DECRETO Nº 48.237, DE 22 DE JULHO DE 2021.
Dispõe sobre a aplicação da
Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados
Pessoais – LGPD, no âmbito da Administração Pública direta e indireta do Poder
Executivo.
(Publicação
– Diário do Executivo – “Minas Gerais” – 23/07/2021)
O GOVERNADOR
DO ESTADO DE MINAS GERAIS, no uso de
atribuição que lhe confere o inciso VII do art. 90 da Constituição do Estado e
tendo em vista o disposto na Lei Federal nº 13.709, de 14 de agosto de 2018,
DECRETA:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º – Este
decreto dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018,
Lei Geral de Proteção de Dados Pessoais – LGPD, no âmbito da Administração
Pública direta e indireta do Poder Executivo, estabelecendo competências,
procedimentos e providências a serem observados por seus órgãos e entidades,
visando garantir a proteção de dados pessoais.
Art. 2º – Para os
fins deste decreto, considera-se:
I – dado pessoal:
informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal
sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético
ou biométrico, quando vinculado a uma pessoa natural;
III – dado
anonimizado: dado relativo a titular que não possa ser
identificado, considerando a utilização de meios técnicos razoáveis e
disponíveis na ocasião de seu tratamento;
IV – banco de dados:
conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais
em suporte eletrônico ou físico;
V – titular: pessoa
natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador:
pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais;
VII – operador:
pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;
VIII – encarregado:
pessoa indicada pelo controlador e operador como canal de comunicação entre o
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de
Dados – ANPD;
IX – agentes de
tratamento: o controlador e o operador;
X – tratamento: toda
operação realizada com dados pessoais, como as que se referem à coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação
ou controle da informação, modificação, comunicação, transferência, difusão ou
extração;
XI – anonimização:
utilização de meios técnicos razoáveis e disponíveis no momento do tratamento,
por meio dos quais um dado perde a possibilidade de associação, direta ou
indireta, a um indivíduo;
XII – consentimento:
manifestação livre, informada e inequívoca pela qual o titular dos dados concorda
com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII – bloqueio:
suspensão temporária de qualquer operação de tratamento, mediante guarda do
dado pessoal ou do banco de dados;
XIV – eliminação:
exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente
do procedimento empregado;
XV – transferência
internacional de dados: transferência de dados pessoais para país estrangeiro ou
organismo internacional do qual o país seja membro;
XVI – uso
compartilhado de dados: comunicação, difusão, transferência internacional,
interconexão de dados pessoais ou tratamento compartilhado de bancos de dados
pessoais por órgãos e entidades públicos no cumprimento de suas competências
legais, ou entre esses e entes privados, reciprocamente, com autorização
específica, para uma ou mais modalidades de tratamento permitidas por esses
entes públicos, ou entre entes privados;
XVII – relatório de
impacto à proteção de dados pessoais: documentação do controlador que contém a
descrição dos processos de tratamento de dados pessoais que podem gerar riscos
às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas
e mecanismos de mitigação de risco;
XVIII – órgão de
pesquisa: órgão ou entidade da Administração Pública direta ou indireta ou
pessoa jurídica de direito privado sem fins lucrativos legalmente constituída
sob as leis brasileiras, com sede e foro no País, que inclua em sua missão
institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada
de caráter histórico, científico, tecnológico ou estatístico;
XIX – Autoridade
Nacional de Proteção de Dados: órgão da Administração Pública federal
responsável por zelar, implementar e fiscalizar o cumprimento da Lei Federal nº
13.709, de 2018, em todo o território nacional;
XX – Comitê Estadual
de Proteção de Dados Pessoais: órgão consultivo na área de proteção de dados
pessoais no âmbito da Administração Pública direta e indireta do Poder
Executivo;
XXI – plano de
adequação: conjunto das regras de boas práticas e de governança de dados
pessoais, que estabeleçam as condições de organização, o regime de
funcionamento, os procedimentos, as normas de segurança, os padrões técnicos,
as obrigações específicas para os diversos agentes envolvidos no tratamento, as
ações educativas, os mecanismos internos de supervisão e de mitigação de
riscos, o plano de respostas a incidentes de segurança e outros aspectos
relacionados ao tratamento de dados pessoais.
