Decreto nº 42036 DE 27/04/2021

Norma Estadual - Distrito Federal - Publicado no DOE em 28 abr 2021

Dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD, no âmbito da Administração Pública Direta e Indireta do Distrito Federal e dá outras providências.

O Governador do Distrito Federal, no uso das atribuições que lhe confere os incisos VII e X do art. 100 da Lei Orgânica do Distrito Federal,

Decreta:

CAPÍTULO I - DISPOSIÇÕES PRELIMINARES

Art. 1º Este Decreto estabelece diretrizes para a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 quanto às figuras dos agentes de tratamento e dos Encarregados, no âmbito da Administração Pública Direta e Indireta do Distrito Federal do Distrito Federal.

Art. 2º A aplicação deste Decreto deve observar os seguintes princípios:

I - respeito à privacidade;

II - autodeterminação informativa;

III - liberdade de expressão, de informação, de comunicação e de opinião;

IV - inviolabilidade da intimidade, da honra e da imagem;

V - desenvolvimento econômico e tecnológico e a inovação;

VI - livre iniciativa, a livre concorrência e a defesa do consumidor;

VII - respeito dos direitos humanos, do livre desenvolvimento da personalidade, da dignidade e do exercício da cidadania pelas pessoas naturais; e,

VIII - interesse público;

IX - transparência de atuação no âmbito de suas competências

Art. 3º Para fins deste Decreto, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - controlador: pessoa jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX - agentes de tratamento: o controlador e o operador interno e externo;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709, de 2018 em todo o território nacional;

XII - unidade gestora: ambiente sob o qual cada controlador tem competência de atuação.

CAPÍTULO II - DOS AGENTES DE TRATAMENTO

Seção I - Do Controlador

Art. 4º O Controlador é o órgão ou entidade, pessoa jurídica de direito público ou privado, que compõe a Administração Pública Direta e Indireta do Distrito Federal.

§ 1º As autoridades máximas titulares de cada órgão ou entidade do Distrito Federal atuam como representantes do seu respectivo Controlador perante os órgãos de controle.

§ 2º Os representantes dos Controladores serão substituídos pelo seu sucessor hierárquico, conforme estrutura do órgão ou entidade em questão, no caso de ausências ou impedimentos legais.

Art. 5º Compete ao Controlador:

I - controlar e gerir a atividade de tratamento de dados;

II - instruir os operadores sobre a realização do tratamento de dados;

III - fiscalizar a observância pelos operadores das instruções e das normas sobre a matéria;

IV - nomear o Encarregado no âmbito da sua unidade gestora;

V - elaborar e manter atualizado o relatório de impacto à proteção de dados pessoais - RIPD

VI - informar ao Encarregado Governamental os nomes do Encarregado Setorial e dos Operadores Internos e Externos da sua unidade gestora;

VII - obter o consentimento específico do titular, quando necessário;

VIII - informar e prestar contas ao Encarregado Governamental,

IX - instrumentalizar a portabilidade dos dados;

X - garantir a transparência no tratamento de dados;

XI - manter o registro das operações de tratamento de dados pessoais;

XII - comunicar ao Encarregado Setorial, à Autoridade Nacional e ao titular, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da Lei nº 13.709, de 2018;

XIII - manter atualizado o Portal Distrital da LGPD.

Seção II - Dos Operadores

Art. 6º O Operador é a pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais seguindo as diretrizes estabelecidas pelo Controlador, sendo:

I - operadores internos: chefes das unidades de tecnologia da informação e comunicação ou unidades equivalentes responsáveis por bancos de dados, tecnologia da informação e sistemas de cada unidade gestora;

II - operadores externos: pessoas físicas ou jurídicas prestadores de serviço de banco de dados, tecnologia da informação e sistemas que atuam fora da estrutura organizacional da unidade gestora.

Art. 7º Os operadores internos e externos de cada unidade gestora deverão ser indicados pelos respectivos Controladores.

Art. 8º O Sub-operador é qualquer pessoa física que, no âmbito da unidade gestora, operacionaliza o tratamento de dados conforme disciplinado pelo Operador, nos limites de sua competência.

