RESOLUÇÃO SEFAZ N° 643 DE 19 DE ABRIL DE 2024

INSTITUI O COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS NO ÂMBITO DA SECRETARIA DE ESTADO DE FAZENDA - SEFAZ-RJ - E DÁ OUTRAS PROVIDÊNCIAS.

Publicada no D.O.E. de 25.04.2024, pág. 05.
Este texto não substitui o publicado no D.O.E.
Índice Remissivo: Letra S – SEFAZ

O SECRETÁRIO DE ESTADO DE FAZENDA, no uso de suas atribuições conferidas pelo inciso II do Parágrafo Único do art. 148 da Constituição do Estado do Rio de Janeiro, tendo em vista o que consta no Processo nº SEI-040077/000094/2023, e

CONSIDERANDO:

– o que dispõe a Lei Federal nº 13.709, de 14 de agosto de 2018, com a redação dada pela Lei Federal n.º 13.853, de 08 de julho de 2019, sobre a proteção de dados pessoais, que altera a Lei n.º 12.965, de 23 de abril de 2014 (Marco Civil da Internet);

– o que dispõe o Decreto do Estado do Rio de Janeiro nº 48.891, de 10 de janeiro de 2024, que institui a Política de Governança em Privacidade e Proteção de Dados Pessoais do Estado do Rio de Janeiro,
e
– a necessidade de dotar a SEFAZ-RJ de mecanismos de tratamento e proteção de dados pessoais para garantir o cumprimento da norma de regência;

R E S O L V E:

CAPÍTULO I
DA INSTITUIÇÃO DO COMITÊ GESTOR

Art. 1º Fica instituído, no âmbito da Secretaria de Estado de Fazenda do Estado do Rio de Janeiro (SEFAZ-RJ), o Comitê Gestor de
Privacidade e Proteção de Dados Pessoais (CGPPDP).

Parágrafo Único – O Comitê instituído no caput será vinculado ao Gabinete do Secretário de Estado de Fazenda.

CAPÍTULO II
DA COMPOSIÇÃO E COMPETÊNCIAS DO CGPPDP

Art. 2º  O CGPPDP será composto por todos os Subsecretários da SEFAZ-RJ e presidido pelo Subsecretário Geral de Fazenda

Parágrafo Único  A Assessoria de Gestão Estratégica da Subsecretaria Geral de Fazenda prestará o assessoramento necessário à execução das atividades do CGPPDP.

Art. 3º Integram também o CGPPDP os seguintes órgãos da SEFAZ/ RJ:

I – Corregedoria Tributária de Controle Externo – CTCE;

II – Conselho de Contribuintes.

Art. 4º São atribuições do CGPPDP:

I – avaliar os mecanismos de tratamento e proteção dos dados pessoais existentes na SEFAZ-RJ e propor ações voltadas ao seu aperfeiçoamento;

II – estabelecer estratégias e metas para a conformidade da Secretaria com as disposições da Lei nº 13.709, de 14 de agosto de 2018 e
Decreto Estadual nº 48.891, de 10 de janeiro de 2024

III – supervisionar a execução dos planos, dos projetos estratégicos e das ações aprovadas para viabilizar a implantação das diretrizes previstas na Lei nº 13.709, de 14 de agosto de 2018 e no Decreto Estadual nº 48.891, de 10 de janeiro de 2024;

IV – promover o intercâmbio de informações sobre a proteção de dados pessoais com outros órgãos;

V – sugerir medidas de transparência do tratamento de dados pessoais

VI – analisar a disponibilização no sítio eletrônico da SEFAZ, de fácil acesso aos usuários, de informações básicas sobre aplicação da
LGPD, incluindo os requisitos para o tratamento legítimo de dados pessoais, das obrigações dos controladores desses dados e dos direitos dos titulares;

VII – estabelecer as diretrizes e supervisionar o Projeto de Adequação à LGPD previsto no art. 35 do Decreto Estadual nº 48.891, de 10 de janeiro de 2024;

