• LEGISLAÇÃO INTERNA

O PROCURADOR-GERAL DE JUSTIÇA, no exercício das atribuições que lhe são conferidas pelo art. 19, inciso X e inciso XIX, alíneas “a”, “c” e “e”, da Lei Complementar Estadual n. 738, de 23 de janeiro de 2019, que consolida as leis que instituem a Lei Orgânica do Ministério Público do Estado de Santa Catarina,

 

CONSIDERANDO a importância da proteção de dados pessoais, sendo recentemente previsto, de forma expressa, no art. 5º, LXXIX, da Constituição da República, como um direito fundamental;

 

CONSIDERANDO a vigência da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), a qual impõe a necessidade de adequação dos agentes que tratam dados pessoais, inclusive os do Poder Público, conforme estabelece o seu art. 23;

 

CONSIDERANDO que o Ministério Público é controlador de dados pessoais, nos termos do art. 5º, VI, da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), e, conforme dispõe o art. 48 da mesma lei, “deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”;

 

CONSIDERANDO que a Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), em seu art. 50, § 2º, inciso I, alínea “g”, prevê que os controladores e os operadores de dados pessoais implementem programa de governança em privacidade que, no mínimo, “conte com planos de resposta a incidentes e remediação”;

 

CONSIDERANDO que, nos termos do art. 7º, § 5º, do Ato n. 438/2020/PGJ, “os órgãos do Ministério Público deverão comunicar ao Encarregado, de imediato, qualquer violação de dados pessoais no âmbito de sua atribuição ou competência, voluntária ou involuntária, procedida por agentes internos ou externos, para fins de comunicação ao controlador e adoção das providências necessárias à reversão ou mitigação do dano”; e

 

CONSIDERANDO que, a teor do disposto no art. 7º, XIV, do Ato n. 438/2020/PGJ, é atribuição do Encarregado “assessorar o controlador a comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”,

 

RESOLVE:

 

CAPÍTULO I

DISPOSIÇÕES GERAIS

 

Art. 1º Instituir, no âmbito do Ministério Público do Estado de Santa Catarina, o Plano de Resposta à Violação de Dados Pessoais, visando ao cumprimento do disposto na Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais).

 

Parágrafo único. As disposições deste Ato aplicam-se a qualquer incidente de segurança, por meio físico ou digital, que implique possível violação de dados pessoais, entendendo-se como tal o acesso não autorizado e as situações acidentais ou ilícitas de destruição, perda, alteração, comunicação, difusão ou qualquer forma de tratamento inadequada ou ilícita de dados pessoais.

 

CAPÍTULO II

DA COMUNICAÇÃO DO INCIDENTE

 

Art. 2º Os Membros, Servidores e colaboradores do Ministério Público do Estado de Santa Catarina que tiverem ciência de alguma violação de dados pessoais no âmbito da Instituição deverão comunicar imediatamente ao Encarregado, para que sejam adotados os procedimentos previstos neste Plano, sem prejuízo de outras medidas que eventualmente a situação em concreto exija.

 

§1º A comunicação ao Encarregado deverá ser feita por meio de mensagem instantânea, de telefone e/ou do e-mail encarregado@mpsc.mp.br.  

 

§2º O nome do Encarregado, ou de seu eventual substituto, e o respectivo telefone deverão constar em escala mensal de plantão administrativo na Procuradoria-Geral de Justiça para atendimento de situações urgentes afetas à violação de dados pessoais.   

 

Art. 3º Os operadores de dados pessoais, contratados e/ou conveniados com o Ministério Público do Estado de Santa Catarina, deverão comunicar ao Encarregado do Ministério Público do Estado de Santa Catarina qualquer violação de dados pessoais ocorrida no tratamento de dados pessoais realizado em nome do Ministério Público do Estado de Santa Catarina a fim de que sejam adotados os procedimentos previstos neste plano, sem prejuízo de outras medidas que eventualmente a situação em concreto exija.

 

Parágrafo único. A comunicação ao Encarregado deverá ser feita, no prazo máximo de 2 (dois) dias úteis contados do conhecimento da violação, por meio de mensagem instantânea, de telefone e/ou do e-mail encarregado@mpsc.mp.br.

 

CAPÍTULO III

DO PROCESSO DE RESPOSTA À VIOLAÇÃO DE DADOS PESSOAIS

 

Art. 4º O Processo de Resposta à Violação de Dados Pessoais no Ministério Público de Santa Catarina terá início a partir da comunicação dos agentes previstos no art. 2º que indique uma concretização ou suspeita de violação de dados pessoais, circunstância em que o Encarregado deverá:

 

I - instaurar imediatamente processo administrativo para apuração dos fatos e, no prazo máximo de 1 (um) dia da comunicação, enviar as informações à unidade em que o fato ocorreu e/ou à equipe técnica especializada, para contenção do incidente de violação;

 

II - convocar, no prazo máximo de 1 (um) dia útil da comunicação, analisando a situação em concreto, reunião extraordinária do Comitê Estratégico de Proteção de Dados Pessoais, convocando para o ato, diante da excepcionalidade do caso e da necessidade de celeridade, apenas os membros cuja participação mostrar-se fundamental para o enfrentamento da situação. 

 

§1º Para atendimento de demandas específicas, o Encarregado poderá convocar para participação na referida reunião extraordinária o Coordenador do Grupo de Investigação de Crimes Cibernéticos (CyberGaeco) do Ministério Público e/ou o Coordenador da Coordenadoria de Comunicação Social do Ministério Público, bem como outros Membros e Servidores.    

