Portaria DETRAN/RS nº 286 DE 04/10/2021

Norma Estadual - Rio Grande do Sul - Publicado no DOE em 13 out 2021

Dispõe sobre a política interna de privacidade e proteção de dados e sobre avisos de privacidade aos usuários externos, em conformidade com a Lei Federal nº 13.709, de 14 agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), c/c Decreto nº 55.647 , de 14 de dezembro de 2020 e art. 4 , § 2º, I e II, do Decreto nº 55.987 , de 7 de julho de 2021.

O Diretor-Geral do Departamento Estadual de Trânsito do Estado do Rio Grande do Sul - DETRAN/RS, no uso da atribuição que lhe confere o art. 6º da Lei Estadual nº 10.847, combinado com o art. 5º da Lei Estadual nº 14.479; e

Considerando o disposto no art. 4 , § 2º, I e II, do Decreto nº 55.987 , de 7 de julho de 2021, que institui a Política Estadual de Proteção de Dados Pessoais do Poder Executivo Estadual, em conformidade com a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD.;

Considerando os princípios da finalidade, adequação, necessidade, livre acesso, transparência, segurança, responsabilização, qualidade, prevenção e não discriminação exigidos para o tratamento de dados pessoais pela LGPD;

Considerando os atos inerentes às boas práticas de governança em proteção e privacidade de dados pessoais;

Considerando o dever de institucionalizar a cultura de privacidade e proteção de dados pessoais;

Considerando a constituição da versão preliminar do Programa em Privacidade e Proteção de Dados-PGP em atenção ao art. 50 da LGPD;

Considerando o contido no expediente PROA nº 21/1244- 0011508-3,

Resolve:

Art. 1º O tratamento de dados pessoais no DETRAN/RS terá os seguintes agentes de tratamento:

a) controlador de dados pessoais: DETRAN/RS;

b) operador de dados pessoais: credenciado, cadastrado, contratado ou terceirizado vinculados ao DETRAN/RS;

c) representante do controlador: servidor público efetivo, servidor público emergencial e estagiário do DETRAN/RS.

§ 1º Dado pessoal é qualquer informação de pessoa identificada ou identificável e tratamento de dados pessoais é qualquer atividade desde a mera consulta de dados pessoais.

§ 2º O operador e o representante do controlador deve ter como regra a privacidade e a proteção dos dados e observar os princípios da finalidade, adequação, necessidade, livre acesso, transparência, segurança, responsabilização, qualidade, prevenção e não discriminação no tratamento de dados pessoais, conforme previsto nesta Portaria.

§ 3º O tratamento de dados pessoais deve obedecer a LGPD e as regras estabelecidas nesta política de privacidade e informações aos usuários dos serviços do DETRAN/RS.

Art. 2º Ao operador e ao representante do controlador é vedado realizar qualquer coleta e tratamento de dados pessoais de usuários dos serviços públicos do DETRAN/RS além do limite necessário e adequado à finalidade prevista na legislação de trânsito.

Art. 3º Fica expressamente proibida, sob qualquer pretexto, a mera consulta a dados pessoais dos usuários dos serviços do DETRAN/RS,salvo para atendimento de finalidade prevista em Lei.

§ 1º A Divisão de Tecnologia da Informação do DETRAN/RS deve manter registros de log e auditoria de sistemas de modo a permitir correta identificação de consultas e demais atos praticados em todos os sistemas da Autarquia.

§ 2º Em nenhuma hipótese, a senha pessoal do operador de tratamento ou do representante do controlador do DETRAN/RS poderá ser utilizada para interesse pessoal, de amigos, de conhecidos ou de familiares.

Art. 4º Os dados pessoais dos usuários dos serviços de trânsito são coletados nos Centros de Formação de Condutores - CFCs e nos Centros de Registro de Veículos Automotores - CRVAs e armazenados nos respectivos sistemas nacionais de trânsito - Registro Nacional de Condutores Habilitados- RENACH e Registro Nacional de Veículos Automotores- RENAVAM.

