Publicado no DOE - AL em 19 mai 2023
Dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados – LGPD, no âmbito da administração pública direta e Indireta do poder executivo estadual, e dá outras Providências.
O GOVERNADOR DO ESTADO DE ALAGOAS, no uso das atribuições que lhe confere o inciso IV do art. 107 da Constituição Estadual, e o que mais consta do Processo Administrativo nº E:01104.0000000847/2022,
DECRETA:
CAPÍTULO I - DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Este Decreto dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais – LGPD, no âmbito da Administração Pública Direta e Indireta do Poder Executivo Estadual, estabelecendo competências, procedimentos e providências a serem observadas por seus órgãos e entidades, visando garantir a proteção de dados pessoais.
Art. 2º Para os fins deste Decreto, considera-se:
I – Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação à sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – Dado Anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV – Banco de Dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;
V – Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – Encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD;
IX – Agentes de Tratamento: o controlador e o operador;
X – Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI – Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII – Consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII – Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV – Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV – Transferência Internacional de Dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI – Uso Compartilhado de Dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII – Relatório de Impacto à Proteção de Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII – Órgão de Pesquisa: Órgão ou Entidade da Administração Pública Direta ou Indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX – Autoridade Nacional de Proteção de Dados – ANPD: Órgão da Administração Pública Federal responsável por zelar, implementar e fiscalizar o cumprimento da Lei Federal nº 13.709, de 2018, em todo o território nacional;
XX – Comitê Estadual de Proteção de Dados Pessoais: colegiado consultivo na área de proteção de dados pessoais no âmbito da Administração Pública direta e indireta do Poder Executivo; e
XXI – Plano de Adequação: conjunto das regras de boas práticas e de governança de dados pessoais, que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.
Art. 3º As atividades de tratamento de dados pessoais pelos Órgãos e pelas Entidades da Administração Pública do Poder Executivo deverão observar a boa-fé e os seguintes princípios:
I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – Transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – Não Discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
X – Responsabilização e Prestação de Contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO II - DO COMITÊ ESTADUAL DE PROTEÇÃO DE DADOS PESSOAIS
Art. 4º Fica criado o Comitê Estadual de Proteção de Dados Pessoais – CEPD, colegiado consultivo na área de proteção de dados pessoais no âmbito da Administração Pública Direta e Indireta do Poder Executivo, orientado pelo disposto na Lei Federal nº 13.709, de 2018.
Parágrafo único. O CEPD subordina-se administrativamente à Controladoria Geral do Estado – CGE/AL.
I – zelar pela proteção dos dados pessoais, sendo uma referência para os órgãos e as entidades no âmbito do Estado e nos termos da legislação;
II – propor diretrizes estratégicas e fornecer subsídios para uma Política Estadual de Proteção de Dados Pessoais;
III – orientar a elaboração de Plano, com ações de curto, médio e longo prazo para a adequação à Lei Geral de Proteção de Dados – LGPD, no âmbito da Administração Pública Direta, Autárquica e Fundacional, de acordo com orientações básicas previstas em regimento interno;
IV – articular tecnicamente com especialistas de outros entes, universidades e com outras instituições de atuação técnica e institucional com a temática, para o diagnóstico e proposição de soluções para implantação da política referida no inciso II deste artigo;
V – promover, entre os agentes públicos estaduais, a difusão do conhecimento das normas e medidas de segurança sobre proteção de dados pessoais;
VI – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
VII – formular orientações sobre a indicação do encarregado pelo tratamento dos dados pessoais no âmbito da Administração Pública direta, autárquica e fundacional;
VIII – orientar a rede de encarregados responsáveis pela implementação da Política Estadual de Proteção de Dados Pessoais;
IX – orientar os agentes de tratamento da Administração Pública Direta e Indireta do Poder Executivo a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
X – produzir e manter atualizados manuais de orientação para implementação da Política Estadual de Proteção de Dados Pessoais e modelos de documentos, assim como capacitações para os agentes públicos;
XI – estimular a adoção de padrões para o tratamento e a proteção de dados pelos órgãos e pelas entidades da Administração Pública do Poder Executivo;
XII – disponibilizar canal de comunicação com os órgãos e as entidades do Estado;
XIII – realizar ações de cooperação com a ANPD, visando ao cumprimento das suas diretrizes no âmbito estadual;
XIV – fornecer orientações para padronização de cláusulas nos instrumentos contratuais administrativos, contemplando o tratamento de dados pessoais, resguardadas as competências da Procuradoria Geral do Estado – PGE;
XV – recomendar a publicação dos relatórios de impacto à proteção de dados pessoais previstos no art. 32 da Lei Federal nº 13.709, de 2018;
XVI – indicar a elaboração de planos de adequação relativos à proteção de dados pessoais ao encarregado das empresas públicas, sociedades de economia mista e subsidiárias e empresas controladas direta ou indiretamente pelo Estado, informando eventual ausência ao gestor ou responsável pelo controle da entidade, para as providências pertinentes; e
XVII – monitorar a aplicação do disposto neste Decreto.
