Menu Mobile

PROVIMENTO N. 17/2022 - PGJ

Disciplina a aplicação da Lei Geral de Proteção de Dados Pessoais – Lei Federal n. 13.709/2018, no âmbito do Ministério Público do Rio Grande do Sul e cria o Núcleo de Proteção de Dados Pessoais.

O EXCELENTÍSSIMO SENHOR PROCURADOR-GERAL DE JUSTIÇA, MARCELO LEMOS DORNELLES, no uso das atribuições legais que lhe conferem o artigo 109, inciso I, da Constituição do Estado e o artigo 4.º, § 5.º, e o artigo 25, inciso LII, ambos da Lei Estadual n. 7.669, de 17 de junho de 1982, e

CONSIDERANDO a entrada em vigor da Lei n. 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) que objetiva a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, trazendo ao Ministério Público a necessidade de adequação de sua estrutura para atender uma nova disciplina de tratamento de dados e permanente vigilância quanto ao regular exercício;

CONSIDERANDO a promulgação da Emenda Constitucional n. 115/2022, que reconheceu o direito à proteção dos dados pessoais, inclusive nos meios digitais, como direito fundamental, elencado no artigo 5.º, inciso LXXIX, da Constituição Federal;

CONSIDERANDO a necessidade de coordenação das atividades referentes ao planejamento da Política de Proteção de Dados Pessoais, a necessidade de implementação e gerenciamento de programa de governança em privacidade dirigidos à efetiva implantação e integração da Lei Geral de Proteção de Dados (LGPD) às atividades desenvolvidas pelo Ministério Público do Rio Grande do Sul e seus integrantes por meio da criação do Núcleo de Proteção de Dados Pessoais;

CONSIDERANDO a necessidade de fixar as atribuições do Encarregado pelo tratamento de dados pessoais no âmbito do Ministério Público do Rio Grande do Sul, consoante determinam os artigos 23, III e 41, ambos da Lei Geral de Proteção de Dados (LGPD);

CONSIDERANDO a necessidade de criar e estabelecer as atribuições do Comitê Estratégico de Proteção de Dados Pessoais no âmbito do Ministério Público do Rio Grande do Sul;

CONSIDERANDO a criação, por intermédio da Portaria n. 2491/2021, do Grupo de Trabalho destinado à implementação da Lei Geral de Proteção de Dados (LGPD) no âmbito do Ministério Público do Rio Grande do Sul;

CONSIDERANDO o disposto no Regimento Interno do Conselho Nacional do Ministério Público, Resolução n. 92/2013,

RESOLVE, tendo em vista o que consta no PGEA 02434.000.010/2022, editar o seguinte PROVIMENTO:

Art. 1.º Este provimento regula a aplicação da Lei Geral de Proteção de Dados pessoais - LGPD, n. 13.709, de 14 de agosto de 2018, no âmbito do Ministério Público do Rio Grande do Sul.

Art. 2.º Para os fins deste Provimento, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

VII - controlador: pessoa jurídica de direito público a quem competem as decisões referentes ao tratamento de dados pessoais;

VIII - operador: pessoa natural que realiza o tratamento de dados pessoais em nome do controlador;

IX - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XIII - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Federal n. 13.709/2018 no território nacional.

Art. 3.º Os dados pessoais à disposição do Ministério Público do Estado do Rio Grande do Sul somente poderão ser tratados quando o tratamento tiver por escopo exclusivo o cumprimento de atribuições legais, forem observados os princípios da finalidade, adequação e necessidade, e houver ao menos uma das situações a seguir:

I - respaldo em algum dos seguintes interesses: público, social, difuso, coletivo, individual indisponível, funcional e administrativo;

II - amparo em previsão legal específica.

Art. 4.º O Ministério Público do Estado do Rio Grande do Sul é o controlador dos dados pessoais a sua disposição e a ele compete decidir sobre o tratamento destes dados.

Art. 5.º No âmbito do Ministério Público do Estado do Rio Grande do Sul, o Núcleo de Inteligência – NIMP, o Laboratório de Dados e Inovação - MPRS.Labs e a Divisão de Tecnologia da Informação e Comunicação são os órgãos autorizados a realizar o tratamento estruturado de dados pessoais, em nome do controlador.

Art. 6.º Os sistemas internos do Ministério Público do Estado do Rio Grande do Sul devem manter registro das operações de tratamento de dados pessoais que realizarem os agentes de tratamento.

