Resolução SEFIN/ASCOINT nº 1 DE 21/05/2021

Norma Estadual - Rondônia - Publicado no DOE em 21 mai 2021

Aprova a Política de Privacidade e Proteção de Dados Pessoais a ser observada no âmbito do Secretaria de Finanças do Estado de Rondônia.

O Secretário de Estado de Finanças, no uso de suas atribuições legais,

Considerando a publicação da Lei nº 13.709 , de 14 de agosto de 2018, que instituiu a Lei Geral de Proteção de Dados - LGPD, dispondo sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural;

Considerando a publicação da Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112 , de 11 de dezembro de 1990; revoga a Lei nº 11.111 , de 5 de maio de 2005, e dispositivos da Lei nº 8.159 , de 8 de janeiro de 1991; e dá outras providências;

Considerando a publicação da Lei nº 13.460 , de 26 de julho de 2017, que dispõe sobre participação, proteção e defesa dos direitos do usuário dos serviços públicos da administração pública direta e indireta da União, dos Estados, do Distrito Federal e dos Municípios, nos termos do inciso inciso I do § 3º do art. 37 da Constituição Federal;

Considerando a publicação da Portaria 334, de 13 de maio de 2021, que instituiu a Comissão Multidisciplinar de Implementação, Adequação e Instrumentalização da Lei Geral de Proteção de Dados, no âmbito da Secretaria de Finanças do Estado de Rondônia;

Considerando o teor do Processo SEI nº 0030.205209/2021-43,

Resolve:

Art. 1º Fica instituída a Política de Privacidade e Proteção de Dados Pessoais no âmbito da Secretaria de Finanças do Estado de Rondônia - SEFIN/RO, com os seguintes objetivos:

I - atender às normas de proteção de dados pessoais, à inviolabilidade de dados institucionais e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição Federal , no Código Tributário Nacional e na Lei Federal 13.709/2018;

II - adotar a Política de Proteção de Dados Pessoais como diretriz de programas e ações da secretaria, provendo os meios e recursos necessários ao seu desenvolvimento;

III - proteger dados pessoais em conformidade com as exigências da Lei Federal 13.709/2018;

IV - dotar esta política de uma gestão formal, baseada em processos, ferramentas e controles recomendados nas normas atualizadas relacionadas à proteção de dados pessoais;

V - criar, desenvolver e manter cultura organizacional de proteção de dados pessoais;

VI - promover a conscientização em toda a estrutura da SEFIN/RO em relação à obrigatoriedade de proteção de dados pessoais;

VII - dotar gradualmente as unidades da SEFIN/RO de instrumentos jurídicos, normativos e organizacionais, que os capacitem técnica e administrativamente a assegurar, em relação a dados digitais, a disponibilidade, confidencialidade, a integridade, a autenticidade e o não repúdio, em especial quanto a dados pessoais;

VIII - adequar, gradualmente e na medida do possível, os sistemas, equipamentos, dispositivos e atividades aos requisitos legais de segurança da informação e proteção de dados pessoais;

IX - promover a capacitação de recursos humanos para o desenvolvimento de competências técnica e administrativa em proteção de dados pessoais;

X - estabelecer normas necessárias à efetiva implementação dos controles técnicos e administrativos adequados à proteção dos dados pessoais;

XI - promover ações necessárias à implementação e manutenção da proteção de dados pessoais; e

XII - promover intercâmbio técnico-administrativo entre a SEFIN/RO e as instituições públicas e privadas, sobre as atividades de proteção de dados pessoais.

Art. 2º A Política de Privacidade e Proteção de Dados Pessoais estabelece normas para nortear o tratamento de dados pessoais que estejam em meio físico ou digital na SEFIN/RO, a fim de garantir a proteção da privacidade de seus titulares, bem como define papéis e diretrizes iniciais para obtenção da gradual conformidade ao previsto na Lei nº 13.709 , de 14 de agosto de 2018 - LGPD.

Parágrafo único. Esta Política será administrada pelo Secretário de Finanças com apoio da Comissão Multidisciplinar de Implementação, Adequação e Instrumentalização da LGPD da SEFIN/RO, instituída pela Portaria 334, de 13 de maio de 2021.

