O DEFENSOR PÚBLICO-GERAL DO ESTADO DA BAHIA, no exercício de suas atribuições legais, nos termos do art. 32º, I, II e V, da Lei Complementar Estadual nº 26/2006, do art. 100 da Lei Complementar nº 80/94, e do artigo 1º da Lei nº 13.709/2018, CONSIDERANDO que os dados pessoais integram o âmbito de proteção dos direitos fundamentais de liberdade, de privacidade, de intimidade e do livre desenvolvimento da personalidade da pessoa natural;
CONSIDERANDO a promulgação da Lei Federal nº 13.709, de 14 de agosto de 2018, que estabeleceu a Lei Geral de Proteção de Dados Pessoais – LGPD;
CONSIDERANDO que, nos termos do parágrafo único do art. 1º da Lei Geral de Proteção de Dados Pessoais, as normas de proteção relativas ao tratamento de dados pessoais são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios;
CONSIDERANDO que a disciplina da proteção de dados pessoais abrange expressamente o tratamento realizado pelo Poder Público, conforme previsto pelo Capítulo IV da LGPD;
CONSIDERANDO a necessidade de estabelecer uma relação de confiança, de proteção e de privacidade com relação aos dados dos cidadãos e de assegurar a resposta adequada aos riscos, ameaças e desafios correspondentes;
CONSIDERANDO a necessidade de formalizar o compromisso da Defensoria Pública do Estado da Bahia em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais, bem como em desenvolver ações voltadas à governança de dados;
RESOLVE:
SEÇÃO I – DISPOSIÇÕES GERAIS
Art. 1º. Instituir no âmbito da Defensoria Pública do Estado da Bahia a Política de Governança de Privacidade e Proteção de Dados Pessoais.
§1º. A Política de Governança de Privacidade e Proteção de Dados Pessoais será administrada pela Comissão para análise das implicações da Lei Geral de Proteção de Dados Pessoais no âmbito da Defensoria Pública do Estado da Bahia, instituída por Portaria do Defensor Público-Geral.
§2º. Esta Política disciplina a proteção de dados pessoais nas atividades funcionais e administrativas da Defensoria Pública do Estado do Estado da Bahia, regulando o relacionamento desta com os usuários de seus serviços e com os integrantes da Instituição, fornecedores e terceiros.
§ 3º. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no artigo 6º da Lei Geral de Proteção de Dados Pessoais (LGPD), quais sejam, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
Art. 2º. A Política de Governança de Privacidade e Proteção de Dados Pessoais tem por objetivos:
I – incentivar e adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais;
II – instituir mecanismos para identificação e correção de falhas no tratamento de dados de forma eficaz, rápida e adequada;
III – estabelecer relação de confiança com as pessoas titulares de dados pessoais por meio de uma atuação transparente e que lhes assegure mecanismos de participação;
IV – assegurar e garantir aos usuários de seus serviços, aos integrantes da Instituição, fornecedores e terceiros, os direitos fundamentais de liberdade, de intimidade e de privacidade, previstos na Lei Geral de Proteção de Dados;
V – monitorar e promover a melhoria contínua nos processos e controles de gestão de tratamento de dados, em processo de avaliação sistemática de impactos e riscos à privacidade.
Parágrafo único. A presente Política deverá ser observada em consonância com os princípios constitucionais, administrativos e a legislação que rege a matéria, em especial o disposto na Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou LGPD), na Lei nº 12.527/2011 (Lei de Acesso à Informação), na Lei nº 9.507/1997 (Lei do Habeas Data), na Lei n° 12.965/2014 (Marco Civil da Internet), na Lei nº 13.460/2017 (Código de Defesa do Usuário do Serviço Público), na Lei nº 9.784/1999 (Lei Geral do Processo Administrativo) e no Decreto nº 9.637/2018 (Política Nacional de Segurança da Informação).
Art. 3º. A Defensoria Pública do Estado da Bahia adotará boas práticas de governança capazes de inspirar comportamentos adequados e de mitigar os riscos de comprometimento de dados pessoais e implementará:
I – processos e políticas internas de proteção de dados adaptados à estrutura, à escala e ao volume das operações, bem como à sensibilidade dos dados tratados;
II – medidas de segurança destinadas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, nos termos do art. 46 e seguintes da LGPD;
III – plano de resposta a incidentes;
IV – campanhas informativas visando a disseminar cultura protetiva, com conscientização e sensibilização dos interessados;
V – ações de capacitação sobre a LGPD, destinadas aos membros da Instituição, servidores, estagiários e pessoal terceirizado, com apoio da Escola Superior da Defensoria Pública do Estado da Bahia – ESDEP.