Parágrafo único. A utilização de ferramentas de consulta ou pesquisa em bancos de dados pessoais em sistemas do Ministério Público do Estado do Rio Grande do Sul deverá ensejar registro no respectivo sistema, que permita a identificação do usuário em eventual auditoria.

Art. 7.º O encarregado será designado pelo Procurador- Geral de Justiça e deverá atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD, cumprindo-lhe:

I - implementar, capacitar, conscientizar, estabelecer responsabilidades e monitorar a conformidade da atuação da Instituição com a Lei Geral de Proteção de Dados – LGPD;

II - receber reclamações e pedidos dos titulares dos dados pessoais, prestar esclarecimentos e informação sobre o tratamento de seus dados atentando à idoneidade da solicitação, notadamente quanto à certeza de que se trata de solicitação realizada de forma válida pelo titular;

III - adotar providências, comunicando os titulares dos dados pessoais nos casos de incidente de segurança que tenha acarretado dano relevante ou possa acarretar risco de sua ocorrência;

IV - revisar os termos de uso e de política de privacidade do site do Ministério Público do Estado do Rio Grande do Sul, adequando-os aos ditames da legislação sobre proteção de dados pessoais, expedindo as orientações necessárias aos órgãos responsáveis;

V - elaborar e publicar aviso sobre o tratamento de dados pessoais pelo Ministério Público do Estado do Rio Grande do Sul, em cumprimento ao disposto no inciso I do artigo 23 da Lei Federal n. 13.709/2018, observando o disposto no artigo 3.º deste provimento;

VI - receber comunicações da autoridade nacional e adotar providências, bem como comunicar à autoridade nacional os incidentes de segurança que tenham acarretado dano relevante ou possam acarretar risco de sua ocorrência e os contratos, convênios e instrumentos congêneres que prevejam a transferência a entidades privadas de dados pessoais constantes da base de dados do Ministério Público do Rio Grande do Sul;

VII - orientar membros, servidores, estagiários e terceirizados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

VIII - divulgar no site do Ministério Público do Rio Grande do Sul a identidade e as informações de contato do encarregado;

IX - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Art. 8.º Cria, na estrutura da Subprocuradoria-Geral de Gestão Estratégica, o Núcleo de Proteção de Dados Pessoais competindo-lhe:

I - sob a coordenação institucional do Encarregado, planejar, desenvolver, executar e avaliar as atividades voltadas a garantir o direito à privacidade dos dados pessoais e a execução das diretrizes do Programa de Proteção de Dados Pessoais no âmbito do Ministério Público do Rio Grande do Sul;

II - prestar por intermédio do coordenador administrativo apoio direto ao encarregado no atendimento de suas funções, definidas na Lei Geral de Proteção de Dados Pessoais e em ato próprio;

III - prestar apoio e orientar os órgãos e servidores do Ministério Público do Rio Grande do Sul no levantamento das demandas, elaboração dos fluxos e ferramentas de proteção para tratamento de dados pessoais, inclusive para a realização de Relatórios de Impacto à Privacidade, contendo os encaminhamentos necessários para cada situação identificada;

IV - orientar os órgãos institucionais que tratam dados pessoais e com eles se articular, propondo as medidas necessárias à conformidade do ato com as diretrizes trazidas pela Lei Geral de Proteção de Dados Pessoais;

V - adotar as providências necessárias para o treinamento e a capacitação dos membros, servidores, estagiários e terceirizados, quando necessário;

VI - desenvolver ações voltadas ao monitoramento permanente do Programa de Privacidade de Dados do Ministério Público do Rio Grande do Sul;

VII - orientar membros e servidores quanto a dúvidas sobre a proteção de dados pessoais no que atine à LGPD, e

VIII - exercer outras atividades correlatas que lhe forem conferidas.

Art. 9.º Institui o Comitê Estratégico de Proteção de Dados Pessoais (CEPDAP), composto por membros e servidores, dentre os quais:

I - até dois membros do Ministério Público do Rio Grande do Sul designados pelo Procurador-Geral de Justiça, um dos quais na função de encarregado, que o presidirá;

II - o Secretário-Geral;

III - o Coordenador da Segurança Institucional;

IV - o Ouvidor do Ministério Público do Rio Grande do Sul, ou membro por ele indicado;

V - Um (01) membro indicado pela Corregedoria-Geral do Ministério Público do Rio Grande do Sul;

VI - o Coordenador da Divisão de Tecnologia, Informação e Comunicação;

VII - o Coordenador administrativo do Núcleo de Proteção de Dados Pessoais, que o secretariará.

