Legislação

GOVERNO DO ESTADO DE SÃO PAULO

DECRETO ESTADUAL Nº 65.347, DE 9 DE DEZEMBRO DE 2020
Diário Oficial do Estado; Poder Executivo, São Paulo, SP, 10 dez. 2020. Seção I, p.1-3

Dispõe sobre a aplicação da Lei federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), no âmbito do Estado de São Paulo.

JOÃO DORIA, Governador do Estado de São Paulo, no uso de suas atribuições legais,

Decreta:

CAPÍTULO I
Disposição Inicial

Artigo 1º - Este decreto dispõe sobre a aplicação da Lei federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), no âmbito do Estado de São Paulo.

CAPÍTULO II
Do Controlador de Dados Pessoais

SEÇÃO I
Da Indicação

Artigo 2º - As decisões referentes ao tratamento de dados pessoais, no âmbito da Administração Pública Direta, cabem ao Estado de São Paulo, que exercerá as atribuições de controlador por intermédio dos Secretários de Estado e do Procurador Geral do Estado, respeitadas suas respectivas competências e campos funcionais.

SEÇÃO II
Do Comitê Gestor de Governança de Dados e Informações

Artigo 3º - O Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, instituído pelo Decreto nº 64.790, de 13 de fevereiro de 2020, é responsável por auxiliar o controlador no desempenho das seguintes atividades:

I - monitoramento de dados pessoais e de fluxos das respectivas operações de tratamento;

II - análise de risco;

III - elaboração e atualização da Política de Proteção de Dados Pessoais;

IV - exame das propostas de adaptação à Política de Proteção de Dados Pessoais, elaboradas na forma prevista no artigo 5º deste decreto.

Parágrafo único - As atividades de que trata o "caput" deste artigo poderão ser desempenhadas por intermédio dos subcomitês a que alude a alínea "e" do inciso V do artigo 5º do Decreto nº 64.790, de 13 de fevereiro de 2020.

SEÇÃO III
Da Política de Proteção de Dados Pessoais

Artigo 4º - A Política de Proteção de Dados Pessoais, a que alude o inciso III do artigo 3º deste decreto, corresponde à compilação de regras de boas práticas e de governança para tratamento de dados pessoais, de observância obrigatória pelos órgãos e entidades da Administração Pública, devendo conter, no mínimo:

I - descrição das condições de organização, de funcionamento e dos procedimentos de tratamento, abrangendo normas de segurança, padrões técnicos, mecanismos internos de supervisão e de mitigação de riscos, plano de resposta a incidentes de segurança, bem como obrigações específicas para os agentes envolvidos no tratamento e ações educativas aplicáveis;

II - indicação da forma de publicidade das operações de tratamento, preferencialmente em espaço específico nos respectivos sítios eletrônicos oficiais, respeitadas as recomendações da autoridade nacional;

III - enumeração dos meios de manutenção de dados em formato interoperável e estruturado, para seu uso compartilhado e acesso das informações pelo público em geral, nos termos das Leis federais nº 12.527, de 18 de novembro de 2011, e nº 13.709, de 14 de agosto de 2018.

Artigo 5º - Os órgãos e entidades da Administração Pública poderão, motivadamente, promover adaptações à Política de Proteção de Dados Pessoais, conforme as respectivas especificidades.

Parágrafo único - As propostas de adaptação elaboradas nos termos do "caput" deste artigo deverão ser submetidas à análise do Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo.

CAPÍTULO III
Do Encarregado de Dados Pessoais

SEÇÃO I
Da Designação

Artigo 6º - Fica designado o Ouvidor Geral como encarregado da proteção de dados pessoais no âmbito da Administração Pública Direta do Estado de São Paulo.

§ 1º - A identidade e as informações de contato do encarregado serão divulgadas no sítio eletrônico da Central de Dados do Estado de São Paulo - CDESP.

§ 2º - O disposto no "caput" deste artigo não impede que os órgãos da Administração Pública indiquem, em seus respectivos âmbitos, para desempenhar, em interlocução com o encarregado, as atividades a que aludem os incisos I e III do § 2º do artigo 41 da Lei federal nº 13.709, de 14 de agosto de 2018, respectivamente:

1. os Serviços de Informações ao Cidadão - SIC, criados pelo artigo 7º do Decreto nº 58.052, de 16 de maio de 2012;

2. as Comissões de Avaliação de Documentos e Acesso - CADA, de que trata a Seção III do Capítulo II do Decreto nº 58.052, de 16 de maio de 2012.

