DOEPE 15/12/2022 - Pág. 10 - Poder Executivo - Diário Oficial do Estado de Pernambuco
10 - Ano XCIX Ć NÀ 236
Diário Oficial do Estado de Pernambuco - Poder Executivo
Secretarias de Estado
ADMINISTRAÇ‹O
Secretária: Marília Raquel Simões Lins
Recife, 15 de dezembro de 2022
CAPÍTULO IV
DOS INSTRUMENTOS
Art. 6º São instrumentos da PPDPL-SAD:
I - a metodologia: o modelo de gestão de riscos deve ser estruturado com base nas orientações da Secretaria da Controladoria Geral
do Estado;
II - a capacitação continuada: o Plano Anual de Capacitação, incluindo o eixo temático de Segurança da Informação e Proteção de Dados
Pessoais;
PUBLICAÇÕES SAD DO DIA 14 DE DEZEMBRO DE 2022
III – a normatização: legislação, manuais e procedimentos formalmente definidos, em especial, no âmbito da SAD; e
Portaria Conjunta SAD/SEMAS nº 170, de 14 de dezembro de 2022
IV - a solução tecnológica: o processo de gestão de riscos deve ser apoiado por adequado suporte de tecnologia da informação.
A SECRETÁRIA DE ADMINISTRAÇÃO e a SECRETÁRIA DE MEIO AMBIENTE E SUSTENTABILIDADE, no uso de suas atribuições,
RESOLVEM:
Prorrogar, por mais 24 (vinte e quatro) meses, a vigência da Seleção Pública Simplificada regida pela Portaria Conjunta SAD/SEMAS nº
093, de 17 de setembro de 2020, que visa à contratação temporária de 30 (trinta) profissionais de nível superior de diversas áreas, cujo
resultado final foi homologado através da Portaria Conjunta SAD/SEMAS nº 118, de 15 de dezembro de 2020.
CAPÍTULO V
DAS INSTÂNCIAS DE SUPERVISÃO, COMPOSIÇÃO E DAS ATRIBUIÇÕES E RESPONSABILIDADES
MARÍLIA RAQUEL SIMÕES LINS
Secretária de Administração
Art. 7º A Secretaria de Administração de Pernambuco é a controladora dos dados pessoais por ela tratados, nos termos das suas
competências legal e institucional.
INAMARA SANTOS
Secretária de Meio Ambiente e Sustentabilidade
Art. 8º O Secretário de Administração do Estado, enquanto representante legal, tem responsabilidade pela definição final da gestão dos
riscos e controles internos quanto à adequação à LGPD na SAD, nos termos do art. 12 do Decreto nº 49.265, de 2020.
PORTARIA SAD Nº 3.507, DO DIA 14 DE DEZEMBRO DE 2022.
A SECRETÁRIA DE ADMINISTRAÇÃO, no uso das atribuições que lhe foram conferidas pelo Decreto nº 39.117, de 8 de fevereiro de 2013,
CONSIDERANDO o disposto o previsto no art. 6º do Decreto nº 49.265, de 6 de agosto de 2020, que institui a Política Estadual de
Proteção de Dados Pessoais do Poder Executivo Estadual,
RESOLVE:
Art. 1º Fica aprovada a Política de Proteção de Dados Pessoais Local - PPDPL da Secretaria de Administração (SAD) na forma do Anexo
Único e ficará disponibilizada para download no sítio eletrônico desta Secretaria de Administração, podendo ser revisados a qualquer tempo.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
Marília Raquel Simões Lins
Secretária de Administração
ANEXO ÚNICO
POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS LOCAL - PPDPL DA
SECRETARIA DE ADMINISTRAÇÃO DO ESTADO DE PERNAMBUCO
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º A Política de Proteção de Dados Pessoais Local - PPDPL - SAD tem por finalidade estabelecer os princípios, diretrizes e
responsabilidades mínimas a serem observados e seguidos para a proteção dos dados pessoais aos planos estratégicos, programas,
projetos e processos da Secretaria de Administração do Estado de Pernambuco - SAD.
