DOEPE 07/08/2020 - Pág. 6 - Poder Executivo - Diário Oficial do Estado de Pernambuco
6 - Ano XCVII • NÀ 146
Diário Oficial do Estado de Pernambuco - Poder Executivo
DECRETO Nº 49.265, DE 6 DE AGOSTO DE 2020.
Recife, 7 de agosto de 2020
§ 1º O Plano Quadrienal de que trata o caput será executado pelos órgãos e entidades da Administração Pública Estadual
direta, autárquica e fundacional e terá acompanhamento anual de indicadores de desempenho.
Institui a Política Estadual de Proteção de Dados Pessoais
do Poder Executivo Estadual em consonância com a Lei
Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de
Proteção de Dados Pessoais).
§ 2º As empresas públicas e as sociedades de economia mistas estabelecerão suas políticas de proteção de dados pessoais
por ato próprio aprovado pelos seus respectivos conselhos de administração.
O GOVERNADOR DO ESTADO, no uso das atribuições que lhe são conferidas pelos incisos II e IV do art. 37 da Constituição
Art. 5º A Política Estadual de Proteção de Dados Pessoais e o Plano Quadrienal Estratégico de Proteção de Dados Pessoais
não alcançam tratamentos relacionados a:
Estadual,
I - segurança pública;
CONSIDERANDO que os dados pessoais integram o âmbito de proteção dos direitos fundamentais de liberdade, de
privacidade, de intimidade e do livre desenvolvimento da personalidade da pessoa natural ou jurídica;
II - defesa nacional;
CONSIDERANDO a promulgação da Lei Federal nº 13.709, de 14 de agosto de 2018, que estabeleceu a Lei Geral de Proteção
de Dados Pessoais – LGPD;
CONSIDERANDO que, nos termos do parágrafo único do art. 1º da Lei Geral de Proteção de Dados Pessoais, as normas
de proteção relativas ao tratamento de dados pessoais são de interesse nacional e devem ser observadas pela União, Estados, Distrito
Federal e Municípios,
DECRETA:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Fica instituída a Política Estadual de Proteção de Dados Pessoais – PEPDP, conjunto de diretrizes, normas e ações
para o desenvolvimento e a adaptação da ação governamental à Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção
de Dados Pessoais – LGPD), no âmbito da Administração Pública Estadual direta, autárquica e fundacional do Poder Executivo Estadual.
III - segurança do Estado;
IV - atividades de investigação e repressão a infrações penais; ou
V - origem de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de
tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de
proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na Lei Federal nº 13.709, de 2018.
Art. 6º Os órgãos e as entidades da Administração Pública Estadual direta, autárquica e fundacional deverão estabelecer suas
respectivas Políticas de Proteção de Dados Pessoais Locais – PPDPL a serem aprovadas pelo dirigente máximo.
§ 1º As Políticas de Proteção de Dados Pessoais Locais – PPDPL deverão considerar as prioridades previstas no Plano
Quadrienal Estratégico de Proteção de Dados Pessoais – PPDP e deverão estabelecer, no mínimo:
I - princípios, diretrizes e prioridades locais da proteção de dados pessoais;
Parágrafo único. A Política Estadual de Proteção de Dados Pessoais observará a boa-fé e os seguintes princípios:
II - responsabilidades e papéis pela proteção de dados pessoais;
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem
possibilidade de tratamento posterior de forma incompatível com essas finalidades;
III - processo de gerenciamento de riscos;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
IV - controles internos de proteção de dados pessoais; e
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos
dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como
sobre a integralidade de seus dados pessoais;
V - ações mitigadoras dos riscos identificados.
§ 2º Os dirigentes máximos agregarão objetivos e metas próprias de acordo com a maturidade e capacidade operacional do
ente público.
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a
necessidade e para o cumprimento da finalidade de seu tratamento;
CAPÍTULO III
DA GOVERNANÇA DA POLÍTICA ESTADUAL DE PROTEÇÃO DE DADOS PESSOAIS
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do
tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Art. 7º Compete ao Comitê Executivo de Governança Digital – CEGD, instituído pelo art. 2-B da Lei nº 12.985, de 2 de janeiro
de 2006:
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 2º São diretrizes da Política Estadual de Proteção de Dados Pessoais:
I - as regras de boas práticas e governança estabelecidas pelo controlador e o operador levarão em consideração, em relação
ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de
tratamento de dados do titular;
II - alinhamento às políticas de segurança da informação do Estado de Pernambuco;
III - o atendimento simplificado e eletrônico das demandas do cidadão;
IV - o alinhamento e o equilíbrio com a promoção da transparência pública, em específico com a Lei nº 14.804, de 29 de
outubro de 2012;
V - o estabelecimento da proporcionalidade das medidas acerca de proteção de dados, privacidade e segurança da informação;
VI - o desenvolvimento do nível de maturidade dos tratamentos dos dados;
VII - a manutenção da segurança jurídica dos instrumentos firmados;
I - aprovar normas de proteção de dados pessoais a serem regulamentadas por portaria do Secretário da Controladoria-Geral
do Estado;
II - aprovar o Plano Quadrienal Estratégico de Proteção de Dados Pessoais; e
III - aprovar o parecer sobre os resultados da auditoria interna sobre a adequabilidade dos órgãos e entidades quanto à
aderência à Política Estadual de Proteção de Dados Pessoais.