§ 1º O CEPD deverá obedecer ao disposto na Lei Federal nº 12.527, de 18 de novembro de 2011, (Lei de Acesso à Informação), e na Lei Estadual nº 8.087, de 11 de janeiro de 2019, buscando solução para casos de potencial conflito entre as normas, resguardadas as competências da PGE.
§ 2º O CEPD, no exercício das competências dispostas no caput deste artigo, deverá zelar pela preservação das hipóteses legais de sigilo, segredo de justiça e segredo industrial ou empresarial.
§ 3º O CEPD articulará sua atuação com outros órgãos e entidades com competências afetas à matéria de proteção de dados pessoais e será unidade integrante da CGE/AL, para interpretação da Lei Federal nº 13.709, de 2018, e estabelecimento de orientações para a sua implementação na Administração Pública do Poder Executivo.
Art. 6º É assegurada autonomia técnica ao CEPD, observadas as diretrizes da Administração Pública Direta e o disposto na Lei Federal nº 13.709, de 2018.
Art. 7º O CEPD será composto por 6 (seis) membros titulares, indicados, cada um, pelos dirigentes máximos dos seguintes órgãos:
I – Controladoria Geral do Estado – CGE;
II – Secretaria de Estado do Planejamento, Gestão e Patrimônio – SEPLAG;
III – Secretaria de Estado de Fazenda – SEFAZ;
IV – Procuradoria Geral do Estado – PGE;
V – Secretaria de Estado da Ciência, da Tecnologia e da Inovação do Estado de Alagoas – SECTI; e
§ 1º O CEPD terá os recursos técnicos e operacionais necessários ao desempenho de suas funções e à manutenção dos seus conhecimentos, além de acesso motivado às operações de tratamento.
§ 2º Cada órgão de que trata o caput deste artigo indicará 2 (dois) membros para o CEPD, sendo 1 (um) titular e 1 (um) suplente.
§ 3º A designação dos membros deverá ser realizada pelo Governador.
§ 4º O mandato dos membros do Comitê será de 2 (dois) anos.
§ 5º A coordenação do CEPD será realizada pela CGE em articulação com a SEPLAG.
CAPÍTULO III - DAS RESPONSABILIDADES
Seção I - nsabilidades da Administração Pública Direta, Autárquica e Fundacional
Art. 8º O Poder Executivo, por meio da Administração Pública Direta, Autárquica e Fundacional, nos termos da Lei Federal nº 13.709, de 2018, deve realizar e manter continuamente atualizados:
I – o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
III – o plano de adequação, observadas as exigências do inciso III do art.5º deste Decreto; e
IV – o relatório de impacto à proteção de dados pessoais, quando necessário.
Parágrafo único. Para fins do inciso III deste artigo, a Administração Pública Direta, Autárquica e Fundacional deve observar as orientações formuladas ao CEPD.
Art. 9º O Órgão, a Autarquia ou a Fundação, no papel de controlador ou operador, deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do órgão ou da entidade.
