Texto: RESOLUÇÃO Nº 002/2024/COGGE/SEFAZ, DE 18 DE DEZEMBRO DE 2024
CONSIDERANDO a Lei n. 13.709/2018 - Lei Geral de Proteção de dados Pessoais (LGPD);
CONSIDERANDO a necessidade de estabelecer medidas de mitigação para o processo de adequação à Lei Geral de Proteção de Dados pessoais a serem adotadas pela SEFAZ;
CONSIDERANDO a Política de Governança Fazendária, RESOLVE:
Parágrafo único A SEFAZ poderá atuar como controlador conjunto quando compartilhar as decisões acerca das finalidades e dos elementos essenciais do tratamento com outro responsável. Art. 6º É operador a pessoa jurídica ou natural, não integrante do quadro funcional da SEFAZ, que realize tratamento de dados pessoais em nome da SEFAZ e por sua ordem. Art. 7º O Encarregado de Dados, da SEFAZ-MT, deverá ser nomeado pelo Secretário de Estado de Fazenda.
Parágrafo único. Dados obsoletos ou que não atendam mais às finalidades serão eliminados de acordo com as tabelas de temporalidade do Estado de Mato Grosso, salvo hipóteses legais de retenção. Art. 11. O tratamento de dados pessoais sensíveis e a transferência internacional de dados observarão critérios rigorosos de proporcionalidade e necessidade, com avaliações regulares dos riscos associados, observando: I - o consentimento do titular; II - e, sem o consentimento do titular, para: a) o cumprimento de obrigação legal ou regulatória; b) o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e em regulamentos ou respaldadas em contratos, em convênios ou em instrumentos congêneres; c) para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; d) a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e) o exercício regular de direitos em processo judicial, administrativo ou arbitral; f) a proteção da vida ou da incolumidade física do titular ou de terceiro; g) a tutela da saúde, exclusivamente, nos procedimentos realizados por profissionais de saúde em eventual assistência; h) o atendimento aos legítimos interesses da SEFAZ; i) a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Art. 12. O tratamento de dados pessoais sensíveis poderá ocorrer nas seguintes hipóteses previstas na LGPD: I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - sem o consentimento do titular, nas hipóteses em que seja indispensável para: a) o cumprimento de obrigação legal ou regulatória; b) o tratamento compartilhado de dados necessários à execução de políticas públicas previstas em leis ou em regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; e) a proteção da vida ou da incolumidade física do titular ou de terceiro; f) a tutela da saúde, exclusivamente, nos procedimentos realizados por profissionais de saúde em eventual assistência; g) a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Art. 13. Está incluso, nas hipóteses de tratamento para o cumprimento de obrigação legal previstas na alínea a do inciso II do art. 11 e na alínea a do inciso II do art. 12, todo o tratamento de dados pessoais necessário para a execução das atribuições e competências da SEFAZ, sejam elas institucionais ou administrativas. Art. 14. Quando o tratamento não decorrer de obrigação legal, mas do atendimento de outro interesse legítimo da SEFAZ, poderá ser realizado o tratamento sem o consentimento do titular, desde que haja proporcionalidade entre esse interesse e os direitos dos titulares, devidamente justificada. Art. 15. Poderá ser realizado tratamento sem consentimento do titular quando este, apesar de não essencial para o atingimento da finalidade pretendida, ocasionar algum benefício ou quando for de interesse predominante do titular. Art. 16 O consentimento previsto nesta Resolução deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Art. 17. O tratamento de dados de criança e de adolescente deve pautar-se pelo seu melhor interesse.
§ 1º Para fins desta política, considera-se criança a pessoa até doze anos de idade incompletos e adolescente aquela entre doze e dezoito anos de idade.
§ 2º Quando o tratamento de dados de criança for amparado na hipótese de consentimento, esse deverá ser específico e destacado por pelo menos um dos pais ou pelo responsável legal.
