Decreto nº 6474 DE 14/12/2020
Norma Estadual - Paraná - Publicado no DOE em 14 dez 2020
Regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito da Administração Pública Estadual direta, autárquica e fundacional do Poder Executivo do Estado do Paraná.
O Governador do Estado do Paraná, no uso da atribuição que lhe confere o art. 87, incisos V e VI, da Constituição Estadual e tendo em vista o contido no protocolado sob nº 16.870.865-3 e ainda,
Considerando a promulgação da Lei Federal nº 13.709, de 14 de agosto de 2018, que estabeleceu a Lei Geral de Proteção de Dados Pessoais-LGPD;
Considerando que o parágrafo único do art. 1º da LGPD estabelece que as normas gerais de proteção contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios; e
Considerando que é assegurado a toda pessoa natural a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos do art. 17 da LGPD,
Decreta:
CAPÍTULO I - ISPOSIÇÕES PRELIMINARES
Art. 1º Este Decreto regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados no âmbito da Administração Pública Estadual direta, autárquica e fundacional do Poder Executivo do Estado do Paraná, instituindo diretrizes, normas e ações a serem observadas por seus órgãos e entidades, visando garantir a proteção de dados pessoais.
Parágrafo único. As disposições contidas neste Decreto aplicam-se aos Serviços Sociais Autônomos.
Art. 2º Considera-se, para fins deste Decreto:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados, e a Autoridade Nacional de proteção de Dados - ANPD;
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional ou interestadual de dados: transferência de dados pessoais para país estrangeiro ou outro Estado da Federação, respectivamente;
XVI - uso compartilhado de dados: comunicação, difusão, transferência, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos, legalmente constituída, sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Art. 3º As atividades de tratamento de dados pessoais realizadas no âmbito da Administração Pública Estadual direta, autárquica e fundacional do Poder Executivo do Estado deverão observar além da boa-fé, os princípios elencados no art. 6º da Lei Federal nº 13.709, de 2018 - LGPD.
Art. 4º Cabe aos órgãos e entidades elencados no art. 1º deste Decreto preparar relatório de impacto à proteção de dados pessoais - RIPD, na forma e nos prazos indicados pela Controladoria-Geral do Estado e pela Autoridade Nacional de Proteção de Dados Pessoais, quando for o caso.
CAPÍTULO II - DAS COMPETÊNCIAS
Art. 5º Compete à Controladoria-Geral do Estado:
I - orientar os encarregados dos órgãos e entidades quanto a implementação da LGPD;
II - disponibilizar canal de atendimento ao titular de dados, considerando as atribuições da Coordenadoria de Ouvidoria da Controladoria-Geral do Estado;
III - desenvolver ações que contribuam para a consolidação de uma cultura de ética, probidade e transparência no tratamento de dados pessoais;
IV - produzir manuais e documentos de apoio para a implementação da LGPD no Estado, observada a Política Nacional de Proteção de Dados Pessoais e da Privacidade.
Art. 6º Compete ao Conselho Estadual de Tecnologia da Informação e Comunicação - Paraná - CETIC - PR orientar a aplicação de soluções de TI e TIC relacionadas à proteção de dados pessoais.
§ 1º Compete à Companhia de Tecnologia da Informação e Comunicação do Paraná - CELEPAR:
I - propor ao CETIC padrões de desenvolvimento de novas soluções de Tecnologia da Informação - TI e Tecnologia da Informação e Comunicação - TIC, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução;
II - adequar os sistemas de TI e TIC de propriedade do Estado do Paraná às exigências da LGPD.
§ 2º Caso as adequações de sistemas necessárias para atender o inciso II do § 1º deste artigo impliquem custos, deverá ser apresentada pela CELEPAR proposta específica de trabalho e orçamento, sendo as referidas despesas suportadas pelo órgão responsável pelos sistemas.
Art. 7º Compete à Procuradoria-Geral do Estado - PGE:
I - disponibilizar minutas padronizadas de contratos, convênios, acordos de cooperação, termos de uso de sistema de informação da Administração Pública e demais instrumentos jurídicos congêneres necessários à implementação da Lei Federal nº 13.709, de 2018, nos termos do Decreto nº 3203, de 22 de Dezembro de 2015;
II - responder a consultas específicas referentes à aplicação da LGPD no Estado, desde que encaminhadas pelo Controlador-Geral do Estado e observado o disposto no Regulamento da PGE (anexo que acompanha o Decreto nº 2.709, de 10 de setembro de 2019.
Art. 8º Compete ao controlador de dados: (Redação dada pelo Decreto Nº 9185 DE 26/10/2021).
Nota: Redação Anterior:Art. 8º Compete ao controlador de dados de cada órgão ou entidade, conforme e em atenção aos respectivos sistemas de dados:
I - indicar um encarregado, no âmbito de cada órgão ou entidade, nos termos do art. 41 da Lei Federal nº 13.709, de 2018, através de ato próprio; (Redação do inciso dada pelo Decreto Nº 9185 DE 26/10/2021).