Parágrafo único. A Política de Proteção de Dados Pessoais Local – PPDPL-SAD será composta por esta Portaria e o Plano de
Implementação de Controle.
Art. 2º A PPDPL-SAD e suas eventuais normas complementares, metodologias, manuais e procedimentos aplicam-se a todos os setores
da SAD abrangendo os servidores, prestadores de serviço, colaboradores, estagiários, consultores externos e quem, de alguma forma,
desempenhe atividades de tratamento de dados pessoais, em nome da Secretaria.
CAPÍTULO II
DOS PRINCÍPIOS E OBJETIVOS
Art. 3º As atividades de proteção de dados pessoais no âmbito da SAD, bem como seus instrumentos resultantes, devem se guiar pelos
seguintes princípios, além dos previstos no Decreto nº 49.265, de 6 de agosto de 2020:
Seção I
Do Controlador, Encarregado e Operadores
Art. 9º A autoridade indicada pelo Secretário de Administração para fins da LGPD, terá responsabilidade pelo gerenciamento do projeto de
implantação e dos riscos e controles internos quanto à adequação à LGPD na Secretaria, conforme art. 13 do Decreto nº 49.265, de 2020.
Parágrafo único. O Encarregado da SAD será assessorado pelo Comitê de Proteção de Dados Pessoais - CPDP, instituído pela Portaria
SAD nº 1.887 do dia 14 de julho de 2022.
Art. 10. Os provedores de serviços de Tecnologia da Informação e Comunicação - TIC e demais prestadores de serviços à SAD que
tratem dado pessoal em nome desta serão considerados operadores e deverão aderir a esta Política, além de cumprir os deveres legais,
contratuais e de parceria respectivos, dentre os quais se incluirão, mas não se limitarão aos seguintes:
I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pela SAD;
II - apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança,
para a proteção dos dados pessoais, segundo a legislação, os instrumentos contratuais e de compromissos;
III - manter os registros de tratamento de dados pessoais que realizar, assim como aqueles compartilhados, com condições de
rastreabilidade e de prova eletrônica a qualquer tempo;
IV - seguir fielmente as diretrizes e instruções transmitidas pela SAD;
V - permitir acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade e que tenha assumido
compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter
permanente para exibição à SAD, mediante solicitação;
VI - permitir a realização de auditorias da SAD e disponibilizar toda a informação necessária para demonstrar o cumprimento das
obrigações estabelecidas;
VII - auxiliar, sempre que necessário, no atendimento pela SAD de obrigações perante titulares de dados pessoais, autoridades
competentes ou quaisquer outros legítimos interessados;
VIII - comunicar formalmente e de imediato à SAD a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar
comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;
IX - descartar de forma irrecuperável, ou devolver para a SAD, todos os dados pessoais e as cópias existentes, após a satisfação da
finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.
Seção II
Instituições
Art. 11. O Comitê de Proteção de Dados Pessoais será designado por meio de portaria do Secretário de Administração.
Art. 12. O Gestor de Processos corresponde a todo e qualquer responsável pela unidade de execução de um determinado processo de
trabalho, inclusive sobre a gestão de riscos.
Seção III
Das Atribuições e Responsabilidades
I - aderência à integridade e aos valores éticos no tratamento de dados pessoais;
II - adequado suporte de tecnologia da informação para apoiar os processos de adaptação dos tratamentos de dados pessoais;
III - disseminação de informações necessárias ao fortalecimento da cultura do tratamento de dados pessoais em respeitos à Lei Federal
nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD;
IV - realização de avaliações periódicas internas para verificar a eficácia da proteção de dados pessoais, comunicando o resultado aos
responsáveis pela adoção de ações corretivas, inclusive à alta administração;
V - estruturação do conhecimento e das atividades em metodologias, normas, manuais e procedimentos; e
VI - aderência dos métodos e modelos de tratamento de dados às exigências regulatórias da LGPD.
