O GOVERNADOR DO ESTADO DA PARAÍBA, no uso das atribuições que lhe são conferidas no art. 86, inciso IV, da Constituição Estadual,
DECRETA:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1° Este Decreto dispõe sobre as atribuições,diretrizes, ações e procedimentos para adequação do Poder Executivo do Estado da Paraíba à Lei Federal n° 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), a fim de tutelar o direito fundamental à proteção de dados pessoais e à autodeterminação informativa.
CAPÍTULO II
DAS DIRETRIZES DA POLÍTICA ESTADUAL DE PROTEÇÃO DE DADOS PESSOAIS
Art. 2° São diretrizes da Política Estadual de Proteção de Dados Pessoais:
I – a definição de objetivos e metas para as estratégias de adequação à LGPD e para os programas de governança em privacidade e o monitoramento dos resultados;
II – o desenvolvimento contínuo do nível de maturidade dos tratamentos dos dados;
III – o alinhamento com as políticas de segurança da informação do Estado da Paraíba;
IV – o alinhamento com as boas práticas de transparência e as regras definidas na Lei Federal n° 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI), e no Decreto Estadual n° 33.050, de 25 de junho de 2012, e seus substitutos normativos;
V – a implementação de processos de gestão de risco pelos órgãos e entidades abrangidos por esteDecreto para balizar a adoção de boas práticas e regras de governança associadas ao Programa de Governança em Privacidade;
VI – a manutenção da segurança jurídica dos instrumentos firmados;
VII – a proporcionalidade das medidas acerca de proteção de dados, privacidade e segurança da informação;
VIII – o atendimento tempestivo, simplificado e, preferencialmente, eletrônico às demandas do titular de dados pessoais;
IX – divulgação permanente e sensibilização dos gestores e servidores sobre a relevância da conformidade do tratamento de dados pessoais; e
X – outras diretrizes estabelecidas pelo Conselho Gestor de Proteção de Dados Pessoais – CGPDP de que trata o art. 3° deste Decreto.
CAPÍTULO III
DO CONSELHO GESTOR DE PROTEÇÃO DE DADOS PESSOAIS
Art. 3° Fica criado o Conselho Gestor de Proteção de Dados Pessoais – CGPDP, integrado pelo Procurador-Geral do Estado, que o presidirá, pelo Secretário Chefe da Controladoria Geral do Estado, Secretário de Estado Administração, Secretário de Estado da Fazenda e pelo Secretário de Estado do Governo.
Art. 4° Compete ao Conselho Gestor de Proteção de Dados Pessoais – CGPDP, com base nos princípios e disposições contidos na LGPD e em regulamentos complementares da Autoridade Nacional de Proteção de Dados – ANPD, estabelecer diretrizes, definir normas, atribuir competências e deliberar sobre a Política Estadual de Proteção de Dados Pessoais, estratégias de adequação, objetivos, metas, prazos e os programas de governança em privacidade.
CAPÍTULO IV
DO COMITÊ EXECUTIVO DE PROTEÇÃO DE DADOS PESSOAIS
Art. 5° Fica instituído o Comitê Executivo de Proteção de Dados Pessoais – CEPDP, coordenado pela Controladoria Geral do Estado, com a seguinte composição:
I -um representante da Companhia de Processamento de Dados da Paraíba – CODATA;
II – um representante da Controladoria Geral do Estado – CGE;
III – um representante da Procuradoria Geral do Estado – PGE;
IV – um representante da Secretaria de Estado da Administração – SEAD;
V – um representante da Secretaria de Estado da Fazenda – SEFAZ;
VI – um representante da Secretaria de Estado do Planejamento, Orçamento e Gestão – SEPLAG.
§ 1° Os membros do Comitê Executivo de Proteção de Dados Pessoais – CEPDP serão indicados pela autoridade máxima de cada órgão ou entidade descrita no caput deste artigo, em até 30 (trinta) dias da publicação deste Decreto, e nomeados pelo Governador do Estado.
§ 2° Os membros indicados para o Comitê Executivo de Proteção de Dados Pessoais – CEPDP devem possuir notórios e comprovados conhecimentos em proteção de dados pessoais, gestão de projetos, gestão de risco e/ou segurança da informação.
§ 3° O representante da ProcuradoriaGeral do Estado – PGE orientará o Comitê Executivo de Proteção de Dados Pessoais – CEPDP acerca dos aspectos jurídicos que devem ser observados, propondo a formulação de consulta jurídica, quando necessário.
