AGE esclareceu dúvidas enviadas pelo Grupo de Trabalho de Minas Gerais sobre LGPD
O Grupo de Trabalho do Governo de Minas sobre a Lei Geral de Proteção de Dados Pessoais (LGPD), coordenado pela Secretaria de Estado de Planejamento e Gestão (Seplag), tem atuado para orientar os órgãos e entidades sobre a aplicação da LGPD no Estado. Entre as ações, o Grupo realizou, recentemente, uma consulta jurídica à Advocacia Geral do Estado (AGE) com o objetivo de buscar um entendimento institucional sobre a publicização de dados em processos da Seplag e em contratos firmados pela secretaria.
De acordo com o Grupo de Trabalho (GT-LGPD), a decisão exposta pela AGE no parecer jurídico foi pela manutenção da publicização da íntegra dos contratos administrativos, descaracterizando ou ocultando dados pessoais que não o nome e o CPF do representante legal do órgão, entidade, ou contratado, quando houver. O argumento é que outros dados pessoais, como o endereço residencial, diferentemente do endereço institucional ou comercial, não decorrem da relação da pessoa com o Estado. Desta forma, o entendimento é que os documentos jurídicos firmados pela Seplag devem evitar a coleta de dados excessivos.
Também foram definidas pelo GT-LGPD e aprovadas pela AGE, por meio de parecer jurídico, cláusulas-padrão de proteção de dados pessoais que devem constar nos contratos firmados pela Seplag. Devido a uma orientação do Grupo de Trabalho, os contratos vigentes não serão alterados. As cláusulas serão inseridas somente nos contratos novos e nas renovações que possam acontecer.
Além disso, há uma orientação para a inserção de dados pessoais em processos no Sistema Eletrônico de Informações (Sei!MG), por meio do ofício circular Seplag/SCGE nº 1/2019.
De acordo com o documento, considerando o grande volume de dados pessoais constantes nos processos que tramitam no Sei!MG, e no intuito de salvaguardá-los de forma adequada e responsável, todos os usuários devem atribuir o nível de acesso restrito aos expedientes que contenham informações e dados pessoais – como número de CPF, RG, CNH e outros. A classificação é na hipótese legal “informação pessoal (art. 31 da Lei nº 12.527/2011)”, que já está cadastrada no Sei.
Ainda conforme a orientação, caso o processo ao qual foi atribuído nível de acesso restrito contenha informações públicas, elas poderão ser disponibilizadas por meio de pedido de acesso à informação, encaminhado por meio físico ou eletrônico, como o Sistema Eletrônico do Serviço de Informações ao Cidadão (e-SIC), mantendo-se restritas as informações pessoais, como previsto na Lei nº 12.527/2011 e no Decreto estadual nº 45.969/2012.
Confira, na íntegra, a Cláusula de Proteção de Dados Pessoais dos contratos:
1. As PARTES, por si e por seus colaboradores, obrigam-se a atuar no presente contrato em conformidade com a legislação vigente sobre Proteção de Dados Pessoais e as determinações de órgão reguladores e/ou fiscalizadores sobre a matéria, em especial, a Lei Federal nº 13.709/2018.
2. No presente contrato, a CONTRATANTE assume o papel de controlador, nos termos do artigo 5º, VI da Lei nº 13.709/2018, e a CONTRATADA assume o papel de operador, nos termos do artigo 5º, VII da Lei nº 13.709/2018.
3. A CONTRATADA deverá guardar sigilo sobre os dados pessoais compartilhados pela CONTRATANTE e só poderá fazer uso dos dados exclusivamente para fins de cumprimento do objeto deste contrato, sendo-lhe vedado, a qualquer tempo, o compartilhamento desses dados sem a expressa autorização da CONTRATANTE, ou o tratamento dos dados de forma incompatível com as finalidades e prazos acordados.
4. As PARTES deverão notificar uma à outra, por meio eletrônico, em até 2 (dois) dias úteis, sobre qualquer incidente detectado no âmbito de suas atividades, relativo a operações de tratamento de dados pessoais.
5. As PARTES se comprometem a adotar as medidas de segurança administrativas, tecnológicas, técnicas e operacionais necessárias a resguardar os dados pessoais que lhe serão confiados, levando em conta as diretrizes de órgãos reguladores, padrões técnicos e boas práticas existentes.
6. A CONTRATANTE terá o direito de acompanhar, monitorar, auditar e fiscalizar a conformidade da CONTRATADA, diante das obrigações de operador, para a proteção de dados pessoais referentes à execução deste contrato.
7. As PARTES ficam obrigadas a indicar encarregado pela proteção de dados pessoais, ou preposto, para comunicação sobre os assuntos pertinentes à Lei nº 13.709/2018, suas alterações e regulamentações posteriores.
8. As PARTES darão conhecimento formal a seus empregados e colaboradores das obrigações e condições acordadas nesta cláusula. As diretrizes aqui estipuladas deverão ser aplicadas a toda e qualquer atividade que envolva a presente contratação.