Decreto 65347/20 | Decreto nº 65.347, de 9 de dezembro de 2020 de São Paulo
Dispõe sobre a aplicação da Lei federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), no âmbito do Estado de São Paulo Ver tópico (1 documento)
JOÃO DORIA, GOVERNADOR DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais, Decreta:
CAPÍTULO I
Disposição Inicial
Artigo 1º - Este decreto dispõe sobre a aplicação da Lei federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), no âmbito do Estado de São Paulo. Ver tópico
CAPÍTULO II
Do Controlador de Dados Pessoais
SEÇÃO I
Da Indicação
Artigo 2º - As decisões referentes ao tratamento de dados pessoais, no âmbito da Administração Pública Direta, cabem ao Estado de São Paulo, que exercerá as atribuições de controlador por intermédio dos Secretários de Estado e do Procurador Geral do Estado, respeitadas suas respectivas competências e campos funcionais. Ver tópico
SEÇÃO II
Do Comitê Gestor de Governança de Dados e Informações
Artigo 3º - O Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, instituído pelo Decreto nº 64.790, de 13 de fevereiro de 2020 , é responsável por auxiliar o controlador no desempenho das seguintes atividades: Ver tópico
I - monitoramento de dados pessoais e de fluxos das respectivas operações de tratamento; Ver tópico
II - análise de risco; Ver tópico
III - elaboração e atualização da Política de Proteção de Dados Pessoais; Ver tópico
IV - exame das propostas de adaptação à Política de Proteção de Dados Pessoais, elaboradas na forma prevista no artigo 5º deste decreto. Ver tópico
Parágrafo único - As atividades de que trata o "caput" deste artigo poderão ser desempenhadas por intermédio dos subcomitês a que alude a alínea e do inciso V do artigo 5º do Decreto nº 64.790, de 13 de fevereiro de 2020. Ver tópico
SEÇÃO III
Da Política de Proteção de Dados Pessoais
Artigo 4º - A Política de Proteção de Dados Pessoais, a que alude o inciso III do artigo 3º deste decreto, corresponde à compilação de regras de boas práticas e de governança para tratamento de dados pessoais, de observância obrigatória pelos órgãos e entidades da Administração Pública, devendo conter, no mínimo: Ver tópico
I - descrição das condições de organização, de funcionamento e dos procedimentos de tratamento, abrangendo normas de segurança, padrões técnicos, mecanismos internos de supervisão e de mitigação de riscos, plano de resposta a incidentes de segurança, bem como obrigações específicas para os agentes envolvidos no tratamento e ações educativas aplicáveis; Ver tópico
II - indicação da forma de publicidade das operações de tratamento, preferencialmente em espaço específico nos respectivos sítios eletrônicos oficiais, respeitadas as recomendações da autoridade nacional; Ver tópico
III - enumeração dos meios de manutenção de dados em formato interoperável e estruturado, para seu uso compartilhado e acesso das informações pelo público em geral, nos termos das Leis federais nº 12.527, de 18 de novembro de 2011, e nº 13.709, de 14 de agosto de 2018. Ver tópico
Artigo 5º - Os órgãos e entidades da Administração Pública poderão, motivadamente, promover adaptações à Política de Proteção de Dados Pessoais, conforme as respectivas especificidades. Ver tópico
Parágrafo único - As propostas de adaptação elaboradas nos termos do "caput" deste artigo deverão ser submetidas à análise do Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo. Ver tópico
CAPÍTULO III
Do Encarregado de Dados Pessoais
SEÇÃO I
Da Designação
Artigo 6º - Fica designado o Ouvidor Geral como encarregado da proteção de dados pessoais no âmbito da Administração Pública Direta do Estado de São Paulo. Ver tópico
§ 1º - A identidade e as informações de contato do encarregado serão divulgadas no sítio eletrônico da Central de Dados do Estado de São Paulo - CDESP. Ver tópico
§ 2º - O disposto no "caput" deste artigo não impede que os órgãos da Administração Pública indiquem, em seus respectivos âmbitos, para desempenhar, em interlocução com o encarregado, as atividades a que aludem os incisos I e III do § 2º do artigo 41 da Lei federal nº 13.709, de 14 de agosto de 2018, respectivamente: Ver tópico
1. os Serviços de Informações ao Cidadão - SIC, criados pelo artigo 7º do Decreto nº 58.052, de 16 de maio de 2012;
2. as Comissões de Avaliação de Documentos e Acesso - CADA, de que trata a Seção III do Capítulo II do Decreto nº 58.052, de 16 de maio de 2012 .
