Normativos:RESOLUÇÃO SEPLAG Nº 421 DE 03 DE FEVEREIRO DE 2026

O SECRETÁRIO DE ESTADO DE PLANEJAMENTO E GESTÃO, no uso das atribuições que lhe são conferidas pelo art. 148 da Constituição do Estado do Rio de Janeiro e o que consta no Processo SEI-120001/002868/2025, e

CONSIDERANDO:

- a necessidade de garantir a adequada proteção dos dados pessoais tratados pela Administração Pública Estadual, em conformidade com a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);

- as diretrizes do Decreto Estadual de nº 48.891, de 10 de janeiro de 2024 que institui a Política de Governança em Privacidade e Proteção de Dados Pessoais do Estado do Rio de Janeiro;

- o compromisso institucional da SEPLAG com os princípios da transparência, segurança da informação, privacidade e responsabilidade no tratamento de dados;

- a importância de promover a conscientização contínua de servidores, colaboradores e prestadores de serviço quanto às boas práticas de segurança da informação, proteção de dados e privacidade;

- a necessidade de consolidar uma cultura organizacional voltada à integridade, ao uso ético das tecnologias da informação e ao fortalecimento da confiança institucional.

RESOLVE:

Art. 1º – Fica instituído, no âmbito da Secretaria de Estado de Planejamento e Gestão - SEPLAG, o Programa de Privacidade, Segurança e Proteção de Dados (PPSPD), de caráter permanente e transversal, com o objetivo de fomentar uma cultura organizacional comprometida com a integridade, a segurança da informação e a proteção dos dados pessoais tratados pela Secretaria, em conformidade com a Lei nº 13.709/2018 (LGPD), com o Decreto Estadual nº 48.891, de 10 de janeiro de 2024, e com as orientações da Autoridade Nacional de Proteção de Dados (ANPD).

Art. 2º – A estrutura de governança institucional de privacidade será composta pelas seguintes instâncias e agentes:

I - Encarregado pelo Tratamento de Dados Pessoais: responsável por atuar como canal de comunicação com os titulares e com a ANPD, apoiar a conformidade institucional e orientar os agentes de tratamento;

II - Responsável pelo Projeto de Governança em Privacidade: responsável pela coordenação geral das ações de implantação, evolução e monitoramento do programa de LGPD na SEPLAG;

III - Gestor de Segurança da Informação: responsável por promover ações preventivas, corretivas e educativas voltadas à segurança da informação, em articulação com os controles de privacidade;

IV - Responsável pela gestão de incidentes: incumbido da condução e registro dos eventos de segurança que envolvam dados pessoais, em conformidade com os fluxos institucionais;

V - Subsecretaria de Tecnologia da Informação e Comunicação - SUBTIC: unidade responsável pela supervisão técnica e estratégica da política de privacidade, apoiando o planejamento, a contratação, a implementação e a sustentação das soluções e medidas necessárias;

VI - Demais unidades da SEPLAG, comitês, grupos de trabalho e servidores que tratem de dados, informações e documentos no exercício de suas atribuições, os quais deverão atuar em colaboração e alinhamento com as diretrizes estabelecidas por este Programa.

§ 1º – A implementação do PPSPD será exercida pela SUBTIC, com apoio das unidades da SEPLAG e da unidade responsável pela Governança de Dados.

§ 2º – O PPSPD contará com um Comitê para tratar de segurança da informação, privacidade e proteção de dados pessoais, composto por representantes de diferentes setores para fins de alinhamento com a natureza, finalidade e planejamento estratégico do órgão, cujas competências, composição e funcionamento do Comitê serão regulamentados em normativo próprio.

Art. 3º – A atuação do Encarregado pelo Tratamento de Dados Pessoais, nos termos da LGPD e nos normativos internos da SEPLAG, também abrangerá a orientação sobre políticas internas, o supervisionamento de riscos e incidentes, a manutenção de registros e relatórios atualizados, a promoção de boas práticas de privacidade, o acompanhamento de contratos, a apresentação de resultados à alta gestão e a revisão de estratégias, bem como a adoção de mecanismos internos de reporte, conforme regulamentações da ANPD.

