Publicado no DOE - DF em 9 mai 2024
Dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD, quanto às figuras dos agentes de tratamento e dos encarregados, no âmbito da Administração Pública Direta e Indireta do Distrito Federal e dá outras providências.
O GOVERNADOR DO DISTRITO FEDERAL, no uso das atribuições que lhe confere o artigo 100, incisos VII e X, da Lei Orgânica do Distrito Federal,
DECRETA:
CAPÍTULO I - DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Este Decreto estabelece diretrizes para a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, quanto às figuras dos agentes de tratamento e dos encarregados, no âmbito da Administração Pública Direta e Indireta do Distrito Federal do Distrito Federal.
Art. 2º A aplicação deste Decreto deve observar os seguintes princípios:
II - autodeterminação informativa;
III - liberdade de expressão, de informação, de comunicação e de opinião;
IV - inviolabilidade da intimidade, da honra e da imagem;
V - desenvolvimento econômico e tecnológico e a inovação;
VI - livre iniciativa, a livre concorrência e a defesa do consumidor;
VII - respeito dos direitos humanos, do livre desenvolvimento da personalidade, da dignidade e do exercício da cidadania pelas pessoas naturais;
IX - transparência de atuação no âmbito de suas competências.
Art. 3º Para fins deste Decreto, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD;
IX - agentes de tratamento: o controlador e o operador interno e externo;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - Autoridade Nacional de Proteção de Dados: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Federal nº 13.709, de 2018, em todo o território nacional;
XII - unidade gestora: ambiente sob o qual cada controlador tem competência de atuação;
XIII - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XIV - consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XV - plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais; e
XVI - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
CAPÍTULO II - DOS AGENTES DE TRATAMENTO
Art. 4º Os agentes de tratamento ficam sujeitos às sanções previstas na Lei Federal nº 13.709, de 2018, aplicáveis pela Autoridade Nacional de Proteção de Dados.
Art. 5º O controlador é o órgão ou entidade, pessoa jurídica de direito público ou privado, que compõe a Administração Pública Direta e Indireta do Distrito Federal.
§ 1º As autoridades máximas titulares de cada órgão ou entidade do Distrito Federal atuam como representantes do seu respectivo controlador perante os órgãos de controle.
§ 2º Os representantes dos controladores serão substituídos pelo seu sucessor hierárquico, conforme estrutura do órgão ou entidade em questão, no caso de ausências ou impedimentos legais.
Art. 6º Compete ao controlador:
I - controlar e gerir a atividade de tratamento de dados;
II - instruir os operadores sobre a realização do tratamento de dados;
III - fiscalizar a observância pelos operadores das instruções e das normas sobre a matéria;
IV - nomear o encarregado no âmbito da sua unidade gestora;
V - elaborar e manter atualizado o relatório de impacto à proteção de dados pessoais - RIPD;
VI - informar ao encarregado governamental os nomes do encarregado setorial e dos operadores internos e externos da sua unidade gestora;
VII - obter o consentimento específico do titular, quando necessário;
VIII - instrumentalizar a portabilidade dos dados;
IX - garantir a transparência no tratamento de dados;
X - manter o registro das operações de tratamento de dados pessoais;
XI - comunicar ao encarregado setorial, à Autoridade Nacional de Proteção de Dados e ao titular, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da Lei nº 13.709, de 2018.
Art. 7º O operador é a pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em banco de dados, tecnologia da informação e sistemas que atuam fora da estrutura organizacional da unidade gestora, seguindo as diretrizes estabelecidas pelo controlador.
Parágrafo único. Em caso de pessoa jurídica, de direito privado, o operador será sempre uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos.
Art. 8º Os operadores de cada unidade gestora deverão ser indicados pelos respectivos controladores.
Art. 9º O sub-operador é qualquer pessoa física contratado pelo operador para auxiliálo a realizar o tratamento de dados pessoais em nome do controlador.
Parágrafo único. A relação direta do sub-operador é com o operador e não com controlador.
I - realizar o tratamento de dados pessoais segundo as instruções fornecidas pelo controlador;
II - manter os dados pessoais protegidos de acesso não autorizado, divulgação, destruição, perda acidental ou qualquer tipo de violação de dados pessoais;
III - manter registros das operações de tratamentos de dados pessoais que realizar;
IV - observar as boas práticas e padrões de governança previstos na Lei Federal nº 13.709, de 2018;
V - comunicar ao encarregado Setorial a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos da Lei Federal nº 13.709, de 2018;
VI - quando autorizado pelo controlador e no pleno exercício de sua capacidade técnica, decidir sobre:
a) sistema, método ou ferramentas utilizadas para coletar os dados pessoais;
b) meios utilizados para transferir os dados pessoais de uma organização para outra;
c) métodos utilizados para recuperar dados pessoais de determinados indivíduos;
d) maneira de garantir que o método por trás do cronograma de retenção seja respeitado;
e) meio de garantir a segurança dos dados;
f) método de armazenamento de dados pessoais; e
g) diretrizes de tratamento de dados realizado pelo sub-operador.
