Você está aqui: Página Principal Legislação do Ceará Temática Trabalho, Adm e Serviço Publico LEI N° 18.699, DE 07.03.24 (D.O. 07.03.24)
O texto desta Lei não substitui o publicado no Diário Oficial.
LEI N° 18.699, DE 07.03.24 (D.O. 07.03.24)
DISPÕE SOBRE O MODELO DE GOVERNANÇA DA PROTEÇÃO DE DADOS PESSOAIS NO ÂMBITO DO PODER EXECUTIVO ESTADUAL.
O GOVERNADOR DO ESTADO DO CEARÁ. Faço saber que a Assembleia Legislativa decretou e eu sanciono a seguinte Lei:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Esta Lei dispõe sobre a aplicação da Lei Federal n.º 13.709, de 14 de agosto de 2018, no âmbito do Poder Executivo Estadual, abrangendo:
I – órgãos da Administração Pública Direta, autarquias e fundações, sem prejuízo da aplicação subsidiária e complementar de normas e regras específicas;
II – empresas públicas e sociedades de economia mista controladas pelo Estado, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas.
Parágrafo único. As empresas públicas, sociedades de economia mista, suas subsidiárias e empresas controladas direta ou indiretamente pelo Estado que atuarem em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, observarão o regime relativo às pessoas jurídicas de direito privado.
Art. 2º Para fins desta Lei, sem prejuízo do disposto no art. 5.º da Lei Federal n.º 13.709, de 2018, serão consideradas as seguintes definições:
I – agentes públicos de tratamento de dados: órgãos e entidades da Administração Pública Estadual Direta e Indireta que atuem como controladores ou operadores de dados pessoais;
II – Comitê Estadual de Proteção de Dados Pessoais – CEPD: instância colegiada, de abrangência corporativa, na área de proteção de dados pessoais;
III – encarregado: responsável pelo tratamento de dados pessoais, com a função de atuar como canal de comunicação entre a sua instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD, também com a incumbência de assegurar que sua instituição atue em conformidade com a Lei Federal n.º 13.709, de 2018, e com as demais normas de proteção de dados, para garantir que o tratamento de dados pessoais seja adequadamente realizado;
IV – Política Estadual de Proteção de Dados Pessoais – PEPD: conjunto de normas, diretrizes, procedimentos e ações no âmbito do Poder Executivo Estadual com foco na adequação à Lei Federal n.º 13.709, de 2018;
V – rede de encarregados: todos os encarregados do tratamento de dados pessoais dos órgãos e das entidades da administração pública estadual que sejam agentes públicos de tratamento de dados.
Art. 3º As atividades de tratamento de dados pessoais pelos órgãos e pelas entidades da Administração Pública do Poder Executivo deverão observar os seguintes princípios:
I – legalidade: realizar o tratamento de dados pessoais somente quando devidamente autorizado por uma base legal específica estabelecida na Lei Geral de Proteção de Dados – LGPD;
II – impessoalidade: realizar o tratamento de dados pessoais na persecução do interesse público e para cumprir as finalidades públicas estabelecidas legalmente, sendo estritamente proibido o uso para fins pessoais, políticos ou outros não relacionados à finalidade pública informada;
III – moralidade: agir com ética e boa-fé durante o tratamento de dados;
IV – eficiência: realizar o melhor e mais seguro tratamento de dados com os recursos disponíveis;
V – finalidade: atender à finalidade pública, sendo ela legítima, específica, explícita e informada ao cidadão, sem possibilidade de tratamento posterior de forma incompatível com a finalidade inicial;
VI – adequação: adequar o tratamento de dados à finalidade informada ao cidadão;
VII – necessidade: utilizar somente dados realmente necessários para a execução da finalidade do tratamento;
VIII – transparência: informar o Poder Público, de forma clara, acessível e gratuita, a respeito do tratamento de dados, identificando os dados utilizados, quem está tratando esses dados, bem como as medidas de segurança utilizadas para protegê-los;
IX – livre acesso: adotar procedimentos gratuitos e acessíveis que garantam ao cidadão o acesso às informações relativas ao tratamento de seus dados;
X – qualidade: sempre atualizar e disponibilizar os dados para o correto uso em políticas públicas e em busca do interesse público;
XI – os princípios dispostos no art. 6.º da Lei Federal n.º 13.709 de 2018.
