Legislação Tributária
OUTROS

Ato: Decreto

Número/Complemento	Assinatura	Publicação	Pág. D.O.	Início da Vigência	Início dos Efeitos
1427/2025	04/30/2025	04/30/2025	2	30/04/2025	30/04/2025

Ementa:

Regulamenta a Proteção de Dados Pessoais no âmbito do Poder Executivo do Estado de Mato Grosso, em consonância com a Lei Federal nº 13.709, de 14 de agosto de 2018, que estabelece a Lei Geral de Proteção de Dados Pessoais (LGPD), e dá outras providências.

Assunto:

Lei Geral de Proteção de Dados Pessoais (LGPD).
Comitê Técnico de Proteção de Dados Pessoais (CTPD

Alterou/Revogou:
Alterado por/Revogado por:
Observações:

Nota Explicativa:
Nota: " Os documentos contidos nesta base de dados têm caráter meramente informativo. Somente os textos publicados no Diário Oficial estão aptos à produção de efeitos legais."

Texto:
DECRETO Nº 1.427, DE 30 DE ABRIL DE 2025.
. Publicado na Edição Extra 02 do DOE de 30/04/2025, p. 02.

O GOVERNADOR DO ESTADO DE MATO GROSSO, no uso da atribuição que lhe confere o art. 66, inciso III, da Constituição Estadual, tendo em vista o que consta no Processo SEPLAG-PRO-2025/03793, e

CONSIDERANDO a Lei Federal nº 13.709, de 14 de agosto de 2018, que estabelece a Lei Geral de Proteção de Dados Pessoais - LGPD;

CONSIDERANDO o Decreto Estadual nº 806, de 22 de janeiro de 2021, que regulamenta a aplicação da Lei Federal nº 12.527, de 18 de novembro de 2011 (acesso às informações), no âmbito do Poder Executivo; e

CONSIDERANDO o Decreto Estadual nº 951, de 20 de maio de 2021, que institui o Sistema de Governança Digital no Poder Executivo Estadual,

DECRETA:

Seção I
Disposições Gerais

Art. 1º Este Decreto regulamenta a proteção de dados pessoais no âmbito do Poder Executivo do Estado de Mato Grosso, estabelecendo diretrizes, responsabilidades e ações necessárias para a adequação à Lei Federal nº 13.709, de 14 de agosto de 2018, que institui a Lei Geral de Proteção de Dados Pessoais (LGPD).

Parágrafo único As disposições deste Decreto aplicam-se a todas as atividades de tratamento de dados pessoais realizadas pelos órgãos e entidades do Poder Executivo Estadual, abrangendo as empresas contratadas, independentemente do suporte utilizado, físico ou digital.

Art. 2º Para fins deste Decreto, considera-se os seguintes conceitos:
I - Controlador: responsável pelas decisões referentes ao tratamento de dados pessoais;
II - dados pessoais: informações relacionadas à pessoa natural identificada ou identificável;
III - dados sensíveis: dados que revelam origem racial, convicções religiosas, saúde, entre outros;
IV - Encarregado de Proteção de Dados (DPO): pessoa designada para atuar como intermediário entre o órgão e a ANPD;
V - Operador: agente público, unidade administrativa ou empresa privada contratada que realiza o tratamento de dados pessoais em nome do Controlador, seguindo suas diretrizes e finalidades estabelecidas;
VI - Relatório de Impacto à Proteção de Dados (RIPD): documento que avalia riscos e impactos de operações de tratamento de dados.

Art. 3º São objetivos deste Decreto:
I - garantir a conformidade com a LGPD por meio de políticas, controles e práticas em todas as atividades de tratamento de dados pessoais;
II - assegurar que todas as atividades de tratamento de dados estejam em conformidade com as disposições previstas na LGPD;
III - estabelecer uma estrutura de governança eficiente para a proteção de dados pessoais;
IV - assegurar a transparência e a eficiência no tratamento e na utilização dos dados pessoais;
V - fomentar a capacitação e a sensibilização de agentes públicos e usuários em relação à proteção de dados pessoais.

Seção II
Das Diretrizes para Proteção de Dados Pessoais

Art. 4º São diretrizes para proteção de dados pessoais no âmbito do Poder Executivo Estadual:
I - adequar os processos internos às disposições da LGPD e às normas complementares emitidas pela Autoridade Nacional de Proteção de Dados - ANPD;
II - manter um programa contínuo de capacitação, com treinamentos anuais direcionados à proteção de dados pessoais para agentes públicos;
III - garantir a conformidade com o princípio da segurança da informação em todas as operações de tratamento de dados;
IV - realizar avaliações semestrais utilizando indicadores definidos pelo Comitê Técnico de Proteção de Dados Pessoais (CTPD), incluindo políticas de segurança implantadas e a eficiência na resposta a incidentes;
V - disponibilizar canais de acesso transparentes e acessíveis para que os titulares acompanhem o uso de seus dados pessoais;
VI - assegurar que a proteção de dados pessoais seja integrada a todos os projetos desde a fase de concepção, incluindo aqueles que envolvem o uso de inteligência artificial, com regulamentação específica para a mitigação de impactos éticos.