CAPÍTULO III - DOS ENCARREGADOS
Seção I - Do Encarregado Governamental
Art. 11. O encarregado Governamental é a pessoa física, lotada na Casa Civil do Distrito Federal, que atua como canal de comunicação entre o Governo do Distrito Federal e a Autoridade Nacional de Proteção de Dados - ANPD.
Parágrafo único. A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, no Portal da Transparência e no sítio oficial da LGPD no Distrito Federal.
Art. 12. Compete ao encarregado Governamental:
I - sugerir diretrizes de tratamento de dados a serem adotados pela Administração Pública Direta e Indireta do Distrito Federal.
II - orientar controladores e encarregados Setoriais a respeito das boas práticas e padrões de governança de dados e segurança da informação, a serem tomadas em relação à proteção de dados pessoais, conforme disposto na Lei Federal nº 13.709, de 2018;
III - elaborar e disponibilizar material de divulgação e capacitação a respeito das boas práticas e padrões de governança de dados e segurança da informação, a serem tomadas em relação à proteção de dados pessoais no Distrito Federal, conforme disposto na Lei Federal nº 13.709, de 2018;
IV - acompanhar as comunicações da Autoridade Nacional de Proteção de Dados e orientar os controladores e encarregados setoriais;
V - disponibilizar e manter atualizado o Portal Distrital da LGPD;
VI - instrumentalizar e garantir a transparência dos dados, nos termos da Lei Federal nº 13.709, de 2018;
VII - consolidar os relatórios recebidos pelos encarregados Setoriais;
VIII - prestar informações a respeito da aplicação da LGPD na Administração Pública ao Governador do Distrito Federal;
IX - elaborar o Guia Orientativo e as Instruções Normativas para a aplicação da LGPD.
Seção II - Do Encarregado Setorial
Art. 13. O encarregado setorial é a pessoa física que atua como canal de comunicação entre o controlador, os titulares dos dados e o encarregado Governamental dentro da unidade gestora.
Parágrafo único. A comunicação da Autoridade Nacional de Proteção de Dados com o encarregado setorial deverá ser reportada ao encarregado governamental, que o orientará e supervisionará a comunicação.
Art. 14. O encarregado setorial e seu suplente devem, preferencialmente, possuir capacidade de articulação institucional dentro da unidade gestora, detendo, entre outros, os seguintes conhecimentos multidisciplinares essenciais a sua atribuição:
I - à privacidade e proteção de dados pessoais;
IV - ao acesso à informação no setor público;
V - à legislação pertinente ao tema; e
VI - à segurança da informação.
Parágrafo único. O encarregado setorial e seu suplente não deverão se encontrar lotados nos operadores internos, nas Unidades de Tecnologia da Informação e Comunicação, serem gestores de contratos relacionados à Tecnologia da Informação e Comunicação ou serem gestores responsáveis por sistemas de informação em geral.
Art. 15. As informações de contato do encarregado setorial e seu suplente deverão ser disponibilizadas de forma clara e objetiva pelos controladores em seu sítio eletrônico, nos portais de comunicação e no sítio oficial da LGPD no Distrito Federal.
Art. 16. Compete ao encarregado setorial:
I - orientar os funcionários e os contratados da Administração Pública Direta e Indireta a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
II - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
III - editar diretrizes para a elaboração dos planos de adequação, conforme art. 22, inciso III deste Decreto;
IV - receber comunicações da Autoridade Nacional de Proteção de Dados e adotar providências;
V - decidir sobre as sugestões formuladas pela Autoridade Nacional de Proteção de Dados a respeito da adoção de padrões e de boas práticas para o tratamento de dados pessoais, nos termos do art. 32 da Lei Federal nº 13.709, de 2018;
VI - providenciar a elaboração dos relatórios de impacto à proteção de dados pessoais previstos pelo art. 32 da Lei Federal nº 13.709, de 2018;
VII - providenciar, em caso de recebimento de informe da Autoridade Nacional de Proteção de Dados com medidas cabíveis para fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 2018, nos termos do art. 31 daquela lei, o encaminhamento ao setor responsável pelo tratamento de dados pessoais, fixando prazo para atendimento à solicitação ou apresentação das justificativas pertinentes;
VIII - avaliar as justificativas apresentadas nos termos do inciso VI deste artigo, para o fim de:
a) caso avalie ter havido a violação, determinar a adoção das medidas solicitadas pela Autoridade Nacional de Proteção de Dados;
b) caso avalie não ter havido a violação, apresentar as justificativas pertinentes à Autoridade Nacional de Proteção de Dados, segundo o procedimento cabível;
IX - requisitar aos setores responsáveis as informações pertinentes, para sua compilação em um único relatório, nos termos do artigo 32, da Lei Federal nº 13.709, de 2018.