Art. 9º Compete ao Operador:

I - realizar o tratamento de dados pessoais segundo as instruções fornecidas pelo Controlador;

II - manter os dados pessoais protegidos de acesso não autorizado, divulgação, destruição, perda acidental ou qualquer tipo de violação de dados pessoais;

III - manter registros das operações de tratamentos de dados pessoais que realizar;

IV - observar as boas práticas e padrões de governança previstos na Lei nº 13.709, de 2018;

V - comunicar ao Encarregado Setorial a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos da Lei nº 13.709, de 2018;

VI - quando autorizado pelo Controlador e no pleno exercício de sua capacidade técnica, decidir sobre:

a) sistema, método ou ferramentas utilizadas para coletar os dados pessoais;

b) meios utilizados para transferir os dados pessoais de uma organização para outra;

c) métodos utilizados para recuperar dados pessoais de determinados indivíduos;

d) maneira de garantir que o método por trás do cronograma de retenção seja respeitado;

e) meio de garantir a segurança dos dados;

f) método de armazenamento de dados pessoais;

g) diretrizes de tratamento de dados realizado pelo sub-operador.

CAPÍTULO III - DOS ENCARREGADOS

Seção I - Do Encarregado Governamental

Art. 10. O Encarregado Governamental é a pessoa física, lotada na Casa Civil do Distrito Federal, que atua como canal de comunicação entre os Encarregados Setoriais, os Controladores e a Autoridade Nacional de Proteção de Dados - ANPD.

Art. 11. Compete ao Encarregado Governamental:

I - determinar as diretrizes de tratamento de dados a serem adotados pela Administração Pública Direta e Indireta do Distrito Federal.

II - orientar Controladores e Encarregados Setoriais a respeito das boas práticas e padrões de governança de dados e segurança da informação, a serem tomadas em relação à proteção de dados pessoais, conforme disposto na Lei nº 13.709, de 2018;

III - elaborar e disponibilizar material de divulgação e capacitação a respeito das boas práticas e padrões de governança de dados e segurança da informação, a serem tomadas em relação à proteção de dados pessoais no Distrito Federal, conforme disposto na Lei nº 13.709, de 2018;

IV - receber comunicações da Autoridade Nacional e adotar providências;

V - disponibilizar e manter atualizado o Portal Distrital da LGPD;

VI - instrumentalizar e garantir a transparência dos dados, nos termos da Lei nº 13.709, de 2018;

VII - consolidar os relatórios recebidos pelos Encarregados Setoriais;

VIII - prestar informações a respeito da aplicação da LGPD na Administração Pública ao Governador do Distrito Federal.

Seção II - Do Encarregado Setorial

Art. 12. O Encarregado Setorial é a pessoa física que atua como canal de comunicação entre o Controlador, os titulares dos dados e o Encarregado Governamental dentro da unidade gestora.

Parágrafo único. Caso a Autoridade Nacional de Proteção de Dados - ANPD se comunique com o Encarregado Setorial, este deverá se reportar ao Encarregado Governamental, que o orientará e supervisionará sua comunicação com a ANPD.

Art. 13. O Encarregado Setorial e seu suplente devem, preferencialmente, possuir capacidade de articulação institucional dentro da unidade gestora, detendo, entre outros, os seguintes conhecimentos multidisciplinares essenciais a sua atribuição:

I - à privacidade e proteção de dados pessoais;

II - à gestão de riscos;

III - à governança de dados;

IV - ao acesso à informação no setor público;

V - à legislação pertinente ao tema.

Parágrafo único. O Encarregado Setorial e seu suplente não deverão se encontrar lotados nos operadores internos, nas unidades de Tecnologia da Informação e Comunicação, serem gestores de contratos relacionados à Tecnologia da Informação e Comunicação ou serem gestores responsáveis por sistemas de informação em geral.

Art. 14. As informações de contato do Encarregado Setorial e seu suplente deverão ser disponibilizadas de forma clara e objetiva pelos Controladores em seu sítio eletrônico e portais de comunicação.