Seção I - Dos Conceitos

Art. 3º Para o disposto nesta Resolução, considera-se:

I - política: definição de determinado objetivo da instituição e dos meios para atingi-lo;

II - princípio: norteamento para a atuação de gestores, comissionados, servidores, estagiários, terceirizados e de todos os que estabeleçam relação com a SEFIN/RO;

III - privacidade: esfera íntima ou particular do indivíduo;

IV - pessoa física: pessoa natural ou física;

V - titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento;

VI - dado pessoal: informação relativa à pessoa física identificada ou identificável, ou seja, qualquer informação que permita identificar, direta ou indiretamente um indivíduo;

VII - dado pessoal sensível: dado pessoal que revela informações pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou a organização de caráter religioso, filosófico ou político, bem como dados referentes à saúde ou a vida sexual, dado genético ou biométrico;

VIII - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

IX - tratamento dos dados: toda operação realizada com dados pessoais, como aquelas relacionadas a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

X - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XI - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independente do procedimento empregado;

XII - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete definir todas as ações relativas ao tratamento dos dados pessoais;

XIII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais;

XIV - agentes de tratamento: o controlador e o operador;

XV - encarregado: pessoa física ou jurídica, indicada pelo controlador, para atuar como canal de comunicação entre os titulares dos dados, a Autoridade Nacional de Proteção de Dados e o controlador;

XVI - Autoridade Nacional de Proteção de Dados - ANPD: órgão vinculado à Presidência da República, a qual caberá, dentre outras atribuições, zelar, implementar, fiscalizar a aplicação da Lei nº 13.709/2018 - LGPD em todo território nacional, e aplicar sanções em caso de descumprimento de suas determinações;

XVII - segurança da informação: proteção à disponibilidade, confidencialidade e integridade de sistemas de informação; proteção às áreas e instalações que abrigam artefatos de comunicações e computação; e proteção às áreas destinadas a prevenir, detectar, deter e documentar eventuais ameaças à operação dos sistemas;

XVIII - confidencialidade: princípio de segurança que visa à garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;

XIX - integridade: princípio de segurança que visa à salvaguarda da exatidão e confiabilidade da informação e dos métodos de processamento;

XX - disponibilidade: princípio de segurança que visa à garantia de que pessoas autorizadas obtenham acesso à informação e aos recursos correspondentes, sempre que necessário;

XXI - análise de risco: avaliação das ameaças, impactos e vulnerabilidades a base de dados pessoais e da probabilidade de sua ocorrência; e

XXII - ativo tecnológico: bem dotado de expressão financeira que processa ou armazena dados, podendo ser material, como computadores, dispositivos de armazenamento e comutação de dados; ou imaterial, como sistemas de informação, direitos de licença de software, dados sensíveis ou protegidos pelo sigilo fiscal, entre outros.

Seção II - Dos Princípios

Art. 4º Deverão ser observados os seguintes princípios na atividade de tratamento de dados pessoais:

I - boa-fé: convicção de agir com correção e em conformidade com o direito;

II - finalidade: a realização do tratamento dos dados deve possuir propósitos legítimos, específicos, explícitos e informados ao titular dos dados;

III - adequação: o tratamento dos dados deve ser compatível com a finalidade pela qual são tratados;

IV - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, considerados apenas os dados pertinentes, proporcionais e não excessivos;

V - livre acesso: garantia aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados pessoais, bem como sobre a integralidade deles;

VI - qualidade dos dados: garantia aos titulares, de exatidão, clareza, relevância e atualização dos dados de acordo com a necessidade e para o cumprimento da finalidade do seu respectivo tratamento;

VII - transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados pessoais e sobre os respectivos agentes de tratamento;

VIII - segurança e prevenção: utilização de medidas técnicas e administrativas que garantam a proteção dos dados pessoais de acessos não autorizados e a prevenção da ocorrência de danos em situações acidentais ou ilícitas que gerem destruição, perda, alteração, comunicação ou difusão desses dados;

IX - não discriminação: vedação da realização do tratamento de dados para fins discriminatórios, ilícitos ou abusivos; e

X - responsabilização e prestação de contas: demonstração de que os agentes de tratamento da instituição são responsáveis por este e adotam medidas eficazes para o cumprimento das normas de proteção dos dados pessoais.

