Centro de Atendimento Socioeducativo ao Adolescente.
DRH - DIVISÃO DE RECURSOS HUMANOS
Comunicado
Assunto: Reforça cumprimento da PN 384/2022
Interessado: Divisão de Recursos Humanos
Número de Referência: 06/2023
A Diretoria de Recursos Humanos da Fundação CASA-SP, no uso das suas atribuições;
Considerando a previsão da PN 253/2013, na forma que segue:
"Artigo 2º - São deveres dos servidores da Fundação CASA-SP, além dos legais e daqueles
inerentes ao exercício de suas funções, os seguintes:
(...)
IX- observar e cumprir leis, regulamentos, regimentos, instruções, portarias, ordens de serviço e
comunicados, que digam respeito às suas funções, nos prazos fixados, inclusive ordens de
remanejamento e transferências;" (grifo nosso)
COMUNICA
1 - Os comissionamentos em Função Gratificada ou no cargo de Livre Provimento de Diretor de
Unidade deverão seguir rigorosamente as determinações contidas na PN 384 de 04 de fevereiro de
2022.
2 - Cabe aos Gestores as providências necessárias para o fiel cumprimento da PN 384/2022 no que
tange aos seus subordinados imediatos, inclusive, quanto à conclusão dentro do prazo do rol
mínimo de cursos institucionais necessários para cada cargo ou função
Fundação Centro de Atendimento Socioeducativo ao Adolescente
DRH - DIVISÃO DE RECURSOS HUMANOS
2
SILVIA ELAINE MALAGUTTI LEANDRO
DIRETOR DE DIVISÃO I
DRH - DIVISÃO DE RECURSOS HUMANOS
FUNDCASASPCOM202300113A
Assinado com senha por SILVIA ELAINE MALAGUTTI LEANDRO - 12/01/2023 às 18:33:33.
Documento Nº: 62352574-4093 - consulta à autenticidade em
https://www.documentos.spsempapel.sp.gov.br/sigaex/public/app/autenticar?n=62352574-4093
Esclarecimentos/Dúvidas: Abra um chamado no Sistema Tarefas
ou entre em contato através do WhatsApp | Help Desk DTI (11) 2927-9092
1
ORDEM DE SERVIÇO DTI Nº 005/2023
Dispõe sobre a política de governança e proteção de
dados no âmbito da Fundação CASA/SP – Centro de
Atendimento Socioeducativo ao Adolescente do Estado
de São Paulo.
A Divisão de Tecnologia da Informação (DTI), no uso das atribuições conferidas a este
departamento, junto com suas gerências e seções, resolvem:
Artigo 1º - As regras e diretrizes aqui estabelecidas devem ser seguidas por todos os USUÁRIOs,
sem quaisquer exceções.
Artigo 2º - Esta OS se aplica aos dados que identificam o USUÁRIO individualmente (dados
pessoais) e demais dados fornecidos por ele ou coletados durante a utilização dos sites e sistemas
web da Fundação CASA/SP. Em todos os casos, a instituição cumpre com toda legislação
brasileira aplicável à proteção de dados.
CAPÍTULO I - FUNDAMENTAÇÃO LEGAL E NORMATIVA
Artigo 3º - A presente OS está fundamentada nos seguintes instrumentos legais e normativos:
I. Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações
previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do
art. 216 da Constituição Federal, revoga a Lei nº 11.111, de 5 de maio de
2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991, e dá outras
providências;
II. Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional
de Segurança da Informação, dispõe sobre a governança da segurança da
informação;
III. Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei nº 12.527,
de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto
no inciso XXXIII do caput do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do
art. 216 da Constituição;
IV. Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias,
direitos e deveres para o uso da Internet no Brasil. Marco civil da Internet;
V. Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados
(LGPD);
VI. Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de
abril (“GDPR”);
VII. DN CGGDIESP-1, de 30 de dezembro de 2021, que traz boas práticas em
segurança da informação, para privacidade e proteção de dados pessoais e
para a gestão de dados e informações;
VIII. DO SP V132/N259, de 29 de dezembro de 2022; IN PGDI-1, de 27 de dezembro
de 2022, referente ao anexo II, 3 - Tabela de Providências Complementares e
Responsáveis - Ativos da Informação: Orientação Técnica e Modelo -
Inventário de Dados, da Deliberação Normativa CGGDIESP-1, de 30 de
dezembro de 2021;
IX. Ordens de Serviço publicadas pela Divisão de Tecnologia da Informação
(Fundação CASA/SP).