Art. 4º – O PPSPD terá como finalidades promover o uso ético da informação, reforçar a segurança, a transparência e a responsabilidade, e fortalecer uma cultura organizacional baseada na integridade, na privacidade e na confiança pública, conforme os seguintes fundamentos:

I - sensibilizar, capacitar e orientar os agentes públicos da SEPLAG quanto aos princípios, diretrizes e responsabilidades relacionados à privacidade, segurança da informação e proteção de dados pessoais;

II - promover ações educativas regulares sobre riscos cibernéticos, boas práticas de governança de dados, prevenção de incidentes e conformidade legal;

III - estimular o uso responsável e seguro das tecnologias da informação e comunicação, em conformidade com a legislação vigente e normas internas;

IV - fortalecer a atuação do Encarregado pelo Tratamento de Dados Pessoais, da SUBTIC e demais unidades da SEPLAG no cumprimento das obrigações legais;

V - viabilizar os mecanismos de gestão de riscos, transparência, responsabilização e melhoria contínua no tratamento de dados pessoais e no uso de sistemas de informação.

Art. 5º – O Programa poderá promover ações de capacitação, definição de procedimentos e divulgação de boas práticas, incluindo:

I - trilhas de aprendizagem presenciais e/ou a distância, com emissão de certificados, voltadas à formação contínua em segurança da informação, proteção de dados e privacidade;

II - campanhas internas periódicas de conscientização sobre engenharia social, segurança digital, proteção de dados sensíveis e ética no uso de informações;

III - realização de palestras, workshops, seminários, painéis de boas práticas e outros eventos técnico-científicos;

IV - Diagnósticos periódicos de maturidade institucional em privacidade e segurança da informação;

V - elaboração e disseminação de materiais educativos em linguagem acessível, tais como cartilhas, vídeos e infográficos;

VI - avaliações de conhecimento e adesão às boas práticas, como parte do processo de melhoria contínua e de avaliação dos resultados do Programa;

VII - divulgação de informações institucionais sobre os direitos dos titulares de dados pessoais, conforme previsto nos arts. 17 a 22 da LGPD, e os meios para seu exercício junto à SEPLAG.

Art. 6º – O PPSPD deverá estar articulado às demais iniciativas de governança, compliance, segurança da informação e gestão de pessoas, sendo parte integrante das ações estratégicas da Secretaria.

Parágrafo Único – O Programa observará as boas práticas previstas no art. 50 da LGPD, com vistas à adoção de medidas administrativas e técnicas aptas a proteger dados pessoais e garantir os direitos dos titulares.

Art. 7º – O compartilhamento de dados pessoais entre órgãos e entidades públicas será realizado exclusivamente para fins legítimos e previstos em lei, com observância dos princípios da necessidade, finalidade e segurança, garantindo a proteção dos direitos dos titulares, nos termos do art. 23 da LGPD e do art. 16 do Decreto Estadual nº 48.891/2024.

§ 1º – O compartilhamento deverá ocorrer em formato interoperável e estruturado, conforme o art. 25 da LGPD.

§ 2º – O uso compartilhado de dados pessoais observará as finalidades específicas de execução de políticas públicas e atribuições legais, vedada a transferência a entidades privadas, salvo nas hipóteses previstas no art. 26 da LGPD.

Art. 8º – A SEPLAG realizará avaliações de impacto à proteção de dados pessoais sempre que o tratamento representar risco elevado aos direitos e liberdades dos titulares, adotando medidas técnicas e administrativas para mitigação de riscos, conforme o art. 38 da LGPD.

Art. 9º – O ciclo de vida do tratamento de dados pessoais será fundamentado especialmente pelo art. 50, §2º, obedecendo aos princípios da autodeterminação informativa, transparência, responsabilização e prestação de contas.

Parágrafo Único – São considerados atores essenciais no ciclo de vida do tratamento de dados pessoais disposto no art.5º da LGPD:

I - o titular dos dados, pessoa natural a quem se referem os dados pessoais;

II - o controlador, responsável pelas decisões relativas ao tratamento;

III - o operador, que realiza o tratamento em nome do controlador;

IV - os agentes de tratamento, que compreendem controlador e operador;

V - o encarregado, que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

VI - a Autoridade Nacional de Proteção de Dados.

Art. 10 – A estruturação, construção e execução do PPSPD deverão adotar como referência os princípios, direitos e deveres estabelecidos na LGPD, bem como os referenciais técnicos aplicáveis, especialmente as normas da ABNT NBR ISO/IEC 27001:2013, 27005:2011 e 27701:2019.

Parágrafo Único – As diretrizes estabelecidas têm como objetivo assegurar que o Programa seja conduzido de forma sistemática e dinâmica, em conformidade com padrões internacionais, promovendo a redução de riscos, a transparência, a segurança e a integridade no tratamento de dados pessoais pela Administração Pública.

