Constitui o Comitê de Governança em Privacidade no âmbito da Assembleia Legislativa do Estado de São Paulo e define diretrizes para a política de tratamento e compartilhamento de dados pessoais pela Alesp.
A Mesa Diretora da Assembleia Legislativa do Estado de São Paulo, RESOLVE:
Artigo 1º - Fica constituído no âmbito da Assembleia Legislativa do Estado de São Paulo o Comitê de Governança em Privacidade - CGP, subordinado à Mesa Diretora da Alesp, responsável pela avaliação dos mecanismos de tratamento e proteção de dados pessoais existentes e pela proposição de ações voltadas ao seu aperfeiçoamento, com vistas ao cumprimento das disposições da Lei nº 13.709, de 14 de agosto de 2018, que institui a Lei Geral do Proteção de Dados - LGPD .
Artigo 2º - O CGP terá a seguinte composição:
I - 1 (um) servidor da Assessoria de Gestão de Processos, indicado pela Mesa, que coordenará os trabalhos;
II - 1 (um servidor) do Departamento de Orçamento e Finanças - DOF, indicado pelo diretor do DOF;
III - 1 (um) servidor do Departamento de Inovação e Tecnologia da Informação - DITI, indicado pelo diretor do DITI;
IV - 1 (um) servidor do Departamento de Comunicação - DECOM, indicado pelo diretor do DECOM;
V - 1 (um) servidor do Departamento de Recursos Humanos - DRH, indicado pelo diretor do DRH;
VI - 1 (um) servidor da Secretaria Geral Parlamentar, indicado pelo Secretário Geral Parlamentar;
VII - 1 (um) servidor da Divisão de Gestão Documental, indicado pelo diretor do Departamento de Infraestrutura - DI.
§ 1º - Cada representante será indicado conjuntamente com o respectivo substituto.
§ 2º - Os integrantes do CGP não perceberão remuneração ou acréscimo financeiro pelo exercício dessa função.
§ 3º - As funções exercidas pelos integrantes do CGP se darão sem prejuízo das demais atribuições do cargo.
§ 4º - As funções dos integrantes do CGP serão exercidas em consonância às especialidades dos respectivos cargos que ocupam no âmbito da estrutura administrativa da ALESP.
§ 5º - As decisões serão tomadas por maioria simples e em caso de empate a questão será resolvida pelo voto do coordenador.
§ 6º - Decisão da Mesa Diretora homologará a composição do Comitê de que trata o caput.
§ 7º - A Procuradoria indicará um representante para assessorar os trabalhos nas reuniões do CGP.
Artigo 3º - São atribuições do CGP:
I - avaliar os mecanismos de tratamento e proteção de dados pessoais e informações existentes e propor políticas, estratégias e metas para a conformidade do Poder Legislativo do Estado de São Paulo com as disposições da LGPD, procedendo-se especialmente à:
a) coordenar o mapeamento das operações internas de tratamento de dados pessoais pelos próprios órgãos internos ou por terceiros;
b) levantar juntamente com a Comissão de Avaliação de Documentos de Arquivo - CADA quais dados pessoais são de coleta e guarda obrigatória ou que podem ser eliminados após o tratamento necessário;
c) analisar a necessidade de adequação de ferramentas, visando garantir os direitos assegurados ao titular dos dados pessoais;
d) analisar os contratos vigentes com colaboradores e terceiros que façam tratamento de dados pessoais, verificando a necessidade de sua readequação;
e) avaliar os mecanismos de segurança das bases de dados, documentando as técnicas utilizadas;
f) verificar as providências necessárias para que o tratamento dos dados pessoais esteja em conformidade com as hipóteses legais;
II - formular princípios e diretrizes para a gestão de dados pessoais e propor sua regulamentação;
III - elaborar critérios de compartilhamento de dados pessoais e informações e definir sua forma e meio de publicação, observada a legislação pertinente, especialmente a LGPD e a Lei nº 12.527, de 18 de novembro de 2011, que regulamenta o acesso a informações - LAI;
IV - elaborar, por determinação da Mesa Diretora da Alesp, o relatório de impacto à proteção de dados pessoais, inclusive de dados pessoais sensíveis, referente a suas operações de tratamento de dados, na forma do artigo 38 da LGPD;
V - supervisionar a execução dos planos, dos projetos e das ações aprovados para viabilizar a implantação das diretrizes previstas na LGPD;
VI - prestar orientações sobre o tratamento e a proteção de dados pessoais de acordo com as diretrizes estabelecidas na LGPD e nas normas internas da Alesp;
VII - promover o intercâmbio de informações sobre a proteção de dados pessoais com outros órgãos na forma do disposto na Lei nº 13.709, de 14 de agosto de 2018, e demais normas aplicáveis.
§ 1º - No desempenho de suas atribuições institucionais, o CGP deverá observar as diretrizes do Plano Diretor de Tecnologia da Informação da Alesp e da LAI.
§ 2º - Para o mapeamento das operações internas de tratamento de dados pessoais de que trata a alínea "a" do inciso I deste artigo poderá a Administração contratar serviço especializado ou realizar termos de cooperação, parceria, convênios ou instrumentos congêneres conforme o caso.
Artigo 4º - No desempenho de suas atribuições, os integrantes do CGP poderão formar subgrupos, visando auxiliar e operacionalizar a implantação do disposto neste Ato.
