O DEFENSOR PÚBLICO-GERAL DO ESTADO, no exercício de suas atribuições legais, nos termos do art. 8º, I da Lei Complementar Estadual nº 06/77, e do art. 100 da Lei Complementar nº 80/94,
CONSIDERANDO:
- o disposto na Lei 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados; na Lei 12.965, de 23 de abril de 2014 – Marco Civil da Internet e na Lei 12.527, de 18 de novembro de 2011 – Lei de Acesso à Informação;
- o constante nos autos do processo E-20/001.006639/2020,
RESOLVE:
SEÇÃO I – DISPOSIÇÕES GERAIS
Art. 1º. Instituir no âmbito da Defensoria Pública do Estado do Rio de Janeiro a Política de Governança de Privacidade e Proteção de Dados Pessoais.
§1º. A Política de Governança de Privacidade e Proteção de Dados Pessoais será administrada pelo Comitê Gestor de Privacidade e Proteção de Dados Pessoais, com composição multidisciplinar, criado por Resolução do Defensor Público-Geral.
§2º. Esta Política disciplina a proteção de dados pessoais nas atividades funcionais e administrativas da Defensoria Pública do Estado do Rio de Janeiro, regulando o relacionamento desta com as usuárias e usuários de seus serviços e com os integrantes da instituição, fornecedores e quaisquer terceiros.
Art. 2º. A Política de Governança de Privacidade e Proteção de Dados Pessoais tem por objetivos:
I – incentivar e adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais;
II – instituir mecanismos para identificação e correção de falhas no tratamento de dados de forma eficaz, rápida e adequada;
III – estabelecer relação de confiança com as pessoas titulares de dados pessoais por meio de uma atuação transparente e que lhes assegure mecanismos de participação.
Art. 3º. A Defensoria Pública do Estado do Rio de Janeiro adota boas práticas e governança capazes de inspirar comportamentos adequados e de mitigar os riscos de comprometimento de dados pessoais e implementará:
I – processos e políticas internas de proteção de dados adaptados à estrutura, à escala e ao volume das operações, bem como à sensibilidade dos dados tratados;
II – medidas de segurança destinadas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, nos termos do art. 46 e seguintes da LGPD;
III – plano de resposta a incidentes;
IV - campanhas informativas visando a disseminar cultura protetiva, com conscientização e sensibilização dos interessados;
V - ações de capacitação sobre a LGPD, destinadas aos integrantes da instituição e pessoal terceirizado, com apoio do seu Centro de Estudos Jurídicos (CEJUR) e da Fundação Escola Superior da Defensoria Pública do Estado do Rio de Janeiro (FESUDEPERJ).
SEÇÃO II – O TRATAMENTO DOS DADOS PESSOAIS
Art. 4º. O tratamento de dados pessoais pela Defensoria Pública do Estado do Rio de Janeiro é realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
§1º. A Defensoria Pública do Estado do Rio de Janeiro, considerando o disposto no caput, poderá, no estrito limite de suas funções institucionais, tratar dados pessoais com dispensa de obtenção de consentimento pelas respectivas pessoas titulares.
§2º. A informação sobre o tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes, ainda que dispensado o consentimento, estará disponível em linguagem clara e simples, com concisão, transparência, inteligibilidade e acessibilidade.
§3º. A informação sobre o tratamento de dados poderá ser transmitida à pessoa usuária da Defensoria Pública do Estado do Rio de Janeiro por meio da declaração de hipossuficiência, de termo próprio, e-mail funcional, pela Central de Relacionamento com o Cidadão, pelo app “Defensoria RJ” ou outros meios de atendimento disponibilizados pela Instituição.
Art. 5º. A Defensoria Pública do Estado do Rio de Janeiro é a Controladora dos dados pessoais por ela tratados.
