RESOLUÇÃO ADMINISTRATIVA Nº 025/2023/MD/ALMT

Dispõe sobre a Política de Proteção de Dados Pessoais, instituída pela Lei 13.709/18 – Lei Geral de Proteção de Dados – LGPD, no âmbito da Assembleia Legislativa do Estado de Mato Grosso.

A MESA DIRETORA DA ASSEMBLEIA LEGISLATIVA DO ESTADO DE MATO GROSSO, no uso das atribuições legais e regimentais,

CONSIDERANDO o disposto nos incisos X e XII do art. 5º da Constituição da República, que instituem o direito à privacidade;

CONSIDERANDO o dever de preservar o sigilo imprescindível à segurança da sociedade e do Estado previsto no inciso XXXIII do art. 5º na Constituição Federal;

CONSIDERANDO a Lei Federal n. 13.709, de 14 de agosto 2018 que institui a Lei Geral de Proteção de Dados Pessoais (LGPD);

CONSIDERANDO a Lei 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação;

CONSIDERANDO que as informações geradas internamente pela Assembleia Legislativa do Estado de Mato Grosso no exercício de suas competências constitucionais, legais e regulamentares são patrimônio da Instituição e, portanto, necessitam ser protegidas;

CONSIDERANDO a necessidade de nortear todos os processos de trabalho e unidades administrativas através de uma política interna de segurança da informação;

RESOLVE:

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Fica instituída a Política de Proteção dos Dados Pessoais (PPDP), no âmbito da Assembleia Legislativo do Estado de Mato Grosso.

Parágrafo único. A PPDP estabelece princípios e normas que devem orientar o tratamento de dados pessoais, físicos e digitais, no âmbito da Assembleia Legislativa do Mato Grosso, a fim de garantir a proteção da privacidade de seus titulares, bem como define papéis e diretrizes para a conformidade às disposições da Lei nº 13.709/2018.

Art. 2º A proteção de dados pessoais tem como fundamento:

I - o respeito à privacidade;

II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de opinião;

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Art. 3º Para os fins desta Resolução, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVI - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XVII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

XVIII - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Art. 4º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 5º Esta Política de Proteção de Dados Pessoais se aplica a todos os Membros do Poder Legislativo, servidores efetivos e demais servidores requisitados de outros órgãos, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço, colaboradores e usuários externos que fazem uso dos ativos de informação e de processamento no âmbito do Assembleia Legislativa.

§ 1º Os destinatários desta PPDP relacionados no caput ou qualquer outra pessoa que intervenha em uma das fases do tratamento, são corresponsáveis pela segurança da informação, de acordo com os preceitos estabelecidos nesta resolução.

§ 2º As unidades administrativas da Assembleia Legislativa e os gabinetes parlamentares, bem como os operadores contratados, deverão adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§ 3º Na ocorrência de um incidente, conforme descrito no parágrafo acima deverá comunicar imediatamente o Comitê Gestor de Proteção de Dados Pessoais sem prejuízo da imediata adoção das medidas de resposta a incidentes cabíveis ao próprio órgão.

§ 4º As medidas técnicas eventualmente não disponibilizadas no âmbito da Assembleia Legislativa deverão ser demandadas pelas unidades administrativas e operadores, para análise e, se for o caso, implementação.

§ 5º Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obrigam-se a garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o término de vínculo com a Assembleia Legislativa.

CAPÍTULO II

DAS DIRETRIZES

Art. 6º A política de proteção de dados visa o constante aperfeiçoamento dos(as) servidores(as), com capacitação, qualificação, bem como implementação de soluções tecnológicas para aprimoramento da proteção de dados sensíveis de cidadãos, membros do Poder Legislativo, servidores(as), tercerizados(as), credenciados(as) e prestadores(as) de serviços que envolvam a Assembleia Legislativa do Estado de Mato Grosso.