Seção III - Dos Agentes de Tratamento de Dados Pessoais

Art. 5º A Secretaria de Finanças do Estado de Rondônia - SEFIN/RO é o Controlador, nos termos da LGPD, em relação aos tratamentos de dados pessoais realizados em seu âmbito ou em nome desta, representada pelo titular da pasta, autoridade imbuída de adotar as decisões acerca do tratamento de dados.

Parágrafo único. As unidades organizacionais da secretaria prestarão informações e assessoria técnica nos assuntos de suas competências, em caráter prioritário, à Comissão Multidisciplinar de Implementação, Adequação e Instrumentalização da LGPD da SEFIN/RO.

Art. 6º Os operadores são os gerentes, coordenadores, diretores, superintendentes, assessores, servidores e quaisquer outros colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com a SEFIN/RO, ou seja, todos aqueles que realizam o tratamento de dados pessoais na SEFIN/RO e em nome desta.

Art. 7º Compete ao Controlador:

I - designar o Encarregado pelas informações relativas aos dados pessoais e seus suplentes;

II - fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, com o apoio da Comissão Multidisciplinar de Implementação, Adequação e Instrumentalização da LGPD da SEFIN/RO, dentre as quais:

a) o modo como serão tratados os dados pessoais na SEFIN/RO, a fim de que os respectivos processos sejam auditáveis;

b) a aplicação da metodologia de gestão de riscos no tratamento de dados; e

c) a aplicação de metodologias de segurança da informação.

III - implementar programas destinados à conscientização e à capacitação dos recursos humanos que serão utilizados na consecução dos objetivos de que trata o art. 1º, visando garantir a adequada articulação entre os órgãos e as entidades da Administração Pública, com o apoio da Comissão Multidisciplinar de Implementação, Adequação e Instrumentalização da LGPD da SEFIN/RO;

IV - estabelecer programas destinados à formação e ao aprimoramento dos recursos humanos em proteção de dados pessoais e determinar a capacitação dos operadores, para que atuem com responsabilidade, critério e ética;

V - determinar a observância das instruções e das normas sobre a matéria na instituição;

VI - comunicar à Autoridade Nacional e ao titular dos dados, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular;

VII - incentivar a disseminação da cultura da privacidade de dados pessoais na SEFIN/RO;

VIII - acompanhar a evolução das atividades inerentes à proteção de dados pessoais, com o apoio da Comissão Multidisciplinar de Implementação, Adequação e Instrumentalização da LGPD da SEFIN/RO; e

IX - determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas.

Art. 8º Compete aos operadores em todos os níveis:

I - documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais;

II - proteger a privacidade dos dados pessoais desde seu ingresso na instituição;

III - descrever os tipos de dados coletados;

IV - utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;

V - manter controles internos em suas atividades, a fim de assegurar a conformidade com a LGPD;

VI - realizar o mapeamento dos dados pessoais e sensíveis utilizados nos processos de tratamento sob sua responsabilidade, em caráter prioritário, em conformidade com as orientações do controlador e da Comissão Multidisciplinar de Implementação, Adequação e Instrumentalização da LGPD da SEFIN/RO; e

VII - capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.

Seção IV - Dos Direitos dos Titulares dos Dados Pessoais

Art. 9º Para obtenção dos direitos assegurados aos titulares de dados que, nos termos das disposições do Capítulo III da Lei nº 13.709/2018 - LGPD, são condicionados a requisição, deverá o titular do dado formalizar sua demanda à SEFIN/RO por intermédio da plataforma Fala.BR Rondônia, meio de comunicação eletrônico seguro e idôneo para este fim.