§ 4° A SEAD prestará apoio administrativo e material para o desempenho das atividades do Comitê Executivo de Proteção de Dados Pessoais – CEPDP.
§ 5° A CODATA prestará apoio técnico e operacional ao Comitê Executivo de Proteção de Dados Pessoais – CEPDP.
Art. 6° OComitê Executivo de Proteção de Dados Pessoais – CEPDP, com atuação permanente,terá as seguintes competências:
I – elaborar e submeter à aprovação pelo Conselho Gestor de Proteção de Dados Pessoais – CGPDP diretrizes, estratégias, ações e metas para gradual adequação do Poder Executivo Estadual à LGPD e implementação da Política Estadual de Proteção de Dados Pessoais;
II – elaborar e submeter à aprovação pelo Conselho Gestor de Proteção de Dados Pessoais – CGPDP normas relacionadas à proteção de dados pessoais no âmbito do Poder Executivo Estadual com base na LGPD e regulamentos da Autoridade Nacional de Proteção de Dados – ANPD;
III – auxiliar os Encarregados na identificação e avaliação dos processos de tratamento e proteção de dados pessoais existentes no âmbito da administração pública estadual direta, autárquica e fundacional;
IV – apresentar estudos e relatórios, com o apoio dos Encarregados, que subsidiem as decisões do Conselho Gestor de Proteção de Dados Pessoais – CGPDP relacionadas à implementação da Política Estadual de Proteção de Dados Pessoais e ao Programa de Governança em Privacidade;
V – monitorar a execução e desempenho das estratégias e ações aprovadas pelo Conselho Gestor de Proteção de Dados Pessoais – CGPDP, o cumprimento de prazos, objetivos e metas para adequação do Poder Executivo Estadual à LGPD e a implementação da Política Estadual de Proteção de Dados Pessoais;
VI – monitorar a adoção de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
VII – acompanhar permanentemente a evolução de maturidade, a gestão de riscos e os indicadores associados aos programas de governança em privacidade implementados no Poder Executivo Estadual;
VIII – coordenar e orientar a rede de Encarregados nos órgãos e entidades do Poder Executivo Estadual;
IX – deliberar e incentivar a adoção de padrões para procedimentos, serviços e produtos que facilitem aos titulares de dados pessoais o exercício de seus direitos;
X- estimular a integração e articulação entre os diversos órgãos e entidades do Poder Executivo Estadual para o desenvolvimento e operacionalização das ações de adequação à LGPD;
XI – promover a governança em privacidade e a proteção dos dados pessoais através da coordenação e realização de ações de capacitação, da elaboração de manuais e cartilhas e da divulgação de boas práticas, ações relevantes e resultados entre os órgãos e entidades do Poder Executivo Estadual;
XII – realizar outras atribuições correlatas.
Parágrafo único. Os órgãos e entidades do Poder Executivo Estadual devem disponibilizar para o Comitê Executivo de Proteção de Dados Pessoais – CEPDP as informações necessárias para o exercício de suas competências relacionadas aos processos de tratamento e compartilhamento de dados pessoais e à implementação das ações de adequação à LGPD, resguardado, conforme cada caso, os sigilos fiscais e legais previstos nas respectivas legislações.
Art. 7° O Comitê Executivo de Proteção de Dados Pessoais – CEPDP poderá convidar representantes de órgãos e entidades públicas e privadas, além de pesquisadores e especialistas, para participarem de suas atividades, quando sua experiência ou expertise for relevante.
Parágrafo único. A participação dos convidados de que trata o caput deste artigo ficará restrita ao tempo necessário para prestar os esclarecimentos a eles solicitados.
CAPÍTULO V
DO ENCARREGADO PELO TRATAMENTO DOS DADOS PESSOAIS
Art. 8° O dirigente máximo de cada órgão ou entidade do Poder Executivo Estadual deve indicar, preferencialmente, servidor efetivo para ser o Encarregado pelo tratamento dos dados pessoais,nos termos do inciso III do art. 23 e do art. 41 da LGPD, mediante publicação no Diário Oficial do Estado, nos termos e prazos estipulados pelo Conselho Gestor de Proteção de Dados Pessoais – CGPDP.