Artigo 7º - O encarregado deverá receber o apoio necessário para o desempenho de suas funções, bem como ter acesso motivado a todas as operações de tratamento de dados pessoais no âmbito da Administração Pública Direta.

Artigo 8º - As entidades da Administração Pública Indireta, respeitada sua autonomia, e observadas as disposições da Lei federal nº 13.709, de 14 de agosto de 2018, mediante ato próprio, deverão indicar seus respectivos encarregados e observar o disposto nos artigos 4º e 5º deste decreto.

Parágrafo único - Os encarregados designados em conformidade com o disposto no "caput" deste artigo deverão desempenhar suas atribuições em articulação com o Ouvidor Geral.

SEÇÃO II
Das Atribuições

Artigo 9º - Além das atribuições de que trata o § 2º do artigo 41 da Lei federal nº 13.709, de 14 de agosto de 2018, cabe ao encarregado:

I - elaborar relatórios de impacto à proteção de dados pessoais;

II - adotar as medidas necessárias à publicação dos relatórios de impacto à proteção de dados pessoais, na forma solicitada pela autoridade nacional;

III - receber e encaminhar ao órgão interessado para adoção das providências pertinentes:

a) as sugestões direcionadas ao Estado, nos termos do artigo 32 da Lei federal nº 13.709, de 14 de agosto de 2018;

b) o informe de que trata o artigo 31 da Lei federal nº 13.709, de 14 de agosto de 2018;

IV - recomendar, aos encarregados designados pelas entidades integrantes da Administração Pública Indireta, a elaboração de propostas de adequação à Política de Proteção de Dados Pessoais, noticiando eventual omissão ao respectivo órgão de vinculação;

V - executar as demais atribuições estabelecidas em normas complementares.

Parágrafo único - As providências de que tratam os incisos I a IV deste artigo serão comunicadas ao controlador de dados pessoais, por intermédio do Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo.

Artigo 10 - Mediante requisição do encarregado, os órgãos e, quando cabível, as entidades da Administração Pública, deverão encaminhar, no prazo assinalado, as informações eventualmente necessárias para atender solicitação da autoridade nacional.

Artigo 11 - Cabe aos Chefes de Gabinete das Secretarias de Estado e da Procuradoria Geral do Estado, no âmbito dos respectivos órgãos:

I - observar as recomendações e atender as requisições encaminhadas pelo encarregado;

II - encaminhar ao encarregado no prazo assinalado:

a) informações solicitadas pela autoridade nacional, nos termos do artigo 29 da Lei federal nº 13.709, 14 de agosto de 2018;

b) relatórios de impacto à proteção de dados pessoais, ou informações necessárias à sua elaboração;

III - assegurar que o encarregado seja informado, de forma adequada e em tempo hábil, sobre:

a) o tratamento e o uso compartilhado de dados pessoais necessários à execução de políticas públicas previstas em normas legais e regulamentares ou respaldadas em contratos, convênios ou instrumentos congêneres;

b) a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais.

Artigo 12 - Os requerimentos do titular de dados, formulados nos termos do artigo 18 da Lei federal nº 13.709, de 14 de agosto de 2018, serão direcionados ao encarregado, e deverão observar os prazos e procedimentos previstos na Lei federal nº 12.527, de 18 de novembro de 2011.

Parágrafo único - Os requerimentos de que trata o "caput" deste artigo serão respondidos pelo encarregado, com o apoio técnico da Coordenadoria de Tecnologia da Informação e Comunicação - COORTIC, da Subsecretaria de Serviços ao Cidadão, Tecnologia e Inovação - SSCTI, da Secretaria de Governo.

CAPÍTULO IV
Das Disposições Finais

Artigo 13 - Cabe à Secretaria de Governo, por meio da Coordenadoria de Tecnologia da Informação e Comunicação - COORTIC da Subsecretaria de Serviços ao Cidadão, Tecnologia e Inovação - SSCTI:

I - fornecer, ao Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, os subsídios técnicos necessários para elaboração e monitoramento de diretrizes gerais relativas às operações de tratamento de dados pessoais;

II - orientar, sob o aspecto tecnológico, as Secretarias de Estado e a Procuradoria Geral do Estado na implantação, em seus respectivos âmbitos, da Política de Proteção de Dados Pessoais, em conformidade com as diretrizes gerais deliberadas pelo Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, ouvido o Conselho Estadual de Tecnologia da Informação e Comunicação - COETIC.

