Institui a política de governança de privacidade e proteção de dados pessoais na Defensoria Pública do Estado de Rondônia.
O DEFENSOR PÚBLICO-GERAL DO ESTADO DE RONDÔNIA, no uso de suas atribuições constitucionais e legais, especialmente as conferidas pelo artigo 134 da Constituição Republicana, pela Constituição Estadual, pela Lei Complementar Federal nº 80/1994 e Lei Complementar Estadual nº 117/1994;
CONSIDERANDO o disposto na Lei 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados; na Lei 12.965, de 23 de abril de 2014 – Marco Civil da Internet e na Lei 12.527, de 18 de novembro de 2011 – Lei de Acesso à Informação.
RESOLVE:
SEÇÃO I – DISPOSIÇÕES GERAIS
Art. 1º. Instituir Política de Governança de Privacidade e Proteção de Dados Pessoais no âmbito da Defensoria Pública do Estado de Rondônia.
§1º. A Política de Governança de Privacidade e Proteção de Dados Pessoais será administrada pelo Comitê Gestor de Privacidade e Proteção de Dados Pessoais, que deverá ter composição multidisciplinar e será criado por Regulamento do Defensor Público-Geral.
§2º. A Política de Governança de Privacidade e Proteção de Dados Pessoais disciplina a proteção de dados pessoais nas atividades funcionais e administrativas da Defensoria Pública do Estado de Rondônia, regulando o relacionamento desta com as usuárias e usuários de seus serviços e com os integrantes da instituição, fornecedores e quaisquer terceiros.
Art. 2º. A Política de Governança de Privacidade e Proteção de Dados Pessoais tem por objetivos:
I - incentivar e adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais;
II - instituir mecanismos para identificação e correção de falhas no tratamento de dados de forma eficaz, rápida e adequada;
III - estabelecer relação de confiança com as pessoas titulares de dados pessoais por meio de uma atuação transparente e que lhes assegure mecanismos de participação.
Art. 3º.A Defensoria Pública do Estado de Rondônia, suas unidades e agentes deverão adotar boas práticas e governança capazes de inspirar comportamentos adequados e de mitigar os riscos de comprometimento de dados pessoais e implementar:
I - processos e políticas internas de proteção de dados adaptados à estrutura, à escala e ao volume das operações, bem como à sensibilidade dos dados tratados;
II - medidas de segurança destinadas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, nos termos do art. 46 e seguintes da LGPD;
III - plano de resposta a incidentes;
IV - campanhas informativas visando a disseminar cultura protetiva, com conscientização e sensibilização dos interessados;
V - ações de capacitação sobre a LGPD, destinadas aos integrantes da instituição e colaboradores, com apoio do seu Centro de Estudos.
SEÇÃO II – O TRATAMENTO DOS DADOS PESSOAIS
Art. 4º. O tratamento de dados pessoais pela Defensoria Pública do Estado de Rondônia é realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
§1º. A Defensoria Pública do Estado de Rondônia, considerando o disposto no caput, poderá, no estrito limite de suas funções institucionais, tratar dados pessoais com dispensa de obtenção de consentimento pelas respectivas pessoas titulares, observadas as hipóteses legais de tratamento nos termos da Lei Geral de Proteção de Dados.
§2º. A informação sobre o tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes, ainda que dispensado o consentimento, estará disponível em linguagem clara e simples, com concisão, transparência, inteligibilidade e acessibilidade.
§3º. A informação sobre os tratamentos de dados poderá ser transmitida às usuárias e usuários dos serviços da Defensoria Pública do Estado de Rondônia por qualquer meio disponível, inclusive por sua inserção na declaração de hipossuficiência, por termos ou material gráfico próprio, por e-mails institucionais ou por informações prestadas no atendimento.
Art. 5º. A Defensoria Pública do Estado de Rondônia é a Controladora dos dados pessoais por ela tratados.