Artigo 7º - O encarregado deverá receber o apoio necessário para o desempenho de suas funções, bem como ter acesso motivado a todas as operações de tratamento de dados pessoais no âmbito da Administração Pública Direta. Ver tópico
Artigo 8º - As entidades da Administração Pública Indireta, respeitada sua autonomia, e observadas as disposições da Lei federal nº 13.709, de 14 de agosto de 2018, mediante ato próprio, deverão indicar seus respectivos encarregados e observar o disposto nos artigos 4º e 5º deste decreto. Ver tópico
Parágrafo único - Os encarregados designados em conformidade com o disposto no "caput" deste artigo deverão desempenhar suas atribuições em articulação com o Ouvidor Geral. Ver tópico
SEÇÃO II
Das Atribuições
Artigo 9º - Além das atribuições de que trata o § 2º do artigo 41 da Lei federal nº 13.709, de 14 de agosto de 2018, cabe ao encarregado: Ver tópico
I - elaborar relatórios de impacto à proteção de dados pessoais; Ver tópico
II - adotar as medidas necessárias à publicação dos relatórios de impacto à proteção de dados pessoais, na forma solicitada pela autoridade nacional; Ver tópico
III - receber e encaminhar ao órgão interessado para adoção das providências pertinentes: Ver tópico
a) as sugestões direcionadas ao Estado, nos termos do artigo 32 da Lei federal nº 13.709, de 14 de agosto de 2018; Ver tópico
b) o informe de que trata o artigo 31 da Lei federal nº 13.709, de 14 de agosto de 2018; Ver tópico
IV - recomendar, aos encarregados designados pelas entidades integrantes da Administração Pública Indireta, a elaboração de propostas de adequação à Política de Proteção de Dados Pessoais, noticiando eventual omissão ao respectivo órgão de vinculação; Ver tópico
V - executar as demais atribuições estabelecidas em normas complementares. Ver tópico
Parágrafo único - As providências de que tratam os incisos I a IV deste artigo serão comunicadas ao controlador de dados pessoais, por intermédio do Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo. Ver tópico
Artigo 10 - Mediante requisição do encarregado, os órgãos e, quando cabível, as entidades da Administração Pública, deverão encaminhar, no prazo assinalado, as informações eventualmente necessárias para atender solicitação da autoridade nacional. Ver tópico
Artigo 11 - Cabe aos Chefes de Gabinete das Secretarias de Estado e da Procuradoria Geral do Estado, no âmbito dos respectivos órgãos: Ver tópico
I - observar as recomendações e atender as requisições encaminhadas pelo encarregado; Ver tópico
II - encaminhar ao encarregado no prazo assinalado: Ver tópico
a) informações solicitadas pela autoridade nacional, nos termos do artigo 29 da Lei federal nº 13.709, 14 de agosto de 2018; Ver tópico
b) relatórios de impacto à proteção de dados pessoais, ou informações necessárias à sua elaboração; Ver tópico
III - assegurar que o encarregado seja informado, de forma adequada e em tempo hábil, sobre: Ver tópico
a) o tratamento e o uso compartilhado de dados pessoais necessários à execução de políticas públicas previstas em normas legais e regulamentares ou respaldadas em contratos, convênios ou instrumentos congêneres; Ver tópico
b) a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais. Ver tópico
Artigo 12 - Os requerimentos do titular de dados, formulados nos termos do artigo 18 da Lei federal nº 13.709, de 14 de agosto de 2018, serão direcionados ao encarregado, e deverão observar os prazos e procedimentos previstos na Lei federal nº 12.527, de 18 de novembro de 2011. Ver tópico