Artigo 14 - Fica extinto o Comitê de Governança Digital do Programa SP Sem Papel, instituído pelo artigo 13 do Decreto nº 64.355, de 31 de julho de 2019, e suas atribuições, transferidas ao Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, instituído pelo Decreto nº 64.790, de 13 de fevereiro de 2020.

Artigo 15 - A Corregedoria Geral da Administração, respeitadas suas atribuições, acompanhará o cumprimento do disposto neste decreto.

Artigo 16 - Os Secretários de Estado e o Procurador Geral do Estado poderão, mediante atos próprios, expedir normas complementares necessárias à execução deste decreto.

Artigo 17 - Os representantes da Fazenda do Estado perante as empresas por este controladas adotarão providências visando à aplicação do disposto neste decreto, no que couber, a essas entidades.

Artigo 18 - Este decreto e suas disposições transitórias entram em vigor na data de sua publicação, revogadas as disposições em contrário, em especial, do Decreto nº 64.355, de 31 de julho de 2019:

I - o parágrafo único do artigo 13;

II - o artigo 14;

III - o inciso I do artigo 15.

Disposições Transitórias

Artigo 1º - As Secretarias de Estado e a Procuradoria Geral do Estado deverão, em relação aos bancos de dados e informações pessoais, estruturados ou não, em suporte físico ou eletrônico, sob sua responsabilidade:

I - atribuir fundamento legal para tratamento dos dados;

II - indicar:

a) a finalidade do tratamento;

b) a existência de compartilhamento dos dados e respectivo instrumento;

c) o local em que se encontram custodiados ou armazenados.

Parágrafo único - Os órgãos a que se refere o "caput" deverão comprovar, ao encarregado designado no artigo 6º deste decreto, a observância do disposto neste artigo.

Artigo 2º - As entidades da Administração Pública Indireta deverão apresentar, ao encarregado designado no artigo 6º deste decreto, no prazo de 90 (noventa) dias contado da publicação deste decreto, o respectivo plano de conformidade às disposições da Lei federal nº 13.709, de 14 de agosto de 2018.

Palácio dos Bandeirantes, 9 de dezembro de 2020

JOÃO DORIA
Rodrigo Garcia
Secretário de Governo
Gustavo Diniz Junqueira
Secretário de Agricultura e Abastecimento
Patrícia Ellen da Silva
Secretária de Desenvolvimento Econômico
Sergio Henrique Sá Leitão Filho
Secretário da Cultura e Economia Criativa
Haroldo Corrêa Rocha
Secretário Executivo, Respondendo pelo Expediente da Secretaria da Educação
Henrique de Campos Meirelles
Secretário da Fazenda e Planejamento
Flavio Augusto Ayres Amary
Secretário da Habitação
João Octaviano Machado Neto
Secretário de Logística e Transportes
Fernando José da Costa
Secretário da Justiça e Cidadania
Marcos Rodrigues Penido
Secretário de Infraestrutura e Meio Ambiente
Celia Kochen Parnes
Secretária de Desenvolvimento Social
Marco Antonio Scarasati Vinholi
Secretário de Desenvolvimento Regional
Jeancarlo Gorinchteyn
Secretário da Saúde
João Camilo Pires de Campos
Secretário da Segurança Pública
Luiz Carlos Catirse
Secretário Executivo, Respondendo pelo Expediente da Secretaria da Administração Penitenciária
Alexandre Baldy de Sant’Anna Braga
Secretário dos Transportes Metropolitanos
Aildo Rodrigues Ferreira
Secretário de Esportes
Guilherme de Miranda Clementino
Secretário Executivo, Respondendo pelo Expediente da Secretaria de Turismo
Celia Camargo Leão Edelmuth
Secretária dos Direitos da Pessoa com Deficiência
Julio Serson
Secretário de Relações Internacionais
Mauro Ricardo Machado Costa
Secretário de Projetos, Orçamento e Gestão
Antonio Carlos Rizeque Malufe
Secretário Executivo, Respondendo pelo Expediente da Casa Civil

Publicado na Secretaria de Governo, aos 9 de dezembro de 2020.