§ 1º - Os subgrupos de trabalho serão constituídos pelo CGP segundo suas afinidades com os temas e as disposições abrangidas pela LGPD, podendo ser compostos por servidores da ALESP que estejam subordinados às mesmas unidades administrativas que compõem o CGP.
§ 2º - Quando o servidor indicado não for integrante do CGP, o comitê solicitará anuência expressa da diretoria ou chefia correspondente à qual o servidor esteja subordinado para possibilitar a sua participação.
§ 3º - As funções exercidas pelos integrantes dos subgrupos de trabalho se darão sem prejuízo das demais atribuições do cargo.
§ 4º - Os integrantes dos subgrupos de trabalho não perceberão remuneração ou acréscimo financeiro pelo exercício dessa função.
§ 5º - As funções dos subgrupos de trabalho serão exercidas em consonância às especialidades dos respectivos cargos que ocupam no âmbito da estrutura administrativa da ALESP.
Artigo 5º - Para os fins do determinado pelos artigos 23, inciso III, e 41 da Lei nº 13.709, de 14 de agosto 2018, responderá como encarregado servidor da Assessoria de Gestão de Processos, designado pela Mesa Diretora, competindo-lhe as atividades constantes no § 2º do mencionado artigo 41.
Parágrafo único - O servidor de que trata o "caput" deverá ser indicado entre os servidores componentes do CGP, cujas atribuições dos seus cargos sejam compatíveis com as atribuições estabelecidas pela legislação para o encarregado.
Artigo 6º - As atribuições conferidas nesse Ato, não excluem as competências da Procuradoria da ALESP para exercer a consultoria e o assessoramento técnico-jurídico do Poder Legislativo em relação à aplicação e à interpretação da Lei nº 13.709, de 14 de agosto de 2018, nos termos do preconizado pelo artigo 30 da Constituição do Estado de São Paulo.
Parágrafo único - Caberá ao encarregado ou ao CGP solicitar manifestação da Procuradoria da ALESP, mediante a adoção dos trâmites regulares, quando se verificar que o assunto a ser abordado na implementação da sistemática da LGPD e no tratamento e compartilhamento de dados pessoais regulados pelo diploma demande análise jurídica.
Artigo 7º - O compartilhamento de dados pessoais pela Alesp com os órgãos e entidades do Poder Executivo, Poder Judiciário, Ministério Público e Tribunal de Contas, na forma preconizada pela Lei nº 13.709/2018, notadamente com respeito ao "caput" de seu artigo 26, observará as seguintes diretrizes:
I - os dados pessoais sob custódia da Alesp serão compartilhados da forma mais ampla possível, observadas as restrições legais, os requisitos de segurança da informação e comunicações e o disposto na LGPD;
II - o compartilhamento de dados pessoais sujeitos a sigilo implica a assunção, pelo recebedor desses dados, dos deveres de sigilo e auditabilidade impostos ao custodiante dos dados;
III - os mecanismos de compartilhamento, interoperabilidade e auditabilidade devem ser desenvolvidos de forma a atender às necessidades que ensejaram o compartilhamento dos dados pessoais;
IV - nas hipóteses em que se configure tratamento de dados pessoais, serão observados o direito à preservação da intimidade e da privacidade da pessoa natural, a proteção dos dados e as normas e os procedimentos previstos na legislação; e
V - a coleta, o tratamento e o compartilhamento de dados pessoais serão realizados nos termos do disposto no artigo 23 da LGPD.
Parágrafo único. Na hipótese de o mecanismo de compartilhamento de dados pessoais fornecido pelo custodiante de dados ser inadequado ao solicitante de dados, o recebedor dos dados fornecidos pela Alesp arcará com eventuais custos de operacionalização, quando houver, exceto disposição contrária prevista em lei, regulamento ou acordo entre as entidades ou órgãos envolvidos.
Artigo 8º - As plataformas de interoperabilidade contemplarão os requisitos de sigilo, confidencialidade, gestão, auditabilidade e segurança da informação necessários ao compartilhamento de dados pessoais, conforme regras estabelecidas pelo CGP e aprovadas pela Mesa Diretora da Alesp.
Artigo 9º - Poderá ser dispensada a celebração do convênio, acordo de cooperação técnica ou instrumentos congêneres para a efetivação de compartilhamento de dados pessoais entre a Alesp e os órgãos e as entidades do Poder Executivo, do Poder Judiciário, do Tribunal de Contas e do Ministério Público desde que respeitadas as diretrizes previstas no artigo 7º deste Ato.
Artigo 10 - O Comitê deverá elaborar o Guia de Boas Práticas de Proteção aos Dados Pessoais, a ser aprovado pela Mesa Diretora da Alesp.
Parágrafo único. O guia a que se refere o caput deste artigo deverá fornecer, norteado pelo delineado no artigo 50 da LGPD, orientações básicas de boas práticas aos servidores da Alesp sobre tratamento dos dados pessoais em suas rotinas, bem como as principais definições presentes na LGPD.
Artigo 11 - Este Ato entra em vigor na data de sua publicação.
Artigo único - Por ocasião da implantação da Controladoria Geral da Assembleia Legislativa do Estado de São Paulo de que trata a Lei Complementar nº 1.340, de 7 de maio de 2019, este Ato deverá ser reanalisado.