CAPÍTULO II
DO SISTEMA ESTADUAL DE PROTEÇÃO DE DADOS PESSOAIS
Art. 4º Fica instituído, nos termos desta Lei, o Sistema Estadual de Proteção de Dados Pessoais, integrado pelo Comitê Estadual de Proteção de Dados Pessoais – CEPD, como sua instância máxima, pelos Comitês Setoriais de Proteção de Dados e pela Rede de Encarregados pelo Tratamento de Dados dos órgãos e das entidades do Poder Executivo Estadual.
Art. 5.º Fica criado o Comitê Estadual de Proteção de Dados Pessoais – CEPD, instância colegiada, de abrangência corporativa, na área de proteção de dados pessoais, composto pelos seguintes órgãos:
I – Controladoria e Ouvidoria Geral do Estado, que presidirá e coordenará os trabalhos;
II – Casa Civil;
III – Procuradoria-Geral do Estado;
IV – Secretaria do Planejamento e Gestão;
V – Secretaria da Fazenda;
VI – Empresa de Tecnologia da Informação do Ceará;
VII – Secretaria da Segurança Pública e Defesa Social.
§ 1º Cada órgão de que trata o caput indicará 2 (dois) membros para o CEPD, sendo um titular e um suplente;
§ 2º A participação no Comitê será considerada prestação de serviço público relevante, não remunerada.
§ 3º O Comitê contará com Secretaria Executiva designada pela Controladoria e Ouvidoria Geral do Estado, que o apoiará em suas atividades.
§ 4º A Controladoria e Ouvidoria Geral do Estado, além de outras atribuições correlatas, apoiará administrativamente a elaboração da PEPD, podendo elaborar manuais e modelos de documentos para a sua implementação, prestará orientações, promoverá capacitações, seminários e eventos, coordenará a rede de encarregados de dados, em observância às diretrizes estratégicas traçadas pelo CEPD.
§ 5º O CEPD editará seu regimento interno, o qual disporá sobre seu funcionamento.
Art. 6º Compete ao CEPD:
I – zelar pela proteção dos dados pessoais, sendo uma referência para os órgãos e as entidades no âmbito do Estado e nos termos da legislação;
II – aprovar a Política Estadual de Proteção de Dados Pessoais – PEPD;
III – instituir gabinete de crises cibernéticas, quando da ocorrência de incidentes graves com dados pessoais;
IV – fomentar com os agentes públicos estaduais de tratamento de dados a difusão do conhecimento das normas e as medidas de segurança sobre a proteção de dados pessoais;
V – formular orientações sobre a indicação do encarregado do tratamento dos dados pessoais no âmbito dos órgãos e das entidades da administração pública estadual direta e indireta;
VI – realizar ações de cooperação com Autoridade Nacional de Proteção de Dados – ANPD para o cumprimento das suas diretrizes no âmbito estadual;
VII – disseminar o conhecimento sobre a proteção de dados pessoais;
VIII – produzir diretrizes e manuais para orientar a implementação da PEPD;
IX – apoiar os encarregados na execução de suas atribuições;
X – estabelecer indicadores para avaliar a implementação da PEPD;
XI – sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelos órgãos e pelas entidades do Poder Executivo Estadual;
XII – apoiar os Comitês Setoriais de Proteção de Dados Pessoais – CSPD na execução de suas atribuições;
XIII – formular orientações relativas às demandas que foram realizadas pelos Comitês Setoriais de Proteção de Dados Pessoais – CSPD.
§ 1º O CEPD terá autonomia para propor diretrizes estratégicas e orientar a implementação da PEPD, observado o disposto na Lei Federal n.º 13.709, de 2018 e nas diretrizes da ANPD.
§ 2º O CEPD, no exercício das competências dispostas no caput deste artigo, zelará pela preservação das hipóteses legais de sigilo, segredo de justiça e segredo industrial ou empresarial.
Art. 7º Os órgãos e as entidades citados nos incisos I e II do art. 1.º desta Lei deverão instituir, por ato próprio, seu Comitê Setorial de Proteção de Dados Pessoais – CSPD, que, preferencialmente, deverá ter a seguinte composição:
I – 2 (dois) representantes da gestão superior;
II – representante da área de tecnologia;
III – representante da unidade setorial de controle interno;
IV – encarregado de dados pessoais.
Parágrafo único. O encarregado de dados poderá ser um dos representantes indicados nos incisos I a IV do caput, situação em que será identificado na composição do CSPD como encarregado de dados, juntamente com a indicação da área que representa.
