Em 10 de janeiro de 2024, foi publicado no Diário Oficial do Estado do Rio de Janeiro (DOERJ), o Decreto nº 48.891, que institui a Política de Governança em Privacidade e Proteção de Dados Pessoais do Estado do Rio de Janeiro, em conformidade com a Lei Federal nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD).

Além das demais considerações, cabe destacar a necessidade de adequação dos órgãos públicos e entidades da Administração Pública Estadual ao disposto na Lei Geral de Proteção de Dados Pessoais (LGPD).

A estrutura do documento compreende cinco capítulos e dezesseis seções, descritas a seguir:


CAPÍTULO I – DAS DISPOSIÇÕES PRELIMINARES

CAPÍTULO II – DO TRATAMENTO DE DADOS PESSOAIS

CAPÍTULO III – DA GESTÃO DOS DADOS PESSOAIS

CAPÍTULO IV – DOS DIREITOS DOS TITULARES

CAPÍTULO V – DO SISTEMA DE GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Desta forma, esta política visa atender às exigências da LGPD e dispõe sobre os objetivos e as diretrizes para o tratamento de dados pessoais e dados pessoais sensíveis no âmbito do Poder Executivo do Estado do Rio de Janeiro, seja por meio digital ou analógico, bem como sobre:

  1.  os padrões técnicos e as boas práticas a serem observados pelos órgãos e entidades estaduais;
  2. as medidas de mitigação e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à governança da privacidade de dados pessoais, definindo grau de maturidade e exposição de riscos;
  3. as rotinas de segurança e de resposta a incidentes a serem implementadas; e
  4. a alocação de atribuições aos diversos agentes públicos estaduais envolvidos nas atividades de tratamento de dados pessoais.

Cabe destacar que as entidades da Administração Indireta e os órgãos constitucionais autônomos poderão elaborar suas próprias políticas de governança em privacidade e proteção de dados pessoais ou poderão aderir a esta Política de Governança em Privacidade e Proteção de Dados Pessoais.

Caso ainda não tenham as suas próprias políticas de governança em privacidade e proteção de dados pessoais, os órgãos e entidades que optarem por ter sua própria política, terão o prazo de 60 (sessenta), a contar da publicação do referido Decreto. Suas opções deverão ser realizadas por meio de Ato Normativo próprio.

O desenvolvimento do nível de maturidade dos tratamentos dos dados pessoais por todos os órgãos e entidades estaduais será monitorado com o acompanhamento periódico de indicadores de conformidade e de desempenho.

O Decreto fala da CID: confidencialidade, integridade e disponibilidade. Atualmente, há mais dois elementos que compõem os 5 Pilares da Segurança da Informação. Esses dois novos membros também são relevantes para os esforços de proteção do conhecimento:

O devido destaque deverá ser dado ao Programa Interno de Governança em Privacidade e Proteção de Dados Pessoais, citado no Decreto nº 48.891, que, ao menos, deve demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais. Este Programa Interno, no mínimo deve contar com os seguintes documentos:

  1. política de privacidade e proteção de dados pessoais, de uso interno;
  2. aviso de privacidade e de cookies, para usuários externos;
  3. relatório de impacto de proteção de dados pessoais para as atividades de tratamento que ofereçam altos riscos para os direitos e as liberdades individuais dos titulares de dados pessoais;
  4. plano de resposta a incidentes; e
  5. plano de treinamento e de conscientização dos colaboradores.

O Inventário das Operações de Tratamento de Dados Pessoais também é citado e determina o registro de pelo menos, das seguintes informações:

  1. o fundamento legal para o tratamento;
  2. a finalidade do tratamento;
  3. a existência de compartilhamento e o respectivo instrumento; e
  4. o local de custódia ou armazenamento.

Para as operações de tratamento que envolvam risco à garantia dos princípios gerais de proteção de dados pessoais ou às liberdades civis e direitos fundamentais dos titulares de dados, deverá ser elaborado o Relatório de Impacto à Proteção de Dados Pessoais.

Destaca-se também a obrigatoriedade de um Plano de Resposta a Incidentes que defina os procedimentos a serem adotados no caso de suspeita ou confirmação de incidente de segurança envolvendo dados pessoais, bem como os papéis e responsabilidades de cada um dos membros da equipe multidisciplinar.

Deverão integrar a equipe multidisciplinar, pelo menos:

  1. a autoridade superior do órgão ou entidade estadual;
  2. o Encarregado responsável pelo órgão ou entidade estadual;
  3. o servidor responsável pela unidade de TI do órgão ou entidade estadual;
  4. o Subsecretário Executivo ou ocupante de cargo equivalente na estrutura do órgão, ou, na falta deste, o Diretor Geral de Administração e Finanças;
  5. o Procurador do Estado lotado na Chefia da Assessoria Jurídica do órgão ou entidade estadual, e
  6. o servidor responsável pela comunicação institucional do órgão ou entidade estadual.

Todo incidente de segurança com dados pessoais, confirmado ou sob suspeita, deve ser imediatamente comunicado pelos servidores do órgão ou entidade estadual submetido a este Decreto ao respectivo Encarregado Setorial, que, por sua vez, dará seguimento ao Plano de Resposta a Incidentes.

Ao receber a comunicação sobre o possível incidente de segurança, o Encarregado responsável deverá comunicá-lo ao Encarregado Central para que este acompanhe as providências adotadas.

Caso seja constatado risco ou dano relevante aos titulares de dados, deverá o Encarregado responsável notificar, dentro dos prazos definidos em lei ou nos regulamentos da Autoridade Nacional de Proteção de Dados (ANPD), os indivíduos afetados, os agentes públicos e as autoridades interessadas, de acordo com a gravidade e o impacto do incidente.

Os requerimentos do titular de dados devem ser encaminhados ao Encarregado Central, que irá encaminhá-la ao Encarregado Local ou Setorial responsável para análise e adoção de providências. O Estado do Rio de Janeiro terá um Encarregado Central, vinculado à Secretaria de Estado de Transformação Digital (SETD), que dentre outras atividades, prestará consultoria ao Governador do Estado em todas as questões referentes à privacidade e ao tratamento de dados pessoais; e coordenar a atuação dos Encarregados Setoriais, respeitadas as respectivas autonomias.

O Decreto nº 48.891 institui o Comitê de Governança em Privacidade e Proteção de Dados Pessoais, órgão vinculado à Secretaria de Estado de Transformação Digital (SETD), que terá as funções de atualizar, implementar, fiscalizar, normatizar e difundir a presente Política de Governança em Privacidade e Proteção de Dados Pessoais no âmbito do Poder Executivo, nos termos da LGPD e legislação correlata. Este Comitê de Governança em Privacidade e Proteção de Dados Pessoais será composto por um Núcleo Normativo e por um Núcleo Executivo.

A autoridade superior do órgão ou entidade estadual deverá designar, por ato próprio e no prazo de até 60 (sessenta) dias contados da entrada desta Política de Governança em Privacidade e Proteção de Dados Pessoais, um servidor que será o responsável pela elaboração e implementação do projeto de adequação à LGPD do respectivo órgão ou entidade, que poderá coincidir com a figura do Encarregado Setorial.

Para conhecer todos os detalhes do Decreto nº 48.891, acesse o Diário Oficial do Estado do Rio de Janeiro, ou clique aqui.