Nota: Redação Anterior:I - indicar um encarregado, nos termos do art. 41 da Lei Federal nº 13.709, de 2018, através de ato próprio;
II - dar cumprimento, no âmbito de cada órgão ou entidade, ao disposto na LGPD e às orientações e recomendações da Controladoria-Geral do Estado; (Redação do inciso dada pelo Decreto Nº 9185 DE 26/10/2021).
Nota: Redação Anterior:II - dar cumprimento, no âmbito do respectivo órgão ou entidade, ao disposto na LGPD e às orientações e recomendações da Controladoria-Geral do Estado;
III - atender as solicitações encaminhadas pela Ouvidoria-Geral, buscando cessar eventuais violações à Lei Federal nº 13.709, de 2018 ou apresentar justificativa pertinente;
IV - encaminhar ao encarregado informações que venham a ser solicitadas pela ANPD;
V - elaborar relatório de impacto à proteção de dados pessoais ou fornecer informações necessárias para a elaboração deste, em conformidade com o art. 32 da Lei Federal nº 13.709 de 2018 e com os arts. 3º e 4º deste Decreto;
VI - orientar os operadores através de termos de uso, manuais e treinamentos quanto ao tratamento de dados sob sua responsabilidade.
§ 1º Será considerado como controlador dos órgãos da Administração Pública Direta, o Estado do Paraná. (Redação do parágrafo dada pelo Decreto Nº 9185 DE 26/10/2021).
Nota: Redação Anterior:§ 1º Será considerado como controlador de dados o agente público da mais alta hierarquia do respectivo órgão ou entidade;
§ 2º O encarregado deverá ser designado com base nas qualidades profissionais e conhecimento das leis e práticas em matéria de proteção de dados, além da capacidade de cumprir as tarefas previstas no artigo 39 da Lei Federal nº 13.709, de 2018 e no artigo 9º deste Decreto.
§ 3º Caberá aos órgãos públicos da Administração Pública direta exercer as atribuições legais de controlador de dados. (Parágrafo acrescentado pelo Decreto Nº 9185 DE 26/10/2021).
§ 4º Aos órgãos da Administração Pública indireta e aos serviços sociais autônomos será aplicado o regramento de pessoa jurídica, estabelecido pela LGPD. (Parágrafo acrescentado pelo Decreto Nº 9185 DE 26/10/2021).
Art. 9º Compete ao encarregado de dados:
I - auxiliar o órgão ou entidade a adaptar seus processos de acordo com a LGPD, incluindo a responsabilidade quanto à orientação e aplicação de boas práticas e governança;
II - trabalhar de forma integrada com o respectivo controlador e operador, considerando a necessidade um monitoramento regular e sistemático das atividades destes;
III - estar facilmente acessível quando necessária a sua interveniência;
IV - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
V - receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e adotar providências;
VI - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
VII - auxiliar o controlador a apresentar Relatório de Impacto de Proteção aos Dados Pessoais, quando solicitado;
VIII - receber comunicações e atender a normas complementares da Autoridade Nacional de Proteção de Dados Pessoais (ANPD);
IX - informar a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e aos titulares dos dados, eventuais incidentes de privacidade, observadas as Política Nacional de Proteção de Dados Pessoais e da Privacidade e as orientações da CGE; (Redação do inciso dada pelo Decreto Nº 9185 DE 26/10/2021).
Nota: Redação Anterior:IX - informar a Agencia Nacional de Proteção de Dados Pessoais (ANPD) e aos titulares dos dados eventuais incidentes de privacidade, observadas as Política Nacional de Proteção de Dados Pessoais e da Privacidade e as orientações da CGE;
X - executar outras atribuições definidas em normas complementares.
CAPÍTULO III - DOS TRATAMENTOS DE DADOS PESSOAIS
Art. 10. O tratamento de dados pessoais no âmbito dos órgãos e entidades da Administração Pública do Estado deve observar o exercício de suas competências e atribuições legais, fornecendo ao titular informações claras e precisas sobre a finalidade, previsão legal, formas de execução e prazo de armazenamento.
§ 1º As informações sobre o tratamento de dados pessoais deverão ser publicadas no Portal da Transparência do Estado e nos sítios eletrônicos em seção denominada "Política de Tratamento de Dados Pessoais".
§ 2º Observado o § 1º deste artigo, deverão ser divulgados no mesmo local, informações do encarregado com os seguintes dados:
I - Nome e cargo do encarregado indicado pelo controlador;
II - Localização;
III - Horário de Atendimento;
IV - Telefone e e-mail específico para orientação e esclarecimento de dúvidas.
§ 3º Será dispensado o consentimento do titular para o atendimento as finalidades previstas no caput, observado o disposto no inciso II do artigo 11 da Lei Federal nº 13.709, de 2018.
§ 4º Em caso de violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, o controlador deverá adotar as medidas estabelecidas no artigo 48 da Lei Federal nº 13.709, de 2018, observado o disposto no artigo 3º deste Decreto.