Seção V - Da Gestão da Tecnologia e Segurança da Informação e Das Boas Práticas de Segurança e Governança de TI

Art. 10. A gestão de segurança da informação, em especial relacionada à proteção de dados pessoais digitais, compete à Gerência de Tecnologia da Informação e Comunicação - GETIC/SEFIN-RO, e será exercida mediante:

I - normas que regulem as responsabilidades de usuários, prestadores de serviços e estagiários, relativamente ao uso da tecnologia da informação dentro das instalações da Secretaria;

II - mecanismos de segurança para controlar o acesso aos ambientes físicos administrados pela SEFIN/RO que abriguem equipamentos ou informações sensíveis digitais;

III - procedimentos que tornem computadores e redes mais resistentes às ameaças de intrusão, vírus e ameaças tecnológicas;

IV - gestão de operações e comunicações, dotada de normas e procedimentos para a documentação e segregação de funções no ambiente informatizado, em especial quanto a:

a) gerenciamento de serviços terceirizados de TI;

b) cópias de segurança;

c) segurança em rede; e

d) monitoramento do ambiente informatizado;

V - controles de acesso para normatizar e regular o acesso do usuário aos sistemas informatizados, às redes da organização, aos sistemas operacionais, às aplicações e à informação, bem como à computação móvel e ao teletrabalho;

VI - normas e procedimentos para aquisição, desenvolvimento e manutenção de sistemas de informação, inclusive definição de requisito para a respectiva segurança, bem como para o processamento correto de aplicações, controles criptográficos, segurança de arquivos dos sistemas, segurança em processo de desenvolvimento e suporte, além de gestão de vulnerabilidades técnicas;

VII - desenvolvimento e adoção de sistema de classificação de dados e informações, visando à garantia dos níveis de segurança desejados, assim como à normatização do acesso às informações;

VIII - Sistema de Tratamento de Incidentes, sob a responsabilidade das equipes competentes da GETIC, que receba, processe e resolva incidentes de mau funcionamento de ativos tecnológicos da SEFIN/RO;

IX - Gestão da Continuidade do Negócio, que assegure a operação e a recuperação de ativos de informação, relacionados a dados digitais, em situações de emergência, de acordo com as necessidades e prazos específicos; e

X - Auditoria de Sistemas, que identifique violações a dispositivos legais, regulamentos ou obrigações contratuais, cujo objeto envolva o uso ou operação de ativos tecnológicos.

Art. 11. A SEFIN/RO, dispondo desta Política de Privacidade e Proteção de Dados Pessoais, e atuando em conjunto com os operadores, deve empreender esforços para adoção gradual de medidas de segurança, técnicas e administrativas, aptas à proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Parágrafo único. Embora a SEFIN/RO siga padrões e critérios nacionais e internacionais amplamente aceitos, tal precaução não implica em garantia contra a possibilidade de incidentes de segurança ou violação da proteção de dados pessoais, haja vista, sobretudo, a contínua diversificação dos riscos cibernéticos.

Art. 12. A SEFIN/RO deverá se empenhar na adoção de boas práticas de segurança e governança capazes de inspirar comportamentos adequados e de mitigar os riscos do comprometimento de dados pessoais.

Parágrafo único. As boas práticas adotadas de proteção de dados e governança inseridas deverão ser objeto de campanhas informativas na esfera da SEFIN/RO, em seu sítio eletrônico, Sistema SEI e SUPERATIVO SEFIN, com vistas a disseminar no seu âmbito uma cultura protetiva, com conscientização e sensibilização dos interessados.

Art. 13. Poderão ser editados, ainda, pela SEFIN/RO, outros atos com regras de boas práticas de segurança e governança que estabeleçam as condições de organização, regime de funcionamento, procedimento, padrões técnicos, normas de segurança, ações educativas, obrigações e competências dos envolvidos no tratamento, mecanismos internos de supervisão e de diminuição dos riscos relacionados ao tratamento de dados pessoais.

Seção VI - Do Tratamento e Mapeamento de Dados

Art. 14. O tratamento de dados pessoais pela SEFIN/RO será realizado para atendimento da finalidade pública, na persecução do interesse público, com o escopo de executar suas competências legais e de exercer as atribuições do serviço público.

