Ato
Ato nº 187, DE 12 de JUNHO DE 2025
Institui a Política de Proteção de Dados Pessoais da Defensoria Pública do Estado do Tocantins.
O DEFENSOR PÚBLICO-GERAL DO ESTADO DO TOCANTINS, no uso das atribuições que lhe confere o artigo 4º, inciso X, da Lei Complementar Estadual nº 55, de 27 de maio de 2009,
CONSIDERANDO a necessidade de estabelecer uma relação de confiança, de proteção e de privacidade com relação aos dados dos cidadãos e de assegurar a resposta adequada aos riscos, ameaças e desafios correspondentes;
CONSIDERANDO as disposições da Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD);
CONSIDERANDO que a disciplina da proteção de dados pessoais abrange expressamente o tratamento realizado pelo Poder Público, conforme previsto pelo Capítulo IV da LGPD;
CONSIDERANDO a necessidade de formalizar o compromisso da Defensoria Pública do Estado do Tocantins em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais, bem como em desenvolver ações voltadas à governança de dados;
RESOLVE,
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º. Fica instituída a Política de Proteção de Dados Pessoais da Defensoria Pública do Estado do Tocantins .
§ 1º. Esta Política tem como objetivo estabelecer normas, princípios e procedimentos para nortear o tratamento de dados pessoais, em meios físicos e digitais, na Defensoria Pública do Estado do Tocantins e garantir a efetiva proteção da privacidade de seus titulares, bem como definir papéis e diretrizes iniciais para obtenção da gradual conformidade institucional ao previsto na Lei Geral de Proteção de Dados Pessoais (LGPD).
§ 2º. Suas disposições são aplicáveis a todo o conjunto de dados pessoais que estejam sob o controle da Defensoria Pública do Estado do Tocantins e regulam o relacionamento com os usuários de seus serviços e com os membros, servidores, estagiários, fornecedores e quaisquer terceiros.
Art. 2º. A presente Política deverá ser observada em consonância com os princípios constitucionais, administrativos e a legislação que rege a matéria, em especial o disposto na Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou LGPD), na Lei nº 12.527/2011 (Lei de Acesso à Informação),na Lei nº 9.507/1997 (Lei do Habeas Data), na Lei n° 12.965/2014 (Marco Civil da Internet), na Lei nº 13.460/2017 (Código de Defesa do Usuário do Serviço Público) e na Lei nº 9.784/1999 (Lei Geral do Processo Administrativo).
Art. 3º. Para os fins desta Política são adotadas as seguintes definições, em consonância às disposições do artigo 5º da Lei Geral de Proteção de Dados Pessoais:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: é o dado relativo a um indivíduo que não possa ser identificado, pois passou por algum meio técnico de tratamento para garantir sua desvinculação, direta ou indireta, a uma pessoa.
IV - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação,transferência, difusão ou extração;
V – agentes de tratamento: o controlador e o operador;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX – titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
X – Incidente de Segurança (Incidente de Dados Pessoais): qualquer evento adverso, confirmado ou sob suspeita, relacionado a violação da segurança de dados pessoais, como acessos não autorizados, vazamento, perda, destruição, alteração ou divulgação indevida de dados pessoais, que possa acarretar risco ou dano aos titulares. Incluem-se nesta definição ataques cibernéticos, perda ou roubo de dispositivos contendo dados pessoais, envio de informações pessoais à destinatário incorreto, falhas em sistemas que exponham dados de usuários, dentre outros.
XI – Eliminação: exclusão ou apagamento de dado pessoal ou de conjunto de dados pessoais armazenados em um banco de dados, independentemente do procedimento utilizado, de forma que não seja mais possível a recuperação das informações;
XII – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
Art. 4º. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no artigo 6º da Lei Geral de Proteção de Dados Pessoais, a saber:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comerciais e industriais;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 5º. São objetivos da Política de Proteção de Dados Pessoais:
I – definir e divulgar regras claras e precisas de tratamento de dados pessoais pela Defensoria Pública do Estado do Tocantins , com o intuito de assegurar a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD);
II – articular ações e instituir mecanismos internos voltados à governança de dados e à gestão e proteção de dados pessoais, observando as boas práticas, normas e procedimentos recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões relacionados a esse tema;
III – orientar agentes de tratamento de dados quanto às práticas adequadas e às responsabilidades relacionadas ao tratamento de dados pessoais;
IV – estabelecer relação de confiança com os titulares dos dados, por meio de atuação transparente e que assegure mecanismos de exercício de direitos e de participação;
V – promover ações de segurança da informação e de proteção de dados durante todo o ciclo de vida do tratamento;
VI – fomentar a cultura, entre o público externo e interno, em proteção de dados, implementando medidas de disseminação de conhecimento, conscientização e treinamento;
VII – instituir e prover diretrizes para a atuação do Comitê Gestor de Proteção de Dados;
VIII – monitorar e promover a melhoria contínua nos processos e controles de gestão de tratamento de dados, em processo de avaliação sistemática de impactos e riscos à privacidade.
CAPÍTULO II
DO TRATAMENTO DE DADOS
Art. 6º. O tratamento de dados pessoais pela Defensoria Pública do Estado do Tocantins será realizado para o atendimento de sua finalidade pública e na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições que lhe são próprias.
§1º. As regras estabelecidas nesta Política e na Lei Geral de Proteção de Dados Pessoais (LGPD) deverão ser observadas em todo o ciclo de vida do tratamento, especialmente os princípios gerais e a garantia dos direitos do titular e ocorrerá nas seguintes hipóteses.
I - Consentimento Específico do Titular: quando o titular ou seu representante legal consentir, de forma específica e destacada, para finalidades determinadas.
II - Cumprimento de Obrigação Legal ou Exercício de Direitos: para cumprimento de obrigação legal ou regulatória pela DPE-TO, ou sempre que necessário para o exercício regular de direitos, inclusive em contrato, processo judicial, administrativo ou arbitral;
III - Políticas Públicas: realização de políticas públicas, pela DPE-TO ou em conjunto com outros órgãos, previstas em leis ou respaldadas em contratos, convênios ou instrumentos congêneres, nas quais o tratamento de dados sensíveis seja necessário;
IV - Proteção da Vida e da Incolumidade Física: quando necessário para proteger a vida ou a segurança física do titular ou de terceiro, e o titular estiver incapacitado ou impossibilitado de consentir;
V - Tutela da Saúde: exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, garantindo-se o segredo profissional;
VI - Garantia de Fraude e Segurança: quando indispensável para prevenir a fraude e garantir a segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no artigo 11, II, "g" da LGPD.
