A MESA DA ASSEMBLEIA LEGISLATIVA DO ESTADO DE SÃO PAULO, no uso de suas atribuições, considerando a necessidade de regulamentação da aplicação da Lei 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados - LGPD, RESOLVE:
Artigo 1º - Este Ato regulamenta a aplicação da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais - LGPD, na Assembleia Legislativa do Estado de São Paulo - ALESP.
§ 1º - Para os fins deste Ato, adotam-se as terminologias previstas no artigo 5º da LGPD, bem como os princípios estabelecidos em seu artigo 6º.
§ 2º - Este Ato não se aplica ao tratamento de dados pessoais realizado por gabinetes parlamentares, lideranças partidárias e frentes parlamentares, bem como por quaisquer unidades cuja chefia seja exercida por parlamentares, quando o tratamento não utilizar sistemas institucionais da ALESP, caso em que caberá ao parlamentar responsável adequar o tratamento dos dados pessoais realizado pelo gabinete ou unidade sob sua chefia, observados os termos da LGPD.
Artigo 2º - Considera-se legítimo interesse da ALESP, de que trata o artigo 10 da LGPD, sem prejuízo de outras hipóteses previstas em regulamento interno, a promoção da instituição, a aproximação com a sociedade, a preservação histórica, o exercício das atividades de representação dos cidadãos paulistas, de legislar sobre os assuntos de interesse estadual, de controle e fiscalização dos atos do Poder Executivo Estadual e da aplicação dos recursos públicos, e o fortalecimento da democracia.
Artigo 3º - Os direitos do titular de dados pessoais, em qualquer caso, serão ponderados com o interesse público de conservação de dados históricos, preservação da transparência da instituição e das condutas de agentes públicos, no exercício de suas atribuições, e divulgação de informações relevantes à sociedade, no exercício da democracia.
Artigo 4º - O titular dos dados pessoais tem o direito de peticionar, em relação aos seus dados, contra a ALESP quando esta realiza o tratamento, mediante requerimento em formulário próprio.
Artigo 5º - A ALESP, na condição de Controladora, manterá registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse.
Parágrafo único - O registro de que trata o "caput" também deverá ser realizado por qualquer empresa contratada pela ALESP que atue como Operadora de dados pessoais.
Artigo 6º - A empresa contratada pela ALESP que atue como operadora de dados pessoais deverá realizar o tratamento segundo as instruções fornecidas pela ALESP, que verificará a observância das próprias instruções e das normas sobre a matéria.
Parágrafo único - O instrumento contratual utilizado para estabelecer as relações de serviço mencionadas no "caput" deverá mencionar expressamente a possibilidade de a ALESP verificar a adoção das instruções e normas pela contratada.
Artigo 7º - O Encarregado atuará como canal de comunicação entre a ALESP, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD, bem como com outras entidades de proteção de dados pessoais com as quais a ALESP estabeleça acordo de serviço ou de cooperação técnica.
§ 1º - A identidade e as informações de contato do Encarregado serão publicadas no Portal da ALESP.
§ 2º - Compete ao Encarregado pelo tratamento de dados pessoais na ALESP:
I - receber reclamações e comunicação dos titulares dos dados, prestar esclarecimentos e adotar as providências que lhe sejam cabíveis;
II - receber comunicações da ANPD e adotar providências que lhe sejam cabíveis;
III - orientar os servidores e demais colaboradores da ALESP a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;
IV - executar as demais atribuições determinadas pela ALESP ou estabelecidas em normas complementares.
§ 3º - Devem ser comunicadas ao Encarregado, pelo gestor da unidade administrativa responsável pelo tratamento dos dados:
I - a existência de qualquer tipo de tratamento de dados pessoais;
II - contratos que envolvam dados pessoais;
III - situações de conflito entre a proteção de dados pessoais, o princípio da transparência ou algum outro interesse público;
IV - qualquer outra situação que precise de análise e encaminhamento.
Artigo 8º - O Encarregado comunicará ao Secretário Geral de Administração, que dará ciência à Mesa, e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º - A comunicação será feita em prazo razoável, conforme definido em regulamento, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata;
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º - A Secretaria Geral de Administração - SGA verificará a gravidade do incidente e poderá, ouvido os órgãos técnicos, caso necessário para a salvaguarda dos direitos dos titulares, determinar à unidade administrativa responsável pelo tratamento dos dados a adoção de providências, tais como:
I - divulgação ampla do fato em meios de comunicação, especialmente no portal ALESP;
II - medidas para reverter ou mitigar os efeitos do incidente.
§ 3º - No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
Artigo 9º - O pedido de dados pessoais solicitado pelo titular não se confunde com o pedido realizado com fundamento na Lei nº 12.527/2011 e no Ato da Mesa nº 6/2020, mantendo-se válidos os dispositivos que restringem o acesso a informações pessoais por terceiros, salvo após decorrência do prazo de sigilo, previsão legal ou consentimento expresso do titular.
Parágrafo único - Quando aplicável, deverá constar do respectivo termo de ciência as informações pessoais tratadas pela ALESP que puderem ser fornecidas por meio de solicitação fundamentada na Lei nº 12.527/2011 e no Ato da Mesa nº 6/2020.
Artigo 10 - Este ato entra em vigor na data de sua publicação.