PROVIMENTO N. 68/2020 - PGJ - REVOGADO PELO PROVIMENTO N. 17/2022 - PGJ.
Disciplina a aplicação da Lei Geral de Proteção de Dados Pessoais – Lei Federal n. 13.709/2018 – no âmbito do Ministério Público do Estado do Rio Grande do Sul.
O EXCELENTÍSSIMO SENHOR PROCURADOR-GERAL DE JUSTIÇA, FABIANO DALLAZEN, no uso das atribuições legais que lhe conferem o artigo 109, inciso I, da Constituição do Estado e o artigo 4.º, § 5.º, da Lei Estadual n. 7.669, de 17 de junho de 1982,
CONSIDERANDO o disposto nas Leis Federais n. 8.159, de 08 de janeiro de 1991, n. 12.527, de 18 de novembro de 2011, n. 12.965, de 23 de abril de 2014, n. 13.460, de 26 de junho de 2017, e n. 13.709, de 14 de agosto de 2018;
CONSIDERANDO o disposto na Lei Estadual n. 12.473, de 03 de maio de 2006;
CONSIDERANDO o disposto nos Provimentos n. 29/2004, 31/2004, 35/2006, 32/2008, 33/2012, 34/2017, 68/2017, e 71/2017;
CONSIDERANDO o disposto na Instrução Normativa n. 01/2007;
CONSIDERANDO o disposto nas Ordens de Serviço n. 04/2012, 06/2015 e 03/2018;
CONSIDERANDO o disposto nos Decretos Estaduais n. 53.164/2016 e 53.927/2018;
CONSIDERANDO o disposto no Regimento Interno da Ouvidoria do Conselho Nacional do Ministério Público, RESOLUÇÃO n. 212, de 11 de maio de 2020;
CONSIDERANDO o disposto no Regimento Interno do Conselho Nacional do Ministério Público, RESOLUÇÃO n. 92/2013;
RESOLVE, tendo em vista o que consta no PR.00748.00167/2018-4, editar o seguinte PROVIMENTO:
Art. 1.º Este provimento regula a aplicação da lei geral de proteção de dados pessoais - LGPDP, n. 13.709, de 14 de agosto de 2018, no âmbito do Ministério Público do Estado do Rio Grande do Sul.
Art. 2.º Para os fins deste Provimento, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
VII - controlador: pessoa jurídica de direito público a quem competem as decisões referentes ao tratamento de dados pessoais;
VIII - operador: pessoa natural que realiza o tratamento de dados pessoais em nome do controlador;
IX - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XIII - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Federal nº 13.709/2018 no território nacional.
Art. 3.º Os dados pessoais à disposição do Ministério Público do Estado do Rio Grande do Sul somente poderão ser tratados quando o tratamento tiver por escopo exclusivo o cumprimento de atribuições legais, forem observados os princípios da finalidade, adequação e necessidade, e houver ao menos uma das situações a seguir:
I - respaldo em algum dos seguintes interesses: público, social, difuso, coletivo, individual indisponível, funcional e administrativo;
II - amparo em previsão legal específica.
Art. 4.º O tratamento de dados pessoais de crianças no âmbito do Ministério Público do Estado do Rio Grande do Sul, além de observar as exigências do artigo 3.º deste Provimento, deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.
Parágrafo único. Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o caput deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e, em nenhum caso, poderão ser repassados a terceiro sem o consentimento de que trata o caput deste artigo.
Art. 5.º O Ministério Público do Estado do Rio Grande do Sul é o controlador dos dados pessoais a sua disposição e a ele compete decidir sobre o tratamento destes dados.
Art. 6.º No âmbito do Ministério Público do Estado do Rio Grande do Sul, os operadores de dados pessoais são os membros, servidores e estagiários da Instituição.
Parágrafo único. O Núcleo de Inteligência – NIMP, o Laboratório de Dados e Inovação - MPRS.Labs e a Divisão de Tecnologia da Informação e Comunicação são os órgãos autorizados a realizar tratamento estruturado de dados pessoais, em nome do controlador.