Esclarecimentos/Dúvidas: Abra um chamado no Sistema Tarefas
ou entre em contato através do WhatsApp | Help Desk DTI (11) 2927-9092
2
CAPÍTULO II - CONCEITOS E DEFINIÇÕES
Artigo 4º - Para fins desta OS, considera-se que:
I. OS: Ordem de Serviço;
II. Divisão de Tecnologia da Informação (DTI): departamento com a
responsabilidade de dispor, gerir e implementar todas as ações de gestão e
segurança da informação e comunicações no âmbito institucional;
III. TIC: tecnologia da informação e comunicação;
IV. site/website: é uma coleção de páginas da web organizadas e localizadas em
um servidor na rede. Imagine um site como uma casa onde você reúne seus
móveis (as informações dele) em cômodos (as páginas dele). Um website pode
tratar de diversos assuntos e disponibilizam as informações em forma de
conteúdo de texto e mídia;
V. aplicação/sistema web: é um website com a adesão de novas tecnologias,
sendo agora capaz de manipular e armazenar determinados tipos de dados.
Também é composto por diversas páginas e além delas possui um banco de
dados próprio;
VI. dado(s) pessoal(ais): qualquer informação que, direta ou indiretamente,
sozinha ou acompanhada de outros dados, identifique ou possa identificar
uma pessoa física. São exemplos de dados pessoais: nome, CPF, número de
Protocolo de Internet (IP), endereço de e-mail, número de conta bancária,
perfil financeiro, identificação de contribuinte, registro profissional,
geolocalização, dentre outros. Incluem-se neste conceito os dados pessoais
sensíveis, conforme definição abaixo;
VII. dado(s) pessoal(ais) sensível: um dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
i. Quando houver tratamento GDPR: significa qualquer dado
pessoal que revele a origem racial ou étnica, as opiniões
políticas, as convicções religiosas ou filosóficas, ou a filiação
sindical, bem como o tratamento de dados genéticos, dados
biométricos para identificar uma pessoa de forma inequívoca,
dados relativos à saúde ou dados relativos à vida sexual ou
orientação sexual de uma pessoa.
VIII. dado(s) anonimizado(s): o dado relativo ao titular que não possa ser
identificado, considerando a utilização de meios técnicos razoáveis e
disponíveis na ocasião de seu tratamento;
i. Quando houver tratamento GDPR: significa o dado relativo a
um titular que não pode ser identificado após a aplicação de
técnicas de anonimização. A anonimização é uma técnica que
resulta do tratamento de dados pessoais a fim de lhes retirar
elementos suficientes para que deixe de ser possível
identificar o Titular, de forma irreversível;
IX. dado pessoal pseudoanonimizado: um tipo de dado pessoal tratado de forma
a não ser mais relacionável a uma pessoa específica sem que seja necessário
recorrer a informações suplementares, desde que tais informações sejam
mantidas separadamente e estejam sujeitas a medidas técnicas e
organizacionais que assegurem que os dados pessoais não possam ser
atribuídos a uma pessoa identificada ou identificável;
Esclarecimentos/Dúvidas: Abra um chamado no Sistema Tarefas
ou entre em contato através do WhatsApp | Help Desk DTI (11) 2927-9092
3
X. titular(es): qualquer pessoa física identificada ou que possa ser identificada
pelo tratamento dos dados pessoais ou dados pessoais sensíveis;
XI. tratamento: toda e qualquer operação realizada com os dados pessoais ou
dados pessoais sensíveis, incluindo, mas não se limitando, a coleta,
produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração;
XII. violação de dados pessoais: toda e qualquer situação, acidental ou
intencional, praticada mediante culpa ou dolo, que provoque, em relação a
Dados Pessoais: (i) a destruição; (ii) a perda; (iii) a alteração; (iv) a
comunicação, difusão ou divulgação; ou (v) o acesso não autorizado;
XIII. controladora ou controller ou responsável pelo tratamento: a parte a quem
compete as decisões relativas ao tratamento de dados pessoais;