Parágrafo único. Para atendimento de demandas específicas, o Comitê poderá convidar para participação em suas reuniões outros membros, servidores, pessoas ou órgãos, internos ou externos, visando a colaborar com os objetivos definidos neste Provimento e no atendimento de sua finalidade.

Art. 10. Compete ao Comitê Estratégico de Proteção de Dados Pessoais:

I - apoiar a promoção e a institucionalização do Programa de Proteção de Dados Pessoais, com a divulgação de ações e mecanismos que incentivem a sistematização de boas práticas em proteção de dados, funcionando como órgão consultivo ao Encarregado;

II - avaliar os mecanismos de tratamento e proteção de dados pessoais existentes e propor políticas, estratégias e metas para a conformidade do Ministério Público do Rio Grande do Sul com as disposições da LGPD;

III - elaborar, monitorar e manter atualizada a Política de Privacidade de Dados Ministério Público do Rio Grande do Sul, submetendo-a à aprovação do Procurador-Geral de Justiça;

IV - supervisionar a execução dos planos, dos projetos e das ações aprovados para viabilizar a implantação das diretrizes previstas na LGPD;

V - requerer aos órgãos do Ministério Publico informações que considerar necessárias ao desempenho das operações para implementação dos princípios e das diretrizes estabelecidas para proteção de dados pessoais; e

VI - exercer outras atividades correlatas com as competências anteriormente estabelecidas, ainda que não expressamente nominadas.

§ 1.º No exercício de suas competências, o Comitê deverá atuar de forma coordenada com os órgãos da Instituição responsáveis pela implementação de medidas de tecnologia e segurança da informação.

§ 2.º As atividades administrativas do Comitê serão realizadas pelo Núcleo de Proteção de Dados Pessoais.

Art. 11. Os membros, servidores, estagiários e terceirizados, de modo geral, e a Divisão de Tecnologia da Informação e Comunicação, em especial, deverão adotar as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, subtração, cópia, transferência, comunicação ou difusão.

Parágrafo único. A Divisão de Tecnologia da Informação e Comunicação deverá reportar ao encarregado, imediatamente, a identificação de incidente de segurança, mencionando no comunicado:

I - a descrição e a natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - as medidas técnicas e de segurança utilizadas para a proteção dos dados;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata;

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Art. 12. Os dados pessoais armazenados pelo Ministério Público do Rio Grande do Sul deverão ser mantidos em formato interoperável e estruturado, de modo a permitir o seu uso compartilhado, sempre vinculado à execução de atribuições legais.

Art. 13. É vedado ao Ministério Público do Rio Grande do Sul transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei n. 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);

II - nos casos em que os dados forem acessíveis publicamente;

III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;

IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

Art. 14. Os órgãos do Ministério Público do Rio Grande do Sul responsáveis pela elaboração, manutenção e gerenciamento dos sistemas institucionais deverão desenvolver as adaptações necessárias para o cumprimento do previsto no presente provimento e na Lei Geral de Proteção de Dados – LGPD.

Art. 15. A Comissão Permanente de Administração do Conteúdo da Internet e da Intranet, prevista no Provimento n. 29/2004, o Comitê Estratégico de Tecnologia da Informação, instituído pelo Provimento n. 68/2017, o Comitê Gestor de Acesso à Internet, previsto na Ordem de Serviço n. 03/2018, e a Comissão instituída no artigo 31 do Provimento n. 33/2012 deverão exercer suas competências e atribuições observando as orientações do Encarregado e os atos normativos do Controlador acerca da proteção de dados pessoais e da aplicação da Lei Federal n. 13.709/2018 e alterações.

Art. 16. Este provimento entra em vigor na data da sua publicação.

Art. 17. Revoga-se o Provimento n. 68/2020-PGJ.

PROCURADORIA-GERAL DE JUSTIÇA, em Porto Alegre, 12 de abril de 2022.

MARCELO LEMOS DORNELLES,
Procurador-Geral de Justiça.

Registre-se e publique-se.


Luciano de Faria Brasil,
Promotor de Justiça,
Chefe de Gabinete.
DEMP: 26/04/2022.


USO DE COOKIES

O Ministério Público do Estado do Rio Grande do Sul utiliza cookies para oferecer uma melhor experiência de navegação.
Clique aqui para saber mais sobre as nossas políticas de cookies.