Art. 7.º No âmbito do Ministério Público do Estado do Rio Grande do Sul, o encarregado será designado pelo Procurador- Geral de Justiça e deverá atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD, cumprindo-lhe, entre outras atribuições legais e regulamentares:
I - apreciar os pedidos de acesso à informação, dirigidos à Procuradoria- Geral de Justiça e aos órgãos auxiliares do Ministério Público do Estado do Rio Grande do Sul, definidos na Lei Estadual n. 7.669/82 (Lei Orgânica do Ministério Público);
II - atuar como órgão recursal de decisões sobre pedidos de informações proferidas pelos demais órgãos da Administração Superior, pelos órgãos de Administração e pelos órgãos de execução do Ministério Público do Estado do Rio Grande do Sul, definidos na Lei Estadual n. 7.669/82 (Lei Orgânica do Ministério Público), bem como pela Ouvidoria do Ministério Público do Estado do Rio Grande do Sul;
III - revisar os termos de uso e de política de privacidade do site do Ministério Público do Estado do Rio Grande do Sul, adequando-os aos ditames da legislação sobre proteção de dados pessoais, expedindo as orientações necessárias aos órgãos responsáveis;
IV - elaborar e publicar aviso sobre o tratamento de dados pessoais pelo Ministério Público do Estado do Rio Grande do Sul, em cumprimento ao disposto no inciso I do artigo 23 da Lei Federal n. 13.709/2018, observando o disposto no artigo 3.º deste provimento;
V - elaborar e publicar a Carta de Serviços ao Usuário, nos termos do artigo 7º da Lei Federal n. 13.460/2017;
VI - divulgar no site do Ministério Público do Estado do Rio Grande do Sul a identidade e as informações de contato do encarregado;
VII – coordenar o Serviço de Informações e Atendimento ao Cidadão – SIAC no Ministério Público do Estado do Rio Grande do Sul;
VIII – receber reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências, comunicando-os nos casos de incidente de segurança que tenha acarretado dano relevante ou possa acarretar risco de sua ocorrência;
IX – receber comunicações da autoridade nacional e adotar providências, bem como comunicar à autoridade nacional os incidentes de segurança que tenham acarretado dano relevante ou possam acarretar risco de sua ocorrência e os contratos, convênios e instrumentos congêneres que prevejam a transferência a entidades privadas de dados pessoais constantes da base de dados do Ministério Público do Estado do Rio Grande do Sul;
X - orientar membros, servidores, estagiários e terceirizados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
XI - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares;
XII - organizar, gerir e fiscalizar o Portal de Transparência do Ministério Público do Estado do Rio Grande do Sul, verificando a adequação das informações que são disponibilizadas por cada área responsável pela sua alimentação aos ditames da legislação vigente.
Art. 8.º Os sistemas internos do Ministério Público do Estado do Rio Grande do Sul devem manter registro das operações de tratamento de dados pessoais que realizarem o controlador, o encarregado e os operadores.
Parágrafo único. A utilização de ferramentas de consulta ou pesquisa em bancos de dados pessoais em sistemas do Ministério Público do Estado do Rio Grande do Sul deverá ensejar registro no respectivo sistema, que permita a identificação do usuário em eventual auditoria.
Art. 9.º Quando o Ministério Público do Estado do Rio Grande do Sul receber dados, por qualquer meio, que possam conter informação pessoal, e não houver indicação de assunto que permita a classificação automática de restrição de acesso, o registro inicial será como “NÃO CLASSIFICADO” nos sistemas utilizados pela instituição, podendo seu TEOR ser visualizado e acessado somente por quem atua no procedimento ou trabalha diretamente com os dados, ao menos até que ocorra a classificação manual e fundamentada de acesso, nos termos da Ordem de Serviço n. 06/2015.
§ 1º Os usuários externos e internos sem atuação direta no procedimento ou que não devam trabalhar diretamente com os dados, ao menos até a classificação, poderão visualizar CLASSE, ASSUNTO, NÚMERO, EVENTOS.
§ 2.º A restrição inicial de acesso prevista no caput deste artigo independe de pedido e tampouco será dispensada pelo consentimento do titular.
§ 3.º Quando o dado pessoal inserido em processo ou procedimento que tramita perante o Poder Judiciário ingressar nos sistemas do Ministério Público do Estado do Rio Grande do Sul, será observada a classificação de acesso atribuída pelo Poder Judiciário, sem prejuízo de eventual requerimento para alteração de classificação, a ser formulado pelo membro do Ministério Público com atribuição ao Juízo competente.
§ 4.º A classificação de acesso é necessária para que o órgão ministerial com atribuição possa dar destinação legal ou regulamentar ao dado recebido.
§ 5.º A classificação de acesso manual deverá ser, sempre, fundamentada, cumprindo aos sistemas corporativos disponibilizarem à autoridade classificadora campo próprio para registro da fundamentação e opções padronizadas de fundamentação, elaboradas pela Comissão Permanente de Proteção de Dados Pessoais prevista no artigo 13 do presente Provimento, facultado à autoridade escolher a utilização de modelo, o registro de fundamentação em campo próprio ou ambos.
§ 6.º A classificação de acesso a documento ou a procedimento que contenha dado pessoal sensível como OSTENSIVO deverá ocorrer por meio de ato fundamentado da autoridade classificadora, sendo que a publicidade do documento ou do procedimento não alcançará os dados pessoais sensíveis, salvo quando o dado sensível seja também de interesse público e assim for expressamente declarado no ato de classificação.