XIV. operadora ou processor ou subcontratante: a parte que realiza o
tratamento de dados pessoais em nome e sob as instruções da controladora;
XV. controladora(s) conjunta(s): quando as partes em conjunto têm a
competência de decidir sobre o tratamento de dados pessoais;
XVI. relatório de impacto à proteção de dados pessoais (RIPD) ou data
protection impact assessment (DPIA): a documentação da controladora que
contém a descrição e avaliação dos processos de tratamento de dados
pessoais, seus eventuais riscos e impactos às liberdades civis e aos direitos
fundamentais dos titulares, bem como medidas, salvaguardas e mecanismos
de mitigação de risco;
XVII. encarregado ou data protection officer (DPO): pessoa indicada pela
presidência da Fundação CASA/SP para atuar como canal de comunicação
entre o órgão, os titulares dos dados pessoais, a Autoridade Nacional de
Proteção de Dados (ANPD) e, se houver necessidade, a autoridade pública
independente criada por um Estado-Membro da União Europeia com a
responsabilidade pela fiscalização da aplicação do GDPR, bem como as
demais responsabilidades estabelecidas no Artigo 13;
XVIII. ciclo de vida do dado pessoal: representa todos os fluxos de tratamento aos
quais o dado pessoal é submetido durante sua existência nos sistemas e bases
de dados da instituição;
XIX. transferência internacional de dados pessoais: significa a transferência de
dados pessoais para país estrangeiro ou organismo internacional;
XX. transferência internacional de dados pessoais para fins de GDPR: significa
a transferência de dados pessoais de um país da União Europeia para um país
terceiro (não localizado na União Europeia) ou uma organização
internacional, podendo a transferência ocorrer entre dois ou mais
responsáveis pelo tratamento, responsáveis pelo tratamento e
subcontratantes ou simplesmente ser alojados num espaço virtual fora da
União Europeia sem que os dados pessoais sejam transferidos para outra
pessoa física ou jurídica;
XXI. terceiro: pessoa física ou jurídica, autoridade pública, serviço ou organismo
que seja prestador de serviço, parceiro, cliente, fornecedor ou qualquer outro
terceiro;
XXII. autoridade competente: significa a Autoridade Nacional de Proteção de
Dados (ANPD) e a autoridade pública independente criada por um Estado-
Membro da União Europeia com a responsabilidade pela fiscalização da
aplicação do GDPR;
Esclarecimentos/Dúvidas: Abra um chamado no Sistema Tarefas
ou entre em contato através do WhatsApp | Help Desk DTI (11) 2927-9092
4
XXIII. representante: uma pessoa física ou jurídica estabelecida na União Europeia
que, designada por escrito pelo responsável pelo tratamento ou
subcontratante que tenha o seu estabelecimento fora da União Europeia,
representa o responsável pelo tratamento ou o subcontratante no que se
refere às suas obrigações respetivas nos termos do GDPR;
XXIV. acesso: ato ou permissão para ingressar, transitar, conhecer, consultar,
manipular e utilizar os ativos de informação;
XXV. controle de acesso: conjunto de procedimentos, recursos e meios utilizados
com a finalidade de conceder ou bloquear o acesso à informação;
XXVI. administradores de TIC: são as pessoas designadas formalmente, pela
autoridade máxima da DTI, com atribuição principal de ser o responsável
técnico pelos seus recursos de TIC;
XXVII. USUÁRIO: é qualquer pessoa, física ou jurídica, com vínculo formal direto ou
indireto com a Fundação CASA/SP, ou em condição autorizada, que utiliza,
de qualquer forma, algum recurso de TIC da instituição.
CAPÍTULO III – OBJETIVO
Artigo 5º - A DTI e toda a Fundação CASA/SP estão comprometidas em manter sempre as
melhores práticas no que diz respeito a questões de proteção de dados pessoais que são tratados
em seus ambientes.
Artigo 6º - Esta OS tem por objetivo apresentar os princípios e as diretrizes que norteiam as
atividades de tratamento de dados pessoais realizadas pela instituição.
