Política de Privacidade de Dados Pessoais - PPD

Ato Legal: Portaria IAT

N. Ato: 394

Ano: 2023

Data: 01/09/2023

Data Publicação:

Ementa: Atualizar a Política de Privacidade de Dados Pessoais - PPD no âmbito do Instituto Água e Terra.

Documento: INSTITUTO ÁGUA E TERRA 

Portaria n. 394/2023 , de 01 de setembro de 2023

O Diretor - Presidente do Instituto Água e Terra, nomeado pelo Decreto Estadual nº 54, de 04 de janeiro de 2023, no uso de suas atribuições que lhe são conferidas pela Lei Estadual nº 10.066, de 27 de julho 1992, Lei Estadual nº 20.070, de 18 de dezembro de 2019, Decreto Estadual nº 3.813, de 09 de janeiro de 2020 e Decreto Estadual nº 11.977, de 16 de agosto de 2022, e

  • Considerando a necessidade de adequação à Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados (LGPD), pelos órgãos e entidades da Administração Pública direta, autárquica e fundacional do Poder Executivo do Estado do Paraná;
  • Considerando o conteúdo do protocolo nº 18.791.233-4.

RESOLVE

Art. 1°. Atualizar a Política de Privacidade de Dados Pessoais (PPD) no âmbito do Instituto Água e Terra.

CAPÍTULO I

DO OBJETO DA POLÍTICA

Seção I

Do Escopo

Art. 2º. A PPD estabelece princípios, normas, diretrizes e responsabilidades que regulam o tratamento de dados pessoais, físicos e digitais, no âmbito da Controladoria-Geral do Estado e pelos seus destinatários, visando à obtenção de conformidade ao previsto na Lei Federal

nº. 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) e no Decreto Estadual nº. 6.474, de 2020.

Parágrafo Único. As disposições desta Política referem-se a todos os dados detidos, usados ou transmitidos pelo Instituto Água e Terra, ou em nome deste, em meio físico ou digital, em qualquer tipo de mídia, inclusive sistemas de computador e dispositivos portáteis.

Art. 3.º. Esta Política aplica-se:

I. Aos servidores do Instituto Água e Terra;

II. Aos demais servidores públicos estaduais que acessem os dados administrados pelo Instituto Água e Terra;

III. Aos estagiários do Instituto Água e Terra;

IV. Aos residentes;

V. Aos fornecedores do Instituto Água e Terra;

VI. A todos os terceiros, sejam eles pessoas naturais ou jurídicas, que realizem operações de tratamento de dados pessoais relacionadas de qualquer forma com o Instituto Água e Terra;

VII. Aos titulares de dados pessoais, cujos dados são tratados pelo Instituto Água e Terra.

Seção II

Dos Princípios

Art. 4º. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da LGPD, a saber: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

Seção III

Das Definições

Art. 5º. Os termos, expressões e definições utilizados nesta Política serão aqueles conceituados no art. 5° da LGPD e Decreto Estadual nº. 6.474/2020, a saber: dado pessoal, dado pessoal sensível, dado anonimizado, banco de dados, titular, controlador, operador, encarregado, tratamento, agentes de tratamento, anonimização, consentimento, bloqueio, eliminação, transferência internacional de dados, uso compartilhado de dados, relatório de impacto, órgão de pesquisa e autoridade nacional.

CAPÍTULO II

DAS NORMAS PARA O TRATAMENTO DE DADOS PESSOAIS NO INSTITUTO ÁGUA E TERRA

Seção I

Das Referências Legais e Normativas

Art. 6º. O tratamento de dados pessoais pelo Instituto Água e Terra é regido pela Lei Federal nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais, “LGPD”), pelo Decreto Estadual nº 6.474, de 2020, e pela legislação pertinente (inclusive as leis de regência do habeas data, da liberdade de acesso à informação, da internet e dos direitos de privacidade e de intimidade), assim como por normas técnicas geralmente aceitas (como a NBR ABNT ISO/IEC 29100), por política públicas (por exemplo, as de dados abertos e de inclusão digital), e por boas práticas de governança de dados e de segurança da informação.

Seção II

Das Bases para Tratamento de Dados Pessoais

Art. 7º. O tratamento de dados pessoais pelo Instituto Água e Terra é realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.

