Portaria SEFAZ nº 20 DE 20/12/2022
Norma Estadual - Piauí - Publicado no DOE em 20 dez 2022
Dispõe sobre a Política de Proteção de Dados Pessoais - PPDP no âmbito da Secretaria da Fazenda do Estado do Piauí - SEFAZ-PI.
O Secretário da Fazenda do Estado do Piauí, no uso de suas atribuições legais,
Resolve:
CAPÍTULO I - DAS DISPOSIÇÕES PRELIMINARES
Art. 1º A Política de Proteção de dados Pessoais - PPDP e suas eventuais normas complementares aplicam-se a todos os setores da Secretaria da Fazenda do Estado do Piauí - SEFAZ-PI, abrangendo os servidores, prestadores de serviço, colaboradores, estagiários, consultores externos e quem, de alguma forma, desempenhe atividade de tratamento de dados pessoais, bem como aqueles que realizem tratamento de dado pessoal em nome da SEFAZ-PI.
Art. 2º A Segurança da Informação abrange, dentre outros aspectos:
1. disponibilidade, integridade, confidencialidade, autenticidade, responsabilidade, confiabilidade e não repúdio aplicado aos dados e sistemas;
2. uso de contas, senhas e rede, acesso à Internet, mensagens eletrônicas, acesso remoto;
3. instalação e remoção de software, cópias de segurança e alienação do equipamento.
Art. 3º A responsabilidade da SEFAZ-PI pelo tratamento de dados pessoais está circunscrita ao dever de se ater ao exercício de sua competência legal e institucional e de empregar boas práticas de governança e de segurança.
CAPÍTULO II - DOS OBJETIVOS
Art. 4º A PPDP visa estabelecer, em conformidade com a Política de Segurança da Informação e Comunicação do Estado do Piauí (POSIC-ATI) princípios, diretrizes e responsabilidades mínimas a serem observados e seguidos, bem como uniformizar os procedimentos no que concerne à Proteção de Dados Pessoais (PPDP) da SEFAZ-PI.
Art. 5º Os objetivos específicos dessa PPDP são:
1. adequar as atividades desenvolvidas por esta Secretaria no âmbito da Lei nº 13.709 , de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais-LGPD e regulamentos emitidos pela Autoridade Nacional de Proteção de Dados - ANPD, em consonância com os objetivos estratégicos.
2. produzir informações íntegras, confiáveis e completas das demandas dos titulares dos dados pessoais;
3. salvaguardar o direito à proteção dos dados pessoais dos titulares;
4. possibilitar a adequada apuração dos responsáveis, em todos os níveis, que tenham acesso inadequado aos dados pessoais, em especial, àqueles considerados sensíveis;
5. mitigar os riscos relacionados aos incidentes envolvendo dados pessoais, mediante a implantação de medidas de controle de segurança da informação.
CAPÍTULO III - DOS PRINCÍPIOS
Art. 6º As atividades de proteção de dados pessoais no âmbito da SEFAZ-PI, bem como seus instrumentos resultantes, serão orientados pelos princípios definidos na POSIC da ATI-PI além dos a seguir relacionados:
1. aderência à integridade e aos valores éticos no tratamento de dados pessoais;
2. disseminação de informações necessárias ao fortalecimento da cultura do tratamento de dados pessoais em respeito à LGPD;
3. realização de avaliações periódicas internas para verificar a eficácia da proteção de dados pessoais;
4. aderência dos métodos e modelos de tratamento de dados às exigências regulatórias da LGPD.
CAPÍTULO IV - DO ESCOPO DE APLICAÇÃO
Art. 7º A PPDP da SEFAZ-PI tem aplicabilidade imediata e indistinta, a partir da sua publicação, a todas as áreas, equipamentos, materiais, documentos, pessoas e sistemas de informação existentes na SEFAZ-PI, como também às atividades de todos os servidores, colaboradores, consultores externos, estagiários e prestadores de serviço, seja qual for o vínculo que possuam ou as atividades que exercem para a SEFAZ-PI ou a quem quer que venha a ter acesso a dados ou informações, incumbindo a cada um a responsabilidade e o comprometimento no seu tratamento e aplicação.
CAPÍTULO V - DAS DIRETRIZES
Seção I - Tratamento dos dados pessoais
Art. 8º Os dados pessoais serão tratados de forma lícita e transparente, sempre para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
Art. 9º Os dados serão mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
Art. 10. O uso compartilhado de dados pessoais pelo Poder Público atenderá às finalidades específicas de execução de políticas públicas e à atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais dispostos na LGPD.