Art. 11 – Na implementação, gestão e monitoramento do PPSPD, deverão ser formalmente especificadas políticas e práticas destinadas a assegurar a proteção da privacidade dos cidadãos, contemplando:

I - Informação prévia e justificada sobre o uso de dados;

II - Definição clara de finalidades, bases legais e responsabilidades;

III - Transparência no uso de tecnologias automatizadas;

IV - Ações contínuas de sensibilização e capacitação;

V - Orientações acessíveis aos titulares sobre seus direitos;

VI - Comunicação das políticas por canais institucionais;

VII - Revisão periódica das práticas, com vistas à adequação normativa, tecnológica ou organizacional;

VIII - Uso de cookies e tecnologias similares nos ambientes digitais da SEPLAG.

Art. 12 – A promoção de uma cultura de segurança da informação e proteção de dados será tratada como parte fundamental do PPSPD, com foco na comunicação clara de objetivos e responsabilidades, capacitação contínua e ampla divulgação de informações institucionais, baseando-se no conceito de Privacidade desde a Concepção, conforme sete princípios:

I - Prevenção proativa: Atuar de forma antecipada para evitar violações de privacidade, em vez de apenas reagir a incidentes;

II - Proteção por padrão: Assegurar a máxima proteção de dados pessoais automaticamente, sem exigir ação do titular;

III - Privacidade desde a concepção: Incorporar requisitos de privacidade no desenvolvimento de sistemas e processos desde o início;

IV - Compatibilidade com a funcionalidade: Conciliar a proteção da privacidade com o pleno funcionamento dos sistemas e objetivos do projeto;

V - Segurança de ponta a ponta: Garantir proteção dos dados em todas as fases do seu ciclo de vida, da coleta à eliminação;

VI - Transparência e auditabilidade: Adotar práticas claras, auditáveis e verificáveis, fortalecendo a confiança dos titulares;

VII - Respeito ao titular: Proteger os direitos dos titulares com comunicações claras, interfaces acessíveis e mecanismos de controle eficazes.

Art. 13 – Será adotado o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) como instrumento essencial para verificar e demonstrar a conformidade das operações de tratamento de dados, devendo ser elaborado de forma clara e objetiva, mantido atualizado e disponível para apresentação à ANPD, conforme o art. 38 da LGPD.

Art. 14 – O PPSPD norteará diretrizes internas que incluam procedimentos e controles, bem como os elementos presentes nos instrumentos contratuais voltados ao cumprimento das obrigações legais relativas à proteção de dados pessoais, ressalvada a competência da Procuradoria Geral do Estado na forma do art. 2º, inciso XVI da Lei Complementar Estadual nº 15, de 25/11/1980, e observados os seguintes requisitos:

I - Verificação do tratamento excessivo de dados;

II - Avaliação da efetividade dos controles de segurança;

III - Análise da necessidade de retenção;

IV - Adequação contratual com terceiros.

§ 1º – A Política de Segurança da Informação (PSI) e o PPSPD devem ser articulados entre si, de forma a contemplar de maneira integrada os aspectos previstos no art. 6º da LGPD.

§ 2º – As medidas de segurança deverão ser incorporadas desde a concepção dos projetos, contemplando gestão de riscos e incidentes, prevenção de violações, gerenciamento dos direitos dos titulares, e mecanismos de rastreabilidade e registro das operações.

Art. 15 – O PPSPD deverá disciplinar, no mínimo, os seguintes aspectos, em conformidade com o art. 6º da LGPD:

I - Finalidade e Limitação do Tratamento;

II - Adequação, Necessidade e Minimização de Dados;

III - Transparência e Acesso do Titular;

IV - Qualidade, Segurança e Prevenção;

V - Não Discriminação, Responsabilização e Anonimização.

Art. 16 – Os serviços disponibilizados, bem como suas condições, finalidades de tratamento e respectivas bases legais, deverão constar de forma clara e objetiva no Aviso de Privacidade e/ou Termo de Uso, o qual será periodicamente atualizado e disponibilizado aos titulares, em conformidade com a legislação vigente e os regulamentos aplicáveis.

Art. 17 – O monitoramento da conformidade à LGPD será contínuo, contemplando coleta sistemática de informações, elaboração de relatórios e apresentação dos resultados à alta gestão, garantindo a melhoria contínua das práticas institucionais.

Parágrafo Único – O PPSPD deverá adotar indicadores com o objetivo de monitorar e avaliar as ações implementadas, tais como índices de maturidade, de incidentes, de serviços com inventário de dados e de conscientização em privacidade e segurança.

Art. 18 – Será implementado processo estruturado de Gestão de Incidentes, contemplando planejamento, registro, resposta e comunicação tempestiva, visando reduzir riscos e garantir a conformidade com a legislação vigente.

Art. 19 – O PPSPD será revisto, minimamente, a cada ano e republicado sempre que se fizer necessário.

Art. 20 – Esta Resolução entra em vigor na data de sua publicação.