§2º. Os dados sensíveis somente serão coletados e utilizados quando estritamente necessários ao cumprimento das finalidades institucionais da Defensoria Pública, em especial para a adequada prestação de assistência jurídica, resguardando-se a dignidade, a privacidade e os direitos fundamentais dos titulares.
§3º. De acordo com a LGPD, o término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II - fim do período de tratamento;
III - comunicação do titular quanto à revogação do consentimento, resguardado o interesse público; ou
IV - determinação pela autoridade nacional, quando houver violação à proteção de dados pessoais.
§4º. A Defensoria Pública do Estado do Tocantins realizará o tratamento de dados pessoais pelo tempo necessário para cumprir a finalidade para os quais foram coletados, de acordo com sua base legal. Ao término do tratamento, os dados pessoais serão eliminados, sendo autorizada a conservação nas situações previstas na legislação vigente.
Art. 7º. O tratamento de dados pessoais sensíveis deve atentar às hipóteses elencadas pelo artigo 11 da Lei Geral de Proteção de Dados Pessoais, sempre ponderada a adequação e a necessidade.
§1º. Os dados sensíveis somente serão coletados e utilizados quando estritamente necessários ao cumprimento das finalidades institucionais da Defensoria Pública, em especial para a adequada prestação de assistência jurídica, resguardando-se a dignidade, a privacidade e os direitos fundamentais dos titulares.
§2º. O tratamento de dados sensíveis no âmbito da Defensoria Pública do Estado do Tocantins somente poderá ocorrer nas seguintes hipóteses, dentre outras previstas em lei:
I - Consentimento Específico do Titular: quando o titular ou seu representante legal consentir, de forma específica e destacada, para finalidades determinadas.
II - Cumprimento de Obrigação Legal ou Exercício de Direitos: para cumprimento de obrigação legal ou regulatória pela DPE-TO, ou sempre que necessário para o exercício regular de direitos, inclusive em contrato, processo judicial, administrativo ou arbitral.
III - Políticas Públicas: realização de políticas públicas, pela DPE-TO ou em conjunto com outros órgãos, previstas em leis ou respaldadas em contratos, convênios ou instrumentos congêneres, nas quais o tratamento de dados sensíveis seja necessário.
IV - Proteção da Vida e da Incolumidade Física: quando necessário para proteger a vida ou a segurança física do titular ou de terceiro, e o titular estiver incapacitado ou impossibilitado de consentir.
V - Tutela da Saúde: exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, garantindo-se o segredo profissional.
VI - Garantia de Fraude e Segurança: quando indispensável para prevenir a fraude e garantir a segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no artigo 11, II, "g" da LGPD.
§3º. A utilização de dados sensíveis com fundamento em hipóteses legais específicas não exime a DPE-TO de observar os princípios da necessidade, da finalidade e da não discriminação.
§4º. É vedado, em qualquer caso, o tratamento de dados sensíveis para finalidades particulares, discriminatórias, ilícitas ou abusivas.
Art. 8º. Sem prejuízo das medidas gerais de segurança da informação previstas neste Ato, a Defensoria Pública do Estado do Tocantins deverá adotar procedimentos e controles reforçados quando do tratamento de dados pessoais sensíveis, tais como:
I - Restrição de Acesso: Controle rigoroso de acesso a bases ou arquivos que contenham dados sensíveis, permitindo-se apenas a pessoas autorizadas, vinculadas à finalidade do tratamento. Deve-se implementar níveis de permissão nos sistemas, garantindo que apenas usuários com perfil adequado possam visualizar ou manipular dados sensíveis;
II - Pseudonimização: Sempre que possível e apropriado, utilização de técnicas de pseudonimização ou minimização, de forma que os dados sensíveis sejam tratados sem associação direta à identidade do titular (ex.: uso de códigos ou identificadores substitutos) durante análises ou fluxos internos, revertendo a identificação apenas quando necessário aos propósitos legítimos;
III - Criptografia: Emprego de criptografia ou outros mecanismos de proteção para o armazenamento e transmissão de dados sensíveis em meios digitais, prevenindo o acesso não autorizado durante o transporte de informações;
IV - Ambiente Segregado: Tratamento de dados sensíveis, sempre que aplicável, em ambientes ou sistemas segregados dos demais dados, com monitoramento de logs de acesso e operações realizadas, a fim de possibilitar auditoria posterior e detecção de acessos indevidos;
V - Capacitação Especial: Treinamento específico dos servidores e colaboradores que lidam com categorias de dados sensíveis (por exemplo, equipe de saúde, equipe de atendimento psicossocial, etc.), enfatizando a importância do sigilo profissional e das consequências do uso indevido dessas informações;
VII - Termos de Confidencialidade: Assinatura de acordos de confidencialidade ou cláusulas específicas nos contratos de trabalho/estágio ou termos de parceria, para aqueles que terão acesso a dados sensíveis, reforçando o dever legal de preservar o sigilo dessas informações mesmo após eventual desligamento;
VIII - Descarte Seguro: Procedimentos seguros e imediatos de eliminação ou descarte de dados sensíveis quando encerrada sua necessidade, incluindo a destruição física de documentos impressos e a remoção permanente de arquivos digitais (sanitização), de modo a impedir a recuperação posterior.
Art. 9º. O tratamento de dados pessoais de crianças e de adolescentes pela Defensoria Pública do Estado do Tocantins será realizado em seu melhor interesse, nos termos da legislação pertinente.
§1º. A coleta e as demais ações de tratamento de dados pessoais de crianças deverão ser realizadas com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§2º. É dispensado o consentimento a que se refere o §1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, inclusive mediante o exercício de direitos.
Art. 10. Será mantido registro e dada transparência às hipóteses em que, no exercício de sua competência, a Defensoria Pública do Estado do Tocantins realizar tratamento de dados pessoais.