Parágrafo único. nas trocas de informações, será observada a restrição de acesso a informações sigilosas.
Art. 11. Os dados pessoais tratados pela SEFAZ-PI serão:
1. protegidos por procedimentos internos para registrar autorizações e utilizações;
2. mantidos disponíveis, íntegros e atualizados;
3. retificados ou eliminados mediante informação ou constatação de impropriedade ou em face de solicitação de remoção;
4. neutralizados ou descartados observando as condições de viabilidade de realização e a tabela de temporalidade de retenção de dados;
5. compartilhados somente para o exercício das funções institucionais ou para atendimento de políticas públicas aplicáveis;
6. revistos em periodicidade anual, sendo eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.
Art. 12. Os serviços corporativos de correio eletrônico, mídias sociais, mensagens instantâneas, Intranet e Internet terão seu uso orientado para o interesse do Estado do Piauí.
Art. 13. O uso dos serviços de Internet e de mensagem estarão em conformidade com a Política de Privacidade da SEFAZ-PI.
Art. 14. 0 usuário respeitará toda a conduta de uso de mensagens eletrônicas e de acesso à internet e à intranet.
Seção II - Auditoria e Conformidade
Art. 15. Serão realizadas auditorias a fim de:
1. proceder ao exame sistemático do grau de atendimento dos requisitos relativos à segurança dos dados pessoais com as legislações e normas vigentes;
2. fortalecer a integridade institucional, a partir do diagnóstico de vulnerabilidades na segurança dos dados pessoais;
Seção III - Backup
Art. 16. O backup dos sistemas governamentais será controlado pela Diretor da Unidade de Tecnologia e Segurança da Informação-UNITEC, e concedido somente a pessoas identificadas e autorizadas.
§ 1º As cópias de segurança serão testadas e avaliadas.
§ 2º A UNITEC manterá relatórios de logs dos backups realizados.
Seção IV - Capacitação e Certificação
Art. 19. Servidores e colaboradores da SEFAZ-PI serão treinados e certificados, desde a fase de admissão, nos procedimentos e no uso correto das informações e ativos sob sua responsabilidade, a fim de minimizar possíveis riscos de segurança.
Art. 20. A SEFAZ-PI assegurará a capacitação adequada do Encarregado e da sua equipe de apoio e dos agentes de tratamento.
Seção V - Desenvolvimento Seguro de Sistemas
Art. 21. Os processos de desenvolvimento de Sistemas de Informação observarão as melhores práticas e padrões de desenvolvimento seguro, desde a fase do planejamento, visando à Privacidade e Gestão de Riscos de Segurança da Informação e Comunicação.
Seção VI - Gestão de Riscos
Art. 22. A SEFAZ-PI estabelecerá o processo de Gestão de Riscos de Segurança de Dados Pessoais que abordará:
1. a definição do contexto para identificação dos riscos;
2. a análise e avaliação dos riscos; o tratamento, aceitação e comunicação às partes interessadas; além da realização contínua do monitoramento e da análise crítica dos riscos.
Seção VII - Tratamento de Incidentes
Art. 23. É dever dos Gestores, Servidores Públicos, Colaboradores, Prestadores de Serviços e Parceiros da SEFAZ-PI reportar imediatamente eventos ou incidentes de segurança da informação ao Comitê Técnico da LGPD da SEFAZ-PI.
Parágrafo único. os incidentes de segurança, relativos a dados pessoais, serão registrados, avaliados e tratados.
Art. 24. A SEFAZ-PI, através do Encarregado, estabelecerá contato com autoridades legais, organismos reguladores e provedores de serviço de informação, a fim de garantir que ações adequadas e apoio especializado possam ser rapidamente acionados na ocorrência de incidentes de segurança da informação.
Parágrafo único. a comunicação de incidentes será pautada pela tempestividade, implementação de melhorias de segurança e obtenção de informações sobre as origens da vulnerabilidade.
CAPÍTULO VI - DAS RESPONSABILIDADES E DAS COMPETÊNCIAS
Art. 25. Os recursos de Tecnologia da Informação e Comunicações são de propriedade da SEFAZ-PI e serão fornecidos para uso corporativo, para os fins a que se destinam e no interesse da administração pública.