Art. 6º. A qualquer tempo, a Defensoria Pública poderá requisitar informações acerca dos dados pessoais confiados aos seus fornecedores e prestadores de serviço, os quais serão considerados Operadores, e deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão, mas não se limitarão aos seguintes:
I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pela Defensoria Pública do Estado do Rio de Janeiro;
II - apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança para a proteção dos dados pessoais;
III - adotar medidas necessárias para garantir a rastreabilidade e de prova eletrônica a qualquer tempo;
IV - facultar acesso a dados pessoais somente para o pessoal autorizado e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição a Defensoria Pública do Estado do Rio de Janeiro, mediante solicitação;
V - auxiliar, em toda providência que estiver ao seu alcance, no atendimento pela Defensoria Pública do Estado do Rio de Janeiro de obrigações perante as pessoas titulares de dados pessoais, autoridades competentes ou quaisquer outras(os) legítimas(os) interessadas(os);
VI - comunicar formalmente e de imediato à Defensoria Pública do Estado do Rio de Janeiro a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais;
VII - descartar ou devolver para a Defensoria Pública do Estado do Rio de Janeiro todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.
Art. 7º. O Defensor Público-Geral editará ato designando o Encarregado pelo Tratamento de Dados Pessoais da Defensoria Pública do Estado do Rio de Janeiro, ao qual incumbirá:
I - atuar como canal de comunicação entre a controladora, as(os) titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD);
II - aceitar reclamações e comunicações das(os) titulares, prestar esclarecimentos e adotar providências;
III - receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;
IV - orientar os integrantes da instituição e pessoal terceirizado a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
V - executar as demais atribuições determinadas pela controladora ou estabelecidas em normas complementares.
Art. 8º. Serão publicadas, em lugar de fácil acesso e visualização em seu sítio eletrônico, as seguintes informações sobre a política de governança do tratamento de dados pessoais:
I – a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para tratamento de dados pessoais na instituição;
III – a identificação da Controladora; e
IV – o nome do Encarregado pelo Tratamento de Dados Pessoais da Defensoria Pública do Estado do Rio de Janeiro e o contato deste.
Art. 9º. O Encarregado e o Comitê Gestor de Privacidade e Proteção de Dados Pessoais deverão manter o Defensor Público-Geral a par de aspectos e fatos significativos e de interesse para conhecimento pelas instâncias respectivas.
Art. 10. O Encarregado pelo Tratamento de Dados Pessoais deverá elaborar, anualmente, um Relatório de Impacto de Proteção de Dados Pessoais, identificando vulnerabilidades e respectivos Planos de Ação.
SEÇÃO III - DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 11. Ao entrar em vigor esta Resolução, a Defensoria Pública do Estado do Rio de Janeiro deverá adotar as seguintes medidas voltadas à implementação interna da Lei Geral de Proteção de Dados:
I – mapeamento de todos os processos de tratamento de dados pessoais da instituição;
II – análise da compatibilidade dos processos com a Lei Geral de Proteção de Dados Pessoais;
III – elaboração de um cronograma de adequação dos processos incompatíveis com a Lei Geral de Proteção de Dados Pessoais, incluindo sistemas e documentos internos.
Art. 12. Serão estabelecidos os meios para que a pessoa titular do dado pessoal possa, no que couber, exercer os direitos assegurados pelos artigos 18 e 19 da LGPD.
Art. 13. A Política de Governança de Privacidade e Proteção de Dados Pessoais deve ser revista anualmente, em razão da edição ou alteração de leis e/ou regulamentos relevantes e da análise de risco em Relatório de Impacto de Proteção de Dados Pessoais que indique a necessidade de modificação no documento para readequação da organização visando a prevenir ou mitigar riscos relevantes.
Art. 14. Sem prejuízo das normas desta Resolução, a proteção de dados pessoais pela Defensoria Pública do Estado do Rio de Janeiro deverá observar as condições determinadas pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade e pela Autoridade Nacional de Proteção de Dados, na forma da legislação e regulamentação vigentes.
Art. 15. Esta Resolução entra em vigor na data da sua publicação, com produção de efeitos a contar de 14 de abril de 2021.
Rio de Janeiro, 09 de abril de 2021.
RODRIGO BAPTISTA PACHECO
Defensor Público-Geral do Estado