 

§2º A reunião extraordinária será presidida pelo Encarregado e as deliberações serão tomadas por maioria de votos dos membros do Comitê Estratégico de Proteção de Dados Pessoais presentes, cabendo ao seu presidente o voto de desempate.

 

§3º Em observância ao princípio da responsabilização e prestação de contas, todas as medidas realizadas, a partir da instauração do processo administrativo de verificação de violação de dados pessoais até sua conclusão, deverão ser documentadas e registradas.

 

§4º Na hipótese de o Encarregado entender que a comunicação não possui indícios mínimos de veracidade, promoverá seu arquivamento, dando ciência dos fatos aos integrantes do Comitê Estratégico de Proteção de Dados Pessoais.

 

Art. 5º Compete ao Comitê Estratégico de Proteção de Dados Pessoais, convocado extraordinariamente para análise de um incidente que implique violação de dados pessoais:

 

I - analisar as medidas já adotadas e as eventualmente necessárias para sanar a violação de dados pessoais;

 

II - identificar a vulnerabilidade explorada no evento e a fonte dos dados pessoais violada;

 

III - verificar os aspectos quantitativos e qualitativos dos dados pessoais violados;

 

IV - definir ações, prazos e responsáveis pela execução, a fim de conter e erradicar a violação, avaliar o impacto e recuperar as perdas, caso existam;

 

V - deliberar sobre a necessidade de comunicação à Autoridade Nacional de Proteção de Dados – ANPD e aos titulares, nos termos do art. 48 da LGPD;

 

VI - avaliar a necessidade e conveniência de elaboração de informativo pela Coordenadoria de Comunicação Social;

 

VII - exercer outras atividades correlatas com as competências anteriormente estabelecidas, ainda que não expressamente nominadas.

 

§1º Ao definir ações, nos termos do inciso IV, poderá ser considerada a solicitação de apoio ao Grupo de Investigação de Crimes Cibernéticos (CyberGaeco) do Ministério Público, bem como a notificação de terceiros, tais como as Polícias Federal e/ou civil, seguradoras, órgãos profissionais ou empresas bancárias ou de cartão de crédito.   

 

§2º Nas hipóteses previstas nos incisos V e VI, as deliberações do Comitê terão caráter consultivo e deverão ser encaminhadas, no prazo máximo de 1 (um) dia, acompanhadas de relatório preliminar, ao Procurador-Geral de Justiça.  

 

§3º O Encarregado, no prazo destacado no parágrafo anterior, deverá elaborar o referido relatório, o qual deverá conter, no mínimo, as seguintes informações:

 

I - a descrição da natureza dos dados pessoais afetados;

 

II - as informações sobre os titulares de dados pessoais envolvidos;

 

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados e os riscos relacionados ao incidente; e

 

IV - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.        

 

Art. 6º O Procurador-Geral de Justiça, com base na deliberação do Comitê Estratégico de Proteção de Dados Pessoais e no relatório mencionado no artigo anterior, avaliará, no prazo máximo de 1 (um) dia útil contado do recebimento dos citados documentos, a necessidade ou não de comunicação à Autoridade Nacional de Proteção de Dados – ANPD e aos titulares de dados pessoais, nos termos do art. 48 da LGPD.

 

§1º Caso o Procurador-Geral de Justiça determine a comunicação à Autoridade Nacional de Proteção de Dados – ANPD e aos titulares de dados pessoais, caberá ao Encarregado assessorá-lo.

 

§2º Na hipótese de o Procurador-Geral de Justiça entender ser prescindível qualquer comunicação e que a violação de dados pessoais já tenha sido interrompida, caberá ao Encarregado elaborar relatório final com todas as informações coletadas, as ações realizadas e as considerações necessárias para promover o aprimoramento contínuo no atendimento de incidentes de segurança com violação de dados pessoais.

 

CAPÍTULO IV

DA CAPACITAÇÃO E DAS BOAS PRÁTICAS

 

Art. 7º A Coordenadoria de Tecnologia da Informação (COTEC), fundada em manifestação da Gerência de Segurança de Informação e Gestão de Riscos (GESEG), deverá indicar servidores para participar de capacitação(ões) direcionada(s) ao conhecimento técnico e prático para atuar, quando da identificação de um incidente de segurança com dados pessoais.

 

§1º Para melhor aproveitamento da(s) capacitação(ões) realizada(s), os servidores indicados deverão participar de teste(s) de simulação de incidentes de segurança.

 

§2º A(s) capacitação(ões) e o(s) teste(s) de simulação deverá(ão) ser realizado(s), no mínimo, 1 (uma) vez por ano.

 

Art. 8º O dever de comunicação, previsto no art. 2º deste ato, deverá ser amplamente divulgado nos canais internos para conhecimento de Membros, Servidores e Colaboradores do Ministério Público.

 

CAPÍTULO V

DAS DISPOSIÇÕES FINAIS

 

Art. 9º A Coordenadoria de Tecnologia da Informação (COTEC) manterá escala de plantão, nos moldes definidos pelo Ato n. 614/2022/PGJ ou outro que venha a substituí-lo, sendo atribuição do servidor plantonista a atuação em incidentes de segurança com dados pessoais ou, quando não for capacitado para tanto, o acionamento de servidor capacitado para atuação na forma de trabalho extraordinário.

 

Art. 10. Eventuais omissões ou conflitos na interpretação do presente Ato serão resolvidos pelo Procurador-Geral de Justiça.

 

Art. 11. Este Ato entra em vigor na data de sua publicação.

 

REGISTRE-SE, PUBLIQUE-SE E COMUNIQUE-SE.

 

Florianópolis, 2 de dezembro de 2022.

 

 

 

FERNANDO DA SILVA COMIN

Procurador-Geral de Justiça