O Governador do Estado do Rio Grande do Sul, no uso das atribuições que lhe confere o art. 82, incisos V e VII, da Constituição do Estado,

Decreta:

CAPÍTULO I - DA FINALIDADE

Art. 1º O s procedimentos gerais, os prazos e as fases para implementação da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, no âmbito do Poder Executivo do Estado do Rio Grande do Sul, a fim de tutelar o direito fundamental à autodeterminação informativa no âmbito da administração pública estadual, observarão o disposto neste Decreto.

CAPÍTULO II - DO ENCARREGADO PELO TRATAMENTO DOS DADOS PESSOAIS

Art. 2º Até 3 1 de dezembro de 2020, a autoridade máxima d o s órgãos ou entidades da administração pública estadual direta e indireta deverá indicar Encarregado pelo Tratamento dos Dados Pessoais, nos termos do disposto no inciso III do art. 23 e no art. 41 da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, mediante publicação no Diário Oficial Eletrônico do Estado.

§ 1º O Encarregado pelo Tratamento dos Dados Pessoais indicado deverá:

I - ser reconhecido como uma liderança em seu órgão ou entidade estadual;

II - possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público; e

III - não es tar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação de órgão ou entidade do Poder Executivo Estadual.

§ 2º Para fins de atendimento do requisito de que trata o § 1º deste artigo, o Encarregado pelo Tratamento dos Dados Pessoais deverá participar de ações de capacitação disponibilizadas pela Rede Escola de Governo do Estado e pela Escola Superior de Advocacia de Estado Professor Almiro do Couto e Silva - ESAE-PGERS, conforme indicações do Grupo de Trabalho de que trata o Cap ítulo IV deste Decreto.

§ 3º Quando o órgão, a autarquia ou a fundação realizar pequeno volume de operações de tratamento de dados pessoais, sua autoridade máxima poderá solicitar que o Encarregado de outra instituição estadual atue, cumulativamente, como seu Encarregado, desde que o indicado seja facilmente acessível a partir de cada instituição. (Parágrafo acrescentado pelo Decreto Nº 55986 DE 07/07/2021).

§ 4º Na hipótese do § 3º deste artigo, a designação de um único encarregado para vários órgãos, autarquias ou fundações estaduais será realizada pelo Governador do Estado, que poderá delegar essa atribuição ao Presidente do Conselho de Implementação da LGPD no Poder Executivo.(Parágrafo acrescentado pelo Decreto Nº 55986 DE 07/07/2021).

Art. 3º A identidade e as informações de contato do Encarregado pelo Tratamento dos Dados Pessoais deverão ser divulgadas publicamente, de forma clara e objetiva, no sítio eletrônico institucional do órgão ou da entidade estadual, nos termos do § 1º do art. 41 da LGPD.

Art. 4º São atribuições do Encarregado pelo Tratamento dos Dados Pessoais:

I - aceitar reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências;

II - receber comunicações da Autoridade Nacional de Proteção de Dados e adotar providências;

III - orientar os servidores, terceirizados, contratados, conveniados e parceiros do órgão ou da entidade estadual a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - realizar, com apoio do Grupo de Trabalho de que trata o Capítulo IV deste Decreto, o mapeamento dos processos de tratamento de dados pessoais realizados no âmbito do órgão ou da entidade estadual, inclusive dos compartilhamentos com entidades públicas ou privadas, propondo adequações à luz da LGPD; e

V - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Art. 5º A autoridade máxima do órgão ou da entidade deverá assegurar ao Encarregado pelo Tratamento dos Dados Pessoais:

I - acesso direto à alta administração;

II - pronto apoio das unidades administrativas no atendimento das solicitações de informações; e

III - contínuo aperfeiçoamento relacionado aos temas de privacidade e proteção de dados pessoais, de acordo com os conhecimentos elencados no inciso I do § 1º do art. 1º deste Decreto e observada a disponibilidade orçamentária e financeira do órgão ou entidade.

Parágrafo único. Para fins do inciso I do " caput " deste artigo, considera-se como alta administração os Secretários de Estado, seus chefes de gabinete e diretores de departamento, os presidentes e diretores de autarquias, inclusive as especiais, e de fundações ou as autoridades de hierarquia equivalente.