Parágrafo único. As competências e finalidades que respaldam o tratamento de dados pessoais pelo Instituto Água e Terra são as previstas na Constituição da República Federativa do Brasil, na Constituição do Estado do Paraná, na Lei Estadual nº 20.070, de 18 de dezembro de 2019, no Decreto nº 3.813, de 09 de janeiro de 2020, e nas demais leis nacionais e estaduais que disciplinam as relações entre este órgão, servidores públicos, residentes, estagiários, fornecedores e terceiros.

Seção III

Do Tratamento dos Dados Pessoais

Art. 8º. O tratamento de dados pessoais no âmbito do Instituto Água e Terra deve observar o exercício de suas competências e atribuições legais, fornecendo ao titular informações claras e precisas sobre a finalidade, previsão legal, formas de execução e prazo de armazenamento.

Parágrafo Único. Será dispensado o consentimento do titular para o atendimento às finalidades previstas no caput, observado o disposto no inciso II do artigo 11 da Lei Federal nº 13.709, de 2018.

Art. 9º. As informações sobre o tratamento de dados pessoais, envolvendo a sua finalidade, previsão legal, formas de execução e prazo de armazenamento, deverão ser publicadas na forma do § 1º do art. 10 do Decreto Estadual nº 6.474, de 2020.

Art. 10. Os dados pessoais tratados pelo Instituto Água e Terra devem ser:

I. Protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;

II. Mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva, ou quando coletado mediante consentimento do titular, pela solicitação de remoção;

III. Compartilhados somente para o exercício das competências e atribuições legais, ou para atendimento de políticas públicas aplicáveis, observado o disposto no Decreto Estadual nº 6.474, de 2020;

IV. Eliminados quando não forem necessários, por terem cumprido sua finalidade, ou pelo encerramento do seu prazo de retenção.

Art. 11. Só poderão ter acesso aos dados pessoais servidores e estagiários com vínculo regular com o Decreto Estadual nº 6.474, de 2020, que tenham subscrito termo de compromisso e confidencialidade, respeitadas as suas atribuições legais e regulamentares, e a finalidade para a qual o dado foi colhido.

Art. 12. Servidores, residentes e estagiários devem utilizar apenas recursos, plataformas e aplicações disponibilizadas ou autorizadas pelo Instituto Água e Terra, a fim de evitar que os dados sejam transferidos sem autorização para aplicações ou bancos de dados de terceiros.

Art. 13. Excepcionalmente, poderão ter acesso aos dados pessoais controlados pelo Instituto Água e Terra:

I. Fornecedores e prestadores de serviços que auxiliam o Instituto Água e Terra no desenvolvimento de suas atividades, cujas categorias incluem: serviços de manutenção de hardware e software, suporte a ambientes de TIC, serviços administrativos diversos, entre outros.

II. Autoridades de fiscalização e investigação;

III. Autoridades judiciais;

Parágrafo único. Os fornecedores e prestadores de serviços que, excepcionalmente, tenham acesso aos dados pessoais controlados pelo Instituto Água e Terra, não poderão usar os dados pessoais que receberem para qualquer outra finalidade, e deverão agir e atuar em conformidade com a LGPD, com o Decreto Estadual nº 6.474, de 2020, com esta Política e demais normas complementares sobre dados pessoais que vierem a ser editadas.

Seção IV

Do Tratamento de Dados Pessoais Sensíveis

Art. 14. O tratamento de dados pessoais sensíveis pelo Instituto Água e Terra poderá ocorrer nas seguintes hipóteses:

I. Quando o titular ou o seu responsável legal consentir, de forma específica e estacada, para finalidades específicas;

II. Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) O cumprimento de obrigação legal ou regulatória pelo controlador dos dados;

b) O tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) O exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

d) A proteção da vida ou da incolumidade física do titular ou de terceiros;

e) A garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da Lei Federal nº 13.709/ 2018, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Parágrafo único. Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo, será dada publicidade à referida dispensa de consentimento, na forma do inc. I do caput do art. 23 da Lei Federal nº 13.709, de 2018 e do § 1º do art. 10 do Decreto Estadual nº 6.474, de 2020.