§1º. Serão publicadas, de forma clara, atualizada e com utilização de linguagem simples, em veículos de fácil acesso, preferencialmente no sítio eletrônico, no mínimo as seguintes informações:
I – previsão legal, finalidade, procedimentos e práticas utilizadas para o tratamento;
II – direitos do titular, com menção explícita aos direitos contidos no artigo 18 da Lei Geral de Proteção de Dados Pessoais (LGPD);
III – informações do encarregado;
IV – casos de uso compartilhado de dados pessoais;
V – casos de transferência internacional de dados pessoais.
§2º Deverão ser resguardadas, contudo, as informações de acesso restrito e as hipóteses justificadas de segredo e sigilo, conforme legislação pertinente.
§3º. O uso compartilhado de dados será realizado no cumprimento de suas obrigações legais ou regulatórias, com organizações públicas ou privadas, de acordo com a finalidade admitida na legislação pertinente, resguardados os princípios de proteção de dados pessoais, que ocorrerá nos seguintes casos:
I - Provedores de serviços: empresas contratadas para auxiliar diretamente ou indiretamente na manutenção dos serviços administrativos ou judiciais. Esses provedores de serviços e seus colaboradores selecionados, só estão autorizados a acessar dados pessoais para as tarefas específicas, que forem requisitadas a eles com base em instruções determinadas sobre a proteção de dados pessoais. Em caso de violação, respondem solidariamente conforme a legislação vigente.
II - Serviços notariais e de registro: na realização das atividades delegadas pelo Poder Judiciário, se estiverem em conformidade com a Lei Geral de Proteção de Dados Pessoais.
III - Órgãos e entidades públicas: no exercício de suas atribuições legais e regulatória ou relacionada à finalidade pública, em atenção ao interesse público.
§4º. A transferência internacional de dados pessoais somente será permitida nos seguintes casos:
I - para países ou organismos internacionais com grau de proteção de dados pessoais adequado;
II - comprovação de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados pessoais, tais como: cláusulas contratuais específicas, cláusulas-padrão dos contratos, normas corporativas globais, selos e certificações regularmente emitidos;
III - cooperação jurídica internacional entre órgãos públicos de inteligência, para fins de investigação;
IV - proteção da vida ou da incolumidade física do titular ou de terceiro;
V - autorização da ANPD;
VI - compromisso assumido em acordo de cooperação internacional;
VII - execução de política pública ou atribuição legal do serviço público;
VIII - mediante consentimento específico e em destaque do titular dos dados pessoais;
IX - para o cumprimento de obrigação legal ou regulatória;
X - execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e
XI - exercício regular de direitos em processo judicial, administrativo ou arbitral.
Art. 11. A classificação das informações quanto à restrição de acesso e às hipóteses de segredo e sigilo atenderá as disposições da Lei de Acesso à Informação e demais normas vigentes aplicáveis à Defensoria Pública do Estado do Tocantins.
Art. 12. O ciclo de vida do tratamento terá duração razoável e estritamente necessária para o alcance da finalidade pretendida.
Parágrafo único. Será realizada revisão do conjunto de dados pessoais sob controle da Defensoria Pública do Estado do Tocantins em periodicidade mínima anual, sendo eliminados aqueles em que verificado o término do tratamento, ressalvadas as hipóteses autorizadas de conservação.
Art. 13. Os dados, sempre que possível, serão mantidos em formato interoperável e estruturado, de modo a permitir o seu uso compartilhado com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral, observado o disposto na legislação pertinente.
Art. 14. O uso compartilhado de dados pessoais pela Defensoria Pública do Estado do Tocantins deve servir a finalidades específicas de execução de políticas públicas, em conformidade com suas atribuições legais e atendimento dos demais requisitos da Lei Geral de Proteção de Dados Pessoais (LGPD).
§1º. É vedada a transferência de dados pessoais às entidades privadas, ressalvadas as seguintes hipóteses:
I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado;
II – nos casos em que os dados forem acessíveis publicamente;
III – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
IV – na hipótese da transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
§2º. A transferência internacional de dados deve atender aos requisitos da Lei Geral de Proteção de Dados Pessoais (LGPD), em especial do seu artigo 25, e às orientações gerais sobre avaliação do nível de proteção a dados pessoais fornecidas pela Autoridade Nacional de Proteção de Dados (ANPD).
Art. 15. Os contratos, convênios ou instrumentos congêneres mantidos pela Defensoria Pública do Estado do Tocantins , cujo objeto envolva atividade de tratamento de dados pessoais, deverão estar adequados à presente Política e à Lei Geral de Proteção de Dados Pessoais (LGPD).
§1º. A Coordenação de Contratos e Convênios zelará pela conformidade estipulada no caput, tanto dos ajustes já firmados quanto daqueles que venham a ser celebrados a partir da data de publicação desta normativa.
§2º. A Diretoria Geral, por intermédio de seus departamentos, promoverá as orientações necessárias a fim de estabelecer cláusulas padronizadas e adaptadas à Defensoria Pública do Estado do Tocantins.
§3º. Na condução dos procedimentos licitatórios, quando houver pertinência, a Comissão Permanente de Licitações atentará às orientações formuladas nos termos do §2º, promovendo as adequações necessárias ao cumprimento desta norma, mediante aplicação de texto compatível com a Defensoria Pública do Estado do Tocantins.
CAPÍTULO III
AGENTES DE TRATAMENTO E ENCARREGADO
Art. 16. A Defensoria Pública do Estado do Tocantins é a controladora dos dados pessoais, cabendo-lhe as decisões referentes ao tratamento e as demais atribuições conferidas pela Lei Geral de Proteção de Dados Pessoais (LGPD), nos termos das suas competências legais e institucionais.
Art. 17. São deveres de todos os membros, servidores, estagiários e demais colaboradores que executem atividade vinculada à atuação institucional da Defensoria Pública do Estado do Tocantins :
I – conhecer e cumprir fielmente os termos desta Política;
II – atender às orientações da controladora e aos preceitos legais relacionados à proteção de dados pessoais, à privacidade e a medidas de segurança;
III – atuar com responsabilidade, critério e ética e garantir a segurança da informação sempre que intervenha em uma das fases do tratamento de dados pessoais;
IV – comunicar formalmente e de imediato ao encarregado a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo aos titulares dos dados pessoais.
Art. 18. A controladora indicará encarregado pelo tratamento de dados pessoais que deverá atuar como canal de comunicação com os titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD), bem como colaborar na implementação de iniciativas voltadas à proteção de dados pessoais junto à administração.
