PROTEÇÃO DE DADOS:
A Controladoria Geral do Estado de São Paulo realiza o tratamento de dados pessoais nos termos previstos na Lei Geral de Proteção de Dados observando o disposto na Deliberação Normativa CGGDIESP-1, de 30 de dezembro de 2021, em especial a Política Estadual de Privacidade e Tratamento de Dados Pessoais.
Como e por que tratamos Dados Pessoais
O art. 5º da Deliberação Normativa CGGDIESP-2, de 30-12-2021 institui o tratamento de dados pessoais com vistas ao atendimento de finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
A cada finalidade corresponde um fundamento legal, considerando o princípio da legalidade, que autoriza o tratamento de dados pessoais, inclusive de crianças e adolescentes, segundo as hipóteses:
- execução de Políticas Públicas previstas em leis e regulamentos ou respaldados em contratos, convênios ou instrumentos congêneres (artigo 7º, III da LGPD);
- tratamento compartilhado de dados necessários à execução, pela Administração Pública, de políticas públicas previstas em leis ou regulamentos (artigo 11º II, b da LGPD);
- competências legais ou atribuições legais do serviço público (artigo 23 da LGPD).
A definição da finalidade e a atribuição dos fundamentos legais a que se referem os artigos 7º e 11º da LGPD consideram:
- o serviço a ser prestado ao particular;
- a competência estadual na matéria;
- os dados pessoais cuja coleta é necessária à luz da finalidade do tratamento.
Os fundamentos legais adotados para o tratamento de dados pessoais pela Administração Pública estadual são atribuídos de acordo com as finalidades do tratamento à luz do caso concreto.
Com fundamento no art. 2º do Decreto estadual nº 66.850, de 15 de junho de 2022 a CGE/SP realiza tratamento, incluindo o compartilhamento de dados pessoais, observando o disposto no capítulo IV da LGPD, em especial para atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, objetivando as seguintes finalidades:
- I – defesa do patrimônio público;
- II – controle interno;
- III – auditoria pública
- IV – correição, prevenção e combate à corrupção;
- V – atividades de ouvidoria;
- VI – promoção da ética no serviço público;
- VII – incremento da transparência e ao fortalecimento das medidas voltadas à promoção da integridade da gestão no âmbito da Administração Pública direta e indireta.
Sem prejuízo de outras finalidades informadas aos titulares de dados pessoais nos termos do inciso I, caput, da Lei nº 13.709, de 14 de agosto de 2018, constitui finalidade do tratamento de dados pessoais pelo Poder Público as operações de tratamento necessárias ao cumprimento da Lei nº 12.527, de 2011.
Encarregado de Dados Pessoais
O Ouvidor Geral do Estado é o Encarregado da Proteção de Dados Pessoais da Administração Pública Direta do Estado de São Paulo, nos termos do art. 6º do Decreto nº 65.347, de 09 de dezembro de 2020.
Conforme preconiza o art. 5º, inciso VIII da Lei Federal nº 13.709, de 14 de agosto de 2018, o Encarregado de Proteção de Dados Pessoais atua como canal de comunicação entre os controladores (Administração Direta), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Contato e Canal de Atendimento aos Titulares de Dados Pessoais: Encarregado da Proteção de Dados Pessoais da Administração Pública Direta do Estado de São Paulo
Nos termos do art. 9º do Decreto nº 65.347/2020, além do que trata o §2º do art.41 LGPD, cabe ao Encarregado:
- recepcionar ou elaborar relatórios de impacto à proteção de dados pessoais, conforme o caso;
- adotar medidas necessárias para publicação dos relatórios de impacto à proteção de dados pessoais;
- receber e encaminhar sugestões direcionadas ao Estado pela ANPD;
- recomendar aos encarregados da Administração Pública Indireta a elaboração de propostas de adequação à Política de Proteção de Dados Pessoais;
- executar as demais atribuições estabelecidas em normas complementares.
Fundamentos do Tratamento de Dados Pessoais
A LGPD tem como fundamentos, de acordo com seu art. 2º:
- O respeito à privacidade;
- A autodeterminação informativa;
- A liberdade de expressão, de informação, de comunicação e de opinião;
- A inviolabilidade da intimidade, da honra e da imagem;
- O desenvolvimento econômico e tecnológico e a inovação;
- A livre-iniciativa, a livre concorrência e a defesa do consumidor;
- Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais;
Princípios do tratamento de dados
De acordo com o art. 6º da LGPD, as atividades de tratamento de dados pessoais deverão observar a boa-fé e uma série de princípios:
Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e, inclusive, a eficácia dessas medidas.