§ 3º A SEFAZ disponibilizará as informações sobre o tratamento de dados de crianças e de adolescentes realizado de maneira simples, clara e acessível, a fim de proporcionar o seu adequado entendimento por parte dos titulares e dos pais ou responsáveis legais. Art. 18. A transferência internacional de dados somente poderá ser feita nas hipóteses dos arts. 33 a 36 da LGPD.
§ 1º Só serão atendidos os pedidos de revogação de consentimento solicitados na forma do inciso I deste artigo.
§ 2º O controlador emitirá orientações acerca da gestão do consentimento.
Parágrafo único. As competências previstas nos incisos acima poderão ser delegadas, devendo seguir as orientações dadas pelo Comitê Técnico do Órgão Central vinculado ao Comitê Executivo de Governo Digital. Art. 21. Ao Comitê Setorial de Proteção de Dados Pessoais - CSPD cabe: I - manifestar-se quanto aos mecanismos de tratamento e de proteção de dados pessoais existentes e propor programas, ações, estratégias e metas para que estejam em conformidade com as disposições da LGPD, demais normas e boas práticas que adotar; II - supervisionar a execução dos planos, dos projetos e das ações aprovadas para viabilizar a adequação da LGPD na SEFAZ; III - assessorar a administração da SEFAZ em todas as questões relacionadas à proteção de dados pessoais; IV - propor alterações na política de tratamento e proteção de dados e decidir sobre assuntos a ela relacionados; V - propor outras normas internas relativas à proteção de dados pessoais; VI - manifestar-se quanto às políticas de privacidade destinadas aos titulares, com vistas a dar transparência sobre o tratamento de dados pessoais; VII - promover o intercâmbio de informações sobre a proteção de dados pessoais com outros órgãos; VIII - manifestar-se em relação a controvérsias acerca da aplicação de normas relacionadas à proteção de dados pessoais que lhe forem submetidas pelo encarregado encaminhando relatório ao Controlador recomendando aprovar ou desaprovar; IX - manifestar-se quanto aos projetos de automação e de inteligência artificial, para a adoção das providências cabíveis à proteção de dados pessoais encaminhando relatório ao Controlador recomendando aprovar ou desaprovar; X - organizar o programa de conscientização sobre a LGPD no âmbito da SEFAZ; XI - apresentar parecer quanto aos Relatórios de Impacto à Proteção de Dados Pessoais que, por sua importância, lhe sejam submetidos pelo encarregado, encaminhando relatório ao Controlador acompanhado de recomendação para aprovação ou desaprovação;
§ 1º O Comitê Setorial de Proteção de Dados Pessoais - CSPD que, sem prejuízo da participação de outros indicados, será coordenada pelo controlador, ficando nomeados os seguintes representantes: I. Encarregado de Dados da SEFAZ; II. Unidade de Desenvolvimento de Negócios de Projetos Estratégicos - UDNPE; III. Superintendência de Tecnologia da Informação - SUTI; IV. Unidade de Desenvolvimento de Negócios da Receita Pública - UDNR; V. Unidade Setorial de Controle Interno - UNISECI VI. Unidade de Gestão de Riscos - RISCOS; VII. Ouvidoria Setorial.
§ 2º As reuniões e andamentos dos trabalhos do CSPD serão secretariadas pela unidade do inc. II do parágrafo anterior.