§ 7.º Os graus de sigilo e seus efeitos, regulamentados no âmbito do Ministério Público do Estado do Rio Grande do Sul, deverão ser informados aos comunicantes antecipadamente às comunicações e divulgados ao público em geral.
Art. 10. No caso de comunicação de fato ao Ministério Público do Estado do Rio Grande do Sul, o comunicante deverá ser avisado, antecipadamente, de que seu direito à proteção de dados pessoais, conquanto independa de pedido, não é absoluto e poderá ser relativizado em face de outros direitos que se mostrem preponderantes no caso concreto e no decorrer do procedimento, por decisão fundamentada proferida pelo órgão ministerial com atribuição, bem como que é direito do defensor, no interesse do representado investigado, ter acesso amplo aos elementos de prova que, já documentados em procedimento investigatório, digam respeito ao exercício do direito de defesa.
Art. 11. O comunicante pode pedir, agregando fundamentos, a proteção de seus dados pessoais, inclusive o sigilo sobre eles e em relação às atividades ministeriais de apuração e processamento.
§ 1.º Cabe ao órgão ministerial com atribuição para conhecer e apurar a comunicação feita ao Ministério Público do Estado do Rio Grande do Sul, fundamentadamente, deferir ou não o pedido apresentado pelo comunicante.
§ 2.º Ao apreciar fundamentadamente o pedido do comunicante, o órgão ministerial com atribuição para conhecer e apurar a comunicação feita ao Ministério Público do Estado do Rio Grande do Sul deverá classificar o acesso às informações, caso ainda não tenha sido classificado, ou poderá alterar a classificação já feita.
§ 3.º Caso não acolhido o pedido feito pelo comunicante, este, se houver informado dados para ser contatado, deverá ser notificado para, querendo, em 05 dias, manifestar, pelo meio indicado na notificação, o interesse de anonimizar sua comunicação.
§ 4.º Havendo manifestação de interesse na anonimização da comunicação, o órgão ministerial com atribuição deverá determiná-la, cumprindo aos sistemas corporativos proverem os meios para tanto.
§ 5.º Feita a anonimização da comunicação, sua apuração poderá prosseguir na condição de comunicação anônima, na forma do artigo 13 do presente Provimento.
Art. 12. Ao fazer a classificação de acesso às informações ou ao revisar a classificação já feita, seja por provocação ou de ofício, o órgão ministerial com atribuição para conduzir o expediente poderá estabelecer, fundamentadamente, restrição de acesso apenas para certos dados pessoais, ainda que a classificação conferida ao procedimento seja OSTENSIVA.
Art. 13. O comunicante que não quiser correr o risco de ter seus dados pessoais tornados ostensivos no curso da apuração do fato comunicado ou acessados pelo advogado do investigado, poderá fazer comunicação anônima ao Ministério Público, deixando de informar seus dados de qualificação.
§ 1.º Caso o comunicante informe dados de qualificação que não correspondam à realidade, a comunicação deverá ser tratada como anônima, nos termos do presente artigo, sem prejuízo de eventual responsabilização do comunicante pela falsa qualificação informada.
§ 2.º É vedado, no âmbito do Ministério Público do Estado do Rio Grande do Sul, realizar consulta ou qualquer outra diligência com o objetivo de identificar o autor de comunicação anônima, salvo para apuração de ilícito atribuído ao autor da comunicação e que configure matéria de atribuição ministerial.
§ 3.º A comunicação anônima de fato será arquivada, exceto se apresentar relato consistente, elemento probatório, ainda que mínimo, do alegado, e o fato relatado configurar hipótese legal de atuação do Ministério Público.
§ 4.º Caso a comunicação anônima contenha relato consistente, porém venha desprovida de qualquer elemento probatório, será realizada providência preliminar de apuração.
§ 5.º Se, realizada providência preliminar de apuração, for encontrado elemento probatório que reforce a verossimilhança inicial da comunicação anônima, ou se esta já vier acompanhada por indícios ou prova suficientes, o órgão ministerial com atribuição irá, com base no material probatório, instaurar o procedimento investigatório pertinente ou promover diretamente outras medidas legais cabíveis.
§ 6.º Se, realizada providência preliminar de apuração, não for encontrado elemento probatório que reforce a verossimilhança inicial da comunicação anônima, ou se for encontrado elemento probatório que à contradiga, a comunicação anônima será arquivada.
§ 7.º Os canais de comunicação do Ministério Público deverão esclarecer em quais situações a comunicação anônima de fato deverá ser arquivada de plano, poderá ensejar providência preliminar de apuração, imediata instauração de procedimento investigatório ou propositura de ações.