SEÇÃO II – O TRATAMENTO DOS DADOS PESSOAIS
Art. 4º. O tratamento de dados pessoais pela Defensoria Pública do Estado da Bahia é realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
§1º. A Defensoria Pública do Estado da Bahia, considerando o disposto no caput, poderá, no estrito limite de suas funções institucionais, tratar dados pessoais com dispensa de obtenção de consentimento pelas respectivas pessoas titulares.
§2º. A informação sobre o tratamento de dados pessoais sensíveis ou não, referentes a crianças ou adolescentes, ainda que dispensado o consentimento, estará disponível em linguagem clara e simples, com concisão, transparência, inteligibilidade e acessibilidade.
§3º. A informação de que os dados pessoais serão tratados pela Defensoria Pública do Estado da Bahia poderá ser transmitida por meio da declaração de hipossuficiência subscrita pelos usuários de seus serviços, de termo próprio, e-mail, pela Central de Relacionamento com o Cidadão, pelo aplicativo da Defensoria, ou por outros meios de agendamento e atendimento da Instituição.
§ 4º. A Política de Governança de Privacidade e Proteção de Dados Pessoais ficará disponível aos usuários dos serviços da Defensoria Pública do Estado da Bahia no aplicativo e no site da Instituição.
§ 5º As regras estabelecidas nesta Política e na Lei Geral de Proteção de Dados Pessoais (LGPD) deverão ser observadas em todo o ciclo de vida do tratamento, especialmente os princípios gerais e a garantia dos direitos do titular.
SEÇÃO III – DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Art. 5º. A Defensoria Pública do Estado da Bahia é a Controladora dos dados pessoais por ela tratados cabendo-lhe as decisões referentes ao tratamento e as demais atribuições conferidas pela Lei Geral de Proteção de Dados Pessoais (LGPD), nos termos das suas competências legais e institucionais.
Art. 6º. Toda pessoa natural ou jurídica, de direito público ou privado, que realize o tratamento de dados pessoais em nome e por ordem da controladora, exerce o papel de operador.
Parágrafo único. Os operadores deverão aderir a esta Política e cumprir integralmente seus deveres legais com relação à proteção de dados pessoais, sendo de sua responsabilidade ainda:
I – realizar o tratamento segundo as instruções fornecidas pela controladora;
II – assinar ajuste com cláusulas específicas sobre proteção de dados pessoais requeridas
pela controladora;
III – documentar as operações que realizarem, comprovando a metodologia empregada para
justificar o alcance de finalidade e permitindo a rastreabilidade e o fornecimento de prova a
qualquer tempo;
IV – apresentar evidências e garantias de que aplica medidas técnicas e administrativas de
segurança suficientes, quando necessário, à comprovação do cumprimento das obrigações
estabelecidas e do atendimento às normas de proteção de dados pessoais, inclusive quanto à
finalidade e eficácia do tratamento;
V – facultar acesso a dados pessoais somente ao pessoal autorizado mediante justificada
necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e a
segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente
para exibição à controladora, mediante solicitação;
VI – fornecer, a qualquer tempo, informações acerca dos dados pessoais confiados pela
controladora;
VII – auxiliar, em toda providência que estiver ao seu alcance, a controladora no cumprimento de obrigações perante titulares de dados pessoais que são objeto do tratamento, autoridades competentes ou quaisquer outros legítimos interessados;
VIII – comunicar formalmente e de imediato ao encarregado da Defensoria Pública do Estado da Bahia a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo aos titulares dos dados pessoais, evitando atrasos por conta de verificações ou inspeções;
IX – manter, durante todo o período de tratamento e mesmo após o término, adequação com
a Lei Geral de Proteção de Dados (LGPD), com as demais normas pertinentes e com as regulamentações da Autoridade Nacional de Proteção de Dados (ANPD).
Art. 7º. A qualquer tempo, a Defensoria Pública poderá requisitar informações acerca dos dados pessoais confiados aos seus fornecedores e prestadores de serviço, os quais serão considerados Operadores, e deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão, descartar ou devolver para a Defensoria Pública do Estado da Bahia todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva, ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.