§ 1° O Conselho Gestor de Proteção de Dados Pessoais – CGPDP poderá dispor sobre as hipóteses em que o dirigente máximo do órgão ou entidade será dispensado da indicação de Encarregado próprio.
§ 2° O servidor Encarregado designado na forma do caput deste artigo deverá:
I – ter experiência e conhecimentos multidisciplinares,preferencialmente em proteção de dados pessoais, gestão de projetos e processos, tecnologia e segurança da informação, gestão de riscos, dentre outras matérias correlatas;
II – estar subordinado diretamente ao dirigente máximo do órgão ou entidade;
III – não estar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação de órgão ou entidade do Poder Executivo Estadual.
§ 3° para fins de atendimento ao inciso I do § 2°, o Encarregado deverá participar das capacitações, seminários e treinamentos disponibilizados pelo órgão ou entidade ao qual está vinculado, bem como das atividades de capacitação disponibilizadas por outros órgãos, pelo Comitê Executivo de Proteção de Dados Pessoais – CEPDP e pela Controladoria Geral do Estado – CGE.
§ 4° A identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, no site de cada órgão ou entidade do Poder Executivo Estadual.
Art. 9° Compete ao Encarregado e sua equipe de apoio:
I – aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar providências;
II – receber comunicações da Autoridade Nacional de Proteção de Dados – ANPD e adotar providências;
III – orientar os servidores, funcionários e os contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV – realizar, com apoio do Comitê Executivo de Proteção de Dados Pessoais – CEPDP, o mapeamento dos processos de tratamento de dados pessoais realizados no âmbito do órgão ou da entidade estadual, inclusive dos compartilhamentos com entidades públicas ou privadas, propondo adequações à luz da LGPD;
V – executar outras atribuições normatizadas pelo Conselho Gestor de Proteção de Dados Pessoais – CGPDP;
VI – seguir as orientações do Comitê Executivo de Proteção de Dados Pessoais – CEPDP, bem como apoiá-lo, repassando todas as informações necessárias para o cumprimento de suas atribuições; e
VII – atender às normas complementares da Autoridade Nacional de Proteção de Dados – ANPD.
Art. 10. O Encarregado deve ter garantidos pela autoridade máxima do órgão ou entidade ao qual está vinculado:
I – acesso direto aos dirigentes do órgão ou entidade a que está vinculado;
II – apoio dos setores jurídico, tecnológico, de controle interno do órgão ou entidade e da ouvidoria para o desempenho de suas funções;
III – acesso motivado a todas as operações de tratamento de dados pessoais no âmbito do órgão ou entidade;
IV – capacitação permanente em temas relevantes para o desempenho de suas competências, como os definidos no § 1° do art. 9° deste Decreto.
CAPÍTULO VI
DAS DEMAIS COMPETÊNCIAS
Art. 11. Compete aos dirigentes máximos dos órgãos e entidades do Poder Executivo Estadual:
I – prover condições e promover ações para adequação dos processos e tratamentos de dados pessoais do órgão ou entidade à LGPD, às normas definidas pela Autoridade Nacional de Proteção de Dados – ANPD e às determinações do Conselho Gestor de Proteção de Dados Pessoais – CGPDP e do Comitê Executivo de Proteção de Dados Pessoais – CEPDP;
II – adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
III – comunicar, através do Encarregado, à Autoridade Nacional de Proteção de Dados – ANPD e aos titulares dos dados pessoais, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
IV – implementar Programa de Governança em Privacidade, com base nos requisitos mínimos do art. 50, § 2°, da LGPD;
V – fornecer aos operadores, através do Encarregado, termos de uso, políticas de privacidade, manuais orientativos e capacitação relacionados aos tratamentos sob sua responsabilidade; e
VI – elaborar o Relatório de Impacto à Proteção de Dados Pessoais, na forma e condições previstasna LGPD, com o apoio do Encarregado, do setor jurídico e do setor de TI do órgão ou entidade.
Art. 12. Compete a Procuradoria Geral do Estado – PGE prestar consultoria jurídica ao Conselho Gestor de Proteção de Dados Pessoais – CGPDP,ao Comitê Executivo de Proteção de Dados Pessoais – CEPDP e aos órgãos e entidades da administração pública estadual direta e indireta, mediante a emissão de pareceres ou outras manifestações oficiais para dirimir dúvidas e fixar a interpretação da LGPD, bem como para a elaboração dos atos normativos, modelos de contratos, de convênios e de acordos de cooperação aderentes à LGPD.