Art. 3º – As
atividades de tratamento de dados pessoais pelos órgãos e pelas entidades da
Administração Pública do Poder Executivo deverão observar a boa-fé e os
seguintes princípios:
I – finalidade:
realização do tratamento para propósitos legítimos, específicos, explícitos e
informados ao titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades;
II – adequação:
compatibilidade do tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;
III – necessidade:
limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso:
garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a
duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos
dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização
dos dados, de acordo com a necessidade e para o cumprimento da finalidade de
seu tratamento;
VI – transparência:
garantia aos titulares, de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial;
VII – segurança:
utilização de medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção:
adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento
de dados pessoais;
IX – não
discriminação: impossibilidade de realização do tratamento para fins
discriminatórios ilícitos ou abusivos;
X – responsabilização
e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes
e capazes de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO II
DO COMITÊ ESTADUAL DE PROTEÇÃO DE
DADOS PESSOAIS
Art. 4º – Fica criado
o Comitê Estadual de Proteção de Dados Pessoais – CEPD, órgão colegiado consultivo
na área de proteção de dados pessoais no âmbito da Administração Pública direta
e indireta do Poder Executivo, orientado pelo disposto na Lei Federal nº
13.709, de 2018.
Parágrafo único – O
CEPD subordina-se administrativamente à Secretaria de Estado de Planejamento e
Gestão – Seplag.
Art. 5º – Compete ao
CEPD:
I – zelar pela
proteção dos dados pessoais, sendo uma referência para os órgãos e as entidades
no âmbito do Estado e nos termos da legislação;
II – propor
diretrizes estratégicas e fornecer subsídios para uma Política Estadual de
Proteção de Dados Pessoais;
III – orientar a
elaboração de Plano, com ações de curto, médio e longo prazo para a adequação à
Lei Geral de Proteção de Dados, no âmbito da Administração Pública direta,
autárquica e fundacional, de acordo com orientações básicas previstas em
regimento interno;
IV – articular
tecnicamente com especialistas de outros entes, universidades e com outras
instituições de atuação técnica e institucional com a temática, para o
diagnóstico e proposição de soluções para implantação da política referida no
inciso II;
V – promover, entre
os agentes públicos estaduais, a difusão do conhecimento das normas e medidas
de segurança sobre proteção de dados pessoais;
VI – promover e
elaborar estudos sobre as práticas nacionais e internacionais de proteção de
dados pessoais e privacidade;
VII – formular
orientações sobre a indicação do encarregado pelo tratamento dos dados pessoais
no âmbito da Administração Pública direta, autárquica e fundacional;
VIII – orientar a
rede de encarregados responsáveis pela implementação da Política Estadual de Proteção
de Dados Pessoais;
IX – orientar os
agentes de tratamento da Administração Pública direta e indireta do Poder Executivo
a respeito das práticas a serem tomadas em relação à proteção de dados
pessoais;
X – produzir e manter
atualizados manuais de orientação para implementação da Política Estadual de
Proteção de Dados Pessoais e modelos de documentos, assim como capacitações
para os agentes públicos;
XI – estimular a
adoção de padrões para o tratamento e a proteção de dados pelos órgãos e pelas entidades
da Administração Pública do Poder Executivo;
XII – disponibilizar
canal de comunicação com os órgãos e as entidades do Estado;
XIII – realizar ações
de cooperação com a ANPD, visando ao cumprimento das suas diretrizes no âmbito
estadual;
XIV – fornecer orientações para padronização de cláusulas nos
instrumentos contratuais administrativos, contemplando o tratamento de dados
pessoais, resguardadas as competências da Advocacia-Geral do Estado – AGE;
XV – recomendar a
publicação dos relatórios de impacto à proteção de dados pessoais previstos no
art. 32 da Lei Federal nº 13.709, de 2018;
XVI – recomendar a
elaboração de planos de adequação relativos à proteção de dados pessoais ao encarregado
das empresas públicas, sociedades de economia mista e subsidiárias e empresas
controladas direta ou indiretamente pelo Estado, informando eventual ausência
ao gestor ou responsável pelo controle da entidade, para as providências
pertinentes;
XVII – monitorar a
aplicação do disposto neste decreto.
§ 1º – O CEPD deverá
obedecer ao disposto na Lei Federal nº 12.527, de 18 de novembro de 2011, Lei
de Acesso à Informação, e no Decreto nº 45.969, de 24 de maio de 2012, buscando
solução razoável para casos de potencial conflito entre as normas, resguardadas
as competências da AGE.
§ 2º – O CEPD, no
exercício das competências dispostas no caput, deverá zelar pela preservação das
hipóteses legais de sigilo, segredo de justiça e segredo industrial ou
empresarial.
