Decreto Estadual de São Paulo nº 65.347 de 09 de dezembro de 2020
Publicado por Governo do Estado de São Paulo
Capítulo I
Disposição Inicial
Este decreto dispõe sobre a aplicação da Lei federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), no âmbito do Estado de São Paulo.
Capítulo II
Do Controlador de Dados Pessoais
Da Indicação
As decisões referentes ao tratamento de dados pessoais, no âmbito da Administração Pública Direta, cabem ao Estado de São Paulo, que exercerá as atribuições de controlador por intermédio dos Secretários de Estado e do Procurador Geral do Estado, respeitadas suas respectivas competências e campos funcionais.
Do Comitê Gestor de Governança de Dados e Informações
O Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, instituído pelo Decreto nº 64.790, de 13 de fevereiro de 2020 , é responsável por auxiliar o controlador no desempenho das seguintes atividades:
exame das propostas de adaptação à Política de Proteção de Dados Pessoais, elaboradas na forma prevista no artigo 5º deste decreto.
- As atividades de que trata o "caput" deste artigo poderão ser desempenhadas por intermédio dos subcomitês a que alude a alínea "e" do inciso V do artigo 5º do Decreto nº 64.790, de 13 de fevereiro de 2020.
Da Política de Proteção de Dados Pessoais
A Política de Proteção de Dados Pessoais, a que alude o inciso III do artigo 3º deste decreto, corresponde à compilação de regras de boas práticas e de governança para tratamento de dados pessoais, de observância obrigatória pelos órgãos e entidades da Administração Pública, devendo conter, no mínimo:
descrição das condições de organização, de funcionamento e dos procedimentos de tratamento, abrangendo normas de segurança, padrões técnicos, mecanismos internos de supervisão e de mitigação de riscos, plano de resposta a incidentes de segurança, bem como obrigações específicas para os agentes envolvidos no tratamento e ações educativas aplicáveis;
indicação da forma de publicidade das operações de tratamento, preferencialmente em espaço específico nos respectivos sítios eletrônicos oficiais, respeitadas as recomendações da autoridade nacional;
enumeração dos meios de manutenção de dados em formato interoperável e estruturado, para seu uso compartilhado e acesso das informações pelo público em geral, nos termos das Leis federais nº 12.527, de 18 de novembro de 2011, e nº 13.709, de 14 de agosto de 2018.
Os órgãos e entidades da Administração Pública poderão, motivadamente, promover adaptações à Política de Proteção de Dados Pessoais, conforme as respectivas especificidades.
- As propostas de adaptação elaboradas nos termos do "caput" deste artigo deverão ser submetidas à análise do Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo.
Capítulo III
Do Encarregado de Dados Pessoais
Da Designação
Fica designado o Ouvidor Geral como encarregado da proteção de dados pessoais no âmbito da Administração Pública Direta do Estado de São Paulo.
A identidade e as informações de contato do encarregado serão divulgadas no sítio eletrônico da Central de Dados do Estado de São Paulo - CDESP.
O disposto no "caput" deste artigo não impede que os órgãos da Administração Pública indiquem, em seus respectivos âmbitos, para desempenhar, em interlocução com o encarregado, as atividades a que aludem os incisos I e III do § 2º do artigo 41 da Lei federal nº 13.709, de 14 de agosto de 2018, respectivamente: 1. os Serviços de Informações ao Cidadão - SIC, criados pelo artigo 7º do Decreto nº 58.052, de 16 de maio de 2012; 2. as Comissões de Avaliação de Documentos e Acesso - CADA, de que trata a Seção III do Capítulo II do Decreto nº 58.052, de 16 de maio de 2012 .
O encarregado deverá receber o apoio necessário para o desempenho de suas funções, bem como ter acesso motivado a todas as operações de tratamento de dados pessoais no âmbito da Administração Pública Direta.
As entidades da Administração Pública Indireta, respeitada sua autonomia, e observadas as disposições da Lei federal nº 13.709, de 14 de agosto de 2018, mediante ato próprio, deverão indicar seus respectivos encarregados e observar o disposto nos artigos 4º e 5º deste decreto.
- Os encarregados designados em conformidade com o disposto no "caput" deste artigo deverão desempenhar suas atribuições em articulação com o Ouvidor Geral.