§ 8.º Quando forem apresentadas comunicações anônimas repetitivas ao Ministério Público do Estado do Rio Grande do Sul, o órgão ministerial que as receber, se não for aquele com atribuição para apurá-las, desde que já tenha feito encaminhamento anterior, poderá consultar o órgão ministerial com atribuição sobre o interesse em receber as comunicações anônimas repetitivas, arquivando-as sem nova remessa, caso não haja manifestação de interesse.
§ 9.º Ao promover o arquivamento de comunicação anônima, o órgão ministerial com atribuição deverá, também, realizar a anonimização dos dados de identificação porventura existentes no teor da comunicação, de modo a evitar a exposição indevida de pessoas, por meio de hachuras ou outras técnicas de proteção de dados.
Art. 14. Fica criada a Comissão Permanente de Proteção de Dados Pessoais, composta por, no mínimo, 03 representantes indicados pelo controlador, sendo um deles o encarregado e os demais escolhidos entre os operadores.
§ 1.º A Comissão Permanente de Proteção de Dados Pessoais tem por missão velar pelo cumprimento dos preceitos Constitucionais e das demais normas que se relacionam com o Direito Fundamental à Proteção de Dados Pessoais e à Privacidade, notadamente da Lei Federal n. 13.709/2018, com suas alterações, no âmbito do Ministério Público do Estado do Rio Grande do Sul.
§ 2.º A Comissão Permanente de Proteção de Dados Pessoais deverá elaborar, semestralmente, relatório de impacto à proteção de dados pessoais, descrevendo os processos internos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como os tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações pessoais, sugerindo medidas, salvaguardas e mecanismos de mitigação de risco.
Art. 15. O relatório de impacto à proteção de dados pessoais deverá ser entregue ao controlador.
Art. 16. Os operadores, de modo geral, e a Divisão de Tecnologia da Informação e Comunicação, em especial, deverão adotar as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, subtração, cópia, transferência, comunicação ou difusão.
Parágrafo único. A Divisão de Tecnologia da Informação e Comunicação deverá reportar ao encarregado, imediatamente, a identificação de incidente de segurança, mencionando no comunicado:
I - a descrição e a natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - as medidas técnicas e de segurança utilizadas para a proteção dos dados;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata;
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Art. 17. O Serviço de Informações e Atendimento ao Cidadão – SIAC prestará ao titular dos dados pessoais as informações sobre o tratamento de seus dados pelo Ministério Público do Estado do Rio Grande do Sul, atentando à idoneidade da solicitação, notadamente quanto à certeza de que se trata de solicitação realizada de forma válida pelo titular.
Art. 18. Quando necessário ao cumprimento de obrigação legal ou regulatória, os dados pessoais poderão ser armazenados pelo Ministério Público, devendo ser eliminados após o término do seu tratamento quando não se prestarem mais ao cumprimento de obrigação legal ou regulatória, conforme orientação a ser expedida pela Comissão Permanente de Proteção de Dados Pessoais.
Art. 19. Os dados pessoais armazenados pelo MPRS deverão ser mantidos em formato interoperável e estruturado, de modo a permitir o seu uso compartilhado, sempre vinculado à execução de atribuições legais.
Art. 20. É vedado ao Ministério Público do Estado do Rio Grande do Sul transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei n. 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
II - nos casos em que os dados forem acessíveis publicamente;
III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Art. 21. Os órgãos do Ministério Público do Estado do Rio Grande do Sul responsáveis pela elaboração, manutenção e gerenciamento dos sistemas institucionais deverão desenvolver as adaptações necessárias para o cumprimento do previsto no presente provimento e na Lei Federal n. 13.709/2018, com suas alterações.
Art. 22. A Comissão Permanente de Administração do Conteúdo da Internet e da Intranet, prevista no Provimento n. 29/2004, o Comitê Estratégico de Tecnologia da Informação, instituído pelo Provimento n. 68/2017, o Comitê Gestor de Acesso à Internet, previsto na Ordem de Serviço n. 03/2018, e a Comissão instituída no artigo 31 do Provimento n. 33/2012 deverão exercer suas competências e atribuições observando as orientações do encarregado e os atos normativos do controlador acerca da proteção de dados pessoais e da aplicação da Lei Federal n. 13.709/2018 e alterações.
Art. 23. Este provimento entra em vigor na data da sua publicação.
Art. 24. Revogam-se as disposições em contrário.
PROCURADORIA-GERAL DE JUSTIÇA, em Porto Alegre, 26 de agosto de 2020.
FABIANO DALLAZEN,
Procurador-Geral de Justiça.
Registre-se e publique-se.
Júlio César de Melo,
Secretário-Geral do Ministério Público.
DEMP: 08/10/2020.