PORTARIA PGJ Nº 897, DE 19 DE OUTUBRO DE 2023.
Institui, no âmbito do Ministério Público do Estado do Espírito Santo - MPES, a Política de Privacidade e de Proteção de Dados Pessoais.
A PROCURADORA-GERAL DE JUSTIÇA, no uso das atribuições que lhe são conferidas pelo art. 10 da Lei Complementar Estadual nº 95, de 28 de janeiro de 1997, e
CONSIDERANDO a relevância da proteção de dados pessoais, consagrada como direito fundamental no inciso LXXIX do art. 5º da Constituição da República, por força da Emenda Constitucional nº 115, de 10 de fevereiro de 2022;
CONSIDERANDO que o respeito à privacidade é fundamento da Lei Geral de Proteção de Dados Pessoais - LGPD, conforme se depreende do art. 2º, inciso I, da Lei Federal nº 13.709, de 14 de agosto de 2018;
CONSIDERANDO a garantia das(os) titulares a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento, consubstanciada no inciso VI do art. 6º da referida Lei como princípio da transparência;
CONSIDERANDO a importância de instituir uma Política de Privacidade e de Proteção de Dados Pessoais, a fim de dar transparência às(aos) titulares de dados pessoais tratados pelo MPES;
CONSIDERANDO o teor do Procedimento Sei! 19.11.0095.0027002/2023-09,
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Instituir, no âmbito do Ministério Público do Estado de Espírito Santo - MPES, a Política de Privacidade e de Proteção de Dados Pessoais, visando ao cumprimento do disposto na Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD.
Parágrafo único. As disposições desta Portaria aplicam-se ao tratamento de dados pessoais realizados, em meio físico ou digital, nas atividades administrativas e finalísticas do MPES, excetuados, nos termos do art. 4º, II, “a” e “b” e III, “a” e “d”, da Lei nº 13.709/2018, os casos relacionados exclusivamente a fins jornalísticos, artísticos, acadêmicos, de segurança pública e de atividades de investigação e de repressão de infrações penais.
Art. 2º A Política de Privacidade e de Proteção de Dados Pessoais tem por objetivos:
I - incentivar e adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais;
II - instituir mecanismos para identificação e correção de falhas no tratamento de dados de forma eficaz, rápida e adequada;
III - estabelecer relação de confiança com as pessoas titulares de dados pessoais por meio de uma atuação transparente e que lhes assegure mecanismos de participação.
CAPÍTULO II
DOS FUNDAMENTOS E DOS PRINCÍPIOS
Art. 3º O tratamento de dados pessoais pelo MPES tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor;
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Art. 4º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados à(ao) titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas à(ao) titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, às(aos) titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, às(aos) titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, às(aos) titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pela(o) agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
CAPÍTULO III
DA COLETA DOS DADOS PESSOAIS
Art. 5º O MPES, tanto na atividade-fim quanto na atividade administrativa, coleta dados pessoais, inclusive sensíveis e de crianças e de adolescentes, necessários ao desempenho de suas funções, os quais deverão ser tratados em consonância com os princípios previstos nesta Portaria, na legislação de regência e conforme a hipótese de tratamento aplicável.
Parágrafo único. Os dados pessoais poderão ser coletados no site do MPES - mpes.mp.br -, por representações, cadastros de manifestações, cookies, formulários, atendimentos realizados pela Ouvidoria do MPES e pelas Procuradorias e Promotorias de Justiça, entre outros meios necessários para o cumprimento de suas funções.
CAPÍTULO IV
DOS AGENTES E DO TRATAMENTO DE DADOS PESSOAIS
Art. 6º O MPES é o controlador dos dados pessoais tratados no âmbito de suas atividades administrativas e finalísticas.
Parágrafo único. Para a realização de operações de tratamento de dados pessoais, tais como recepção, processamento e armazenamento, o MPES poderá utilizar serviços prestados por operadores, os quais deverão observar as disposições legais, as instruções fornecidas pelo controlador e a Política prevista nesta Portaria.
Art. 7º A(O) Encarregada(o) pelo Tratamento de Dados Pessoais no MPES será uma(um) membra(o) do Ministério Público designada(o) pela Procuradora-Geral de Justiça, que exercerá as funções descritas no § 2º do art. 41 da Lei nº 13.709/2018.