§ 3º O CSPD poderá solicitar a participação de qualquer unidade da SEFAZ para se manifestar ou deliberar sobre questões específicas pertinentes à LGPD que sejam correlatas às suas atividades. Art. 22. Cabe ao encarregado que é o indivíduo responsável por garantir a conformidade da SEFAZ à LGPD, e para isso deve: I- responder, por meio da Ouvidoria Setorial da SEFAZ, às reclamações, às solicitações de informações, às solicitações de providências e às demais comunicações dos titulares de dados pessoais, bem como prestar os esclarecimentos necessários e adotar providências, quando cabíveis; II- exercer, em nome da SEFAZ, a interlocução com a autoridade nacional de proteção de dados e adotar providências, quando necessárias; III - fomentar o respeito às práticas a serem adotadas em relação à proteção de dados pessoais propondo medidas para mitigação de riscos; IV - recomendar às unidades da SEFAZ os ajustes de seus processos de trabalho para adequação à LGPD; V - orientar as unidades acerca das práticas a serem adotadas em relação à proteção de dados pessoais de acordo com o previsto na LGPD, nesta política e nas demais normas aplicáveis; VI - auxiliar na elaboração da política de privacidade geral da SEFAZ, destinada a informar aos titulares a forma como a SEFAZ realiza o tratamento de seus dados e zelar pela periódica atualização das informações. Art. 23. Cabe ao operador realizar o tratamento de dados pessoais nos moldes definidos pela SEFAZ e de forma aderente a esta política.
Parágrafo único. Sendo o caso, os instrumentos contratuais firmados com operadores deverão estabelecer obrigações suficientes para garantir a conformidade do tratamento realizado com esta política, considerados os riscos envolvidos na contratação. Art. 24. Compete às unidades da SEFAZ: I - identificar os tratamentos de dados pessoais existentes em suas atividades, e documentar, no inventário de dados pessoais da SEFAZ, as informações requeridas; II - avaliar a adequação das operações de tratamento aos princípios e às normas aplicáveis, principalmente quanto à necessidade, e promover os ajustes cabíveis; III- analisar e gerir, no âmbito de sua unidade, os riscos relativos ao tratamento de dados pessoais; IV - estabelecer e fazer cumprir controles internos para impedir o acesso não autorizado e o compartilhamento indevido de dados pessoais; V - prestar informações ao encarregado para atendimento de requerimento do titular ou de solicitações da ANPD; VI - fomentar boas práticas relacionadas à privacidade de dados pessoais no seu âmbito; VII - prestar outras informações e adotar providências quando requeridas pelo controlador ou encarregado; VIII - propor ao CSPD, caso entenda necessário, políticas de privacidade específicas para serviços sob sua alçada; IX - elaborar e executar plano de adequação à LGPD, precedido da realização do inventário de dados pessoais nos seus processos de trabalho e da análise das lacunas e das vulnerabilidades.
§ 1º A Ouvidoria Setorial realizará a triagem dos pedidos e, verificada a pertinência temática com a proteção de dados pessoais, fará a instrução processual e encaminhará ao encarregado para análise.
§ 2º O encarregado examinará o pedido e adotará as providências cabíveis.
§ 3º O encarregado devolverá o procedimento à Ouvidoria Setorial, para informar ao titular os dados da solução adotada.
§ 4º Os pedidos de titular de dados que forem enviados para o e-mail do encarregado ou para o e-mail de outras unidades deverão ser redirecionados para a Ouvidoria Setorial, que orientará sobre o uso do formulário previsto no caput deste artigo.
§ 5º São aplicáveis aos pedidos de titulares de dados pessoais os prazos e os procedimentos utilizados para o atendimento dos pedidos de acesso à informação previstos na Lei n. 12.527/2011 (Lei de Acesso à Informação - LAI) e em sua regulamentação interna.
§ 6º Considerando o prazo previsto no § 5º deste artigo, o encarregado fixará prazo razoável para o fornecimento de informações ou para a adoção de providências por outras unidades, quando necessário. Art. 27. O atendimento aos pedidos de titulares de dados pessoais que impliquem acesso aos seus dados pessoais sob controle da SEFAZ será condicionado ao cumprimento pelo requerente dos requisitos exigidos para confirmação de sua identidade.
§ 1º No caso descrito no caput deste artigo, o relatório será submetido à aprovação do Secretário de Estado de Fazenda.
§ 2º Após a aprovação do relatório no caso do § 1º, o encarregado de dados o assinará e encaminhará à ANPD.