Artigo 7º - Política, para os casos a seguir, denominados de tratamentos GDPR:
I. o tratamento de dados pessoais incidir sobre titulares localizados na União
Europeia quando pretenda monitorar o seu perfil comportamental e o
comportamento submetido ao mencionado monitoramento ocorra na União
Europeia.
CAPÍTULO IV – PRINCÍPIOS NORTEADORES
Artigo 8º - A DTI e a Fundação CASA/SP ao realizarem quaisquer atividades de tratamento de
dados pessoais devem observar os seguintes princípios:
I. Finalidade, licitude e lealdade;
II. Adequação e limitação das finalidades;
III. Necessidade;
IV. Livre acesso;
V. Transparência;
VI. Segurança, Prevenção, Integridade e Confidencialidade;
VII. Não discriminação;
VIII. Prestação de Contas, Responsabilidade (accountabilty);
IX. Exatidão; e
X. Limitação da conservação.
Esclarecimentos/Dúvidas: Abra um chamado no Sistema Tarefas
ou entre em contato através do WhatsApp | Help Desk DTI (11) 2927-9092
5
CAPÍTULO V – DIRETRIZES
Artigo 9º - Deve ser mantido controle direto dos dados pessoais que são tratados no escopo de
seus serviços. Os processos de negócio, sistemas de suporte e relacionamento devem ser
desenvolvidos com o mais elevado grau de segurança dos dados pessoais e aderência a legislação
e normativos que regem o tema.
Artigo 10 - Os fluxos de tratamento de dados pessoais realizados pela DTI e Fundação CASA/SP
devem ser devidamente mapeados e enquadrados em uma das bases legais previstas na legislação
aplicável, mantendo o registro de atividades de tratamento de dados pessoais completo.
Artigo 11 - Ademais, o órgão deve observar as seguintes diretrizes, para garantia da governança
de proteção de dados pessoais.
§ 1º - gestão de terceiros: procedimentos e regras contratuais em relação aos terceiros
envolvidos nas suas atividades de tratamento de dados pessoais, de modo que estes fiquem
obrigados a adotar medidas técnicas e organizacionais com vistas a Proteção dos Dados Pessoais
nos termos desta OS e demais leis aplicáveis;
§ 2º - relatórios de impacto a proteção de dados pessoais (RIPD) ou data protection impact
assessments (DPIA): elaboração e registro de DPIAs dos tratamentos de dados pessoais
quando assim for necessário para atender à legislação aplicável ou à solicitação de autoridade
competente, procurando identificar as medidas necessárias para eliminar ou mitigar os altos
riscos aos direitos dos titulares;
§ 3º - direitos dos titulares: exercício, pelos titulares ou por representante legal, mediante
uso dos canais disponíveis de atendimento institucional;
§ 4º - transferências internacionais: realizadas de acordo com as hipóteses autorizativas
previstas na legislação aplicável;
§ 5º - privacidade e segurança por design e por padrão ou privacy and security by design
and by default: os serviços e produtos devem, desde sua concepção, ter como padrão a
observância dos princípios gerais de proteção de dados pessoais e privacidade, bem como
medidas de segurança da informação;
§ 6º - gestão de incidentes de violação de dados pessoais: estabelecimento de um plano de
incidentes de violação de dados pessoais para adoção das providências adequadas conforme
a legislação aplicável.
CAPÍTULO VI – DIRETRIZES PARA OS TRATAMENTOS GDPR
Artigo 12 - Na observância dos CAPÍTULOS IV e V estabelecidos nesta OS, devem ser considerados
também os conceitos definidos no item Artigo 3º desta, indicados de forma específica.
CAPÍTULO VII – RESPONSABILIDADES
Artigo 13 - Do encarregado de proteção de dados pessoais:
I. Gerir os processos e os procedimentos de proteção de dados pessoais;
II. Atuar como ponto focal do órgão em assuntos relacionados à proteção de
dados pessoais;
III. Receber e realizar comunicações de qualquer autoridade fiscalizadora
nacional ou internacional, incluindo, mas não se limitando, à ANPD, às
autoridades nacionais de proteção de dados da União Europeia, dentre outras;
IV. Garantir a observância aos direitos dos titulares de dados pessoais; e
V. Promover a conscientização e educação sobre proteção de dados pessoais.
Esclarecimentos/Dúvidas: Abra um chamado no Sistema Tarefas
ou entre em contato através do WhatsApp | Help Desk DTI (11) 2927-9092
6
Artigo 14 - Da área de proteção de dados.
