O Governador do Estado do Rio Grande Sul, no uso das atribuições que lhe confere o art. 82, incisos V e VII, da Constituição do Estado,

Decreta:

CAPÍTULO I - DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Fica instituída a Política Estadual de Proteção de Dados Pessoais, que dispõe sobre o conjunto de diretrizes, projetos, ações e metas estratégicas para a adequação do tratamento de dados pessoais realizado no âmbito da administração pública estadual direta, autárquica e fundacional, em conformidade com a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD.

Parágrafo único. A Política Estadual de Proteção de Dados Pessoais observará a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para os propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e

X - responsabilização e prestação de contas: demonstração, pelo agente de tratamento, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 2º São diretrizes estratégicas da Política Estadual de Proteção de Dados Pessoais:

I - a observância das políticas de segurança da informação do Estado;

II - a publicação e a atualização periódica das regras de boas práticas e governança estabelecidas pelo controlador e operador, que levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;

III - o atendimento simplificado e eletrônico das demandas do titular, aplicando-se, no que couber, o Decreto nº 55.439, de 12 de agosto de 2020, que dispõe sobre a Política de Relacionamento do Estado com o Usuário de serviços públicos;

IV - a promoção da transparência pública, nos termos da Lei Federal nº 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação - LAI, e do Decreto nº 49.111 , de 16 de maio de 2012;

V - o desenvolvimento do nível de maturidade dos tratamentos dos dados pessoais, que será monitorado com o acompanhamento anual de indicadores de "compliance" e de performance.

VI - a segurança jurídica dos instrumentos firmados, consoante orientação da Procuradoria-Geral do Estado;

VII - o alinhamento com a Política de Governança e Gestão da administração pública estadual de que trata o Decreto nº 54.581, de 25 de abril de 2019; e

VIII - a observância das normas do Sistema de Arquivos do Estado do Rio Grande do Sul - SIARQ/RS, de que trata o Decreto nº 52.808, de 18 de dezembro de 2015, no que diz respeito às suas instruções normativas e aos prazos de guarda definidos pela Tabela de Temporalidade de Documentos vigente.

Parágrafo único. O Grupo de Trabalho sobre a Implementação da LGPD no Poder Executivo Estadual poderá detalhar as diretrizes de que trata este artigo, por meio de esclarecimentos compartilhados com a Rede de Encarregados em Caderno de Orientações disponibilizados em plataforma digital.

Art. 3º Para fins deste Decreto, considera-se:

I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, sendo o Estado único controlador de dados na administração pública estadual direta;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador corporativo para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD;

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII - pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro;

XIII - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XIV - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XV - programa de governança em privacidade: documentação do controlador que estabelece uma metodologia abrangente que influenciará permanentemente os processos de tomada de decisão referentes a tratamento de dados pessoais, incluindo as estratégias, habilidades, pessoas, processos e ferramentas que os órgãos e as entidades precisam prover para conquistar a confiança dos servidores e dos cidadãos e, ao mesmo tempo, cumprir com exigências apresentadas na legislação sobre proteção de dados pessoais;

XVI - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; e

XVII - tabela de temporalidade de documentos: instrumento, aprovado por autoridade competente, que determina os prazos de guarda e destinação final dos conjuntos documentais produzidos a partir das atividades desempenhadas pelo Estado.

CAPÍTULO II - DOS PROGRAMAS DE GOVERNANÇA EM PRIVACIDADE

Art. 4º Além de inventariar os tratamentos de dados pessoais realizados no âmbito do órgão ou da entidade, os encarregados de que trata o art. 2º do Decreto nº 55.647 , de 14 de dezembro de 2020, deverão elaborar os respectivos Programas de Governança em Privacidade - PGP, nos termos do art. 50, § 2º, inciso I, da Lei Federal nº 13.709/2018, observadas, ainda, as disposições desta Política Estadual de Proteção de Dados Pessoais e do Decreto nº 55.647/2020 .

§ 1º Os Programas de Governança em Privacidade - PGP, deverão ser submetidos à aprovação da autoridade máxima de cada órgão ou entidade da administração pública estadual direta, autárquica e fundacional, que os encaminhará para a homologação do Conselho de Implementação da LGPD no Poder Executivo Estadual, observados os prazos previstos no Decreto nº 55.647/2020 .