Seção III
Da Governança em Privacidade

Art. 5º Fica instituído o Comitê Técnico de Proteção de Dados Pessoais (CTPD), vinculado ao Comitê Executivo de Governo Digital, composto por membros dos seguintes órgãos e entidades:
I - Secretaria de Estado de Planejamento e Gestão - SEPLAG;
II - Controladoria Geral do Estado - CGE;
III - Secretaria de Estado de Fazenda - SEFAZ;
IV - Procuradoria-Geral do Estado - PGE, representada pela SubProcuradoria-Geral da Secretaria de Planejamento e Gestão;
V - Empresa Mato-Grossense de Tecnologia da Informação - MTI.

§ 1º O Comitê Técnico de Proteção de Dados Pessoais (CTPD) será coordenado pelo membro representante da SEPLAG.

§ 2º Os membros do Comitê Técnico de Proteção de Dados Pessoais (CTPD) serão indicados pela autoridade máxima dos órgãos ou entidades mencionadas nos incisos do caput deste artigo, no prazo de até 30 (trinta) dias contados da publicação deste Decreto, e nomeados por meio de resolução do Núcleo de Governança Digital, responsável pela governança central da proteção de dados pessoais;

§ 3º O Comitê poderá convidar representantes de órgãos ou entidades públicas e de organizações da sociedade civil para colaborar nas reuniões, sempre que os assuntos da pauta estiverem relacionados à área de atuação desses convidados.

Art. 6º Compete ao Comitê Técnico de Proteção de Dados Pessoais (CTPD), responsável pela gestão operacional central da proteção de dados pessoais:
I - formular políticas públicas, diretrizes estratégicas e normas relacionadas à proteção de dados pessoais;
II - coordenar a implementação de programas de conformidade com a LGPD;
III - monitorar indicadores de maturidade em proteção de dados;
IV - promover campanhas anuais de conscientização sobre proteção de dados para servidores e cidadãos;
V - emitir pareceres técnicos sobre a adequação das práticas de tratamento de dados pessoais;
VI - elaborar seu regimento interno;
VII - prestar assessoria ao Sistema de Governança Digital em temas relacionados à LGPD;
VIII - fornecer suporte técnico à Secretaria Adjunta de Planejamento e Governo Digital/SEPLAG nas situações previstas no art. 7º deste Decreto.

§ 1º O Comitê Técnico de Proteção de Dados Pessoais (CTPD) deverá encaminhar as propostas previstas nos incisos I e VI deste artigo para avaliação do Comitê Executivo de Governo Digital, responsável pela gestão tática central da proteção de dados pessoais e, caso pertinente, submetê-las ao Núcleo de Governança Digital, para posterior publicação de resolução.

§ 2º Caso o CTPD necessite realizar consultas jurídicas ou relacionadas ao controle interno, estas deverão ser encaminhadas, primeiramente, à Secretaria de Estado de Planejamento e Gestão, órgão central de dados e informações.

Art. 7º Cabe a Secretaria Adjunta de Planejamento e Governo Digital/SEPLAG, por meio da área central de governança de dados e informações:
I - orientar e supervisionar as atividades dos Encarregados de Proteção de Dados (DPOs), assegurando a conformidade com a LGPD;
II - apoiar na comunicação (interlocutor) entre o Controlador, os titulares de dados, o Encarregado de Proteção de Dados, a Autoridade Nacional de Proteção de Dados (ANPD) e o Comitê Executivo de Governo Digital.

Seção IV
Do Comitê Setorial de Proteção de Dados

Art. 8º Cada órgão ou entidade deverá instituir um Comitê Setorial de Proteção de Dados Pessoais (CSPD), responsável pela gestão operacional setorial da proteção de dados pessoais, com as seguintes atribuições:
I - mapear os processos que envolvem o tratamento de dados pessoais e dados sensíveis, utilizando modelos de fluxo de trabalho aprovados pelo Comitê Técnico de Proteção de Dados Pessoais (CTPD);
II - identificar pontos críticos nos processos mapeados, priorizando riscos à privacidade e sugerir medidas mitigadoras;
III - exigir o Relatório de Impacto à Proteção de Dados (RIPD) atualizado para atividades que representem alto risco aos direitos dos titulares;
IV - apoiar ações de resposta a incidentes no âmbito do órgão ou entidade, com suporte técnico do CTPD, quando necessário;
V - prestar assessoria em todas as questões relacionadas à proteção de dados pessoais;
VI - supervisionar a execução dos planos, projetos e ações, garantindo a conformidade com a LGPD.

Subseção I
Dos Agentes de Tratamento de Dados

Art. 9º São agentes de tratamento de dados do órgão ou entidade, o Controlador e o Operador, com as seguintes responsabilidades gerais:
I - cumprir as normas da LGPD e as diretrizes estabelecidas por este Decreto;
II - implementar medidas de segurança adequadas à proteção de dados pessoais;
III - colaborar com auditorias e inspeções relacionadas à proteção de dados pessoais.