CAPÍTULO III - DO CONSELHO DE IMPLEMENTAÇÃO DA LGPD NO PODER EXECUTIVO ESTADUAL

Art. 6º O Conselho de Implementação da LGPD no Poder Executivo Estadual será integrado pelo Procurador-Geral do Estado, que o presidirá, pelo Secretário de Governança e Gestão Estratégica, pelo Secretário da Fazenda e pelo Secretário de Inovação, Ciência e Tecnologia.

Parágrafo único. Compete ao Conselho de Implementação da LGPD no Poder Executivo Estadual definir as diretrizes, projetos, ações e metas estratégicas transversais para a adequação do tratamento de dados pessoais realizado no âmbito da administração pública estadual direta, autárquica e fundacional ao previsto na LGPD.

Art. 7º O Conselho de Implementação da LGPD no Poder Executivo Estadual observará a legislação nacional sobre tratamento de dados pessoais, norteando suas decisões com as definições, princípios, hipóteses de tratamento e normas da LGPD e dos regulamentos da Autoridade Nacional de Proteção de Dados - ANPD, observado, ainda, o disposto no art. 4º da LGPD.

CAPÍTULO IV - DO GRUPO DE TRABALHO SOBRE A IMPLEMENTAÇÃO DA LGPD NO PODER EXECUTIVO ESTADUAL

Art. 8º Até 3 1 de dezembro de 2020, será instituído o Grupo de Trabalho sobre a Implementação da LGPD no Poder Executivo Estadual, com o objetivo de propor ao Conselho de Implementação da LGPD no Poder Executivo Estadual as diretrizes, projetos, ações e metas estratégicas para a adequação do tratamento de dados pessoais realizado no âmbito da administração pública estadual direta, autárquica e fundacional ao previsto na LGPD, observados os regulamentos da Autoridade Nacional de Proteção de Dados - ANPD.

Art. 9º O Grupo de Trabalho sobre a Implementação da LGPD no Poder Executivo Estadual será coordenador pelo Procurador-Geral Adjunto para Assuntos Institucionais e terá a seguinte composição:

I - um representante da Procuradoria-Geral do Estado;

II - um representante da Secretaria de Governança e Gestão Estratégica;

III - um representante da Secretaria da Fazenda;

IV - um representante da Secretaria de Inovação, Ciência e Tecnologia.

V - um representante da Subchefia Jurídica da Secretaria da Casa Civil;

VI - um representante do Escrito´rio de Desenvolvimento de Projetos;

VII - um representante da PROCERGS - Centro de Tecnologia da Informação e Comunicação do Estado do Rio Grande do Sul S.A;

§ 1º Os membros do Grupo de Trabalho serão indicados pela autoridade máxima de cada órgão ou entidade estadual e designados pelo Governador do Estado.

§ 2º A participação nos grupos de trabalho será considerada prestação de serviço público relevante, não remunerada.

§ 3º Os membros representantes da Procuradoria-Geral do Estado orientar ã o o Grupo de Trabalho acerca dos aspectos jurídicos que devem ser observados, propondo a formulação de consulta jurídica, quando necessário.

§ 4º A Secretaria de Governança e Gestão Estratégica pres tará apoio administrativo e material para o desempenho das atividades do Grupo de Trabalho.

§ 5º A PROCERGS - Centro de Tecnologia da Informação e Comunicação do Estado do Rio Grande do Sul S.A prestará apoio técnico e operacional ao Grupo de Trabalho.

Art. 10. O Grupo de Trabalho sobre a Implementação da LGPD no Poder Executivo Estadual poderá convidar representantes de órgãos e entidades públicas e privadas, além de pesquisadores e especialistas, para participarem de suas atividades, quando sua experiência ou expertise for relevante.

Parágrafo único. A participação dos convidados de que trata o " caput " deste artigo ficará restrita ao tempo necessário para prestar os esclarecimentos a eles solicitados.

