DECRETO Nº 55.987, DE 7 DE JULHO DE 2021.
Institui a Política Estadual de Proteção de Dados Pessoais do Poder Executivo Estadual, em conformidade com a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD.
O GOVERNADOR DO ESTADO DO RIO GRANDE SUL , no uso das atribuições que lhe confere o art. 82, incisos V e VII, da Constituição do Estado,
DECRETA :
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Fica instituída a Política Estadual de Proteção de Dados Pessoais, que dispõe sobre o conjunto de diretrizes, projetos, ações e metas estratégicas para a adequação do tratamento de dados pessoais realizado no âmbito da administração pública estadual direta, autárquica e fundacional, em conformidade com a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD.
Parágrafo único. A Política Estadual de Proteção de Dados Pessoais observará a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para os propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
X - responsabilização e prestação de contas: demonstração, pelo agente de tratamento, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 2º São diretrizes estratégicas da Política Estadual de Proteção de Dados Pessoais:
I - a observância das políticas de segurança da informação do Estado;
II - a publicação e a atualização periódica das regras de boas práticas e governança estabelecidas pelo controlador e operador, que levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;
III - o atendimento simplificado e eletrônico das demandas do titular, aplicando-se, no que couber, o Decreto n° 55.439, de 12 de agosto de 2020, que dispõe sobre a Política de Relacionamento do Estado com o Usuário de serviços públicos;
IV - a promoção da transparência pública, nos termos da Lei Federal n° 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação - LAI, e do Decreto n° 49.111, de 16 de maio de 2012;
V - o desenvolvimento do nível de maturidade dos tratamentos dos dados pessoais, que será monitorado com o acompanhamento anual de indicadores de "compliance" e de performance.
VI - a segurança jurídica dos instrumentos firmados, consoante orientação da Procuradoria-Geral do Estado;
VII - o alinhamento com a Política de Governança e Gestão da administração pública estadual de que trata o Decreto n° 54.581, de 25 de abril de 2019; e
VIII - a observância das normas do Sistema de Arquivos do Estado do Rio Grande do Sul - SIARQ/RS, de que trata o Decreto nº 52.808, de 18 de dezembro de 2015, no que diz respeito às suas instruções normativas e aos prazos de guarda definidos pela Tabela de Temporalidade de Documentos vigente.
Parágrafo único. O Grupo de Trabalho sobre a Implementação da LGPD no Poder Executivo Estadual poderá detalhar as diretrizes de que trata este artigo, por meio de esclarecimentos compartilhados com a Rede de Encarregados em Caderno de Orientações disponibilizados em plataforma digital.
Art. 3º Para fins deste Decreto, considera-se:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, sendo o Estado único controlador de dados na administração pública estadual direta;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador corporativo para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD;
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro;
XIII - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XIV - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XV - programa de governança em privacidade: documentação do controlador que estabelece uma metodologia abrangente que influenciará permanentemente os processos de tomada de decisão referentes a tratamento de dados pessoais, incluindo as estratégias, habilidades, pessoas, processos e ferramentas que os órgãos e as entidades precisam prover para...