Em cumprimento ao que dispõe o inciso I do art. 23 da Lei nº 13.709, de 2018 (LGPD), a Secretaria Estadual das Mulheres (SESM) informa as hipóteses em que, no exercício de suas competências, realiza o tratamento de dados pessoais, as previsões legais, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.

Em quais Hipóteses e Finalidades a SESM realiza o tratamento de dados pessoais?

O tratamento de dados pessoais pela Secretaria Estadual das Mulheres (SESM) destina-se ao exercício de suas competências legais.

No exercício de sua função administrativa, a SESM:

I - Realiza o tratamento de dados pessoais para execução de contrato ou de procedimentos preliminares relacionados a contrato do qual faz parte;

II - Realiza o tratamento de dados pessoais de servidores e colaboradores no âmbito das atividades de gestão de pessoal.

Quais previsões legais que fundamentam o tratamento de dados pessoais na SESM?

Identifica-se como bases legais preponderantes para o tratamento de dados pessoais no âmbito da SESM o disposto nos incisos II e III do art. 7º da Lei nº 13.709, de 2018:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

[...]

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

No âmbito do ordenamento jurídico brasileiro, há uma série de normativos que dispõem sobre o acesso à informação, bem como salvaguardas aos respectivos dados, os quais são observados pela SESM no exercício de suas funções.

Primeiramente, destaca-se a Lei nº 9.871, de 2012, que regula o acesso a informações previsto no inciso II do § 4º do artigo 32 da Constituição do Estado do Espírito Santo. Os procedimentos previstos nesta Lei destinam-se a assegurar o direito fundamental de acesso à informação e devem ser executados em conformidade com os princípios básicos da administração pública e com as seguintes diretrizes:

I - Observância da publicidade como preceito geral e do sigilo como exceção;

II - Divulgação de informações de interesse público, independentemente de solicitações;

III - Utilização de meios de comunicação viabilizados pela tecnologia da informação;

IV - Fomento ao desenvolvimento da cultura de transparência na administração pública; e

V - Desenvolvimento do controle social da administração pública.

A referida Lei estabelece normas gerais para o acesso e o tratamento de dados pessoais produzidos ou acumulados em bases públicas. Relativamente à parcela de dados pessoais que afetem à intimidade, vida privada, honra e imagem das pessoas, bem como suas liberdades e garantias individuais, a lei dispõe que:

I - Terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e

II - Poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem.

Cabe destacar que a restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como em ações voltadas para a recuperação de fatos históricos de maior relevância.

A Lei nº 9.871, de 2012, é regulamentada no âmbito do Poder Executivo Estadual pelo Decreto nº 3.152-R, de 2012, que estabeleceu os procedimentos relacionados ao acesso de terceiros a dados pessoais, condicionado ao consentimento e assinatura de termo de responsabilidade, bem como os procedimentos para declaração de interesse público para recuperação de fatos históricos.

Quais os procedimentos e práticas utilizadas para o tratamento de dados pessoais na SESM?

Como procedimentos internos destinados à proteção e segurança da informação, o que engloba os tratamentos dos dados pessoais, a SESM possui em seus sistemas internos o controle e registro de acesso individualizado, incluindo a definição de perfis específicos, a exigência de login e senha do usuário para acesso às estações de trabalho, realização de logs de consultas, monitoramento de operações realizadas nos bancos de dados e execução de backups rotineiramente.