Art. 7º Para conformar os processos e os procedimentos deste Poder Legislativo à Lei nº 13.709, de 14 de agosto de 2018 - LGPD, devem ser consideradas as seguintes diretrizes:

I - levantamento dos dados pessoais tratados no Poder Legislativo e verificação da conformidade do tratamento com o previsto na LGPD;

II - mapeamento dos fluxos de dados pessoais no Poder Legislativo;

III - revisão e atualização da política e dos programas de segurança da informação;

IV - definição e publicação de programa de gerenciamento de riscos do tratamento de dados pessoais no Poder Legislativo;

V - definição de procedimentos e processos que garantam a disponibilidade, a integridade e a confidencialidade dos dados pessoais privados durante seu ciclo de vida;

VI - definição do modo de prestar as informações sobre o tratamento de dados pessoais;

VII - adoção de mecanismos para assegurar de coleta, as demais operações de tratamento e o compartilhamento de dados realizados nos termos dos artigos 23 a 30 da Lei nº 13.709/2018;

VIII - revisão e adequação à LGPD dos contratos firmados no âmbito da ALMT;

IX - definição do ciclo de vida das informações pessoais e da necessidade de consentimento para utilização de dados pessoais na parte administrativa do Poder Legislativo;

CAPÍTULO III

DOS AGENTES DE TRATAMENTODE DADOS PESSOAIS

Art. 8º A Assembleia Legislativa do Estado do Mato Grosso, órgão do Poder Legislativo Estadual, dotada de capacidade judiciária para a defesa de seus interesses institucionais, representada pela Mesa Diretora é considerada controladora dos dados pessoais tratados no âmbito de suas secretarias e os Parlamentares no âmbito dos seus respectivos gabinetes parlamentares.

Art. 9º Os operadores são pessoas naturais ou jurídicas, de direito público ou privado, vinculadas à Assembleia Legislativa por meio de contrato, convênio ou instrumento congênere, designadas para realizar o tratamento de dados pessoais em nome da Assembleia Legislativa e no limite das finalidades por ela determinadas.

Art. 10 Os encarregados têm por atribuição coordenar a gestão do tratamento de dados pessoais e do relacionamento entre a controladora, a ANPD, os titulares dos dados, bem como com outras entidades com as quais a Assembleia Legislativa estabeleça cooperação técnica.

Art. 11 Compete ao(à) Controlador(a):

I - instituir o Comitê Gestor de Proteção de Dados Pessoais e definir as respectivas atribuições em conformidade com a LGPD;

II - nomear o(a) Encarregado(a) pelas informações relativas aos dados pessoais;

III - fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, dentre as quais:

a) o modo como serão tratados os dados pessoais na Assembleia Legislativa, a fim de que os respectivos processos sejam auditáveis;

b) a aplicação da metodologia de gestão de riscos no tratamento de dados;

c) a aplicação de metodologias de segurança da informação.

IV - determinar a capacitação dos(as) operadores(as), para que atuem com responsabilidade, critério e ética;

V - incentivar a disseminação da cultura da privacidade de dados pessoais no âmbito da Assembleia Legislativa;

VI - determinar a permanente atualização desta Política e o desenvolvimento

dos respectivos programas;

Art. 12 Compete aos(às) Operadores(as):

I - documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais;

II - proteger a privacidade dos dados pessoais desde seu ingresso na instituição;

III - descrever os tipos de dados coletados;

IV - utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;

V - capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.

Art. 13 Compete ao(à) Controlador(a) e Operador(a) manter o registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse, respondendo solidariamente por tratamento inadequado.

Art. 14 Compete ao(à) Encarregado(a):

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

V - verificar a observância das instruções e das normas sobre a matéria na instituição;

VI - comunicar à Autoridade Nacional e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular;

VII - designar o canal de comunicação para o recebimento das reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências;

Parágrafo único. O Encarregado de Dados da Assembleia Legislativa será indicado pela Mesa Diretora, nos termos dos artigos 5º, inciso VIII, 23, inciso III e 41, caput, da LGPD.

CAPÍTULO IV

COMITÊ GESTOR DE PROTEÇÃO DE DADOS PESSOAIS

Art. 15 O Comitê Gestor de Proteção de Dados Pessoais - CGPDP será formado por equipe técnica e multidisciplinar, o qual deverá ser integrado por representantes das unidades administrativas e da Mesa Diretora, mediante indicação.