Art. 11. Compete ao Grupo de Trabalho sobre a Implementação da LGPD no Poder Executivo Estadual:

I - propor ao Conselho de Implementação da LGPD no Poder Executivo Estadual as diretrizes e estratégias da política estadual de proteção de dados pessoais a serem adotadas no âmbito da administração pública estadual direta, autárquica e fundacional;

II - propor ao Conselho de Implementação da LGPD no Poder Executivo Estadual a edição de normas sobre tratamento e proteção de dados pessoais, a serem encaminhadas para deliberação final do Governador do Estado;

III - identificar e avaliar os processos de tratamento e proteção de dados pessoais existentes no âmbito da administração pública estadual direta, autárquica e fundacional, com a poio dos Encarregados de que trata o Capítulo II deste Decreto;

IV - propor políticas, ações e metas visando à gradual adequação do tratamento de dados pessoais realizado pela administração pública estadual ao previsto na LGPD e nos regulamentos da ANPD, bem como monitorar sua efetiva implementação, em atuação conjunta com os Encarregados de que trata o Capítulo II deste Decreto;

V - monitorar a adoção de medidas de segurança técnicas e administrativas aptas a protegerem os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, com apoio dos Encarregados de que trata o Capítulo II deste Decreto;

VI - coordenar e orientar a rede de encarregados responsáveis pelo tratamento dos dados pessoais no âmbito do Poder Executivo Estadual;

VII - estimular a adoção de padrões para serviços e produtos, inclusive plataformas digitais, que facilitem o exercício de controle dos titulares sobre seus dados pessoais, objeto de tratamento pela administração pública estadual direta, autárquica e fundacional;

VIII - promover a integração e a articulação entre os diversos órgãos e entidades da administração pública estadual com vistas ao desenvolvimento e à operacionalização d e ações transversai s para adequação à LGPD;

IX - difundir regras de boas práticas e de governança relacionadas ao tratamento de dados pessoais, inclusive mediante a divulgação de ações e resultados alcançados por órgãos e entidades da administração pública federal, estadual e municipal que sejam referência na governança em privacidade;

X - compilar e disponibilizar relatórios de atividades anuais apresentados pelos Encarregados de que trata o Capítulo II deste Decreto; e

XI - exercer outras atividades correlatas.

§ 1º Para o desempenho das suas competências, o Grupo de Trabalho poderá solicitar, a qualquer momento, aos órgãos e às entidades da administração pública estadual, informações específicas sobre seus processos de tratamento de dados pessoais, a natureza dos dados, os compartilhamentos realizados e detalhes correlatos.

§ 2º Ao propor a edição de normas nos termos do inciso II do "caput" deste artigo, o Grupo de Trabalho, sempre que possível, realizará, previamente, consultas e audiências com os potenciais destinatários da regulamentação.

§ 3º O Grupo de Trabalho sobre a Implementação da LGPD no Poder Executivo, em articulação com os Encarregados pelo Tratamento dos Dados Pessoais, apresentará estudos para subsidiar as decisões do Conselho sobre a Implementação da LGPD no Poder Executivo acerca das diretrizes e ações para a política estadual de proteção de dados pessoais, dos parâmetros para elaboração e atualização dos relatórios de impacto à proteção de dados pessoais, e das orientações para os programas de governança em privacidade dos órgãos e das entidades da administração pública estadual, nos termos do inciso I do art. 50 da LGPD.

CAPÍTULO V - DAS AÇÕES DE CAPACITAÇÃO

Art. 12. Até 31 de julho de 2021, os Encarregados pelo Tratamento dos Dados Pessoais, as direções dos órgãos e das entidades da administração pública estadual e os agentes de tratamento de dados deverão ser treinados e sensibilizados sobre as normas e as políticas públicas sobre proteção de dados pessoais, bem como sobre as medidas de segurança que devem ser adotadas no âmbito da administração pública estadual, mediante ações de capacitação promovidas pela Rede Escola de Governo do Estado.

§ 1º Nas ações de capacitação de que trata o " caput " deste artigo, o treinamento e a sensibilização sobre as questões jurídicas ficarão a cargo da Escola Superior de Advocacia de Estado Professor Almiro do Couto e Silva - ESAEPGERS.

§ 2º A PROCERGS - Centro de Tecnologia da Informação e Comunicação do Estado do Rio Grande do Sul S.A prestará apoio nas questões técnicas e operacionais.

