Information Privacy">
Portaria SCGE #26-2021 - Anexo Único - PPDPL SCGE
Portaria SCGE #26-2021 - Anexo Único - PPDPL SCGE
Portaria SCGE #26-2021 - Anexo Único - PPDPL SCGE
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º A Política de Proteção de Dados Pessoais Local - PPDPL-SCGE tem por finalidade
estabelecer os princípios, diretrizes e responsabilidades mínimas a serem observados e seguidos
para a proteção dos dados pessoais aos planos estratégicos, programas, projetos e processos da
Secretaria da Controladoria-Geral do Estado – SCGE e será composta pelo disposto neste
documento, bem como pelo Plano de Implementação de Controle.
CAPÍTULO II
DOS PRINCÍPIOS E OBJETIVOS
Art. 3º As atividades de proteção de dados pessoais no âmbito da SCGE, bem como seus
instrumentos resultantes, devem se guiar pelos seguintes princípios, além dos previstos no
Decreto Estadual nº 49.265, de 06 de agosto de 2020:
II - produzir informações íntegras, confiáveis e completas das demandas dos titulares do dado;
IV - possibilitar a adequada apuração dos responsáveis, em todos os níveis, que tenham acesso
inadequado aos dados pessoais, em especial, aqueles considerados sensíveis, considerando o
disposto no Decreto Estadual nº 40.271, de 09 de janeiro de 2014 (Código de Ética da SCGE) e a
Lei Estadual nº 6.123, de 20 de julho de 1968 (Estatuto do Servidor Público Estadual);
CAPÍTULO III
DAS DIRETRIZES
III – a capacitação adequada do encarregado e sua equipe de apoio e dos agentes de tratamento;
II – Processos relevantes: serão avaliados no ano subsequente e reavaliados a cada três anos;
III – Processos não-prioritários: serão avaliados em dois anos e reavaliados a cada quatro anos.
CAPÍTULO IV
DOS INSTRUMENTOS
II - a metodologia: o modelo de gestão de riscos da Secretaria deve ser estruturado com base do
Committee of Sponsoring Organizations of the Treadway Commission - COSO e nas boas
práticas produzidas pela International Organization for Standardization, em especial, as ISO
31000, 31010, 27001, 27002, 27004, 27005, 27701, 29100;
V - a solução tecnológica: o processo de gestão de riscos deve ser apoiado por adequado suporte
de tecnologia da informação.
CAPÍTULO V
DAS INSTÂNCIAS DE SUPERVISÃO, COMPOSIÇÃO E DAS ATRIBUIÇÕES
E RESPONSABILIDADES
Seção I
Do Controlador, Encarregado e Operadores
Art. 8º A Secretaria da Controladoria-Geral do Estado é a controladora dos dados pessoais por ela
tratados, nos termos das suas competências legal e institucional.
Art. 10. A Assessoria Técnica - AST, enquanto encarregado para fins da LGPD, terá
responsabilidade pelo gerenciamento do projeto de implantação e dos riscos e controles internos
quanto à adequação à LGPD na Secretaria, conforme art. 13 do Decreto Estadual nº 49.265, de 06
de agosto de 2020.
Parágrafo Único. O encarregado da SCGE será assessorado por equipe de apoio, formada pelas
seguintes áreas: Gerência da Assessoria Técnica de Apoio à Procuradoria-Geral do Estado,
Assessoria Especial de Controle Interno - AECI, Ouvidoria da SCGE, Diretoria de Tecnologia e
Informação do Controle Interno - DTCI e Diretoria de Planejamento e Gestão - DPGE.
I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados
pessoais requeridas pela SCGE;
III - manter os registros de tratamento de dados pessoais que realizar, assim como aqueles
compartilhados, com condições de rastreabilidade e de prova eletrônica a qualquer tempo;
V - permitir acesso a dados pessoais somente para o pessoal autorizado que tenha estrita
necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e
segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para
exibição à SCGE, mediante solicitação;
VII - auxiliar, sempre que necessário, no atendimento pela SCGE de obrigações perante titulares
de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;
Seção II
Instituições
Art. 12. O Conselho Deliberativo de Gestão - CDG, instituído pelo Decreto nº 49.993, de
18 de dezembro de 2020, é órgão colegiado de natureza consultiva e deliberativa, conforme seu
Regimento Interno, aprovado pela Portaria SCGE nº 045, de 21 de dezembro de 2020.
Art. 13. O Gestor de Processos corresponde a todo e qualquer responsável pela unidade de
execução de um determinado processo de trabalho, inclusive sobre a gestão de riscos.
Seção III
Das Atribuições e Responsabilidades
X - elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o
apoio técnico das áreas jurídica e tecnológica da entidade.
- monitorar o PPDPL-SCGE;
XVII - informar à Autoridade Nacional de Proteção de Dados Pessoais e aos titulares dos dados
pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um Plano
de Tratamento de Incidentes com Dados Pessoais.
III - realizar, em conjunto com a Assessoria Especial de Controle Interno - AECI e o Gestor de
Processo, o diagnóstico preliminar;
VII - extrair estrutura e conteúdo de dados pessoais em sistemas informatizados para elaboração
do Inventário de Dados;
VIII - extrair conteúdo de dados pessoais em sistemas informatizados para atendimentos das
demandas dos titulares;
II – prover, em conjunto com a Escola de Controle Interno Prof. Francisco Ribeiro, a capacitação
dos agentes públicos no exercício do cargo, função e emprego no conteúdo de proteção de dados
pessoais;
II - realizar, em conjunto com a DTCI e a AECI, a avaliação de controles internos dos processos
priorizados;
III - elaborar propostas de ação ao Plano de Implementação de Controles dos processos sob sua
responsabilidade;
VII - disponibilizar conteúdo de dados pessoais para atendimentos às demandas dos titulares;
IX – opinar sobre o Plano de Gestão de Resposta a Incidentes com Dados Pessoais e o Relatório
de Impacto de Proteção aos Dados Pessoais;
CAPÍTULO VI
DO TRATAMENTO DE DADOS PESSOAIS
Art. 23. O tratamento de dados pessoais pela SCGE será realizado para o atendimento de sua
finalidade pública, na persecução do interesse público, com o objetivo de executar suas
competências legais e de cumprir as atribuições legais do serviço público.
Art. 24. Em atendimento a suas competências legais, a SCGE poderá, no estrito limite de suas
atividades, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos
titulares.
Parágrafo Único. Eventuais atividades que transcendam o escopo da função institucional estarão
sujeitas à obtenção de consentimento dos titulares dos dados pessoais a serem objeto de
tratamento.
Art. 25. A SCGE manterá contratos com terceiros para o fornecimento de produtos ou a prestação
de serviços necessários a suas operações, os quais poderão, conforme o caso, importar em
disciplina própria de proteção de dados pessoais, a qual deverá estar disponível e ser consultada
pelos interessados.
III - compartilhados somente para o exercício das funções institucionais ou para atendimento de
políticas públicas aplicáveis; e
IV - revistos em periodicidade mínima bianual, sendo de imediato eliminados aqueles que já não
forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de
retenção.
Art. 27. A responsabilidade da SCGE pelo tratamento de dados pessoais estará circunscrita ao
dever de se ater ao exercício de sua competência legal e institucional e de empregar boas práticas
de governança e de segurança.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 29. O Plano de Implementação de Controles aprovado pelo Secretário deverá ser inserido e
gerenciado na solução tecnológica de gestão de riscos com adequado suporte do setor
responsável.
Art. 30. Os casos omissos ou excepcionalidades serão deliberados pelo Secretário, consultado o
Conselho Deliberativo de Gestão - CDG.