Art. 8º Compete ao Comitê Técnico de Governança Digital – CTGD, instituído pelo art. 2-D da Lei nº 12.985, de 2006:
I - monitorar o desempenho e riscos produzidos pela Política de Proteção de Dados Pessoais Locais para que os tratamentos
adotem as lições aprendidas no ciclo anual e alcancem a padronização, a redução do custeio, a automação e a celeridade necessária às
mudanças da legislação e ao cenário das ameaças cibernéticas;
II - assessorar a Secretaria da Controladoria-Geral do Estado no acompanhamento da Política Estadual de Proteção de Dados
Pessoais com informações que apoiem decisões e orientem ações estratégicas;
III - deliberar a adoção de padrões para serviços e produtos que apoiem os controladores nas decisões referentes ao
tratamento de dados pessoais;
IV - decidir sobre as questões de integração e de articulação entre os diversos órgãos e entidades da Administração Pública
Estadual para o desenvolvimento e a operacionalização das ações de adequação à Lei Federal nº 13.709, de 2018;
V - apoiar a promoção da proteção dos dados pessoais com a divulgação de ações entre os seus membros e a criação de
grupos de estudos sobre boas práticas em política de proteção de dados; e
VIII - a economicidade das ações;
VI - aprovar a padronização de cláusulas contratuais técnicas para fins de compartilhamento e tratamento de dados pessoais.
IX - o alinhamento ao planejamento estratégico do Estado; e
Art. 9º Compete à Secretaria da Controladoria-Geral do Estado:
X - a aderência à Política de Tecnologia da Informação e Comunicação do Estado, instituída pela Lei nº 12.985, de 2 de janeiro
I - coordenar e orientar a rede de encarregados responsáveis pela implementação da PEPD;
de 2006.
Art. 3º Para fins deste Decreto, considera-se:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato
ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural;
II - elaborar o Plano Quadrienal Estratégico de Proteção de Dados Pessoais, considerando a inclusão de objetivos e de metas
comuns aos controladores públicos;
III - consolidar os resultados e apoiar o monitoramento da Política Estadual de Proteção de Dados Pessoais;
IV - disponibilizar canal de atendimento ao titular, considerando as atividades desempenhadas pela Ouvidoria-Geral do Estado;
V - coordenar a qualidade do atendimento ao titular do dado;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos
razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico
ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao
tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome
do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador corporativo para atuar como canal de comunicação entre o
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - agentes de tratamento: o controlador e o operador; e
X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
CAPÍTULO II
DAS POLÍTICAS DE ATUAÇÃO CONJUNTA
Art. 4º A Política Estadual de Proteção de Dados Pessoais – PEPDP será implementada através do Plano Quadrienal
Estratégico de Proteção de Dados Pessoais – PPDP que estabelecerá as prioridades estaduais quanto à adequação à Lei Federal nº
13.709, de 2018, contribuindo para aumentar a efetividade na integração das ações e a conformidade da ação governamental.
VI - produzir e manter atualizados manuais de implementação das Políticas de Proteção de Dados Pessoais Locais e modelos
de documentos, bem como capacitações para os agentes públicos; e
VII - estabelecer sistemática de auditoria interna com vistas a aumentar e proteger o valor organizacional do Estado, fornecendo
avaliação, assessoria e conhecimento objetivos baseados em riscos.
Art. 10. Compete à Agência de Tecnologia da Informação – ATI:
I - orientar a aplicação de soluções de TIC relacionadas à proteção de dados pessoais;
II - adequar as arquiteturas e as operações compartilhadas de TIC hospedadas no datacenter e na rede corporativa às
exigências da Lei Federal nº 13.709, de 2018; e
III - propor padrões de desenvolvimento de novas soluções de TIC, considerando a proteção de dados pessoais, desde a fase
de concepção do produto e serviço até a sua execução.
Parágrafo único. As arquiteturas e as operações de que trata o inciso II poderão ter seu escopo alterado por meio de acordo
entre as partes responsáveis pelo compartilhamento.
Art. 11. Compete à Procuradoria-Geral do Estado:
I - disponibilizar aos agentes de tratamento e ao encarregado consultoria jurídica para dirimir questões e emitir pareceres do
significado e alcance da Lei Federal nº 13.709, de 2018;
II - disponibilizar modelos de contratos, convênios e acordos de cooperação internacional aderentes à Lei Federal nº 13.709,
de 2018, a serem utilizados pelos agentes de tratamento; e