§1º. O encarregado será designado por portaria do Defensor Público-Geral e deverá possuir conhecimentos multidisciplinares essenciais às suas atribuições, preferencialmente nas áreas de gestão, privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público.
§2º. Sua identidade e informações de contato serão divulgadas publicamente, de forma clara e objetiva, no sítio eletrônico institucional, mantendo-se sempre atualizadas.
Art. 19. As atribuições do encarregado consistem em:
I – aceitar as reclamações e comunicações dos titulares de dados pessoais internos e externos à instituição, prestar esclarecimentos e adotar providências, comunicando-os nos casos de incidente de segurança que tenha acarretado dano relevante ou possa acarretar risco de sua ocorrência;
II – receber comunicações sobre a ocorrência de qualquer incidente de segurança que possa acarretar risco ou prejuízo relevante aos titulares dos dados, com observância aos protocolos de comunicação imediata à Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação (ETRIS) quando cabível;
III - receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências, bem como comunicar os incidentes de segurança que tenham acarretado dano relevante ou possam acarretar risco de sua ocorrência;
IV – orientar e prestar esclarecimentos a membros, servidores, estagiários e demais colaboradores a respeito das práticas a serem tomadas em relação à proteção dedados pessoais, de acordo com as diretrizes estabelecidas em lei e nas normas internas;
V – orientar, prestar esclarecimentos e realizar comunicações a operadores e contratados sobre as práticas necessárias a garantir a proteção dos dados pessoais e a conformidade com a presente Política;
VI – monitorar o cumprimento desta Política e das normas de proteção de dados pessoais na Instituição, realizando verificações regulares, auditorias internas ou outros mecanismos de acompanhamento do tratamento de dados, reportando eventuais não conformidades à administração superior e recomendando medidas corretivas;
VII – solicitar a promoção de ações de capacitação e treinamento contínuo em proteção de dados pessoais e segurança da informação para membros, servidores e colaboradores, conscientizando-os sobre a importância da privacidade e das normas aplicáveis;
VIII – participar da elaboração, revisão e implementação das políticas e diretrizes internas relacionadas à proteção de dados e privacidade, bem como colaborar na construção e manutenção do programa de governança em privacidade, caso necessário;
IX – auxiliar a administração na condução de avaliações de riscos e na elaboração de Relatórios de Impacto à Proteção de Dados Pessoais, quando requisitados pela ANPD ou quando as atividades de tratamento assim o exigirem em razão do alto risco aos direitos fundamentais dos titulares;
X – receber e avaliar notificações de incidentes de segurança envolvendo dados pessoais, coordenando as medidas de resposta a incidentes nos termos do Plano de Resposta e orientando quanto à necessidade de comunicação à ANPD e aos titulares, nos casos previstos em lei;
XI – representar a Defensoria Pública do Estado do Tocantins perante a ANPD e outros órgãos públicos em assuntos relacionados à proteção de dados pessoais, inclusive em eventuais procedimentos administrativos, respondendo a diligências ou autos de infração, sob a coordenação da Defensoria Pública Geral;
XII - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§1º. O encarregado deverá contar com apoio efetivo do Comitê Gestor de Proteção de Dados e poderá solicitar contribuição de qualquer órgão ou unidade da Defensoria Pública do Estado do Tocantins para o adequado desempenho de suas funções.
§2º. A substituição do Encarregado deverá ser comunicada formalmente à ANPD, bem como aos públicos interno e externo da instituição, com a indicação do novo Encarregado designado.
§3º. O Encarregado de Proteção de Dados reporta-se diretamente ao Defensor Público-Geral do Estado ou a quem este designar, tendo autonomia técnica para o desempenho de suas funções.
§4º. O Encarregado de Proteção de Dados acionará a Equipe de Resposta a Incidentes sempre que tomar conhecimento de um incidente, ainda que em potencial, a ser composta, minimamente, pelos seguinte integrantes:
I - Encarregado:para coordenar as ações;
II - Diretoria de Tecnologia da Informação: responsável por medidas técnicas de contenção e investigação;
III – Diretoria Geral: para aplicação de eventuais diretrizes necessárias e aporte técnico de departamentos que se fizerem necessários.
Art. 20. Toda pessoa natural ou jurídica, de direito público ou privado, que realize o tratamento de dados pessoais em nome e por ordem da controladora, exerce o papel de operador.
Parágrafo único. Os operadores deverão aderir a esta Política e cumprir integralmente seus deveres legais com relação à proteção de dados pessoais, sendo de sua responsabilidade ainda:
I – realizar o tratamento segundo as instruções fornecidas pela controladora;
II – assinar ajuste com cláusulas específicas sobre proteção de dados pessoais requeridas pela controladora;
III – documentar as operações que realizarem, comprovando a metodologia empregada para justificar o alcance de finalidade e permitindo a rastreabilidade e o fornecimento de prova a qualquer tempo;
IV – apresentar evidências e garantias de que aplica medidas técnicas e administrativas de segurança suficientes, quando necessário, à comprovação do cumprimento das obrigações estabelecidas e do atendimento às normas de proteção de dados pessoais, inclusive quanto à finalidade e eficácia do tratamento;
V – facultar acesso a dados pessoais somente ao pessoal autorizado mediante justificada necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e a segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição à controladora, mediante solicitação;
VI – fornecer, a qualquer tempo, informações acerca dos dados pessoais confiados pela controladora;
VII – auxiliar, em toda providência que estiver ao seu alcance, a controladora no cumprimento de obrigações perante titulares de dados pessoais que são objeto do tratamento, autoridades competentes ou quaisquer outros legítimos interessados;
VIII – comunicar formalmente e de imediato ao encarregado da Defensoria Pública do Estado do Tocantins a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo aos titulares dos dados pessoais, evitando atrasos por conta de verificações ou inspeções;
IX – manter, durante todo o período de tratamento e mesmo após o término, adequação com a Lei Geral de Proteção de Dados (LGPD), com as demais normas pertinentes e com as regulamentações da Autoridade Nacional de Proteção de Dados (ANPD).