Art. 5º Os dados pessoais coletados por força de convênios ou por obrigação legal, são compartilhados com outros órgãos públicos como Secretaria da Segurança Pública - SSP, Ministério Público - MP, Poder Judiciário, Secretaria Estadual da Fazenda - SEFAZ, Procuradoria-Geral do Estado - PGE e com os demais órgãos do Sistema Nacional de Trânsito- SNT, além do Sistema Nacional de Gravames - SNG, cabendo a todos zelar pela proteção e privacidade dos dados pessoais compartilhados, nos termos da Lei Federal nº 13.709/2018.

Art. 6º Os sistema informatizados da Autarquia devem captar e coletar o mínimo de dados necessários e imprescindíveis para o cumprimento da finalidade e adequados ao atendimento das orientações e preceitos legais, garantindo aos usuários o princípio da necessidade na coleta de dados pessoais.

Art. 7º Na presença de dados pessoais sensíveis, o mapeamento dos processos, das pessoas e dos sistemas envolvidos deve ser constante no sentido de evitar e eliminar qualquer possibilidade de violação à privacidade e proteção de dados.

Parágrafo único. Nos exames de aptidão física e mental e avaliação psicológica em processos de habilitação de condutores, as regras éticas de sigilo de dados próprias das carreiras profissionais dos médicos e psicólogos devem ser garantia de preservação à integridade fiel dos dados quanto à proteção e privacidade.

Art. 8º A rede de atendimento do DETRAN/RS e de seus credenciados possui canais diretos de auxílio para correção, eliminação e adequação de dados pessoais, ficando garantido o livre acesso a todos os usuários dos serviços do DETRAN/RS, seja na modalidade eletrônica ou presencial.

Art. 9º A Divisão de Tecnologia de Informação do DETRAN/RS deve manter plano atualizado de resposta a incidentes de violação à segurança dos dados pessoais, mantendo mapeamento de riscos e exigindo das empresas contratadas para fornecimento de soluções informatizadas, modernas praticas de governança em privacidade e proteção de dados, garantindo aos usuários dos serviços a qualidade e segurança dos seus dados pessoais.

Parágrafo único. Todo sistema informatizado desenvolvido deve observar, de forma prévia, o relatório de impacto à proteção de dados - RIPD.

Art. 10. A coleta de dados pessoais no DETRAN/RS observará a não discriminação e a responsabilização em caso de acesso não autorizado a dados pessoais.

Art. 11. A Corregedoria-Geral do DETRAN/RS deve adotar as providências de sua competência a operadores credenciados, em caso de desrespeito a esta Portaria e acessos não autorizados a dados de usuários dos serviços do DETRAN/RS, na forma disciplinada.

Art. 12. A Divisão de Recursos Humanos do DETRAN/RS deve garantir ciência e treinamento específico aos estagiários da Autarquia quanto às regras de privacidade e proteção de dados da LGPD, dos Decretos Estaduais e desta Portaria, bem como realizar treinamentos atualizados aos servidores efetivos e emergenciais quanto às diretrizes de privacidade dos dados pessoais e os princípios inerentes ao tratamento de dados.

Art. 13. O DETRAN/RS, através de seu quadro administrativo e técnico deve repassar aos credenciados, contratados ou terceirizados as informações necessárias ao cumprimento das regras de privacidade e proteção de dados de que trata essa Portaria.

Art. 14. Todas as Divisões do DETRAN/RS devem manter atualizado seu inventário de dados pessoais - IDP e sempre que verificar necessidade, elaborar relatório de impacto à privacidade de dados - RIPD, além de manter constante avaliação de processos, pessoas e sistemas quanto à riscos à privacidade e proteção de dados pessoais, submetendo ao encarregado pelo tratamento de dados pessoais o IDP e o RIDP para avaliação e encaminhamento à Direção-Geral e submissão à ANPD, se for o caso.

Art. 15. O DETRAN/RS tem o encarregado de tratamento de dados pessoais informado no site da Autarquia, para receber reclamações quanto à violação de proteção à privacidade de dados pessoais.

Art. 16. Esta Portaria a entra em vigor na data de sua publicação.

Enio Bacci.