas da SEFA;
III - atender às solicitações encaminhadas pela Ouvidoria, buscando apresentar justificativa pertinente ou fazer cessar eventuais violações à Lei nº 13.709/2018 ;
IV - encaminhar ao encarregado a que se refere o art. 37 informações que venham a ser solicitadas pela Autoridade Nacional de Proteção de Dados (ANPD);
V - elaborar relatório de impacto à proteção de dados pessoais ou fornecer informações necessárias para a sua elaboração, em conformidade com o art. 32 da Lei nº 13.709/2018 ; e
VI - orientar os operadores através de termos de uso, manuais e treinamentos quanto ao tratamento de dados pessoais sob sua responsabilidade.
Art. 31. Em caso de violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, o controlador deverá adotar as medidas estabelecidas no art. 48 da Lei nº 13.709/2018 .
Art. 32. Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome e por ordem do controlador.
Art. 33. O operador deverá realizar o tratamento dos dados pessoais nos termos desta Instrução Normativa e demais instruções fornecidas pelo controlador, a quem competirá verificar a observância de suas instruções e normas sobre a matéria.
Art. 34. O operador deve manter registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse.
Art. 35. O operador deve adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Parágrafo único. As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Art. 36. O operador ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nos termos desta Instrução Normativa em relação aos dados pessoais, mesmo após o seu término.
Seção III - Do Encarregado pelo Tratamento dos Dados Pessoais
Art. 37. O encarregado pelo tratamento dos dados pessoais é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).
Parágrafo único. O encarregado deverá ser designado com base nas qualidades profissionais e conhecimento das leis e práticas em matéria de proteção de dados, além da capacidade de cumprir as tarefas previstas no artigo 41 da Lei nº 13.709/2018 .
Art. 38. O encarregado é responsável por:
I - auxiliar a SEFA a adaptar seus processos de acordo com a Lei nº 13.709/2018 , incluindo a responsabilidade quanto à orientação e à aplicação de boas práticas e governança;
II - trabalhar de forma integrada com o respectivo controlador e operador, considerando a necessidade de um monitoramento regular e sistemático das atividades destes;
III - estar acessível quando necessária à sua interveniência;
IV - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
V - receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e adotar providências;
VI - orientar os agentes públicos e os contratados do órgão a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
VII - auxiliar o controlador na elaboração e apresentação do Relatório de Impacto de Proteção aos Dados Pessoais, quando solicitado;
VIII - receber comunicações e adotar providências para o atendimento de normas complementares da Autoridade Nacional de Proteção de Dados Pessoais (ANPD);
IX - informar à SEFA, à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados pessoais eventuais incidentes de privacidade, observadas a Política Nacional de Proteção de Dados Pessoais e da Privacidade e as orientações da SEFA;
X - executar outras atribuições definidas em normas complementares.
Art. 39. Deverão ser divulgadas no Portal da Transparência do Estado e no sítio eletrônico da SEFA as seguintes informações do encarregado indicado pelo controlador:
I - nome e cargo;
IV - telefone e correio eletrônico institucional específico para orientação e esclarecimento de dúvidas.
CAPÍTULO IV - DAS DISPOSIÇÕES FINAIS
Seção I - Das Diretrizes de Implementação
Art. 40. Para fins de obtenção de conformidade dos processos e dos procedimentos da SEFA à legislação de proteção de dados pessoais, devem ser consideradas as seguintes diretrizes:
I - levantamento dos dados pessoais tratados na SEFA;
II - mapeamento dos fluxos de dados pessoais na SEFA;
III - verificação da conformidade do tratamento com o previsto na legislação de proteção de dados pessoais;
IV - definição e publicação de programa de gerenciamento de riscos do tratamento de dados pessoais;
V - definição de procedimentos e processos que garantam a disponibilidade, a integridade, a autenticidade e a confidencialidade dos dados pessoais durante seu ciclo de vida;
VI - revisão e adequação à legislação de proteção de dados pessoais dos contratos firmados no âmbito da SEFA.
Seção II - Da Complementação, Revisão e Vigência
Art. 41. Na aplicação desta Instrução Normativa devem ser consideradas, conjuntamente, as políticas e normas de procedimentos de segurança da informação, e termos e condições de uso e responsabilidade que tratem sobre confidencialidade, integridade, autenticidade e disponibilidade das informações da SEFA.
Art. 42. Esta Instrução Normativa entra em vigor na data de sua publicação.
RENÉ DE OLIVEIRA E SOUSA JÚNIOR
Secretário de Estado da Fazenda