Art. 4º A PPDPL-SAD tem por objetivos:
Art. 13. Compete ao Secretário de Administração, enquanto representante legal:
I - aprovar práticas e princípios de conduta e padrões de tratamento de dados pessoais;
II - aprovar as alterações da PPDPL-SAD;
III - deliberar sobre o Plano de Implementação de Controles Internos;
IV - aprovar a estrutura, extensão e conteúdo do Inventário de Dados;
V - acompanhar os ajustes contratuais e de termos de compromisso decorrentes da implementação da PPDPL-SAD;
VI - acompanhar o diagnóstico preliminar de controles internos;
I - proporcionar a adequação das atividades desenvolvidas pela SAD à Lei Geral de Proteção de Dados - LGPD e regulamentos emitidos
pela Autoridade Nacional de Proteção de Dados Pessoais - ANPD, em consonância com atingimento dos objetivos estratégicos;
II - produzir informações íntegras, confiáveis e completas das demandas dos titulares do dado;
III - salvaguardar o direito à proteção dos dados pessoais dos titulares;
IV - possibilitar a adequada apuração dos responsáveis, em todos os níveis, que tenham acesso inadequado aos dados pessoais, em
especial, aqueles considerados sensíveis, considerando o disposto na Lei nº 6.123, de 20 de julho de 1968 (Estatuto do Servidor Público
Estadual);
V- reduzir os riscos relacionados à incidentes envolvendo dados pessoais, com a implantação de medidas de controle de segurança da
informação; e
VI - orientar e servir de diretriz para os agentes de tratamento.
CAPÍTULO III
DAS DIRETRIZES
Art. 5º São diretrizes da PPDPL-SAD:
I - a gestão da integridade com a promoção da cultura ética focada na preservação da privacidade;
II - o fortalecimento da integridade institucional, a partir do diagnóstico de vulnerabilidades na segurança da informação;
III – a capacitação adequada do encarregado e sua equipe de apoio e dos agentes de tratamento;
IV - o fortalecimento dos mecanismos de comunicação de possíveis incidentes deve ser pautado pela tempestividade, a implementação
de melhorias de segurança e a obtenção de informações sobre as origens da vulnerabilidade;
V – a disponibilização de informações ao titular primada pela atuação transparente e garantia da disponibilização do dado de forma clara,
precisa e adequada, conforme legislação vigente; e
VI - a gestão de riscos será sistematizada e suportada pelas premissas de metodologias técnicas.
Parágrafo único. O modelo de gestão de gerenciamento de riscos deve seguir o método de priorização de processos, considerando sua
relevância e impacto na estratégia da Secretaria.
VII - tomar conhecimento do andamento e resultados da avaliação de controles internos;
VIII - tomar ciência do monitoramento do PPDPL-SAD;
IX - aprovar e promover o Plano de Tratamento de Incidentes com Dados Pessoais; e
X - aprovar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica
da entidade.
Art. 14. Compete ao Encarregado:
I - propor práticas e princípios de conduta e padrões de tratamento de dados pessoais;
II - propor alterações da PPDPL-SAD;
III - consolidar propostas de ações, avaliar e elaborar o Plano de Implementação de Controles Internos; IV - elaborar a estrutura, extensão
e conteúdo do Inventário de Dados;
V - promover a aderência às regulamentações, leis, códigos, normas e padrões na condução da PPDPL-SAD;
VI - recomendar ajustes contratuais e de termos de compromisso decorrentes da implementação da PPDPL-SAD;
VI - definir o diagnóstico preliminar de controles internos;
VII - instituir e acompanhar a avaliação de controles internos;
VIII - monitorar o PPDPL-SAD;
IX - elaborar o Plano de Gestão de Resposta a Incidentes com Dados Pessoais;
X - subsidiar a elaboração do Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas
jurídica e tecnológica da entidade;
XI - cumprir os objetivos e metas previstas na Política de Proteção de Dados Pessoais Local;
XII - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, em articulação com a Ouvidoria;
XIII - receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais - ANPD e adotar providências;