Seção V

Dos Direitos dos Titulares

Art. 15. O Instituto Água e Terra zela para que o titular do dado pessoal possa usufruir dos direitos assegurados pelos artigos 18 e 19 da Lei Federal nº 13.709, de 2018, aos quais a presente Política se reporta, por remissão.

Art. 16. As manifestações do titular de dados ou de seu representante legal serão atendidas na forma dos artigos 11, 12 e 13 do Decreto Estadual nº 6.474, de 2020.

Seção VI

Dos Deveres para Uso Adequado de Dados Pessoais

Art. 17. É permitido o compartilhamento de dados pessoais entre as unidades regionais do Instituto Água e Terra, desde que respeitada a sua finalidade e base legal, observado o princípio da necessidade.

Art. 18. São deveres dos servidores, residentes, estagiários, demais agentes de tratamento de dados e de terceiros:

I. Não disponibilizar nem garantir o acesso aos dados pessoais mantidos no Instituto Água e Terra para quaisquer pessoas não autorizadas ou competentes, de acordo com as normas legais, regulamentares e internas da Instituição;

II. Obter a autorização necessária para o tratamento de dados e subscrever Termo de Compromisso e confidencialidade que demonstre a sua cientificação e comprometimento para a realização da operação de tratamento de dados, em conformidade com esta Política e com os demais parâmetros legais e regulamentares aplicáveis;

III. Cumprir as normas, recomendações, orientações de segurança da informação, e prevenção de incidentes de segurança da informação publicadas pela Instituição (Política de Segurança da Informação, Plano de Resposta a Incidentes de Segurança da Informação, orientações de gestão de senhas, dentre outras).

Art. 19. Os agentes de tratamento de dados deverão adotar medidas visando a anonimização de dados prescindíveis para o desempenho das atividades do Instituto quando da operação de tratamento de dados e do acesso por terceiros, devidamente autorizada pelo Instituto Água e Terra.

Seção VII

Das Relações com Terceiros

Art. 20. Os contratos com terceiros que envolvam acesso ou tratamento de dados controlados autorizada pelo Instituto Água e Terra deverão conter cláusulas referentes à proteção de dados pessoais, estabelecendo deveres e obrigações envolvendo a temática e atestando o compromisso dos terceiros com as legislações de proteção de dados pessoais aplicáveis.

Art. 21. O Instituto Água e Terra poderá, a qualquer tempo, requisitar informações acerca dos dados pessoais confiados a seus fornecedores, particularmente no caso de serviços de Tecnologia da Informação e Comunicação - TIC.

Art. 22. Os fornecedores de serviços que envolvam tratamento de dados serão considerados operadores e deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão os seguintes:

I. Assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pelo Instituto Água e Terra;

II. Presentar evidências e garantias suficientes da aplicação adequada do conjunto de medidas técnicas e administrativas de segurança, para a proteção dos dados pessoais, segundo a legislação, os instrumentos contratuais e os de compromissos;

III. Manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de prova eletrônica a qualquer tempo;

IV. Seguir fielmente as diretrizes e instruções transmitidas pelo Instituto Água e Terra;

V. Facultar o acesso aos dados pessoais somente para o pessoal autorizado, que tenha estrita necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição ao Instituto Água e Terra, mediante solicitação;

VI. Permitir a realização de auditorias, incluindo inspeções do Instituto Água e Terra ou de auditor independente por ela autorizado, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;

VII. Auxiliar, em toda providência que estiver ao seu alcance, no atendimento pelo Instituto Água e Terra, de obrigações perante Titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;

VIII. Comunicar formalmente, e de imediato, o Instituto Água e Terra, a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a Titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;

IX. Descartar, de forma irrecuperável, ou devolver para o Instituto Água e Terra, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva, ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.

Seção VIII

Dos Prazos de Conservação dos Dados Pessoais

Art. 23. Sem prejuízo das disposições legais em contrário, os dados pessoais serão conservados pelo período mínimo necessário para alcançar a finalidade que motivou o seu tratamento em cada caso.

Art. 24. No caso de dados pessoais armazenados em documentos físicos, será observada a tabela de temporalidade, constante no Manual de Gestão de Documentos do Estado do Paraná.

Art. 25. Nas hipóteses em que o tratamento de dados for efetivado com base em um pedido de consentimento, os dados serão mantidos de acordo com as condições nele especificadas.