CAPÍTULO IV
DIREITOS DOS TITULARES
Art. 21. Toda pessoa natural titular de dados pessoais que sejam tratados pela Defensoria Pública do Estado do Tocantins poderá exercer os direitos elencados pelo artigo 18 da Lei Geral de Proteção de Dados Pessoais (LGPD), a qualquer momento e mediante requerimento expresso próprio ou de representante legalmente constituído, por meio de canal de comunicação a ser disponibilizado, garantindo-se os seguintes direitos:
I - livre acesso, facilitado e gratuito;
II - confirmar existência, acessar, revisar, retificar e/ou requisitar uma cópia eletrônica da informação dos seus dados pessoais;
III - requisitar detalhes sobre a origem ou o compartilhamento com terceiros;
IV - limitar o uso e divulgação de seus dados pessoais;
V - solicitar a anonimização, bloqueio, eliminação, portabilidade e oposição de seus dados pessoais;
VI - revogar o consentimento, excetuando-se as situações previstas na legislação, e receber informações sobre as consequências do não consentimento ao uso de seus dados pessoais.
§1º. Ressalvam-se os casos de impossibilidade jurídica de atendimento da solicitação em virtude de atividade vinculada ao desempenho das atribuições legais da Defensoria Pública do Estado Tocantins, bem como as informações de acesso restrito e as hipóteses justificadas de segredo e sigilo, conforme disposições da Lei de Acesso à Informação e demais normas vigentes.
§2º. O atendimento às requisições será realizado de forma adequada, observados os princípios da regularidade, continuidade, efetividade, segurança, atualidade, generalidade, transparência e cortesia.
§3º. Os prazos e demais procedimentos para exercício dos direitos do titular observarão o disposto em legislação específica direcionada ao Poder Público.
CAPÍTULO V
SEGURANÇA
Art. 22. A proteção dos dados pessoais será assegurada, durante todo o ciclo de vida do tratamento, pela implementação de processos organizacionais sólidos e pela adoção de medidas de segurança, técnicas e administrativas, aptas a preservá-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação, difusão ou qualquer forma de tratamento inadequado ou ilícito.
Parágrafo único. As medidas de que trata o caput deste artigo serão preferencialmente adotadas por padrão e observadas desde a fase de concepção dos procedimentos, sistemas, projetos ou serviços prestados pela Defensoria Pública do Estado do Tocantins , permeando todas as etapas, até a sua execução.
Art. 23. As medidas mencionadas no artigo 22 primarão pelo fortalecimento do ecossistema de tecnologias da informação e comunicação e observarão a legislação pertinente, embasando-se nas normas padrão de referência internacional para a gestão da segurança, as quais se relacionem, preferencialmente, à:
I - gestão de ativos,
II - classificação da informação, ao compartilhamento, uso e proteção da informação,
III - plano de continuidade;
IV - controle de acesso físico e lógico;
V - trilhas de auditoria;
VI – controles criptográficos;
VII - controles de coleta e preservação de evidências,
VIII - política de retenção de dados;
IX - cópia de segurança;
X - gestão de riscos;
XI - à organização da segurança;
XII - à proteção física e do ambiente;
XIII - registro de eventos e rastreabilidade;
XIV - segurança em redes e nas operações.
Art. 24. Toda e qualquer atividade de tratamento de dados pessoais pela Defensoria Pública do Estado do Tocantins será realizada em conformidade com a Política de Segurança da Informação e das Comunicações, a qual deverá:
I – estar adequada às disposições da Lei Geral de Proteção de Dados Pessoais (LGPD) e aos padrões técnicos mínimos estabelecidos pela Autoridade Nacional de Proteção de Dados (ANPD);
II – abranger medidas atualizadas voltadas à segurança física, à proteção de dados organizacionais, à segurança cibernética, à defesa cibernética e às ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.
Parágrafo único. Compete ao Comitê de Governança de Tecnologia da Informação – CGTI e ao Comitê Gestor de Proteção de Dados, de forma integrada e colaborativa, a adoção das providências necessárias ao cumprimento do disposto nos incisos I e II deste artigo.
Art. 25. Em caso de execução contratual que trate dados pessoais relevantes, a Defensoria Pública do Estado do Tocantins deverá exigir que o contratado adote práticas de proteção de dados, em conformidade com a Lei Geral de Proteção de Dados, devendo mantê-las durante toda a vigência do instrumento, especialmente em contratos de tecnologia da informação que envolvam transferência de dados pessoais a sistemas de terceiros.
Art. 26. Será elaborado Relatório de Impacto à Proteção de Dados Pessoais periodicamente, de preferência anualmente ou em prazo inferior sempre que algum fato relevante ou evento motive sua antecipação, contendo a descrição das operações de tratamento de dados pessoais realizadas pela controladora que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco adotados.
CAPÍTULO VI
PLANO DE RESPOSTA A INCIDENTES
Art. 27. Será elaborado plano de resposta a incidentes de segurança que possam acarretar risco ou dano relevante aos titulares dos dados pessoais tratados pela Defensoria Pública do Estado do Tocantins .
§1º. O Plano de Resposta a Incidentes tem por objetivo estabelecer procedimentos claros e responsabilidades definidas para identificar, conter, registrar, comunicar e remediar eventuais incidentes de segurança da informação que possam comprometer dados pessoais sob a guarda da Instituição.
§2º. O plano conterá medidas adequadas, proativas e reativas, capazes de reverter ou mitigar os efeitos do incidente, bem como de tornar os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
§3º. Será estabelecido protocolo de comunicação imediata entre o encarregado e o Comitê Gestor de Proteção de Dados para que tomem rapidamente ciência e adotem as providências cabíveis.
§4º. Quando cabível, o incidente será comunicado, pelo encarregado, à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, em prazo razoável, mencionando no mínimo:
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso da comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Art. 28. A resposta a incidentes de segurança com dados pessoais seguirá as seguintes etapas, sem prejuízo de outras necessárias conforme o caso concreto:
I - Detecção e Avaliação Inicial: Assim que notificado, o Encarregado registrará o incidente e avaliará, juntamente com a equipe da Diretoria de Tecnologia da Informática, as informações disponíveis para confirmar se se trata de um incidente de segurança de dados pessoais e sua abrangência inicial. Nesta fase, classifica-se preliminarmente a gravidade (baixa, média, alta) e o tipo do incidente, como vazamento de dados, perda de dispositivo, ataque ransomware, dentre outros;
II - Contenção imediata: A equipe técnica deverá agir rapidamente para conter o incidente e impedir sua escalada. Isso pode incluir, conforme o caso: isolar sistemas ou máquinas afetadas; revogar credenciais comprometidas; aplicar correções (patches) urgentes; mudar configurações de acesso; recuperar backups; ou qualquer outra ação que interrompa o vetor de ataque ou impeça a continuidade do dano. As medidas adotadas devem ser documentadas;
III - Análise e Investigação: Com o incidente contido ou sob controle, a equipe realizará uma investigação detalhada para apurar a causa raiz do problema, identificar todos os dados pessoais potencialmente afetados e os titulares desses dados, bem como avaliar os impactos efetivos e potenciais. Deve-se determinar que tipo de dados pessoais vazaram ou foram comprometidos, quantos titulares foram afetados, e quais riscos decorrem;
IV - Erradicação e Recuperação: Tomada ciência da causa do incidente, a equipe providenciará a erradicação do problema, implementando soluções definitivas para eliminar vulnerabilidades exploradas ou falhas ocorridas. E quando aplicável, iniciará ações de recuperação, restaurando sistemas e dados para a normalidade segura. Somente após verificar a segurança do ambiente o sistema afetado pode retornar ao funcionamento regular.