Das Atribuições
Além das atribuições de que trata o § 2º do artigo 41 da Lei federal nº 13.709, de 14 de agosto de 2018, cabe ao encarregado:
adotar as medidas necessárias à publicação dos relatórios de impacto à proteção de dados pessoais, na forma solicitada pela autoridade nacional;
as sugestões direcionadas ao Estado, nos termos do artigo 32 da Lei federal nº 13.709, de 14 de agosto de 2018;
recomendar, aos encarregados designados pelas entidades integrantes da Administração Pública Indireta, a elaboração de propostas de adequação à Política de Proteção de Dados Pessoais, noticiando eventual omissão ao respectivo órgão de vinculação;
- As providências de que tratam os incisos I a IV deste artigo serão comunicadas ao controlador de dados pessoais, por intermédio do Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo.
Mediante requisição do encarregado, os órgãos e, quando cabível, as entidades da Administração Pública, deverão encaminhar, no prazo assinalado, as informações eventualmente necessárias para atender solicitação da autoridade nacional.
Cabe aos Chefes de Gabinete das Secretarias de Estado e da Procuradoria Geral do Estado, no âmbito dos respectivos órgãos:
informações solicitadas pela autoridade nacional, nos termos do artigo 29 da Lei federal nº 13.709, 14 de agosto de 2018;
o tratamento e o uso compartilhado de dados pessoais necessários à execução de políticas públicas previstas em normas legais e regulamentares ou respaldadas em contratos, convênios ou instrumentos congêneres;
a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais.
Os requerimentos do titular de dados, formulados nos termos do artigo 18 da Lei federal nº 13.709, de 14 de agosto de 2018, serão direcionados ao encarregado, e deverão observar os prazos e procedimentos previstos na Lei federal nº 12.527, de 18 de novembro de 2011.
- Os requerimentos de que trata o "caput" deste artigo serão respondidos pelo encarregado, com o apoio técnico da Coordenadoria de Tecnologia da Informação e Comunicação - COORTIC, da Subsecretaria de Serviços ao Cidadão, Tecnologia e Inovação - SSCTI, da Secretaria de Governo.
Capítulo IV
Das Disposições Finais
Cabe à Secretaria de Governo, por meio da Coordenadoria de Tecnologia da Informação e Comunicação - COORTIC da Subsecretaria de Serviços ao Cidadão, Tecnologia e Inovação - SSCTI:
fornecer, ao Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, os subsídios técnicos necessários para elaboração e monitoramento de diretrizes gerais relativas às operações de tratamento de dados pessoais;
orientar, sob o aspecto tecnológico, as Secretarias de Estado e a Procuradoria Geral do Estado na implantação, em seus respectivos âmbitos, da Política de Proteção de Dados Pessoais, em conformidade com as diretrizes gerais deliberadas pelo Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, ouvido o Conselho Estadual de Tecnologia da Informação e Comunicação - COETIC.
Fica extinto o Comitê de Governança Digital do Programa SP Sem Papel, instituído pelo artigo 13 do Decreto nº 64.355, de 31 de julho de 2019 , e suas atribuições, transferidas ao Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, instituído pelo Decreto nº 64.790, de 13 de fevereiro de 2020.
A Corregedoria Geral da Administração, respeitadas suas atribuições, acompanhará o cumprimento do disposto neste decreto.
Os Secretários de Estado e o Procurador Geral do Estado poderão, mediante atos próprios, expedir normas complementares necessárias à execução deste decreto.
Os representantes da Fazenda do Estado perante as empresas por este controladas adotarão providências visando à aplicação do disposto neste decreto, no que couber, a essas entidades.
Este decreto e suas disposições transitórias entram em vigor na data de sua publicação, revogadas as disposições em contrário, em especial, do Decreto nº 64.355, de 31 de julho de 2019 :
As Secretarias de Estado e a Procuradoria Geral do Estado deverão, em relação aos bancos de dados e informações pessoais, estruturados ou não, em suporte físico ou eletrônico, sob sua responsabilidade:
- Os órgãos a que se refere o "caput" deverão comprovar, ao encarregado designado no artigo 6º deste decreto, a observância do disposto neste artigo.
As entidades da Administração Pública Indireta deverão apresentar, ao encarregado designado no artigo 6º deste decreto, no prazo de 90 (noventa) dias contado da publicação deste decreto, o respectivo plano de conformidade às disposições da Lei federal nº 13.709, de 14 de agosto de 2018.