Parágrafo único - Os requerimentos de que trata o "caput" deste artigo serão respondidos pelo encarregado, com o apoio técnico da Coordenadoria de Tecnologia da Informação e Comunicação - COORTIC, da Subsecretaria de Serviços ao Cidadão, Tecnologia e Inovação - SSCTI, da Secretaria de Governo. Ver tópico
CAPÍTULO IV
Das Disposições Finais
Artigo 13 - Cabe à Secretaria de Governo, por meio da Coordenadoria de Tecnologia da Informação e Comunicação - COORTIC da Subsecretaria de Serviços ao Cidadão, Tecnologia e Inovação - SSCTI: Ver tópico
I - fornecer, ao Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, os subsídios técnicos necessários para elaboração e monitoramento de diretrizes gerais relativas às operações de tratamento de dados pessoais; Ver tópico
II - orientar, sob o aspecto tecnológico, as Secretarias de Estado e a Procuradoria Geral do Estado na implantação, em seus respectivos âmbitos, da Política de Proteção de Dados Pessoais, em conformidade com as diretrizes gerais deliberadas pelo Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, ouvido o Conselho Estadual de Tecnologia da Informação e Comunicação - COETIC. Ver tópico
Artigo 14 - Fica extinto o Comitê de Governança Digital do Programa SP Sem Papel, instituído pelo artigo 13 do Decreto nº 64.355, de 31 de julho de 2019 , e suas atribuições, transferidas ao Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, instituído pelo Decreto nº 64.790, de 13 de fevereiro de 2020. Ver tópico
Artigo 15 - A Corregedoria Geral da Administração, respeitadas suas atribuições, acompanhará o cumprimento do disposto neste decreto. Ver tópico
Artigo 16 - Os Secretários de Estado e o Procurador Geral do Estado poderão, mediante atos próprios, expedir normas complementares necessárias à execução deste decreto. Ver tópico
Artigo 17 - Os representantes da Fazenda do Estado perante as empresas por este controladas adotarão providências visando à aplicação do disposto neste decreto, no que couber, a essas entidades. Ver tópico
Artigo 18 - Este decreto e suas disposições transitórias entram em vigor na data de sua publicação, revogadas as disposições em contrário, em especial, do Decreto nº 64.355, de 31 de julho de 2019 : Ver tópico
I - o parágrafo único do artigo 13; Ver tópico
II - o artigo 14; Ver tópico
III - o inciso I do artigo 15. Ver tópico
Disposições Transitórias
Artigo 1º - As Secretarias de Estado e a Procuradoria Geral do Estado deverão, em relação aos bancos de dados e informações pessoais, estruturados ou não, em suporte físico ou eletrônico, sob sua responsabilidade: Ver tópico
I - atribuir fundamento legal para tratamento dos dados; Ver tópico
II - indicar: Ver tópico
a) a finalidade do tratamento; Ver tópico
b) a existência de compartilhamento dos dados e respectivo instrumento; Ver tópico
c) o local em que se encontram custodiados ou armazenados. Ver tópico
Parágrafo único - Os órgãos a que se refere o "caput" deverão comprovar, ao encarregado designado no artigo 6º deste decreto, a observância do disposto neste artigo. Ver tópico
Artigo 2º - As entidades da Administração Pública Indireta deverão apresentar, ao encarregado designado no artigo 6º deste decreto, no prazo de 90 (noventa) dias contado da publicação deste decreto, o respectivo plano de conformidade às disposições da Lei federal nº 13.709, de 14 de agosto de 2018. Ver tópico
Palácio dos Bandeirantes, 9 de dezembro de 2020
JOÃO DORIA
Publicado em: 10/12/2020 Atualizado em: 10/12/2020 13:06 65.347.docx
Comentários