V - Notificação e Comunicação: Caso o incidente, após a avaliação, possa acarretar risco ou dano relevante aos titulares dos dados pessoais envolvidos, o Encarregado deverá proceder à comunicação prevista no artigo 48 da LGPD, com as seguintes providências:
a) Notificação à ANPD: Deve ser feita em prazo razoável após a confirmação do incidente e sua classificação de risco, contendo as informações exigidas: descrição da natureza dos dados afetados, número de titulares, medidas técnicas e de segurança já utilizadas e a serem adotadas, riscos identificados, data/duração do incidente, e dados de contato do Encarregado, entre outras.
b) Notificação aos Titulares Afetados: Os próprios titulares dos dados pessoais envolvidos também deverão ser informados acerca do incidente de segurança e das medidas de resposta. Essa comunicação aos titulares será feita de forma individualizada ou coletiva, em linguagem clara e adequada, quando possível identificar os afetados. A mensagem aos titulares conterá, no mínimo: a descrição dos dados pessoais envolvidos, os possíveis riscos decorrentes do incidente, as medidas de segurança adotadas para proteger seus dados ou mitigar danos, as orientações de precaução que o titular pode tomar e os canais de contato para obter mais informações, incluindo contato do Encarregado.
c) Comunicação interna e institucional: O Encarregado informará oficialmente o Defensor Público-Geral do Estado sobre o incidente e as providências tomadas, mantendo a administração ciente do progresso da resposta e de eventuais necessidades de recursos ou suporte. Realizará divulgação pública do ocorrido por meio de seu portal na internet e outros canais adequados, de modo a atingir os titulares potencialmente afetados, mantendo tal comunicado público por período mínimo de 3 (três) meses. Se necessário, outras autoridades competentes também poderão ser notificadas pelo Defensor Público-Geral.
VI - Lições Aprendidas e Prevenção: Após a resolução do incidente e conclusão das notificações, a equipe realizará uma reunião posterior para analisar as lições aprendidas. Será elaborado um relatório final do incidente, contendo a causa identificada, extensão do impacto, ações adotadas em cada etapa e recomendações de melhorias para evitar ocorrências semelhantes no futuro. Com base nesse relatório, o Comitê de Proteção de Dados e a equipe de TI deverão implementar planos de ação preventiva, que podem incluir: reforço de controles de segurança, revisão de políticas, treinamento adicional de pessoal, ajustes nos procedimentos deste Plano de Resposta, entre outros.
Art. 29. Caberá ao Comitê Gestor de Proteção de Dados elaborar e manter atualizada uma Tabela de Temporalidade específica para dados pessoais e documentos que os contenham, indicando prazos de retenção e destinação final, como eliminação ou recolhimento para arquivo permanente, devendo ser considerados:
I - Os prazos prescricionais ou decadenciais relevantes;
II - As exigências de órgãos de controle e auditoria;
III - O valor histórico, estatístico ou científico de certos conjuntos de dados que possa justificar seu arquivamento permanente de forma anonimizada;
IV - A necessidade de atualização periódica de determinados cadastros e a eliminação em caso de cessação das razões que motivaram o recebimento dos dados;
V - A tabela de temporalidade de dados pessoais deverá ser aprovada pela autoridade competente e estar alinhada com a legislação arquivística.
Parágrafo único. A tabela de temporalidade será divulgada no site oficial da Defensoria Pública do Estado do Tocantins.
CAPÍTULO VII
ELIMINAÇÃO E DESCARTE DE DADOS
Art. 30. Decorridos os prazos legais e verificada a desnecessidade dos dados pessoais para os fins que justificaram seu tratamento, a Defensoria Pública do Estado do Tocantins procederá à eliminação segura dos dados. A eliminação abrangerá tanto os dados em meio digital, apagando bases de dados, com sobrescrita ou destruição criptográfica, de forma a impedir restauração, quanto em meio físico mediante fragmentação ou incineração de documentos em papel.
§1º, Antes da eliminação de documentos ou bancos de dados físicos contendo informações pessoais, deverá ser emitido o respectivo Termo de Eliminação, conforme orientações arquivísticas, que será assinado pela autoridade competente e pelo responsável técnico, registrando o cumprimento dos procedimentos de descarte.
§2º, A eliminação de dados pessoais não será realizada quando houver obrigação legal ou ordem judicial que determine sua conservação, ou nas demais hipóteses do artigo 16 da LGPD, tais como:
I - cumprimento de obrigação legal ou regulatória;
II - estudo por órgão de pesquisa (garantida anonimização sempre que possível);
III - transferência a terceiro (respeitados os requisitos de tratamento); ou
IV - uso exclusivo da Defensoria Pública do Estado do Tocantins, vedado acesso de terceiro, e desde que anonimizados os dados, sendo eliminados ao cessar a necessidade.
Art. 31. A Defensoria Pública do Estado do Tocantins manterá registrado, em relatório ou termo próprio, os eventos de eliminação em massa de dados pessoais realizados em cumprimento desta Política e demais normas, contendo informações genéricas sobre o conteúdo eliminado, datas e responsáveis. Esse registro não necessita detalhar dados pessoais específicos e servirá para comprovar a observância das normas de descarte, podendo ser apresentado à ANPD em eventual fiscalização.