Parágrafo único. As consultas dos órgãos e entidades da administração pública estadual direta e indireta deverão ser direcionadas ao Comitê Executivo de Proteção de Dados Pessoais – CEPDP, observado o artigo 4° da Lei Complementar Estadual n° 86/2008, que encaminhará à Procuradoria Geral do Estado – PGE, caso entenda necessário.
Art. 13. Compete à Controladoria Geral do Estado – CGE:
I – auxiliar os órgãos e entidades na implementação de processos de gestão de riscos e avaliação de maturidade dos programas de governança em privacidade;
II – realizar consultorias, capacitações e outras ações de assessoria para apoiar os órgãos e entidades na adequação à LGPD e implementação das políticas e programas de governança em privacidade; e
III – estabelecer e implementar sistemática de auditoria interna baseada em riscos para avaliar a adequação à LGPD, a implementação da Política Estadual de Proteção de Dados Pessoais e a operacionalização dos programas de governança em privacidade.
Art. 14. Compete à Companhia de Processamento de Dados do Estado da Paraíba – CODATA:
I – orientar a aplicação de soluções de Tecnologia da Informação e Comunicação – TIC relacionadas à proteção de dados pessoais;
II – adequar as arquiteturas e as operações compartilhadas de TIC hospedadas no data center e na rede corporativa às exigências da Lei Federal n° 13.709/2018; e
III – propor padrões de desenvolvimento de novas soluções de TIC, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução.
Parágrafo único. As arquiteturas e as operações de que trata o inciso II poderão ter seu escopo alterado por meio de acordo entre as partes responsáveis pelo compartilhamento.
CAPÍTULO VII
DA CAPACITAÇÃO E DIVULGAÇÃO
Art. 15. O Comitê Executivo de Proteção de Dados Pessoais – CEPDP, em articulação com a Escola de Serviço Público do Estado da Paraíba – ESPEP, deve capacitar e sensibilizar os Encarregados, os agentes de tratamento, os dirigentes dos órgãos e entidades do Poder Executivo Estadual e demais envolvidos nas normas, políticas, e procedimentos associados à proteção de dados pessoais e nas ações necessárias para adequação à LGPD.
§ 1° O Conselho Gestor de Proteção de Dados Pessoais – CGPDP definirá prazo para a conclusão das capacitações e demais ações previstas no caput deste artigo.
§ 2° O Comitê Executivo de Proteção de Dados Pessoais – CEPDP, conforme diretrizes e prazos estabelecidos pelo Conselho Gestor de Proteção de Dados Pessoais – CGPDP e em articulação com outros órgãos, elaborará e dará publicidade a manuais, cartilhas e material eletrônico de divulgação relacionados à LGPD, medidas de segurança e ações de proteção a dados pessoais.
CAPÍTULO VIII
DAS DISPOSIÇÕES FINAIS
Art. 16. Os prazos estabelecidos neste Decreto podem ser alterados pelo Conselho Gestor de Proteção de Dados Pessoais – CGPDP mediante decisão fundamentada.
Art. 17. Os órgãos e as entidades do Poder Executivo Estadual deverão informar, nos seus sítios eletrônicos, as hipóteses em que, no exercício de suas competências, realizam o tratamento dedados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade,os procedimentos e as práticas utilizadas para a execução dessas atividades.
Art. 18. As empresas públicas e as sociedades de economia mistas estaduais deverão estabelecer, monitorar e revisar suas políticas de proteção de dados pessoais por ato próprio aprovado pelos seus respectivos conselhos de administração.
§ 1° As empresas públicas e as sociedades de economia mista estaduais que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, observarão o mesmo regime de tratamento de dados dispensado pela LGPD às pessoas jurídicas de direito privado.
§ 2° Quando estiverem executando políticas públicas, as empresas públicas e as sociedades de economia mista estaduais observarão as regras da LGPD destinadas aos órgãos e às entidades do Poder Público, observados, no que couber, os termos deste Decreto.
Art. 19. Este Decreto entra em vigor na data da sua publicação.
PALÁCIO DO GOVERNO DO ESTADO DA PARAÍBA, em João Pessoa, 07 de maio de 2021; 133° da Proclamação da República.
JOÃO AZEVEDO LINS FILHO
Governador