Art. 26. Os prazos de manutenção dos dados pessoais, relativos à dívida ativa e à área fiscal, deverão estar alinhados àqueles que forem definidos ou praticados pela Secretaria de Estado da Fazenda.

Art. 27. Os prazos de manutenção dos dados pessoais, relativos aos processos judiciais, deverão estar alinhados àqueles que forem definidos ou praticados pelo Poder Judiciário.

Seção IX

Do Uso e Trânsito de Documentos Físicos

Art. 28. Os documentos físicos que contenham dados pessoais, e que estiverem dentro dos escritórios regionais do Instituto Água e Terra, deverão ser armazenados em um local com segurança física de acesso, como salas, armários ou gavetas, protegido por chave ou outros meios.

Art. 29. É vedada a circulação de documentos físicos no interior da do Instituto Água e Terra para finalidade estranha às atribuições constitucionais, legais e regulamentares deste órgão.

Seção X

Do Uso de Mídias, Dispositivos Móveis e Aplicativos

Art. 30. O uso de mídias ou dispositivos móveis por servidores e estagiários, para armazenamento de documentos ou arquivos com dados pessoais, deverá ser acompanhado das medidas de segurança previstas em norma complementar específica, devendo-se evitar, quando possível, a utilização deste meio.

Art. 31. Com o objetivo de afastar qualquer risco de vazamento de dados no processo de descarte de mídias ou recursos de armazenamento, todos os dados armazenados deverão ser prévia e plenamente eliminados.

Art. 32. Os recursos de tecnologia disponibilizados pelo Instituto Água e Terra para o exercício de atividades profissionais, como e-mail corporativo, ambiente de servidores, aplicações, acesso à internet, recursos de impressão, devem ser utilizados única e exclusivamente para os fins do serviço público; qualquer uso fora deste escopo, inclusive para fins pessoais, é de exclusiva responsabilidade do usuário, desobrigando o Instituto Água e Terra de qualquer ônus referente à proteção ou à privacidade destes dados.

Seção XI

Do Compartilhamento de Dados

Art. 33. O compartilhamento dos dados pela Procuradoria-Geral do Estado observará o disposto no Decreto Estadual nº 6.474, de 2020, e suas alterações.

CAPÍTULO III

DOS AGENTES DE TRATAMENTO

Seção I

Do Controlador

Art. 34. Será considerado como controlador de dados a própria Autarquia, Instituto Água e Terra.

Art. 35. O Instituto Água e Terra, no cumprimento das atribuições de controlador, e sem prejuízos das competências definidas na LGPD, deverá:

I. Indicar um encarregado, nos termos do art. 41 da LGPD, mediante ato próprio;

II. Dar cumprimento, no âmbito do respectivo órgão ou entidade, ao disposto na LGPD e às orientações e recomendações da Controladoria-Geral do Estado;

III. Atender às solicitações encaminhadas pela Ouvidoria-Geral, buscando cessar eventuais violações à LGPD, ou apresentar justificativa pertinente;

IV. Encaminhar, ao encarregado, informações que venham a ser solicitadas pela ANPD;

V. Elaborar relatório de impacto à proteção de dados pessoais, ou fornecer informações necessárias para a elaboração deste, em conformidade com o art. 32 da LGPD e com os arts. 3º e 4º do Decreto Estadual nº 6.474, de 2020;

VI. Orientar os operadores, por meio de termos de uso, manuais e treinamentos, quanto ao tratamento de dados sob sua responsabilidade.

Art. 36. Em caso de violação da segurança, que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, o controlador deverá adotar as medidas estabelecidas no artigo 48 da LGPD, observado o disposto no artigo 3º do Decreto Estadual nº 6.474, de 2020.

Seção II

Do Operador

Art. 37. Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais, em nome, e por ordem do controlador.

Art. 38. O operador deverá realizar o tratamento segundo esta política e as demais instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

Art. 39. O operador deve manter registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse.

Art. 40. O operador deve adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados, e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Parágrafo único. As medidas de que trata o caput deste artigo deverão ser observadas, desde a fase de concepção do produto ou do serviço, até a sua execução.

Art. 41. O operador, ou qualquer outra pessoa que intervenha em uma das fases do tratamento, obriga-se a garantir a segurança da informação prevista nesta Resolução em relação aos dados pessoais, mesmo após o seu término.