CAPÍTULO VIII
BOAS PRÁTICAS
Art. 32. A Defensoria Pública do Estado do Tocantins formulará e disseminará orientações de boas práticas e de governança para que as operações de tratamento de dados pessoais observem as seguintes diretrizes:
I - em conformidade com os princípios da Lei Geral de Proteção de Dados Pessoais (LGPD) e com as boas práticas de segurança da informação e de proteção de dados pessoais, a Defensoria Pública do Estado do Tocantins garantirá que os dados pessoais coletados, via Portal Institucional, sejam tratados de forma íntegra e segura, de acordo com padrões de segurança da informação, confidencialidade e integridade pelo tempo for necessário para realizar as finalidades para as quais foram coletados ou para cumprir com os requerimentos legais aplicáveis.
II - os dados pessoais tratados pela Defensoria Pública do Estado do Tocantins que sejam considerados sigilosos somente serão acessados por pessoas autorizadas e capacitadas para lhes conferir o tratamento adequado, conforme medidas de segurança adequada para a proteção contra acesso não autorizado, alteração, divulgação ou destruição de dados pessoais coletados e armazenados.
III - caso haja solicitação do titular, os dados pessoais coletados via Portal Institucional poderão ser excluídos antes do prazo. No entanto, por motivos legais, por determinação judicial ou para fins de auditoria e segurança, eles poderão ser mantidos por período superior, findo o qual, serão excluídos com uso de métodos de descarte seguro.
IV - caso o usuário retire seu consentimento para finalidades fundamentais ao funcionamento dos serviços do Portal Institucional, algumas funcionalidades poderão ficar indisponíveis.
V - em caso de incidente de segurança que envolva dados pessoais, a ocorrência será comunicada à ANPD e ao titular quando envolver risco ou dano relevante.
VI - a comunicação sobre a descrição da natureza, riscos, titulares envolvidos, medidas técnicas e de segurança utilizadas, risco e medidas adotadas para o tratamento do incidente, será feita conforme o prazo definido pela ANPD.
Parágrafo único. Preferencialmente, as boas práticas estabelecerão procedimentos, normas de segurança, padrões técnicos, obrigações específicas para os diversos envolvidos no tratamento, ações educativas, mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Art. 33. Serão promovidos, pela Escola Superior da Defensoria Pública - ESDEP ou por meio de parcerias públicas ou privadas, cursos e demais ações de capacitação para garantir que todo corpo funcional conheça e corrobore o compromisso institucional com a proteção de dados pessoais, a privacidade e as medidas de segurança implementadas, bem como para que desempenhe suas funções de forma eficiente, ética e responsável.
Art. 34. As boas práticas adotadas e a governança implantada deverão ser objeto de campanhas informativas na esfera de comunicação interna da controladora, com apoio da Assessoria de Comunicação e por meio de conteúdos em linguagem simples e acessível, para promover uma cultura protetiva, com conscientização e sensibilização sobre as questões afetas à presente Política.
CAPÍTULO IX
COMITÊ GESTOR DE PROTEÇÃO DE DADOS
Art. 35. Fica instituído o Comitê Gestor de Proteção de Dados- CGPD, com caráter multidisciplinar e multissetorial, vinculado à Defensoria Pública Geral, o qual será responsável pelo desenvolvimento, pela gestão do programa de governança e proteção de dados com vistas à adequação institucional às disposições da Lei Geral de Proteção de Dados Pessoais.
§1º. O CGPD é responsável pela avaliação dos mecanismos de tratamento e proteção dos dados existentes e pela proposição de ações voltadas ao seu aperfeiçoamento. As suas ações são desempenhadas por um grupo de trabalho técnico.
§2º. Os membros serão designados por portaria do Defensor Público-Geral, observada a seguinte composição:
I – um representante da Defensoria Pública Geral, o qual exercerá a presidência do Comitê;
II - um representante da Corregedoria Geral;
III - um representante da Diretoria Geral;
IV – um representante da Diretoria de Gestão de Pessoas e Folha de Pagamento;
V - um representante da Diretoria de Tecnologia da Informação;
VI – Encarregado.
§3º. Os setores indicados no parágrafo anterior poderão indicar substitutos para exercer a respectiva representatividade.
§4º. O CGPD poderá solicitar auxílio técnico aos demais setores da Instituição.
Art. 36. Constituem atribuições do Comitê:
I – propor e assessorar a implementação de projetos, estratégias e ações voltadas à proteção de dados pessoais, à privacidade e a medidas de segurança no âmbito da Defensoria Pública do Estado do Tocantins;
II – monitorar e avaliar a execução dos projetos, estratégias e ações aprovados nos termos do inciso I;
III – monitorar e avaliar os mecanismos de tratamento e de proteção de dados pessoais existentes e, sempre que necessário, propor seu aperfeiçoamento;
IV – prestar apoio efetivo ao encarregado para o adequado desempenho de suas funções;
V – elaborar parecer sobre proteção de dados pessoais, privacidade e medidas de segurança, nos casos em que for consultado pelo Defensor Público-Geral, pelo encarregado ou pelo operador;
VI – avaliar a adequação, suficiência e eficácia da presente Política, registrar os diagnósticos e formular propostas de aprimoramento, bem como de atualização na periodicidade fixada ou na ocorrência das condições estipuladas pelo artigo 35;
VII – propor demais regulamentos internos relativos ao tratamento e à proteção dedados pessoais, bem como apresentar propostas de aperfeiçoamento dos já existentes;
VIII – sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais;
IX – promover, com apoio das demais unidades da instituição, o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais, privacidade e medidas de segurança, através de campanhas educativas, ações de capacitação e divulgação de iniciativas correlatas, entre o público externo e interno;
X – promover o intercâmbio de informações sobre a proteção de dados pessoais entre distintas unidades da Defensoria Pública do Estado do Tocantins, bem como com outros órgãos e instituições;
XI – elaborar, anualmente, relatório de gestão acerca de suas atividades, com recomendações sobre as medidas indispensáveis à implementação e ao aperfeiçoamento da presente Política.
Parágrafo único. No desempenho de suas atribuições, o Comitê deverá observar os princípios e as diretrizes da Política de Segurança da Informação e das Comunicações da ANPD e atuar de forma coordenada com o Comitê de Governança de Tecnologia da Informação – CGTI.
Art. 37. O Comitê reunir-se-á, em caráter ordinário, bimestralmente e, em caráter extraordinário, por convocação de seu presidente.