Art. 10 Compete ao Controlador, representado pela autoridade máxima do órgão ou entidade:
I - assegurar o cumprimento das normas de proteção de dados no órgão ou entidade;
II - aprovar o Relatório de Impacto à Proteção de Dados (RIPD), com o apoio do Encarregado de Proteção de Dados ou de outros profissionais especializados.

Parágrafo único O Controlador deve nomear o Encarregado de Proteção de Dados (DPO) e supervisionar a conformidade das operações.

Art. 11 Compete ao Operador:
I - cumprir as instruções do Controlador;
II - adotar e observar medidas técnicas e administrativas de segurança para proteger os dados pessoais tratados;
III - colaborar na elaboração do Relatório de Impacto à Proteção de Dados (RIPD), sob orientação do Encarregado de Proteção de Dados;
IV - comunicar prontamente incidentes de segurança ao Controlador, por intermédio do Encarregado de Proteção de Dados.

Subseção II
Do Encarregado de Proteção de Dados (DPO)

Art. 12 Compete ao Encarregado de Proteção de Dados (DPO - Data Protection Officer) do órgão ou entidade desempenhar suas funções com qualificação compatível às responsabilidades de suas atribuições, garantindo a conformidade com a legislação vigente.

Parágrafo único São atribuições do Encarregado de Proteção de Dados:
I - atuar como canal de comunicação entre o Controlador, os titulares de dados, a Secretaria Adjunta de Planejamento e Governo Digital/SEPLAG e a Autoridade Nacional de Proteção de Dados (ANPD);
II - monitorar a adoção de providências internas no órgão ou entidade para garantir a conformidade com a LGPD;
III - monitorar as operações de tratamento de dados para assegurar a conformidade com a LGPD;
IV - propor medidas para a mitigação de riscos relacionados ao tratamento de dados pessoais;
V - gerenciar solicitações e reclamações apresentadas por titulares de dados;
VI - elaborar o Relatório de Impacto à Proteção de Dados (RIPD), com a colaboração dos operadores;
VII - orientar os operadores do órgão ou entidade quanto às melhores práticas a serem tomadas à proteção de dados pessoais;
VIII - reportar imediatamente todas as comunicações com a Autoridade Nacional de Proteção de Dados (ANPD) à Secretaria Adjunta de Planejamento e Governo Digital/SEPLAG e ao Comitê Técnico de Proteção de Dados Pessoais (CTPD).

Seção V
Das Auditorias e das Respostas a Incidentes

Art. 13 A Controladoria Geral do Estado (CGE) deverá realizar auditorias anuais para verificar a conformidade das atividades de tratamento de dados pessoais com a Lei Geral de Proteção de Dados (LGPD) e com as disposições deste Decreto, utilizando critérios definidos pelo Comitê Técnico de Proteção de Dados Pessoais (CTPD).

Art. 14 Em caso de incidente de segurança envolvendo dados pessoais, o Encarregado de Proteção de Dados deve comunicar imediatamente à Secretaria Adjunta de Planejamento e Governo Digital/SEPLAG, aos titulares afetados, o Comitê Técnico de Proteção de Dados Pessoais (CTPD) e a Autoridade Nacional de Proteção de Dados (ANPD), além de implementar medidas corretivas necessárias.

Seção VI
Das Disposições Finais

Art. 15 O descumprimento das obrigações contidas neste Decreto sujeita o infrator às sanções previstas no art. 52 da Lei Geral de Proteção de Dados (LGPD), bem como às penalidades disciplinares previstas em lei.

Art. 16 Este Decreto aplica-se, no que couber, às empresas públicas e sociedades de economia mista estaduais, que deverão estabelecer, monitorar e revisar suas políticas de proteção de dados pessoais por meio de ato próprio, aprovado pelos respectivos Conselhos de Administração.

Art. 17 O Comitê Técnico de Proteção de Dados Pessoais (CTPD) apresentará, mediante anuência do Comitê Executivo de Governo Digital, Resolução Técnica contendo o plano de trabalho sobre proteção de dados ao Núcleo de Governança Digital e à Secretaria de Estado de Planejamento e Gestão, no prazo de até 30 (trinta) dias, a contar da publicação deste Decreto.

Art. 18 A Secretaria de Estado de Planejamento e Gestão, órgão central de dados e de informação, será responsável por dirimir os casos omissos e poderá expedir normas complementares que se fizerem necessárias ao fiel cumprimento deste Decreto.

Art. 19 Este Decreto entra em vigor na data de sua publicação.

Palácio Paiaguás em Cuiabá, 30 de abril de 2025, 204º da Independência e 137º da República.

MAURO MENDES
Governador do Estado

FABIO GARCIA
Secretário-Chefe da Casa Civil

BASILIO BEZERRA GUIMARÃES DOS SANTOS
Secretário de Estado de Planejamento e Gestão

ROGÉRIO LUIZ GALLO
Secretário de Estado de Fazenda

PAULO FARIAS NAZARETH NETTO
Secretário Controlador-Geral do Estado

FRANCISCO DE ASSIS DA SILVA LOPES
Procurador-Geral do Estado