§ 2º Nos Programas de Governança em Privacidade - PGP, deverá ser prevista a elaboração dos seguintes documentos, sempre que a estrutura, a escala e o volume das operações de tratamento de dados pessoais na repartição recomendarem:

I - política de privacidade e proteção de dados, de uso interno;

II - aviso de privacidade, para usuários externos;

III - relatório de impacto de proteção de dados - RIPD para a atividades de tratamento que ofereçam altos riscos para os direitos e as liberdades individuais dos cidadãos;

IV - plano de resposta a incidentes; e

V - plano de treinamento e de conscientização dos colaboradores.

§ 3º Os Relatórios de Impacto à Proteção de Dados Pessoais, conduzidos pelos encarregados e submetidos ao rito de aprovação e de homologação previsto no § 1º do art. 4º deste Decreto, terão o seguinte conteúdo mínimo:

I - a descrição dos tipos de dados coletados;

II - a metodologia utilizada para a coleta e para a garantia da segurança das informações; e

III - a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Art. 5º Os encarregados deverão seguir todas as orientações e os esclarecimentos compartilhados pelo Grupo de Trabalho sobre a Implementação da LGPD no Poder Executivo Estadual, contando com o apoio técnico das áreas jurídica e tecnológica da sua instituição.

§ 1º O Grupo de Trabalho, sempre que entender oportuno, compartilhará modelos com a Rede de Encarregados por meio de Caderno de Orientações ou materiais congêneres disponibilizados em plataforma digital.

§ 2º O Centro de Tecnologia da Informação e Comunicação do Estado do Rio Grande do Sul S.A. - PROCERGS, disponibilizará, de forma não onerosa, informações sobre os sistemas que ele opere ou administre por força de contrato, de convênio ou de acordo celebrado com o Estado ou outras entidades estaduais.

§ 3º A disponibilização das informações de que trata o § 2º deste artigo poderá se dar mediante solicitação fundamentada de Encarregado interessado ou do Conselho de Implementação da LGPD no Poder Executivo Estadual, diretamente ou por intermédio do seu Grupo de Trabalho.

§ 4º As informações de que trata o § 2º deste artigo, em relação a cada sistema operado, deverão ser apresentadas em formato padronizado definido pelo Conselho de Implementação da LGPD no Poder Executivo, mediante proposta do seu Grupo de Trabalho, incluindo, entre outras:

I - tipos de dados armazenados;

II - existência de políticas de autorização, de autenticação e de controle de acesso aos dados;

III - matriz de atribuições e de responsabilidades pelas operações de tratamento de dados;

IV - existência de registros ("logs") das operações de tratamento de dados e retenção desses registros;

V - existência de estratégias de "backup" e de recuperação de desastres;

VI - ferramentas de prevenção contra ameaças à disponibilidade, integridade e confiabilidade dos dados;

VII - integrações totais ou parciais com outros sistemas;

VIII - armazenamento dos dados em outros repositórios para o uso em plataformas de BI e "big data";

IX - contratação de empresas terceirizadas, na qualidade de suboperadoras;

X - dados armazenados fora do local físico das dependências da PROCERGS; e

XI - segurança e acesso ao ambiente físico de Tecnologia da Informação - TI.

§ 5º No caso de sistemas transversais, a disponibilização de informações pela PROCERGS prevista no § 2º deste artigo não afasta a obrigação de outro gestor do sistema fornecê-las, quando for solicitado por Encarregado interessado ou pelo Conselho de Implementação da LGPD no Poder Executivo Estadual, diretamente ou por intermédio do seu Grupo de Trabalho.

CAPÍTULO III - DAS PLATAFORMAS TECNOLÓGICAS E DOS SÍTIOS ELETRÔNICOS

Art. 6º A Secretaria de Planejamento, Governança e Gestão - SPGG, providenciará plataforma tecnológica transversal para a governança dos dados pessoais no âmbito da administração pública direta, autárquica e fundacional, de modo que se possa monitorar, de forma permanente e integrada, a conformidade de todos os órgãos e as entidades estaduais à LGPD.

Parágrafo único. Os órgãos e as entidades estaduais não deverão contratar plataformas tecnológicas próprias para governança dos dados pessoais, salvo prévia autorização do Conselho de Implementação da LGPD no Poder Executivo Estadual, que analisará os riscos de incompatibilidade entre a solução tecnológica proposta e a plataforma transversal do Estado.

Art. 7º Fica vedada aos órgãos e às entidades estaduais a contratação de consultoria especializada para adequação à LGPD, ressalvada a hipótese de contratação transversal celebrada pela SPGG, tendo como beneficiário todo o Poder Executivo Estadual.