Parágrafo único. É considerada imprópria a utilização destes recursos, assim como das informações de propriedade da SEFAZ-PI, para fins não profissionais ou não autorizados, devendo os servidores e colaboradores, quando do conhecimento desta prática, informá-la ao superior imediato, para que sejam aplicadas as ações disciplinares cabíveis.
Art. 26. A violação das normas de Segurança de Dados poderá ensejar a suspensão temporária ou permanente de privilégios de acesso aos recursos computacionais e será apurada em processo administrativo disciplinar, podendo haver responsabilização penal, civil e administrativa, na forma da legislação em vigor.
Art. 27. Os casos omissos desta política serão tratados pelo Comitê Técnico da LGPD.
Seção I - Do Comitê de Segurança
Art. 28. O Comitê Técnico já definido na Portaria SEFAZ-PI/GASEC/SUPAFT/UNAFIN nº 9/2022 assumirá as funções de Segurança de Dados Pessoais no âmbito dessa PPDP, com a responsabilidade de assessorar a implementação das atividades de Segurança de Dados Pessoais na SEFAZ-PI tal como a seguir se descreve:
1. supervisionar a execução, revisar e atualizara PPDP da SEFAZ-PI;
2. disseminar a cultura de Segurança de Dados Pessoais na SEFAZ-PI;
3. analisar e monitorar os incidentes de Segurança de Dados Pessoais;
4. analisar, aprovar, acompanhar e avaliar as principais iniciativas de segurança de dados pessoais nos ambientes de Tecnologias de informação e Comunicação (TIC) da SEFAZ-PI;
5. promover a elaboração, atualização, validação e divulgação das Diretrizes, objetivos estratégicos, ações prioritárias, normas e procedimentos da PPDP da SEFAZ-PI;
6. promover a elaboração e implantação de planos de contingência e recuperação de desastres;
7. propor diretrizes, normas e procedimentos de segurança da informação aplicáveis à SEFAZ-PI;
8. planejar e coordenar a execução dos programas, planos, projetos e ações de segurança;
9. supervisionar, analisar e avaliar a efetividade dos processos, procedimentos, sistemas e dispositivos de segurança da informação;
10. recepcionar, organizar, armazenar e tratar adequadamente as informações de eventos e incidentes de segurança de dados pessoais na SEFAZ-PI, determinando aos respectivos gestores as ações corretivas ou de contingência em cada caso;
11. relatar ao Controlador, para as devidas providências, as ocorrências, eventos e incidentes de segurança da informação, na forma de relatório detalhado e circunstanciado.
Seção II - Do Encarregado de Dados
Art. 29. O Encarregado de dados indicado na portaria SEFAZ-PI/GASEC/SUPAFT/UNAFIN nº 9/2022, será responsável, em conformidade com a LGPD, por:
1. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
2. receber comunicações da autoridade nacional e adotar providências;
3. orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
4. executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Seção III - Dos Diretores de Unidades
Art. 30. Compete aos Diretores das Unidades:
1. disseminar permanentemente a PPDP;
2. garantir o cumprimento da PPDP;
3. solicitar a disponibilidade ou cancelamento dos recursos de informática necessários aos seus subordinados para o bom desempenho de suas funções.
Seção IV - Do Usuário Interno ou Externo
Art. 31. Cabe aos usuários:
1. conhecer e seguir a PPDP;
2. notificar a sua chefia imediata ou a qualquer membro do Comitê Técnico da LGPD, indício ou falha na Segurança da Informação, respondendo por toda atividade consequentemente executada;
3. seguir padrões ou diretrizes para o uso aceitável de ativos organizacionais;
4. observar a boa-fé e os princípios definidos no art. 6º da LGPD.
CAPÍTULO VII - DAS ATUALIZAÇÕES DA PPDP
Art. 32. As atualizações da PPDP serão realizadas pelo Comitê Técnico da LGPD-SEFAZ-PI com periodicidade bianual.
CAPÍTULO VIII - DAS CONSIDERAÇÕES FINAIS
Art. 33. Os casos omissos e eventual procedimento diverso do previsto nesta PPDP serão submetidos à análise do Comitê Técnico da LGPD.
Art. 34. Esta PPDP, bem como os demais documentos que a complementam, encontram-se disponíveis na intranet ou no endereço https://portal.sefaz.pi.gov.br/lgpd/.
Art. 35. Esta PPDP entra em vigor na data de sua publicação.
Publique-se.
Cumpra-se.
ANTONIO LUIZ SOARES DOS SANTOS
Secretário da Fazenda