Art. 16 Compete ao CGPDP - ALMT:

I - avaliar os mecanismos de tratamento e proteção de dados existentes bem como propor políticas, estratégias e metas para a conformidade da ALMT com as disposições da LGPD, com base em processo de avaliação sistemática de impactos e riscos à privacidade;

II - supervisionar a execução dos planos, dos projetos e das ações aprovados para viabilizar a implantação das diretrizes previstas na LGPD;

III - constituir e supervisionar grupo(s) de trabalho para elaboração da política de privacidade, do plano de resposta e incidentes e do Relatório de Impacto à Proteção de Dados Pessoais previsto no art. 5º, inc. XVII e no art. 32 da Lei nº 13.709/2018, que deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados, nos termos do parágrafo único do art. 38 da LGPD;

IV - aprovar os documentos mencionados no inciso anterior e revisá-los anualmente ou sempre que se fizer necessário, em razão da análise de novos projetos;

V - submeter o Relatório de Impacto à Proteção de Dados Pessoais e o Plano de Resposta a Incidentes, bem como as respectivas alterações e revisões à aprovação da Mesa Diretora;

VI - estabelecer canal de comunicação com titulares internos e externos, para veiculação de informações, regulamentos e políticas de proteção de dados pessoais no âmbito da ALMT;

VII - prestar esclarecimentos e informações ao encarregado de dados da Assembleia Legislativa sempre que demandado; devendo, ainda, atuar em articulação com o encarregado para o aperfeiçoamento das medidas de segurança e da governança de dados pessoais no âmbito da instituição;

VIII - emitir orientações para o devido cumprimento da legislação de proteção de dados pessoais no âmbito do ALMT;

IX - recomendar a Mesa Diretora as alterações normativas para adequação com a legislação de proteção de dados pessoais;

X - estabelecer rotina de monitoramento contínuo e avaliações periódicas;

XI - reportar à Mesa Diretora as ocorrências de incidente de segurança que sejam comunicadas pelas unidades administrativas ou gabinetes parlamentares.

CAPÍTULO V

DO TRATAMENTO DOS DADOS PESSOAIS

Art. 17 O tratamento de dados pessoais pela Assembleia Legislativa ocorrerá em atendimento à sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais ou cumprir as atribuições legais do serviço público, em especial para o cumprimento de suas funções representativa, legislativa e fiscalizatória, observados os princípios gerais previstos no art. 4º.

Art. 18 O tratamento tem como com a finalidade:

I - dar cumprimento à obrigação legal ou regulatória;

II - garantir o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

III - realizar estudos de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais

IV - possibilitar o exercício regular de direitos em processo judicial ou administrativo;

V - atender aos interesses legítimos do(a) controlador(a) ou de terceiro(a), exceto no caso de prevalecerem direitos e liberdades fundamentais do(a) titular que exijam a proteção dos dados pessoais.

Art. 19 A Assembleia Legislativa do Estado de Mato Grosso deve disponibilizar as informações sobre a privacidade de dados pessoais, de forma clara, adequada e atualizada, em lugar de fácil acesso e visualização em seu portal na internet:

I - as hipóteses que fundamentam a realização do tratamento de dados pessoais na Instituição;

II - a previsão legal, a finalidade e os procedimentos para tratamento de dados pessoais;

III - a identificação e o contato do(a) Controlador(a) e do(a) Encarregado(a);

IV - as responsabilidades do(a) operador(a) envolvido(a) no tratamento dos dados.

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 20 A Política de Proteção de dados da Assembleia Legislativa do Estado de Mato Grosso será revisada e aperfeiçoada com periodicidade mínima de um ano e/ou sempre que constatada a necessidade de adequabilidade a novos recursos na área de segurança da informação e às novas previsões para conformidade do Poder Legislativo à LGPD, especialmente as derivadas de determinações da Autoridade Nacional de Proteção de Dados.

Art. 21 O Comitê Gestor de Proteção de Dados Pessoais – CGPDP terá 60 (sessenta) dias para elaborar o Programa de Adequação e Implantação da LGPD no âmbito da ALMT e disponibilizar as ferramentas necessárias à sua implementação, inclusive, a estrutura e os procedimentos para exercício dos direitos pelos titulares de dados pessoais.

Art. 22 Os casos omissos serão resolvidos pelo(a) Controlador(a) de dados pessoais, mediante deliberação do Comitê Gestor de Proteção de Dados Pessoais – CGPDP.

Art. 23 Esta Resolução entra em vigor na data de sua publicação.

REGISTRADO, PUBLICADO, CUMPRA-SE.

Assembleia Legislativa do Estado de Mato Grosso, em Cuiabá-MT, 12 de julho de 2023.

Dep. Eduardo Botelho __________________________________Presidente

Dep. Max Russi ________________________________________1º Secretário


Edições (1416) 14 de Julho de 2023
Entidade Secretaria de Controle Interno