Art. 15. A SEFIN/RO realizará o tratamento de dados pessoais desde que estritamente necessários e imprescindíveis à garantia do interesse público, à execução das suas funções e ao cumprimento legal, observando os requisitos dispostos no Capítulo II da Lei nº 13.709/2018 - LGPD.

Art. 16. As atividades de mapeamento são de responsabilidade das unidades administrativas da SEFIN/RO, sob a coordenação da Comissão Multidisciplinar de Implementação, Adequação e Instrumentalização da LGPD da SEFIN/RO, as quais detalharão no mínimo as seguintes informações:

I - descrição dos tipos de dados coletados;

II - metodologia utilizada para a coleta;

III - descrição do tratamento dos dados, identificando forma e duração;

IV - finalidade específica e hipóteses que fundamentam a realização do tratamento de dados pessoais na SEFIN/RO;

V - possibilidade de compartilhamento de informações com terceiros;

VI - metodologia utilizada para a garantia da segurança das informações, com avaliação das medidas, salvaguardas e mecanismos de mitigação de risco adotados;

VII - responsabilidades dos operadores envolvidos no tratamento; e

VIII - direitos do titular, com menção expressa ao art. 18 da LGPD- Dos Direitos do Titular dos Dados.

Seção VII - Do Término do Tratamento de Dados Pessoais

Art. 17. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

I - quando for verificado que a finalidade da coleta foi alcançada ou que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II - no fim do período de tratamento;

III - por comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou

IV - por determinação da autoridade nacional, quando houver violação ao disposto na LGPD.

Art. 18. Após o término do tratamento dos dados, estes serão eliminados, no âmbito e nos limites técnicos das atividades, autorizada a conservação dos dados para as seguintes finalidades:

I - cumprimento de obrigação legal ou regulatória pela SEFIN/RO, em especial os guardados de sigilo fiscal e os relacionados a despesas públicas;

II - estudo por órgão de pesquisa;

III - transferência a terceiros, desde que respeitados os requisitos de tratamento de dados; ou

IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Seção VIII - Da Transferência Internacional de Dados

Art. 19. A transferência internacional de dados coletados no âmbito da SEFIN/RO observará as previsões legais e se orientará pelas disposições da Lei nº 13.709 , de 14 de agosto de 2018 - LGPD, e alterações posteriores.

Seção IX - Da Privacidade de Dados e o Portal da SEFIN/RO

Art. 20. A SEFIN/RO poderá armazenar dados em caráter temporário, para geração de informações estatísticas de visitação no seu portal institucional e aperfeiçoamento da experiência do usuário na utilização de serviços online.

Seção X - Do Contato dos Titulares de Dados

Art. 21. Fica estabelecida a plataforma Fala.BR Rondônia, administrada pela Ouvidoria Geral do Estado de Rondônia, como meio de comunicação para registro de solicitações relacionadas a dados pessoais tratados na SEFIN/RO.

Seção XI - Das Alterações à Presente Política de Privacidade e Proteção de Dados

Art. 22. Esta Política deverá ser revisada e aperfeiçoada permanentemente, conforme sejam implementados os respectivos programas e constatada a necessidade de novas previsões para conformidade da SEFIN/RO à LGPD.

Art. 23. As alterações devem ser submetidas e aprovadas pela Comissão Multidisciplinar de Implementação, Adequação e Instrumentalização da LGPD da SEFIN/RO, e posteriormente submetidas à aprovação do titular da pasta.

Seção XII - Das Disposições Finais

Art. 24. As informações protegidas por sigilo, em especial o fiscal, continuam resguardadas pelos atos normativos a elas relacionados.

Art. 25. As omissões deste ato normativo serão dirimidas pelo Secretário de Estado de Finanças, que poderá propor instruções para o completo cumprimento das disposições desta Política.

Art. 26. Os direitos e princípios salvaguardados pela Lei nº 13.709/2018 e por esta Política de Privacidade e Proteção de Dados Pessoais não excluem outros previstos no ordenamento jurídico pátrio.

Art. 27. Esta Resolução entra em vigor na data de sua publicação.

LUÍS FERNANDO PEREIRA DA SILVA

Secretário de Finanças do Estado de Rondônia