§ 2º São atividades do encarregado:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados do órgão ou da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Art. 10. Cabe aos Órgãos, às Autarquias e às Fundações dar cumprimento, em âmbito interno, às recomendações do CEPD.
I – oferecer os subsídios técnicos necessários à formulação das orientações pelo CEPD para a elaboração dos planos de adequação; e
II – orientar, sob o ponto de vista tecnológico, os órgãos e as entidades na implantação dos respectivos planos de adequação.
Seção II - Das Responsabilidades das Empresas Públicas, Sociedades de Economia Mista e suas Subsidiárias e Empresas Controladas Direta ou Indiretamente pelo Estado.
Art. 12. Cabe às empresas públicas, sociedades de economia mista, suas subsidiárias e empresas controladas direta ou indiretamente pelo Estado observar, no âmbito da sua respectiva autonomia, as exigências da Lei Federal nº 13.709, de 2018, e, no mínimo:
I – designar um encarregado de proteção de dados pessoais, nos termos do art. 41 da Lei Federal nº 13.709, de 2018, cuja identidade e informações de contato devem ser divulgadas publicamente, de forma clara e objetiva; e
II – elaborar um plano de adequação e de política de proteção de dados pessoais próprios, observado o disposto no inciso III do art. 5º deste Decreto, no que for aplicável.
Parágrafo único. Fica facultada a participação das empresas públicas nos eventos de capacitação promovidos e o acesso a orientações e materiais produzidos pelo CEPD.
Art. 13. As empresas públicas, sociedades de economia mista, suas subsidiárias e empresas controladas direta ou indiretamente pelo Estado que atuarem em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, deverão observar o regime relativo às pessoas jurídicas de direito privado, exceto quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, nos termos do parágrafo único, do art. 24, da Lei Federal nº 13.709, de 2018.
CAPÍTULO IV - DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA DO PODER EXECUTIVO
Art. 14. O tratamento de dados pessoais pelos Órgãos e pelas Entidades da Administração Pública do Poder Executivo deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
Parágrafo único. Além do disposto no caput deste artigo, devem ser informadas as hipóteses em que, no exercício de suas competências, os órgãos e as entidades da Administração Pública do Poder Executivo realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.
Art. 15. Os Órgãos e as Entidades da Administração Pública do Poder Executivo podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, observados os princípios de proteção de dados pessoais elencados no art. 6º da Lei Federal nº 13.709, de 2018.
Art. 16. É vedado aos Órgãos e às Entidades da Administração Pública do Poder Executivo transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 18 de novembro de 2011;
II – nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709, de 2018;
III – quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável à ANPD; e
IV – na hipótese da transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
§ 1º A comunicação ou o uso compartilhado de dados pessoais por pessoa jurídica de direito público à pessoa jurídica de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, exceto:
I – nas hipóteses de dispensa de consentimento previstas na Lei Federal nº 13.709, de 2018;
II – nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 da Lei Federal nº 13.709, de 2018; e
III – nas exceções constantes dos incisos I a IV do caput deste artigo.
§ 2º Em quaisquer das hipóteses previstas neste artigo:
I – a transferência de dados dependerá de autorização específica conferida pelo órgão ou pela entidade estadual à entidade privada;
II – as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou pela entidade estadual; e
III – a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e os órgãos e as entidades estaduais, quando necessário consentimento do titular, poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.
Art. 17. A Administração Pública Direta e indireta do Poder Executivo deverá:
I – dar publicidade às informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e das entidades na nternet, e no Portal da Transparência, em seção específica;
II – atender às exigências que vierem a ser estabelecidas pela ANPD, nos termos do § 1º, do art. 23 e do parágrafo único, do art. 27, ambos da Lei Federal nº 13.709, de 2018;
III – manter dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
Art. 18. Este Decreto entra em vigor na data de sua publicação.
PALÁCIO REPÚBLICA DOS PALMARES, em Maceió, 18 de maio de 2023, 207º da Emancipação Política e 135º da República.
PAULO SURUAGY DO AMARAL DANTAS
Governador