Art. 8º. São deveres de todos os membros, servidores, estagiários e demais colaboradores que executem atividade vinculada à atuação institucional da Defensoria Pública do Estado da Bahia:
I – conhecer e cumprir fielmente os termos desta Política;
II – atender às orientações da controladora e aos preceitos legais relacionados à proteção de
dados pessoais, à privacidade e a medidas de segurança;
III – atuar com responsabilidade, critério e ética e garantir a segurança da informação
sempre que intervenha em uma das fases do tratamento de dados pessoais;
III – comunicar formalmente e de imediato ao encarregado a ocorrência de qualquer risco,
ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial
ou efetivo aos titulares dos dados pessoais.
SEÇÃO IV – DO ENCARREGADO DE PROTEÇÃO DOS DADOS PESSOAIS
Art. 9º. O Defensor Público-Geral editará ato designando os Encarregados pelo Tratamento de Dados Pessoais da Defensoria Pública do Estado da Bahia, ao qual incumbirá:
I – atuar como canal de comunicação entre a controladora, as(os) titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD);
II – aceitar reclamações e comunicações das(os) titulares, prestar esclarecimentos e adotar providências;
III – receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;
IV – orientar os integrantes da Instituição e pessoal terceirizado a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
V – executar as demais atribuições determinadas pela controladora ou estabelecidas em normas complementares.
Art. 10º. Serão publicadas, em lugar de fácil acesso e visualização em seu sítio eletrônico, as seguintes informações sobre a política de governança do tratamento de dados pessoais:
I – a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para tratamento de dados pessoais na Instituição;
II – a identificação da Controladora; e
III – o nome dos Encarregados pelo Tratamento de Dados Pessoais da Defensoria Pública do Estado da Bahia e os contatos destes.
Art. 11. Os Encarregados e a Comissão para análise das implicações da Lei Geral de Proteção de Dados Pessoais no âmbito da Defensoria Pública do Estado da Bahia deverão manter o Defensor Público-Geral a par de aspectos e fatos significativos, e de interesse para conhecimento pelas instâncias respectivas.
Art. 12. Os Encarregados pelo Tratamento de Dados Pessoais deverão elaborar, anualmente, um Relatório de Impacto de Proteção de Dados Pessoais, identificando vulnerabilidades e respectivos Planos de Ação.
SEÇÃO V – DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 13. Ao entrar em vigor esta Resolução, a Defensoria Pública do Estado da Bahia deverá adotar as seguintes medidas voltadas à implementação interna da Lei Geral de Proteção de Dados:
I – mapeamento de todos os processos de tratamento de dados pessoais da Instituição;
II – análise da compatibilidade dos processos com a Lei Geral de Proteção de Dados Pessoais;
III – elaboração de um cronograma de adequação dos processos incompatíveis com a Lei Geral de Proteção de Dados Pessoais, incluindo sistemas e documentos internos.
Art. 14. Serão estabelecidos os meios para que a pessoa titular do dado pessoal possa, no que couber, exercer os direitos assegurados pelos artigos 18 e 19 da LGPD.
Art. 15. A Política de Governança de Privacidade e Proteção de Dados Pessoais deve ser revista anualmente, em razão da edição ou alteração de leis e/ou regulamentos relevantes e da análise de risco em Relatório de Impacto de Proteção de Dados Pessoais que indique a necessidade de modificação no documento para readequação da organização visando a prevenir ou mitigar riscos relevantes.
Art. 16. Sem prejuízo das normas desta Resolução, a proteção de dados pessoais pela Defensoria Pública do Estado da Bahia deverá observar as condições determinadas pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade e pela Autoridade Nacional de Proteção de Dados, na forma da legislação e regulamentação vigentes.
Art. 17. Caberá a Coordenação de Modernização e Informática apresentar a Política de Segurança da Informação da Defensoria Pública do Estado da Bahia, no prazo de 90 (noventa) dias, a partir da publicação da presente resolução.
Parágrafo único. A Política de Segurança da Informação será apresentada para a Comissão para análise das implicações da Lei Geral de Proteção de Dados Pessoais no âmbito da Defensoria Pública do Estado da Bahia para fins de aprovação e deliberação.
Art. 18. Esta Portaria entra em vigor na data da sua publicação.