§ 3º A Unidade de Gestão de Proteção de Dados e Informações - UGPDI é a unidade responsável por auxiliar na estratégia e apoio ao Encarregado de Dados e ao Controlador da SEFAZ-MT, conforme regimento interno.
Parágrafo único. A escolha das medidas previstas neste artigo deverá considerar: I - as técnicas adequadas; II- os custos de aplicação; III- a natureza, o âmbito, o contexto e as finalidades do tratamento; IV - os riscos aos direitos e do usuário. Art. 31. A SEFAZ adotará um plano de resposta a incidentes de segurança, com protocolos detalhados para detecção, mitigação e comunicação de violações à ANPD e aos titulares, incluindo os seguintes preceitos: I - a adoção de iniciativas concretas para garantir a privacidade do titular dos dados pessoais desde a etapa de planejamento e desenvolvimento dos sistemas; II - a privacidade dos dados pessoais por padrão; III - a segurança em todo o ciclo de vida da informação; IV - a adoção de mecanismos de correção de falhas e auditoria para garantir a conformidade; V - a gestão adequada dos riscos referentes à privacidade. Art. 32 Os agentes de tratamento e demais pessoas que intervenham em uma das fases do ciclo de vida das informações obrigam-se a garantir o sigilo e a segurança dos dados pessoais, mesmo após o término do tratamento.
§ 1º O ciclo de vida da informação contempla a criação, a coleta, o manuseio, o processamento, o armazenamento, o transporte, a transmissão e a eliminação.
§ 2º A destinação final de dados pessoais, físicos ou digitais, deverá seguir os parâmetros estipulados nos instrumentos da área de gestão documental da SEFAZ. Art. 33. Qualquer pessoa que tiver conhecimento de possível incidente de segurança da informação relacionado a dados pessoais deverá comunicar o fato, imediatamente, ao encarregado.
Parágrafo único. Os comunicantes externos à SEFAZ utilizarão os canais da Ouvidoria Setorial, que providenciará a ciência imediata do encarregado. Art. 34. Ciente da ocorrência de provável incidente de segurança da informação envolvendo dados pessoais, cabe ao encarregado: I- obter das unidades envolvidas informações relacionadas ao incidente; II- acompanhar a resposta ao incidente que estiver sob responsabilidade de outras áreas; III- analisar a gravidade do incidente e avaliar a existência de risco ou dano relevante aos titulares de dados pessoais. Art. 35. Caso o encarregado constate que o incidente implica risco ou dano relevante aos titulares de dados pessoais, deve levá-lo ao conhecimento do controlador para deliberação e, sendo o caso, adoção de providências. Art. 36. A comunicação do incidente aos titulares de dados pessoais e à ANPD ficará a cargo do encarregado, que poderá requisitar auxílio de outras áreas para a sua realização.
Parágrafo único. Os projetos e os acordos de cooperação de inteligência artificial e automação que previrem tratamento de dados pessoais serão precedidos de elaboração de Relatório de Impacto à Proteção de Dados Pessoais, que será incluído no processo administrativo.
Parágrafo único. Os contratos em vigor poderão ser revistos para adaptação e adequação a esta política, conforme estratégia definida pelo CSPD. Art. 40. A inobservância da presente Política de Proteção de Dados Pessoais acarretará a apuração das responsabilidades previstas na legislação em vigor, podendo acarretar responsabilização penal, civil e administrativa. Art. 41. O art. 15 da Resolução nº 001/2022/COGGE/SEFAZ, de 04 de agosto de 2022, passa a ter a seguinte redação:
“Art. 15. ………………………………………… I - Comitê Setorial de Proteção de Dados - CSPD; ………………………………………………….. ……………………………………………………” Art. 42. Esta Resolução aplica-se a todas as unidades da SEFAZ. Art. 43. Os casos omissos serão resolvidos pelo Secretário de Estado de Fazenda. Art. 44. Esta Resolução entra em vigor na data de sua publicação.