Art. 6º. A qualquer tempo, a Defensoria Pública poderá requisitar informações acerca dos dados pessoais confiados aos seus fornecedores e prestadores de serviço, os quais serão considerados Operadores nos termos da Lei Geral de Proteção de Dados, e deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão, mas não se limitarão aos seguintes:
I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pela Defensoria Pública do Estado de Rondônia;
II - apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança para a proteção dos dados pessoais;
III - adotar medidas necessárias para garantir a rastreabilidade e de prova eletrônica a qualquer tempo;
IV - facultar acesso a dados pessoais somente para o pessoal autorizado e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição a Defensoria Pública do Estado de Rondônia, mediante solicitação;
V - auxiliar, em toda providência que estiver ao seu alcance, no atendimento pela Defensoria Pública do Estado de Rondônia de obrigações perante as pessoas titulares de dados pessoais, autoridades competentes ou quaisquer outras(os) legítimas(os) interessadas(os);
VI - comunicar formalmente e de imediato à Defensoria Pública do Estado de Rondônia a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais;
VII - descartar ou devolver para a Defensoria Pública do Estado de Rondônia todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.
Art. 7º. O Defensor Público-Geral editará ato designando o Encarregado pelo Tratamento de Dados Pessoais da Defensoria Pública do Estado de Rondônia, ao qual incumbirá:
I - atuar como canal de comunicação entre a controladora, as(os) titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD);
II - aceitar reclamações e comunicações das(os) titulares, prestar esclarecimentos e adotar providências;
III - receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;
IV - orientar os integrantes da instituição e pessoal terceirizado a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
V - executar as demais atribuições determinadas pela controladora ou estabelecidas em normas complementares.
Art. 8º. Serão publicadas, em lugar de fácil acesso e visualização em seu sítio eletrônico, as seguintes informações sobre a política de governança do tratamento de dados pessoais:
I - a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para tratamento de dados pessoais na instituição;
II - a identificação da Controladora; e
III - o nome do Encarregado pelo Tratamento de Dados Pessoais da Defensoria Pública do Estado de Rondônia e o contato deste.
Art. 9º. O Encarregado e o Comitê Gestor de Privacidade e Proteção de Dados Pessoais deverão manter o Defensor Público-Geral a par de aspectos e fatos significativos e de interesse para conhecimento pelas instâncias respectivas.
Art. 10. O Encarregado pelo Tratamento de Dados Pessoais deverá elaborar, anualmente, um Relatório de Impacto de Proteção de Dados Pessoais, identificando vulnerabilidades e respectivos Planos de Ação.
SEÇÃO III - DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 11. A Defensoria Pública do Estado de Rondônia deverá adotar as seguintes medidas voltadas à implantação interna da Lei Geral de Proteção de Dados:
I - mapeamento de todos os processos de tratamento de dados pessoais da instituição;
II - análise da compatibilidade dos processos com a Lei Geral de Proteção de Dados Pessoais;
III - elaboração de um cronograma de adequação de processos, sistemas e documentos internos.
Art. 12. Serão estabelecidos os meios para que a pessoa titular do dado pessoal possa, no que couber, exercer os direitos assegurados pelos artigos 18 e 19 da LGPD.
Art. 13. A Política de Governança de Privacidade e Proteção de Dados Pessoais deve ser revista anualmente, em razão da edição ou alteração de leis e/ou regulamentos relevantes e da análise de risco em Relatório de Impacto de Proteção de Dados Pessoais que indique a necessidade de modificação no documento para readequação da organização visando a prevenir ou mitigar riscos relevantes.
Art. 14. Deverão ser observadas as condições determinadas pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade e pela Autoridade Nacional de Proteção de Dados, na forma da legislação e regulamentação vigentes.
Art. 15. Esta Resolução entra em vigor na data da sua publicação.
HANS LUCAS IMMICH
Defensor Público-Geral do Estado