VIII – monitorar a gestão dos riscos relacionados à privacidade e proteção de dados pessoais;

IX – promover, por meio da Escola Fazendária, ações de conscientização e capacitação dos servidores da SEFAZ-RJ acerca das boas
práticas de privacidade e proteção de dados pessoais

§ 1º – No desempenho de suas atribuições institucionais, o CGPPDP deverá observar as diretrizes da Política de Segurança da Informação da SEFAZ-RJ, instituída pelo Decreto Estadual nº 48.891, de 10 de janeiro de 2024 e pela Resolução SEFAZ nº 599, de 28 de dezembro e 2023, e atuar de forma coordenada com o Comitê de Governança de Segurança da Informação da SEFAZ-RJ.

§ 2º – O CGPPDP poderá instituir Grupo de Trabalho Temático quando necessário para auxiliá-lo no cumprimento de suas competências

Art. 5º As reuniões do CGPPDP serão realizadas na periodicidade, nas datas e nos horários definidos pelo seu Presidente, podendo ser virtuais ou presenciais.

Parágrafo Único – Todas as deliberações do CGPPDP serão colegiadas e decididas pelo voto da maioria de seus membros votantes, sendo que o Presidente terá voto de qualidade.

CAPÍTULO IV
DO ENCARREGADO SETORIAL

Art. 6º Compete ao Encarregado pelo Tratamento de Dados Pessoais no âmbito da SEFAZ:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – prestar esclarecimentos aos titulares de dados quanto às reclamações e comunicações recebidas pelo Encarregado Central e adotar as providências correlatas;

IV – responder às comunicações da Autoridade Nacional de Proteção de Dados recebidas pelo Encarregado Central e adotar as providências correlatas;

V – orientar os servidores, agentes públicos e contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

VI – ser ouvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais, como, por
exemplo, na formulação das políticas internas, nas contratações e nas subcontratações, na elaboração dos relatórios de impacto à proteção de dados, no registro das operações de tratamento, na implementação das medidas de segurança, na elaboração de todos relatórios relativos ao tratamento de dados pessoais, no desenvolvimento das políticas públicas do órgão e na análise dos riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento;

VII – acompanhar a implementação do projeto de adequação à LGPD e ser ouvido em todas as suas fases;

VIII – prestar assessoria ao Secretário de Estado de Fazenda em todas as questões referentes à privacidade e ao tratamento de dados
pessoais no órgão;

IX – dar ciência ao Encarregado Central sobre o desfecho das solicitações dos titulares de dados e das autoridades públicas competentes, quando do seu encerramento, bem como das providências adotadas;

X – assessorar, no âmbito de suas atribuições, o CGPPDP; e

XI – outras atribuições definidas pela Autoridade Nacional de Proteção de Dados, na forma do art. 41, § 3º da LGPD.

CAPÍTULO V
DO RESPONSÁVEL PELO PROJETO DE ADEQUAÇÃO

Art. 7º O Responsável pelo Projeto de Adequação à LGPD na SEFAZ- RJ, previsto no art. 44 do Dec. nº 48.891, de 10 de janeiro de
2024, deverá:

I – elaborar e implementar o projeto de adequação à LGPD no âmbito da SEFAZ;

II – assessorar o CGPPDP no âmbito de suas competências; e

III – integrar o Núcleo Executivo do Comitê Estadual de Governança em Privacidade e Proteção de Dados Pessoais, conforme previsto no art. 36 do Dec. nº 48.891, de 10 de janeiro de 2024.

Parágrafo Único. As determinações e orientações emanadas pelo Egrégio Tribunal de Contas do Estado do Rio de Janeiro, Processo
TCE nº 100.800-1/2022, devem ser observadas e incluídas na elaboração do Projeto de Adequação à LGPD.

Art. 8º Esta Resolução entrará em vigor na data de sua publicação.

Rio de Janeiro, 19 de abril de 2024

LEONARDO LOBO
Secretário de Estado de Fazenda