I. Apoiar o encarregado na execução de suas responsabilidades.
Artigo 15 - Dos proprietários da informação.
I. Os proprietários de informações, que tratem dados pessoais e/ou dados
pessoais sensíveis, deverão levar em consideração as diretrizes desta OS e
da OS sobre Política de Identidade e Controle de Acesso, nas atividades de
classificação, proteção, controle e autorização de acesso à Informação.
CAPÍTULO VIII – DISPOSIÇÕES FINAIS
Artigo 16 - A DTI pode alterar o teor desta OS a qualquer momento, conforme a finalidade ou
necessidade, tal qual para adequação e conformidade legal de disposição de lei ou norma que
tenha força jurídica equivalente, cabendo ao USUÁRIO verificá-la.
§ 1º - Ocorrendo atualizações significativas neste documento e que demandem coleta de
consentimento, a instituição notificará o USUÁRIO pelo e-mail fornecido e canais de
atendimento.
Artigo 17 - Caso haja alguma dúvida sobre as condições estabelecidas nesta OS ou qualquer
documento, o USUÁRIO pode entrar em contato por meio dos canais de atendimento
supramencionados.
Artigo 18 - Caso alguma disposição desta OS seja considerada ilegal ou ilegítima por autoridade
da localidade em que o USUÁRIO resida ou da sua conexão à rede local e Internet, as demais
condições permanecerão em pleno vigor e efeito.
Artigo 19 - O USUÁRIO reconhece que toda comunicação realizada por e-mail (aos endereços por
ele informados), SMS, aplicativos de comunicação instantânea ou qualquer outra forma digital,
virtual e digital também são válidas como prova documental, sendo eficazes e suficientes para a
divulgação de qualquer assunto que se refira aos serviços prestados pela Fundação CASA/SP,
bem como às condições de sua prestação, ressalvadas as disposições expressamente diversas
previstas nesta OS.
Artigo 20 - Esta OS e a relação decorrente das ações aqui compreendidas, assim como qualquer
disputa que surja em virtude disto será regulada exclusivamente pela legislação brasileira.
Artigo 21 - Fica eleita a Assessoria Jurídica (AJ) da Fundação CASA/SP para dirimir qualquer
questão envolvendo o presente documento, renunciando as partes a qualquer outro, por mais
privilegiado que seja ou venha a ser.
Artigo 22 - Os casos de não conformidade serão avaliados pela DTI e, caso necessário, levados
a autoridade máxima da Fundação CASA/SP.
Artigo 23 - Esta OS entra em vigor na data de sua publicação.
Esclarecimentos/Dúvidas: Abra um chamado no Sistema Tarefas
ou entre em contato através do WhatsApp | Help Desk DTI (11) 2927-9092
7
CAPÍTULO IX – VERSIONAMENTO
VERSÃO DATA AUTOR DESCRIÇÃO
1.0 29/12/2022 Julio Cesar Signorini Versão
Inicial
1.1 10/01/2023
Alex Christy Rogatti, Aurélio Olímpio de Souza, João Paulo
Puntel Vargens, Julio Cesar Signorini, Luiz Fernando Souza
Gomes da Silva, Marcelo Pereira da Silva, Márcia Ramos dos
Santos, Odenilson dos Santos Bonfim, Patricia Tsutsumi Dias,
Rafael Mengel Souza, Rodrigo Braoios Vilhora e Yuri Horalek e
Domigues
Revisões e
Sugestões
1.2 12/01/2023
AJ (Assessoria Jurídica), DGA (Diretoria de Gestão
Administrativa), DTI (Divisão de Tecnologia da Informação) e
GP (Gabinete da Presidência)
Versão
Final
DTI, 12 de janeiro de 2023.
DOCUMENTO ASSINADO DIGITALMENTE
ASSINADO DIGITALMENTE https://sistemas.fundacaocasa.sp.gov.br/e-casa/validar/7E07AA0D-202301-0012550
JULIO CESAR SIGNORINI 12/01/2023 | AURELIO OLIMPIO DE SOUZA 12/01/2023
Nenhum comentário:
Postar um comentário