Art. 15. Compete ao Encarregado Setorial:

I - orientar operadores internos e externos e sub-operadores a respeito das boas práticas e padrões de governança de dados e segurança da informação, a serem tomadas em relação à proteção de dados pessoais, conforme disposto na Lei nº 13.709, de 2018;

II - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

III - executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

IV - receber as comunicações do Encarregado Governamental e adotar providências;

V - reportar-se ao Encarregado Governamental.

CAPÍTULO IV - DAS BOAS PRÁTICAS DE TRATAMENTO DE DADOS

Art. 16. As atividades de tratamento de dados pessoais deverão observar as boas práticas e padrões de governança de dados e segurança da informação, além do disposto no art. 50 da Lei nº 13.709, de 2018.

Art. 17. As atividades de tratamento de dados pessoais deverão observar boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 18. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Art. 19. Os Controladores deverão implementar programas de governança em atenção às disposições da LGPD, estabelecendo:

I - condições, regimes e procedimentos internos para o tratamento de dados pessoais;

II - normas de segurança da informação;

III - padrões técnicos;

IV - alocação de responsabilidades e obrigações aos diversos colaboradores envolvidos nas atividades de tratamento;

V - ações educativas;

VI - mecanismos internos de supervisão e mitigação de riscos;

VII - procedimentos de resposta a incidentes de segurança.

Art. 20. Os programas de governança deverão, entre outros:

I - demonstrar o comprometimento da organização em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

II - ser aplicável a todo conjunto de dados pessoais que estejam sob o controle da organização, independentemente do modo como se realizou a coleta;

III - contar com planos de resposta a incidentes e remediação;

IV - ser adaptado à estrutura, à escala e ao volume das operações da organização, bem como à sensibilidade dos dados tratados;

V - estabelecer políticas de salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

VI - ser atualizado constantemente com base em informações obtidas a partir do monitoramento contínuo e avaliações periódicas;

VII - ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

VIII - estar integrado a sua estrutura geral de governança, que estabeleça e aplique mecanismos de supervisão internos e externos.

Art. 21. Os agentes de tratamento deverão aplicar as normas de boas práticas de tratamento de dados editadas pela autoridade nacional.

CAPÍTULO V - DA RESPONSABILIDADE

Art. 22. Os agentes de tratamento ficam sujeitos às sanções previstas na Lei nº 13.709, de 2018, aplicáveis pela autoridade nacional.

Parágrafo único. Os agentes que não se enquadrem como agentes de tratamento de dados poderão ser responsabilizados cível, penal e administrativamente.

CAPÍTULO VI - DIPOSIÇÕES FINAIS

Art. 23. Compete ao Secretário de Estado-Chefe da Casa Civil, designar, no prazo de até 30 dias, a contar da publicação deste Decreto, o Encarregado Governamental e seu suplente, em ato próprio publicado no Diário Oficial do Distrito Federal.

Art. 24. Compete ao Controlador designar, no prazo de até 30 dias, a contar da publicação deste Decreto, o Encarregado Setorial da sua unidade gestora e seu suplente, em ato próprio publicado no Diário Oficial do Distrito Federal.

Art. 25. Os Controladores deverão encaminhar à Casa Civil do Distrito Federal lista de operadores internos e externos existentes na sua unidade gestora, no prazo de 30 dias a contar da publicação deste Decreto.

Art. 26. O Encarregado Governamental elaborará material de divulgação e capacitação da Lei Geral de Proteção de Dados, em 60 dias a contar da publicação deste Decreto.

Art. 27. Compete ao Encarregado Governamental dirimir dúvidas acerca da aplicação deste Decreto, bem como elaborar regulamentação complementar, no âmbito de suas competências.

Art. 28. Os Controladores, o Encarregado Governamental e os Encarregados Setoriais devem apresentar proposta de regulamentação dos demais dispositivos da Lei nº 13.709, de 2018 no prazo de 60 dias a contar da publicação deste Decreto.

Art. 29. Este Decreto entra em vigor na data de sua publicação.

Brasília, 27 de abril de 2021

132º da República e 62º de Brasília

IBANEIS ROCHA