§ 3º Além de cursos, palestras e oficinas dirigidas, as ações de capacitação abrangerão a confecção de manuais de implementação da LGPD e de material de apoio.

CAPÍTULO VI - DA POLÍTICA DE PROTEÇÃO DE DADOS DOS ÓRGÃOS E ENTIDADES ESTADUAIS

(Redação do artigo dada pelo Decreto Nº 55986 DE 07/07/2021):

Art. 13. Com base na Política Estadual de Proteção de Dados Pessoais do Poder Executivo Estadual, instituída por Decreto, o Conselho sobre a Implementação da LGPD no Poder Executivo, apoiado pelo seu Grupo de Trabalho, deverá fixar parâmetros para elaboração e atualização dos relatórios de impacto à proteção de dados pessoais e emitir orientações para os programas de governança em privacidade dos órgãos e das entidades da administração pública estadual, nos termos do inciso I do art. 50 da Lei Federal nº 13.709/2018.

Parágrafo único. Os parâmetros, as orientações e os esclarecimentos deverão ser compartilhados pelo Grupo de Trabalho com a Rede de Encarregados em eventos de capacitação, reuniões de trabalho ou Caderno de Orientações disponibilizados em plataforma digital.

Art. 14. Até 31 de julho de 2021, os órgãos e as entidades estaduais deverão implementar a integralidade da sua política de proteção de dados pessoais e do seu programa de governança em privacidade, bem como disponibilizar à ANPD relatório de impacto à proteção de dados pessoais.

Parágrafo único. Os órgãos e as entidades estaduais deverão informar, nos seus sítios eletrônicos, as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.

CAPÍTULO VII - DAS COMPETÊNCIAS PERMANENTES

Art. 15. Compete à autoridade máxima dos órgãos e entidades estaduais:

I - adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

II - comunicar a ANPD e os titulares dos dados pessoais, por intermédio do Encarregado, sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares; e

III - implementar programa de governança em privacidade, atendendo-se os requisitos mínimos do art. 50, § 2º, da LGPD, sempre que, na sua avaliação, a estrutura, a escala e o volume das operações de tratamento de dados pessoais na sua repartição recomendarem.

Parágrafo único. Na avaliação de que trata o inciso II deste artigo, o controlador deverá levar em consideração a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados.

Art. 16. A Procuradoria-Geral do Estado prestará consultoria jurídica ao Conselho e ao Grupo de Trabalho de que tratam os Capítulos III e IV deste Decreto e aos órgãos e entidades da administração pública estadual direta e indireta, mediante a emissão de pareceres ou outras manifestações oficiais para dirimir dúvidas e fixar a interpretação da LGPD, bem como para a elaboração dos atos normativos, modelos de contratos, de convênios e de acordos de cooperação internacional aderentes à LGPD.

Art. 17. As empresas públicas e as sociedades de economia mistas estaduais deverão estabelecer, monitorar e revisar suas políticas de proteção de dados pessoais por ato próprio aprovado pelos seus respectivos conselhos de administração.

§ 1º As empresas públicas e as sociedades de economia mista estaduais que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal , observarão o mesmo regime de tratamento de dados dispensado pela LGPD às pessoas jurídicas de direito privado.

§ 2º Quando estiverem executando políticas públicas, as empresas públicas e as sociedades de economia mista estaduais observarão as regras da LGPD destinadas aos órgãos e às entidades do Poder Público, observados, no que couber, os termos deste Decreto.

Art. 17-A. Até 31 de dezembro de 2021, o Conselho sobre a Implementação da LGPD no Poder Executivo, apoiado pelo seu Grupo de Trabalho, apresentará ao Governador do Estado proposta de definição de estrutura permanente de governança de proteção de dados pessoais na administração pública estadual. (Artigo acrescentado pelo Decreto Nº 55986 DE 07/07/2021).

Art. 18. Este Decreto entra em vigor na data da sua publicação.

PALÁCIO PIRATINI, em Porto Alegre, 14 de dezembro de 2020.

EDUARDO LEITE,

Governador do Estado.

Registre-se e publique-se.

OTOMAR VIVIAN,

Secretário-Chefe da Casa Civil.