Seção III

Do Encarregado

Art. 42. O encarregado pelos dados pessoais é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Parágrafo único. O encarregado deverá ser designado com base nas qualidades profissionais e conhecimento das leis e práticas em matéria de proteção de dados, além da capacidade de cumprir as tarefas previstas no artigo 41 da LGPD e no artigo 9º do Decreto

Estadual nº 6.474, de 2020.

Art. 43. O Encarregado é responsável por:

I. Auxiliar o órgão ou entidade a adaptar seus processos de acordo com a LGPD, incluindo a responsabilidade quanto à orientação e à aplicação de boas práticas e governança;

II. Trabalhar, de forma integrada com o respectivo controlador e operador, considerando a necessidade de um monitoramento regular e sistemático das atividades destes;

III. Estar facilmente acessível quando necessária à sua interveniência;

IV. Receber reclamações e comunicações dos titulares, prestar esclarecimentos no prazo de 10 dias, prorrogáveis, justificadamente, por igual período, e adotar providências;

V. Receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e adotar providências;

VI. Orientar os servidores e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

VII. Auxiliar o controlador a apresentar Relatório de Impacto de Proteção aos Dados Pessoais, quando solicitado;

VIII. Receber comunicações e atender às normas complementares da Autoridade Nacional de Proteção de Dados Pessoais (ANPD);

IX. Informar à Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e aos titulares dos dados eventuais incidentes de privacidade, observadas as Política Nacional de Proteção de Dados Pessoais e da Privacidade e as orientações da Controladoria-Geral do Estado;

X. Executar outras atribuições definidas em normas complementares.

Art. 44. Deverão ser divulgados no Portal da Transparência do Estado e no sítio eletrônico do Instituto Água e Terra, informações do encarregado com os seguintes dados:

I. Nome e cargo do encarregado indicado pelo controlador;

II. Localização;

III. Horário de atendimento;

IV. Telefone e e-mail, específicos para orientação e esclarecimento de dúvidas.

CAPÍTULO IV

DAS DISPOSIÇÕES FINAIS

Seção I

Das Diretrizes de Implementação

Art. 45. Para conformar os processos e os procedimentos do Instituto Água e Terra à legislação de proteção de dados pessoais, devem ser consideradas as seguintes diretrizes:

I. Levantamento dos dados pessoais tratados no Instituto Água e Terra;

II. Mapeamento dos fluxos de dados pessoais no Instituto Água e Terra;

III. Verificação da conformidade do tratamento com o previsto na legislação de proteção de dados pessoais;

IV. Definição e publicação de programa de gerenciamento de riscos do tratamento de dados pessoal;

V. Revisão e atualização da política e dos programas de segurança da informação;

VI. Definição de procedimentos e processos que garantam a disponibilidade, a integridade, a autenticidade e a confidencialidade dos dados pessoais durante seu ciclo de vida;

VII. Revisão e adequação à legislação de proteção de dados pessoais dos contratos firmados no âmbito do Instituto Água e Terra;

VIII. Demais diretrizes estabelecidas no Plano de Adequação do IAT à Lei Geral de Proteção de Dados – LGPD, SID 18.791.233-4;

Seção II

Da Complementação, Revisão e Vigência

Art. 46. A presente Política deve ser lida em conjunto com as obrigações previstas nos documentos abaixo relacionados, que versam sobre informações em geral, e a complementam quando aplicável:

I. Termo de Confidencialidade dos usuários e outros documentos comparáveis, que dispõem sobre obrigações de confidencialidade em relação às informações mantidas pela Instituição;

II. Políticas e normas de procedimentos de segurança da informação, bem como termos e condições de uso e responsabilidade que tratem sobre confidencialidade, integridade, autenticidade e disponibilidade das informações do Instituto Água e Terra.

Art. 47. A presente Política de Privacidade poderá ser atualizada ou modificada a qualquer tempo para atingir suas finalidades, como também para ficar em conformidade com a legislação ou normas de reguladores.

Art. 48. Esta Portaria entra em vigor na data de sua publicação, ficando revogada a Portaria IAT nº 113, de 27 de abril de 2022


EVERTON LUIZ DA COSTA SOUZA
Diretor - Presidente do Instituto Água e Terra