§ 3º – O CEPD
articulará sua atuação com outros órgãos e entidades com competências afetas à matéria
de proteção de dados pessoais e será unidade integrante da Seplag, para
interpretação da Lei Federal nº 13.709, de 2018, e estabelecimento de
orientações para a sua implementação na Administração Pública do Poder
Executivo.
Art. 6º – É
assegurada autonomia técnica ao CEPD, observadas as diretrizes da ANPD e o
disposto na Lei Federal nº 13.709, de 2018.
Art. 7º – Integram o
CEPD os membros indicados pelos dirigentes máximos dos seguintes órgãos e
empresa pública:
I – Secretaria de
Estado de Planejamento e Gestão – Seplag;
II –
Controladoria-Geral do Estado – CGE;
III – Secretaria de
Estado de Fazenda – SEF;
IV – Advocacia-Geral
do Estado – AGE;
V – Companhia de
Tecnologia da Informação do Estado de Minas Gerais – Prodemge.
§ 1º – O CEPD terá os
recursos técnicos e operacionais necessários ao desempenho de suas funções e à
manutenção dos seus conhecimentos, além de acesso motivado às operações de
tratamento.
§ 2º – Cada órgão e
empresa pública de que trata o caput indicará três membros para o CEPD, sendo
dois titulares e um suplente.
§ 3º – A participação
no Comitê será considerada prestação de serviço público relevante, não remunerada.
§ 4º – A designação
dos membros deverá ser realizada pelo Governador.
§ 5º – O mandato dos
membros do Comitê será de dois anos.
§ 6º – A coordenação
do CEPD será realizada pela Seplag em articulação com a CGE.
CAPÍTULO III
DAS RESPONSABILIDADES
Seção I
Das Responsabilidades da
Administração Pública Direta, Autárquica e Fundacional
Art. 8º – O Poder
Executivo, por meio da Administração Pública direta, autárquica e fundacional, nos
termos da Lei Federal nº 13.709, de 2018, deve realizar e manter continuamente
atualizados:
I – o mapeamento dos
dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
II – a análise de
risco;
III – o plano de
adequação, observadas as exigências do inciso III do art. 5º;
IV – o relatório de
impacto à proteção de dados pessoais, quando necessário.
Parágrafo único –
Para fins do inciso III, a Administração Pública direta, autárquica e
fundacional deve observar as orientações formuladas pelo CEPD.
Art. 9º – O órgão, a
autarquia ou a fundação, no papel de controlador ou operador, deverá indicar encarregado
pelo tratamento de dados pessoais.
§ 1º – A identidade e
as informações de contato do encarregado deverão ser divulgadas publicamente,
de forma clara e objetiva, preferencialmente no sítio eletrônico do órgão ou da
entidade.
§ 2º – São atividades
do encarregado:
I – aceitar
reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber
comunicações da autoridade nacional e adotar providências;
III – orientar os
funcionários e os contratados do órgão ou da entidade a respeito das práticas a
serem tomadas em relação à proteção de dados pessoais;
IV – executar as
demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Art. 10 – Cabe aos
órgãos, às autarquias e às fundações dar cumprimento, em âmbito interno, às recomendações
do CEPD.
Art. 11 – Cabe ao
Comitê de Tecnologia da Informação e Comunicação – Cetic,
criado pelo Decreto nº 47.974, de 5 de junho de 2020:
I – oferecer os
subsídios técnicos necessários à formulação das orientações pelo CEPD para a
elaboração dos planos de adequação;
II – orientar, sob o
ponto de vista tecnológico, os órgãos e as entidades na implantação dos
respectivos planos de adequação.
Seção II
Das Responsabilidades das
Empresas Públicas, Sociedades de Economia Mista e suas Subsidiárias e Empresas
Controladas Direta ou Indiretamente pelo Estado
Art. 12 – Cabe às
empresas públicas, sociedades de economia mista, suas subsidiárias e empresas controladas
direta ou indiretamente pelo Estado observar, no âmbito da sua respectiva
autonomia, as exigências da Lei Federal nº 13.709, de 2018, e, no mínimo:
I – designar um
encarregado de proteção de dados pessoais, nos termos do art. 41 da Lei Federal
nº 13.709, de 2018, cuja identidade e informações de contato devem ser
divulgadas publicamente, de forma clara e objetiva;
II – elaborar um
plano de adequação e de política de proteção de dados pessoais próprios,
observado o disposto no inciso III do art. 5º, no que for aplicável.
Parágrafo único –
Fica facultada a participação das empresas públicas nos eventos de capacitação promovidos
e o acesso a orientações e materiais produzidos pelo CEPD.
