Texto: DECRETO Nº 1.427, DE 30 DE ABRIL DE 2025. . Publicado na Edição Extra 02 do DOE de 30/04/2025, p. 02.
Parágrafo único As disposições deste Decreto aplicam-se a todas as atividades de tratamento de dados pessoais realizadas pelos órgãos e entidades do Poder Executivo Estadual, abrangendo as empresas contratadas, independentemente do suporte utilizado, físico ou digital. Art. 2º Para fins deste Decreto, considera-se os seguintes conceitos: I - Controlador: responsável pelas decisões referentes ao tratamento de dados pessoais; II - dados pessoais: informações relacionadas à pessoa natural identificada ou identificável; III - dados sensíveis: dados que revelam origem racial, convicções religiosas, saúde, entre outros; IV - Encarregado de Proteção de Dados (DPO): pessoa designada para atuar como intermediário entre o órgão e a ANPD; V - Operador: agente público, unidade administrativa ou empresa privada contratada que realiza o tratamento de dados pessoais em nome do Controlador, seguindo suas diretrizes e finalidades estabelecidas; VI - Relatório de Impacto à Proteção de Dados (RIPD): documento que avalia riscos e impactos de operações de tratamento de dados. Art. 3º São objetivos deste Decreto: I - garantir a conformidade com a LGPD por meio de políticas, controles e práticas em todas as atividades de tratamento de dados pessoais; II - assegurar que todas as atividades de tratamento de dados estejam em conformidade com as disposições previstas na LGPD; III - estabelecer uma estrutura de governança eficiente para a proteção de dados pessoais; IV - assegurar a transparência e a eficiência no tratamento e na utilização dos dados pessoais; V - fomentar a capacitação e a sensibilização de agentes públicos e usuários em relação à proteção de dados pessoais.
§ 1º O Comitê Técnico de Proteção de Dados Pessoais (CTPD) será coordenado pelo membro representante da SEPLAG.
§ 2º Os membros do Comitê Técnico de Proteção de Dados Pessoais (CTPD) serão indicados pela autoridade máxima dos órgãos ou entidades mencionadas nos incisos do caput deste artigo, no prazo de até 30 (trinta) dias contados da publicação deste Decreto, e nomeados por meio de resolução do Núcleo de Governança Digital, responsável pela governança central da proteção de dados pessoais;
§ 3º O Comitê poderá convidar representantes de órgãos ou entidades públicas e de organizações da sociedade civil para colaborar nas reuniões, sempre que os assuntos da pauta estiverem relacionados à área de atuação desses convidados. Art. 6º Compete ao Comitê Técnico de Proteção de Dados Pessoais (CTPD), responsável pela gestão operacional central da proteção de dados pessoais: I - formular políticas públicas, diretrizes estratégicas e normas relacionadas à proteção de dados pessoais; II - coordenar a implementação de programas de conformidade com a LGPD; III - monitorar indicadores de maturidade em proteção de dados; IV - promover campanhas anuais de conscientização sobre proteção de dados para servidores e cidadãos; V - emitir pareceres técnicos sobre a adequação das práticas de tratamento de dados pessoais; VI - elaborar seu regimento interno; VII - prestar assessoria ao Sistema de Governança Digital em temas relacionados à LGPD; VIII - fornecer suporte técnico à Secretaria Adjunta de Planejamento e Governo Digital/SEPLAG nas situações previstas no art. 7º deste Decreto.
§ 1º O Comitê Técnico de Proteção de Dados Pessoais (CTPD) deverá encaminhar as propostas previstas nos incisos I e VI deste artigo para avaliação do Comitê Executivo de Governo Digital, responsável pela gestão tática central da proteção de dados pessoais e, caso pertinente, submetê-las ao Núcleo de Governança Digital, para posterior publicação de resolução.
§ 2º Caso o CTPD necessite realizar consultas jurídicas ou relacionadas ao controle interno, estas deverão ser encaminhadas, primeiramente, à Secretaria de Estado de Planejamento e Gestão, órgão central de dados e informações. Art. 7º Cabe a Secretaria Adjunta de Planejamento e Governo Digital/SEPLAG, por meio da área central de governança de dados e informações: I - orientar e supervisionar as atividades dos Encarregados de Proteção de Dados (DPOs), assegurando a conformidade com a LGPD; II - apoiar na comunicação (interlocutor) entre o Controlador, os titulares de dados, o Encarregado de Proteção de Dados, a Autoridade Nacional de Proteção de Dados (ANPD) e o Comitê Executivo de Governo Digital.
Parágrafo único O Controlador deve nomear o Encarregado de Proteção de Dados (DPO) e supervisionar a conformidade das operações. Art. 11 Compete ao Operador: I - cumprir as instruções do Controlador; II - adotar e observar medidas técnicas e administrativas de segurança para proteger os dados pessoais tratados; III - colaborar na elaboração do Relatório de Impacto à Proteção de Dados (RIPD), sob orientação do Encarregado de Proteção de Dados; IV - comunicar prontamente incidentes de segurança ao Controlador, por intermédio do Encarregado de Proteção de Dados.
Parágrafo único São atribuições do Encarregado de Proteção de Dados: I - atuar como canal de comunicação entre o Controlador, os titulares de dados, a Secretaria Adjunta de Planejamento e Governo Digital/SEPLAG e a Autoridade Nacional de Proteção de Dados (ANPD); II - monitorar a adoção de providências internas no órgão ou entidade para garantir a conformidade com a LGPD; III - monitorar as operações de tratamento de dados para assegurar a conformidade com a LGPD; IV - propor medidas para a mitigação de riscos relacionados ao tratamento de dados pessoais; V - gerenciar solicitações e reclamações apresentadas por titulares de dados; VI - elaborar o Relatório de Impacto à Proteção de Dados (RIPD), com a colaboração dos operadores; VII - orientar os operadores do órgão ou entidade quanto às melhores práticas a serem tomadas à proteção de dados pessoais; VIII - reportar imediatamente todas as comunicações com a Autoridade Nacional de Proteção de Dados (ANPD) à Secretaria Adjunta de Planejamento e Governo Digital/SEPLAG e ao Comitê Técnico de Proteção de Dados Pessoais (CTPD).