CAPÍTULO X
FISCALIZAÇÃO
Art. 38. O Comitê deverá definir, com a aprovação da Defensoria Pública Geral e com o apoio do Controle Interno, caso necessário, os procedimentos e mecanismos de fiscalização a fim de assegurar o cumprimento desta Política e das normas relativas à proteção de dados pessoais.
Art. 39. A inobservância da presente Política acarretará a apuração das responsabilidades internas e externas previstas nas normas em vigor, podendo caracterizar infração funcional, a ser apurada em processo administrativo disciplinar, ou mesmo haver responsabilização penal, civil e administrativa.
CAPÍTULO XI
CANAL DE ATENDIMENTO AO TITULAR DE DADOS
Art. 40. Fica instituído o Canal do Titular de Dados na Defensoria Pública do Estado do Tocantins.
Parágrafo único. O Canal do Titular de Dados tem como objetivo atender as solicitações formuladas pelo titular de dados pessoais, ou por seu representante legalmente constituído.
Art. 41. O titular de dados pessoais tratados pela Defensoria Pública do Estado do Tocantins, ou seu representante legalmente constituído, poderá requerer, a qualquer tempo, o exercício de quaisquer dos direitos listados no artigo 18 da Lei Geral de Proteção de Dados Pessoais (LGPD).
§1º. As solicitações de titulares deverão ser preferencialmente encaminhadas por qualquer dos seguintes canais oficiais:
I – Formulário Eletrônico específico disponibilizado no Portal da Privacidade do site oficial da Defensoria Pública do Estado do Tocantins que possibilite a descrição do pedido do titular e a anexação de documentos de identificação necessários;
II – Endereço de e-mail do Encarregado de Proteção de Dados: encarregadolgpd@defensoria.to.def.br, como contato direto do Encarregado;
III – Corregedoria da Defensoria Pública do Estado do Tocantins: de forma difusa, pode encaminhar solicitação do titular de dados após identificação do pedido por meio do atendimento correcional ou outro meio de acesso, o qual deverá ser registrado e encaminhado ao Encarregado, nos termos do inciso II.
§2º. Solicitações poderão ser recebidas presencialmente em unidades de atendimento da Defensoria nos casos de pessoas em situação de vulnerabilidade digital, pessoas com deficiência ou outras que encontrem barreiras de acesso aos meios eletrônicos.
Art. 42. Toda a solicitação será recepcionada pelos canais acima indicados e deverá ser registrada no Protocolo de Solicitação de Titular de Dados, com data e hora do recebimento, nome do titular (ou representante) e descrição sucinta do pedido.
§1º. O Encarregado de Proteção de Dados será imediatamente notificado de cada nova solicitação e terá acesso ao registro para acompanhamento.
§2º. A Defensoria Pública do Estado do Tocantins poderá utilizar sistema informatizado para gerenciamento desses pedidos, de forma a controlar os prazos e permitir a extração de relatórios de atendimento de direitos dos titulares como parte das evidências de conformidade.
Art. 43. Ao receber uma solicitação, no prazo máximo de 15 (quinze) dias, contados do recebimento da solicitação, o Encarregado deverá verificar:
I – se todos os elementos necessários foram fornecidos; e
II – quais setores ou sistemas da Defensoria possivelmente detêm os dados pessoais objeto do pedido.
§1º. Se a solicitação for genérica ou incompleta, o Encarregado poderá contatar o solicitante para esclarecimentos ou informações adicionais, suspendendo-se o prazo de resposta até a resposta do titular.
§2º. Se a Defensoria Pública do Estado do Tocantins não for a responsável (controladora) pelos dados pessoais objeto da solicitação, a solicitação será indeferida, cabendo ao Encarregado comunicar o fato ao titular.
§3º. Em caso de complexidade operacional, o prazo previsto no caput poderá ser prorrogado por igual período, desde que previamente informado ao requerente.
Art. 44. O Titular dos dados poderá dirigir pedido de reconsideração ou recurso ao Gabinete da 1ª Subdefensoria Pública Geral que analisará o pedido de acordo com a legislação pertinente.
§1º. Alternativamente, o titular poderá peticionar diretamente perante a Autoridade Nacional de Proteção de Dados – ANPD, nos termos artigo 18, §1º, da Lei Geral de Proteção de Dados Pessoais (LGPD).
§2º. A Defensoria Pública do Estado do Tocantins compromete-se a cooperar com eventuais apurações ou mediações conduzidas pela ANPD no tocante às solicitações de titulares.
CAPÍTULO XII
DISPOSIÇÕES FINAIS
Art. 45. Esta Política deverá ser atualizada, com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas ou mediante a ocorrência de alguma das seguintes condições:
I – edição ou alteração de leis e/ou regulamentos relevantes afetos ao tema de proteção de dados pessoais;
II – alteração de diretrizes estratégicas pela Defensoria Pública do Estado do Tocantins ;
III – mudanças significativas dos recursos tecnológicos da Defensoria Pública do Estado do Tocantins que impactem os mecanismos de tratamento de dados pessoais existentes;
IV – análise de risco, inclusive em Relatório de Impacto à Proteção de Dados Pessoais, que indique a necessidade de modificação no documento para readequação da organização visando a prevenir ou mitigar riscos relevantes.
Art. 46. As questões interpretativas, os casos omissos e eventuais conflitos serão resolvidos pela Defensoria Pública Geral.
Art. 47. Aplica-se subsidiariamente às disposições deste Ato as orientações e normativas elaboradas pela Autoridade Nacional de Proteção de Dados – ANPD, bem como o Decreto Federal nº 9.637/2018 e o Decreto nº 6.547/2022, do Governo do Estado do Tocantins, no que couber.
Art. 48. Este Ato entra em vigor na data de sua publicação.
GABINETE DA DEFENSORIA PÚBLICA GERAL DO ESTADO DO TOCANTINS.
PEDRO ALEXANDRE CONCEIÇÃO AIRES GONÇALVES
Defensor Público-Geral
 | Documento assinado eletronicamente por Pedro Alexandre Conceição A Gonçalves, Defensor Público Geral, em 12/06/2025, às 11:16, conforme art. 1º, III, "b", da Lei 11.419/2006. |
 | A autenticidade do documento pode ser conferida no site http://sei.defensoria.to.def.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0 informando o código verificador 1019868 e o código CRC 6B20E775. |