Art. 13 – As empresas
públicas, sociedades de economia mista, suas subsidiárias e empresas
controladas direta ou indiretamente pelo Estado que atuarem em regime de
concorrência, sujeitas ao disposto no art. 173 da Constituição da República,
deverão observar o regime relativo às pessoas jurídicas de direito privado, exceto
quando estiverem operacionalizando políticas públicas e no âmbito da execução
delas, nos termos do parágrafo único do art. 24 da Lei Federal nº 13.709, de
2018.
CAPÍTULO IV
DO TRATAMENTO DE DADOS PESSOAIS
PELA ADMINISTRAÇÃO PÚBLICA DO PODER EXECUTIVO
Art. 14 – O
tratamento de dados pessoais pelos órgãos e pelas entidades da Administração
Pública do Poder Executivo deverá ser realizado para o atendimento de sua
finalidade pública, na persecução do interesse público, com o objetivo de
executar as competências legais ou cumprir as atribuições legais do serviço público.
Parágrafo único –
Além do disposto no caput, devem ser informadas as hipóteses em que, no
exercício de suas competências, os órgãos e as entidades da Administração
Pública do Poder Executivo realizam o tratamento de dados pessoais, fornecendo
informações claras e atualizadas sobre a previsão legal, a finalidade, os
procedimentos e as práticas utilizadas para a execução dessas atividades, em
veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.
Art. 15 – Os órgãos e
as entidades da Administração Pública do Poder Executivo podem efetuar o uso
compartilhado de dados pessoais com outros órgãos e entidades públicas para
atender a finalidades específicas de execução de políticas públicas, no âmbito
de suas atribuições legais, observados os princípios de proteção de dados
pessoais elencados no art. 6º da Lei Federal nº 13.709, de 2018.
Art. 16 – É vedado
aos órgãos e às entidades da Administração Pública do Poder Executivo transferir
a entidades privadas dados pessoais constantes de bases de dados a que tenha
acesso, exceto:
I – em casos de
execução descentralizada de atividade pública que exija a transferência,
exclusivamente para esse fim específico e determinado, observado o disposto na
Lei Federal nº 12.527, de 2011;
II – nos casos em que
os dados forem acessíveis publicamente, observadas as disposições da Lei Federal
nº 13.709, de 2018;
III – quando houver
previsão legal ou a transferência for respaldada, por meio de cláusula específica,
em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser
informada pelo responsável à ANPD;
IV – na hipótese de a
transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades
ou proteger e resguardar a segurança e a integridade do titular dos dados,
desde que vedado o tratamento para outras finalidades.
§ 1º – A comunicação
ou o uso compartilhado de dados pessoais por pessoa jurídica de direito público
a pessoa jurídica de direito privado será informado à autoridade nacional e
dependerá de consentimento do titular, exceto:
I – nas hipóteses de
dispensa de consentimento previstas na Lei Federal nº 13.709, de 2018;
II – nos casos de uso
compartilhado de dados, em que será dada publicidade nos termos do inciso I do
caput do art. 23 da Lei Federal nº 13.709, de 2018;
III – nas exceções
constantes dos incisos I a IV do caput.
§ 2º – Em quaisquer
das hipóteses previstas neste artigo:
I – a transferência
de dados dependerá de autorização específica conferida pelo órgão ou pela entidade
estadual à entidade privada;
II – as entidades
privadas deverão assegurar que não haverá comprometimento do nível de proteção
dos dados garantido pelo órgão ou pela entidade estadual;
III – a comunicação
dos dados pessoais a entidades privadas e o uso compartilhado entre estas e os
órgãos e as entidades estaduais, quando necessário consentimento do titular,
poderão ocorrer somente nos termos e para as finalidades indicadas no ato do
consentimento.
Art. 17 – A Administração
Pública direta e indireta do Poder Executivo deverá:
I – dar publicidade
às informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente
nas páginas dos órgãos e das entidades na internet, e no Portal da
Transparência, em seção específica;
II – atender às
exigências que vierem a ser estabelecidas pela ANPD, nos termos do § 1º do art.
23 e do parágrafo único do art. 27 da Lei Federal nº 13.709, de 2018;
III – manter dados em
formato interoperável e estruturado para o uso compartilhado de dados com vistas
à execução de políticas públicas, à prestação de serviços públicos, à
descentralização da atividade pública e à disseminação e ao acesso das
informações pelo público em geral.
Art. 18 – Este
decreto entra em vigor na data de sua publicação.
Belo Horizonte, aos
22 de julho de 2021; 233º da Inconfidência Mineira e 200º da Independência do
Brasil.
ROMEU
ZEMA NETO