§ 1º O montante global do contrato de consultoria especializada para a adequação à LGPD no âmbito do Poder Executivo Estadual pode ser atingido por meio do somatório das dotações disponibilizadas pelas unidades orçamentárias da administração pública estadual direta, autárquica e fundacional, observados os montantes indicados na declaração de cada ordenador de despesa, mantida a gestão do contrato transversal pela SPGG.

§ 2º Exceções ao "caput" deste artigo dependerão de prévia autorização do Conselho de Implementação da LGPD no Poder Executivo Estadual, que analisará eventual sobreposição total ou parcial entre os serviços da consultoria contratada pela SPGG e os ofertados pela consultoria específica que o órgão ou a entidade pretende contratar.

Art. 8º Os sítios eletrônicos dos órgãos e das entidades deverão veicular sua política de privacidade e de "cookies" para prévia aceitação do usuário.

CAPÍTULO IV - DO ATENDIMENTO AO TITULAR

Art. 9º O atendimento ao titular do dado será prestado por meio de canal eletrônico na Central do Cidadão.

§ 1º A identificação do titular ou procurador deverá ser idônea, mediante assinatura eletrônica emitida por entidade credenciada pela Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil ou qualquer outro meio que permita sua comprovação de modo inequívoco.

§ 2º O canal de atendimento deve prover funções de registro e gerenciamento da demanda que viabilizem ao titular o acompanhamento do seu atendimento.

Art. 10. A Secretaria da Casa Civil, por meio da Subchefia de Ética, Controle Público e Transparência, prestará o apoio técnico para o desenvolvimento e manutenção do sistema eletrônico do canal de atendimento eletrônico previsto neste Capítulo, para a capacitação dos encarregados no uso da ferramenta e para a emissão de relatórios gerenciais e de informações quando solicitado pelo Conselho de Implementação da LGPD no Poder Executivo Estadual para o exercício de suas competências.

§ 1º O encarregado adotará providências para atendimento do titular, em conformidade com a LGPD, a LAI e a legislação sobre proteção de dados pessoais, e encaminhará os esclarecimentos para o requerente.

§ 2º Os dados pessoais solicitados no atendimento deverão ser entregues ao titular ou seu representante legal, por meio eletrônico protegido ou pessoalmente.

Art. 11. O encarregado não disponibilizará dados pessoais tratados pelo órgão ou entidade quando estiverem protegidos por sigilo nos termos da legislação vigente.

Parágrafo único. O encarregado informará o fundamento legal que embasa o indeferimento da entrega da informação sigilosa solicitada.

CAPÍTULO V - DO REGISTRO DAS OPERAÇÕES DE TRATAMENTO E DA ANONIMIZAÇÃO DE DADOS PESSOAIS

Art. 12. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem.

Parágrafo único. Enquanto inexistir regulamentação da autoridade nacional, o tempo de guarda dos registros das operações será igual ao prazo de armazenamento dos dados pessoais, consoante as obrigações legais ou judiciais de mantê-los protegidos, observada a Tabela de Temporalidade de Documentos em vigor publicada pelo SIARQ/RS, quando se aplicar.

Art. 13. O controlador deve adotar medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis no âmbito e nos limites técnicos de seus serviços, para não serem acessados por terceiros não autorizados e, sempre que possível, proceder à sua anonimização.

CAPÍTULO VI - DO COMPARTILHAMENTO DE DADOS PESSOAIS

Art. 14. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios gerais de proteção de dados pessoais e as hipóteses previstas nos arts. 7º e 11 da Lei Federal nº 13.709/2018.

§ 1º O controlador deve manter o registro do compartilhamento dos dados pessoais para fins de cumprimento do inciso VII do art. 18 da Lei Federal nº 13.709/2018.

§ 2º Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

Art. 15. O uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado observará as normas da Lei Federal nº 13.709/2018, em especial o disposto nos arts. 26 e 27.

CAPÍTULO VII - DISPOSIÇÕES FINAIS

Art. 16. O Conselho de Implementação da LGPD no Poder Executivo Estadual, de que trata o Decreto nº 55.647 , de 14 de dezembro de 2020, apoiado pelo seu Grupo de Trabalho, diligenciará para o fiel cumprimento deste Decreto.

Art. 17. Este Decreto entra em vigor na data de sua publicação.

PALÁCIO PIRATINI, em Porto Alegre, 7 de julho de 2021.

EDUARDO LEITE, Governador do Estado.

Registre-se e publique-se.

ARTUR DE LEMOS JÚNIOR, Secretário-Chefe da Casa Civil.