Art. 8º Compete aos CSPD:
I – estabelecer ações e procedimentos necessários ao atendimento das normas definidas na PEPD e na Lei Federal n.º 13.709, de 2018;
II – monitorar, no seu âmbito setorial, o cumprimento das diretrizes e normas definidas pela PEPD;
III – desenvolver políticas internas que estejam em consonância com a PEPD e a Lei Federal n.º 13.709, de 2018;
IV – fomentar uma cultura organizacional que valorize a privacidade e a proteção de dados, incentivando boas práticas entre os colaboradores;
V – coordenar, em articulação com o encarregado de dados, as atividades necessárias em resposta a consultas ou solicitações da ANPD, em articulação com o CEPD;
VI – comunicar ao CEPD qualquer incidente de segurança que tenha repercussão na proteção de dados pessoais;
VII – fornecer orientação e treinamento para os colaboradores sobre as práticas adequadas de tratamento de dados.
Parágrafo único. O CSPD deverá regulamentar seu regimento interno, que estabelecerá os ritos de funcionamento do Comitê.
CAPÍTULO III
DOS ENCARREGADOS DOS ÓRGÃOS
Art. 9º O dirigente máximo de cada ente disposto no art. 1.º, incisos I e II, desta Lei designará servidor público para ser o encarregado pelo tratamento dos dados pessoais, nos termos do inciso III do art. 23 e do art. 41 da LGPD.
Art. 10. São atribuições dos encarregados:
I – aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar providências;
II – orientar os servidores, os funcionários e os contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
III – realizar o mapeamento dos processos de tratamento de dados pessoais realizados no âmbito do órgão ou da entidade estadual, inclusive dos compartilhamentos com entidades públicas ou privadas, propondo adequações à luz da LGPD;
IV – realizar a gestão e proteção de dados pessoais dentro do seu órgão de atuação;
V – cumprir as ações e deliberações instituídas pelo CEPD;
VI – atender às normas complementares da Autoridade Nacional de Proteção de Dados – ANPD;
VII – participar e contribuir com o CSPD.
CAPÍTULO IV
DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA DO PODER EXECUTIVO
Art. 11. O tratamento de dados pessoais pelos órgãos e pelas entidades da Administração Pública do Poder Executivo deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
Parágrafo único. Além do disposto no caput deste artigo, os órgãos e as entidades da Administração Pública do Poder Executivo informarão, nos seus sítios eletrônicos, as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.
Art. 12. Os órgãos e as entidades da Administração Pública do Poder Executivo podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, observados os princípios de proteção de dados pessoais elencados no art. 6.º da Lei Federal n.º 13.709, de 2018.
Art. 13. É vedado aos órgãos e às entidades da Administração Pública do Poder Executivo transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal n.º 12.527, de 2011;
II – nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal n.º 13.709, de 2018;
III – quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável à ANPD;
IV – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo único. Em quaisquer das hipóteses previstas neste artigo:
I – a transferência de dados dependerá de autorização específica conferida pelo órgão ou pela entidade estadual à entidade privada;
II – as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou pela entidade estadual;
III – a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e os órgãos e as entidades estaduais, quando necessário consentimento do titular, poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.
Art. 14. A Administração Pública direta e indireta do Poder Executivo deverá:
I – dar publicidade às informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e das entidades na internet, e no canal oficial de transparência do Poder Executivo Estadual, em seção específica;
II – atender às exigências que vierem a ser estabelecidas pela ANPD, nos termos do § 1.º do art. 23 e do parágrafo único do art. 27 da Lei Federal n.º 13.709, de 2018;
III – manter dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas à execução de Políticas Públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 15. As orientações e recomendações da Autoridade Nacional de Proteção de Dados – ANPD, quanto à matéria disposta nesta Lei, serão observadas pelos órgãos e pelas entidades da Administração Pública do Poder Executivo, devendo, em caso de dúvida jurídica, ser consultada a Procuradoria-Geral do Estado, por provocação do CEPD.
Art.16. A Controladoria e Ouvidoria Geral do Estado poderá editar normas e procedimentos complementares para a operacionalização do disposto nesta Lei.
Art. 17. Esta Lei entra em vigor na data de sua publicação.
PALÁCIO DA ABOLIÇÃO, DO GOVERNO DO ESTADO DO CEARÁ, em Fortaleza, 07 de março de 2024.
Elmano de Freitas da Costa
GOVERNADOR DO ESTADO
Autoria: Poder Executivo