Seção I - Do Atendimento ao Titular dos Dados
Art. 11. As manifestações do titular de dados ou seu representante legal serão atendidas:
I - eletronicamente: através do Sistema Integrado para Gestão de Ouvidorias - SIGO, disponível no Portal da Controladoria Geral do Estado - CGE PR, no seguinte endereço eletrônico: http://www.cge.pr.gov.br/Pagina/Registre-sua-Reivindicacao, observada a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos;
II - presencialmente: junto a Ouvidoria-Geral da Controladoria Geral do Estado ou no órgão ou entidade onde os dados se encontram, mediante a apresentação de documentos oficiais que permitam a identificação.
§ 1º No caso de titular incapaz, deverá ser apresentada a certidão de nascimento deste e o documento de identidade de um dos pais ou responsáveis.
§ 2º Atestada a legitimidade do titular ou do seu procurador, o operador coletará os dados, transcrevendo a manifestação no SIGO.
§ 3º O atendimento presencial ao procurador ou curador será realizado mediante a apresentação obrigatória de documento de outorga.
Art. 12. A manifestação registrada será encaminhada pela Ouvidoria-Geral ao órgão ou entidade responsável pelos dados, e acompanhará sua resolução.
Parágrafo único. Os dados pessoais serão apresentados ao solicitante por meio eletrônico ou pessoalmente, dependendo da forma de solicitação.
Art. 13. Quando as informações pessoais produzidas pelos órgãos ou entidades estiverem vinculadas a tratamento sigiloso previsto em lei, o pedido de fornecimento deverá ser indeferido, mediante justificativa fundamentada.
Seção II - Do Compartilhamento de Dados
Art. 14. O compartilhamento de dados pessoais entre os órgãos e as entidades da Administração Pública do Estado poderá ser realizado, desde que observadas às finalidades específicas para a execução de políticas públicas, previstas em leis ou regulamentos, observados os princípios estabelecidos no art. 6º da Lei Federal nº 13.709, de 2018, ou para cumprimento de determinação legal ou judicial.
§ 1º O controlador que realizou o uso compartilhado de dados, deverá manter o registro destas informações para fins de atendimento ao disposto no inciso VII do artigo 18 da Lei nº 13.709, de 2018.
§ 2º Os dados compartilhados deverão ser mantidos em formato interoperável e estruturado.
§ 3º É vedado ao Poder Público transferir às entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto nos casos previstos no § 1º do art. 26 da Lei nº 13.709, de 2018.
Art. 15. O compartilhamento de dados pessoais entre entes públicos e privados deverá ser informado à Autoridade Nacional de Proteção de Dados - ANPD e dependerá de consentimento do titular, exceto quando:
I - os dados forem acessíveis publicamente, nos termos do inciso I do caput do art. 23 da Lei nº 13.709, de 2018;
II - houver execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
III - houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
IV - a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
V - nas hipóteses legais de dispensa de consentimento.
Parágrafo único. As entidades privadas deverão garantir a segurança dos dados compartilhados, em cumprimento ao disposto na Lei nº 13.709/2018 .
Art. 16. O compartilhamento entre controladores dos órgãos e entidades da Administração Pública do Estado não poderá ser realizado quando envolver dados pessoais sensíveis referentes à área da saúde, exceto quando se tratar de prestação de serviços de saúde, assistência farmacêutica e à saúde, desde que em benefício dos interesses dos titulares de dados, observado o disposto no § 5º do artigo 11 da Lei Federal nº 13.709, de 2018.
CAPÍTULO IV - DAS DISPOSIÇÕES FINAIS
Art. 17. A Controladoria-Geral do Estado - CGE, por meio da sua unidade de operação Observatório da Despesa Pública (ODP), terá acesso aos dados pessoais disponíveis nos demais órgãos e entidades do Poder Público do Estado, comunicadas as respectivas autoridades máximas destes, através dos operadores, para o exclusivo cumprimento das finalidades previstas no artigo 1º do Decreto nº 4.334, de 08 de junho de 2016. (Redação do artigo dada pelo Decreto Nº 9185 DE 26/10/2021).
Nota: Redação Anterior:Art. 17. A Controladoria-Geral do Estado - CGE, por meio da sua unidade de operação Observatório da Despesa Pública (ODP), terá acesso aos dados pessoais disponíveis nos demais órgãos e entidades do Poder Público do Estado, comunicado o respectivo controlador, através do operador, para o exclusivo cumprimento das finalidades previstas no artigo 1º do Decreto nº 4.334, de 08 de junho de 2016.
Parágrafo único. Os órgãos e entidades do Poder Público Estadual somente poderão acessar os dados pessoais disponíveis em outros órgãos ou entidades estatais, mediante autorização da Controladoria Geral do Estado, observado o disposto no artigo 15 deste Decreto.
Art. 18. Este Decreto entra em vigor na data de sua publicação.
Curitiba, em 14 de dezembro de 2020, 199º da Independência e 132º da República.
CARLOS MASSA RATINHO JUNIOR
Governador do Estado
GUTO SILVA
Chefe da Casa Civil
RAUL CLEI COCCARO SIQUEIRA
Controlador-Geral do Estado
LETICIA FERREIRA DA SILVA
Procuradora-Geral do Estado