§ 1º Compete à(ao) Encarregada(o) atuar como canal de comunicação entre o controlador e as(os) titulares dos dados.
§ 2º A(O) Encarregada(o) conta com o apoio do Comitê Estratégico de Proteção de Dados Pessoais - Cepdap para, em conjunto com outras unidades da instituição, estabelecer regras de segurança, de boas práticas, de governança e procedimentos, bem como para promover a gestão de riscos envolvendo a proteção de dados pessoais no MPES.
Art. 8º O MPES, no exercício de suas atividades administrativas não vinculadas diretamente ao exercício de suas competências legais e constitucionais, somente poderá realizar o tratamento de dados pessoais nas seguintes hipóteses:
I - para o cumprimento de obrigação legal ou regulatória;
II - para a realização de estudos por órgão de pesquisa, via anonimização dos dados pessoais, sempre que possível;
III - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte a(o) titular, a pedido desta(e);
IV - para o exercício regular de direitos em processo judicial ou administrativo;
V - para a proteção da vida ou da incolumidade física da(o) titular ou de terceiro;
VI - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
VII - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de se tratar de dados pessoais sensíveis ou de prevalecerem direitos e liberdades fundamentais da(o) titular que exijam a proteção dos dados pessoais;
VIII - mediante o fornecimento de consentimento pela(o) titular.
§ 1º O tratamento de dados pessoais, em qualquer das hipóteses previstas no caput, será limitado ao mínimo necessário para a realização de sua finalidade.
§ 2º No que tange ao inciso VIII do caput deste artigo, o consentimento da(o) titular deverá ser sempre livre, inequívoco e informado e, na hipótese de tratamento de dados pessoais sensíveis, será também específico e de forma destacada.
§ 3º O consentimento mencionado no § 2º poderá ser revogado a qualquer tempo por manifestação expressa realizada pela(o) titular dos dados pessoais, encaminhada à(ao) Encarregada(o) pelo Tratamento de Dados Pessoais do MPES por formulário específico disponível no site institucional.
Art. 9º Nas atividades finalísticas, o MPES realizará o tratamento de dados pessoais, inclusive os sensíveis e de crianças e adolescentes, independentemente do consentimento das(os) titulares, sempre que necessário ao cumprimento de suas obrigações e prerrogativas constitucionais.
Parágrafo único. O tratamento de dados pessoais será limitado ao mínimo necessário para a realização de sua finalidade.
Art. 10. O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse e, na hipótese de o tratamento de dados ocorrer com base no consentimento, este deverá ser específico e em destaque, feito por, pelo menos, um dos pais ou responsável legal.
Parágrafo único. O consentimento mencionado no caput deste artigo poderá ser revogado a qualquer tempo mediante manifestação expressa do pai, da mãe ou do responsável legal que inicialmente expressou o consentimento, a qual será encaminhada à(ao) Encarregada(o) pelo Tratamento de Dados Pessoais do MPES por meio de formulário específico disponível no site institucional.
CAPÍTULO V
DO COMPARTILHAMENTO DE DADOS PESSOAIS
Art. 11. O MPES, observadas as disposições da Lei Geral de Proteção de Dados Pessoais e os princípios elencados na referida Lei e nesta Portaria, realiza o compartilhamento de dados pessoais para a execução de suas atribuições legais e para o cumprimento de políticas públicas e de obrigações legais ou regulatórias.
Parágrafo único. Na hipótese de tratamento prevista no caput, o MPES também poderá realizar o compartilhamento de dados pessoais, de acordo com a interoperabilidade de seus sistemas e serviços de tecnologia da informação.
Art. 12. O MPES não transferirá a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, salvo se:
I - for necessário à execução descentralizada de atividade institucional que exija a transferência, exclusivamente para esse fim específico e determinado, observando-se o disposto na Lei nº 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação, bem como na Portaria PGJ nº 6.939, de 18 de agosto de 2017;
II - os dados forem acessíveis publicamente, observadas as disposições da Lei nº 13.709/2018;
III - houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
IV - a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade da(o) titular dos dados pessoais, desde que vedado o tratamento para outras finalidades.