CAPÍTULO IV - DAS BOAS PRÁTICAS DE TRATAMENTO DE DADOS
Art. 17. As atividades de tratamento de dados pessoais deverão observar as boas práticas e padrões de governança de dados e segurança da informação, além do disposto no art. 50 da Lei Federal nº 13.709, de 2018.
Art. 18. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 19. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Art. 20. Os controladores deverão implementar programas de governança em atenção às disposições da LGPD, estabelecendo:
I - condições, regimes e procedimentos internos para o tratamento de dados pessoais;
II - normas de segurança da informação;
IV - alocação de responsabilidades e obrigações aos diversos colaboradores envolvidos nas atividades de tratamento;
VI - mecanismos internos de supervisão e mitigação de riscos; e
VII - procedimentos de resposta a incidentes de segurança.
Art. 21. Os programas de governança deverão, entre outros:
I - demonstrar o comprometimento da organização em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
II - ser aplicável a todo conjunto de dados pessoais que estejam sob o controle da organização, independentemente do modo como se realizou a coleta;
III - contar com planos de resposta a incidentes e remediação;
IV - ser adaptado à estrutura, à escala e ao volume das operações da organização, bem como à sensibilidade dos dados tratados;
V - estabelecer políticas de salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
VI - ser atualizado constantemente com base em informações obtidas a partir do monitoramento contínuo e avaliações periódicas;
VII - ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; e
VIII - estar integrado a sua estrutura geral de governança, que estabeleça e aplique mecanismos de supervisão internos e externos.
Art. 22. Os agentes de tratamento deverão aplicar as normas de boas práticas de tratamento de dados editadas pela Autoridade Nacional de Proteção de Dados.
Parágrafo único. Os órgãos da administração direta e indireta do Distrito Federal poderão solicitar à Escola de Governo (EGOV), ou outras instituições de ensino qualificadas, a capacitação de seus servidores no que diz respeito ao treinamento e certificação para o curso básico de LGPD.
CAPÍTULO V - DA RESPONSABILIDADE
Art. 23. O poder executivo distrital, por meio da administração direta e indireta, nos termos da Lei Federal nº 13.709, de 2018, deve realizar e manter atualizados:
I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
II - a análise de risco e medidas de mitigação;
III - o plano de adequação baseado no modelo implementado pela casa civil;
IV - o relatório de impacto à proteção de dados pessoais, quando solicitado.
Parágrafo único. Para fins do inciso III, do caput deste artigo, a administração direta e indireta deve observar as diretrizes editadas pelo Secretário de Estado-Chefe da Casa Civil do Distrito Federal.
CAPÍTULO VI - DAS DISPOSIÇÕES FINAIS
Art. 24. Compete ao Secretário de Estado-Chefe da Casa Civil do Distrito Federal, designar o encarregado governamental e seu suplente, em ato próprio publicado no Diário Oficial do Distrito Federal.
Art. 25. Compete ao controlador designar o encarregado setorial da sua unidade gestora e seu suplente, em ato próprio publicado no Diário Oficial do Distrito Federal.
Art. 26. Os controladores deverão encaminhar à Casa Civil do Distrito Federal lista de operadores existentes na sua unidade gestora.
Art. 27. O encarregado governamental elaborará material de divulgação e capacitação da Lei Geral de Proteção de Dados.
Art. 28. Compete ao encarregado governamental dirimir dúvidas acerca da aplicação deste Decreto e elaborar regulamentação complementar, no âmbito de suas competências.
Art. 29. Revoga-se o Decreto nº 42.036 , de 27 de abril de 2021.
Art. 30. Este Decreto entra em vigor na data de sua publicação.
Brasília, 08 de maio de 2024
135º da República e 65º de Brasília
IBANEIS ROCHA