CAPÍTULO VI
DOS DIREITOS DA(O) TITULAR
Art. 13. Desde que comprovada a titularidade, a(o) titular dos dados pessoais tem direito, de forma gratuita, mediante requerimento encaminhado à(ao) Encarregada(o) pelo Tratamento de Dados Pessoais por meio do formulário específico disponível no site institucional:
I - à confirmação da existência de tratamento;
II - ao acesso aos dados pessoais;
III - à correção de dados pessoais incompletos, inexatos ou desatualizados;
IV - à anonimização, ao bloqueio ou à eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com as disposições legais;
V - à portabilidade dos dados pessoais;
VI - à eliminação dos dados pessoais tratados com o seu consentimento, excetuando-se as situações previstas na legislação;
VII - à informação dos terceiros com os quais se realizou uso compartilhado;
VIII - à informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - à revogação do consentimento para tratamento de seus dados pessoais;
X - a opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento.
§ 1º A(O) Encarregada(o) pelo Tratamento de Dados Pessoais solicitará, sempre que necessário, informações e/ou documentos complementares para comprovar a identidade da(o) requerente e para facilitar a consulta ao banco de dados.
§ 2º Após o recebimento, via sistema próprio, pela(o) Encarregada(o) pelo Tratamento de Dados Pessoais do requerimento da(o) titular, devem ser providenciadas junto ao controlador as medidas cabíveis, bem como a comunicação à(ao) demandante da solução adotada.
§ 3º Para os fins deste artigo, a(o) Encarregada(o) pode solicitar às unidades ministeriais informações acerca do tratamento de dados realizado, estabelecendo prazo para resposta.
Art. 14. O requerimento poderá ser indeferido, de forma fundamentada, nos seguintes casos:
I - relacionados exclusivamente a fins jornalísticos, artísticos, acadêmicos, de segurança pública e de atividades de investigação e repressão de infrações penais;
II - em que possa haver prejuízo ao cumprimento de obrigações legais ou ao desenvolvimento das atribuições institucionais;
III - necessários à proteção de direitos e garantias de terceiros.
CAPÍTULO VII
DO TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS
Art. 15. O término do tratamento de dados pessoais pelo MPES ocorrerá nas seguintes hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II - fim do período de tratamento;
III - comunicação da(o) titular quanto à revogação do consentimento, resguardado o interesse público;
IV - determinação da autoridade nacional, quando houver violação à proteção de dados pessoais.
Parágrafo único. A revogação do consentimento prevista no inciso III não tem o condão de obstar o tratamento de dados pessoais, caso o tratamento tenha também por base outra hipótese legal.
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados pessoais dispostos nesta Portaria e na Lei Geral de Proteção de Dados Pessoais;
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados pessoais;
V - utilização em outra finalidade pública, incluindo-se a necessidade de produção de conhecimento interno.
CAPÍTULO VIII
DA SEGURANÇA E DAS BOAS PRÁTICAS
Art. 17. O MPES compromete-se a implementar ao tratamento de dados pessoais as medidas físicas, técnicas e administrativas necessárias à segurança da informação, visando protegê-los de acessos não autorizados ou de qualquer outra situação, ainda que acidental, que resulte no tratamento inadequado.
Art. 18. É dever das(os) membras(os), das(os) servidoras(es), das(os) estagiárias(os) e das(os) colaboradoras(es) do MPES cumprir integralmente os termos desta Política de Privacidade no desempenho de suas atividades.
§ 1º A ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais deve ser comunicada de imediato à(ao) Encarregada(o), para adoção das providências necessárias quanto à resposta a incidentes de segurança com dados pessoais.
§ 2º A inobservância desta Política de Privacidade poderá implicar a responsabilização nas esferas criminal, civil e administrativa.
Art. 19. O Cepdap, com o apoio do Centro de Estudos e Aperfeiçoamento Funcional - Ceaf e da Assessoria de Comunicação - Ascm, promoverá ações para capacitar e sensibilizar membras(os), servidoras(es), estagiárias(os) e demais colaboradoras(es) da instituição a respeito de práticas a serem adotadas em relação à proteção de dados pessoais.
CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS
Art. 20. Os casos omissos serão dirimidos pela Procuradora-Geral de Justiça.
Art. 21. Esta Portaria entra em vigor na data de sua publicação.
Vitória, 19 de outubro de 2023.
LUCIANA GOMES FERREIRA DE ANDRADE
PROCURADORA-GERAL DE JUSTIÇA
Este texto não substitui o original publicado no Dimpes de 20/10/2023.