Em cumprimento ao que dispõe o inciso I do art. 23 da Lei nº 13.709, de 2018 (LGPD), a Secretaria de Estado de Controle e Transparência (SECONT) informa as hipóteses em que, no exercício de suas competências, realiza o tratamento de dados pessoais, as previsões legais, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.

Em quais Hipóteses e Finalidades a SECONT realiza o tratamento de dados pessoais?

O tratamento de dados pessoais pela Secretaria de Estado de Controle e Transparência (SECONT) destina-se ao exercício de suas competências legais, bem como para o tratamento e uso compartilhado de dados necessários ao acompanhamento, monitoramento e execução de políticas públicas.

A SECONT é o órgão central de controle interno do Governo do Estado do Espírito Santo responsável por realizar atividades relacionadas à defesa do patrimônio público e ao incremento da transparência da gestão, por meio de ações de auditoria pública, transparência, correição, prevenção e combate à corrupção e ouvidoria.

A SECONT também exerce, como Órgão Central, a supervisão técnica dos órgãos e entidades que compõem o Sistema de Controle Interno, do Sistema de Correição (SISCORES) e da Rede de Ouvidoria do Poder Executivo Estadual, prestando a orientação normativa necessária.

Ainda, convém ressaltar que, no exercício de sua função administrativa, a SECONT:

I - realiza o tratamento de dados pessoais para execução de contrato ou de procedimentos preliminares relacionados a contrato do qual faz parte;

II - realiza o tratamento de dados pessoais de servidores e colaboradores no âmbito das atividades de gestão de pessoal; e

III - realiza o tratamento de dados pessoais de titulares para o controle de acesso a instalações físicas do Edifício Aureliano Hoffman, sede das Secretarias de Estado da Fazenda (SEFAZ) e de Controle e Transparência (SECONT). A SECONT realiza apenas a coleta dos dados. Os demais tratamentos são realizados pela SEFAZ.

Quais previsões legais que fundamentam o tratamento de dados pessoais na SECONT?

Identifica-se como bases legais preponderantes para o tratamento de dados pessoais no âmbito da SECONT o disposto nos incisos II e III do art. 7º da Lei nº 13.709, de 2018:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

[...]

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

Excepcionalmente a SECONT trata dados pessoais por meio de consentimento do titular, previsto no art. 7º,I.

No âmbito do ordenamento jurídico brasileiro, há uma série de normativos que dispõem sobre o acesso à informação, bem como salvaguardas aos respectivos dados, os quais são observados pela SECONT no exercício de suas funções.

Primeiramente, destaca-se a Lei nº 9.871, de 2012, que regula o acesso a informações  previsto no inciso II do § 4º do artigo 32 da Constituição do Estado do Espírito Santo. Os procedimentos previstos nesta Lei destinam-se a assegurar o direito fundamental de acesso à informação e devem ser executados em conformidade com os princípios básicos da administração pública e com as seguintes diretrizes:

I - observância da publicidade como preceito geral e do sigilo como exceção;

II - divulgação de informações de interesse público, independentemente de solicitações;

III - utilização de meios de comunicação viabilizados pela tecnologia da informação;

IV - fomento ao desenvolvimento da cultura de transparência na administração pública; e

V - desenvolvimento do controle social da administração pública.

A referida Lei estabelece normas gerais para o acesso e o tratamento de dados pessoais produzidos ou acumulados em bases públicas. Relativamente à parcela de dados pessoais que afetem à intimidade, vida privada, honra e imagem das pessoas, bem como suas liberdades e garantias individuais, a lei dispõe que:

I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e

II - poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem.

Cabe destacar que a restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como em ações voltadas para a recuperação de fatos históricos de maior relevância.

A Lei nº 9.871, de 2012, é regulamentada no âmbito do Poder Executivo Estadual pelo Decreto nº 3.152-R, de 2012, que estabeleceu os procedimentos relacionados ao acesso de terceiros a dados pessoais, condicionado ao consentimento e assinatura de termo de responsabilidade, bem como os procedimentos para declaração de interesse público para recuperação de fatos históricos.

A SECONT também acessa e usa dados de pessoas físicas relacionadas às pessoas jurídicas supostamente envolvidas em ilícitos apurados nos processos de investigação e processo administrativo de responsabilização - PAR, nos casos de infração prevista na Lei nº 12.846/2013 (Lei Anticorrupção), regulamentada pelo Decreto Estadual nº 5.569-R, de 2023.

Quanto às normas procedimentais que regem o tratamento de dados pessoais no âmbito da SECONT ou que referem de forma explícita protocolos a serem seguidos, cabe destacar:

• Norma de Procedimento STP nº 001, que tem como objetivo regulamentar os procedimentos dos órgãos e entidades responsáveis pela extração e divulgação das informações no Portal da Transparência do Governo do Estado;
• Norma de Procedimento STP nº 003, que tem como objetivo regulamentar os procedimentos dos órgãos e entidades no atendimento da transparência passiva conforme os critérios da LAI;
• Norma de Procedimento STP nº 004, que tem como objetivo regulamentar os procedimentos dos órgãos e entidades na classificação da informação sigilosa conforme os critérios da LAI;
• Norma de Procedimento STP nº 005, que tem como objetivo Estabelecer procedimentos para a realização da gestão de manifestações de ouvidoria pelos órgãos e entidades integrantes do Sistema Integrado de Ouvidoria do Poder Executivo Estadual;
• Norma de Procedimento Exclusiva Secont nº 021, que tem como objetivo estabelecer os procedimentos para o tratamento das denúncias de casos de corrupção recebidas pela Ouvidoria-Geral do Estado;
• Norma de Procedimento nº 018 - SUBINT, que estabelece procedimentos para a realização de análise inicial de denúncias de atos lesivos praticados contra a Administração Pública;
• Norma de Procedimento nº 019 – SUBINT, que estabelece procedimentos para a realização de Investigação Preliminar de atos lesivos praticados por pessoas jurídicas contra a Administração Pública;
• Norma de Procedimento nº 020 – SUBINT, que estabelece procedimentos para a tramitação de Processo Administrativo de Responsabilização (PAR);
• Referencial técnico da atividade de Auditoria Interna do Poder Executivo Estadual do Espírito Santo (aprovado pela Resolução Consect Nº 048/2022);
• Portaria SECONT nº 012-R, de 23 de setembro de 2020, que regulamenta a Atividade Correcional no âmbito do Sistema de Correição do Poder Executivo Estadual - SISCORES.

Quais os procedimentos e práticas utilizadas para o tratamento de dados pessoais na SECONT?

Como procedimentos internos destinados à proteção e segurança da informação, o que engloba os tratamentos dos dados pessoais, a SECONT possui em seus sistemas internos o controle e registro de acesso individualizado, incluindo a definição de perfis específicos, a exigência de login e senha do usuário para acesso às estações de trabalho, realização de logs de consultas, monitoramento de operações realizadas nos bancos de dados e execução de backups rotineiramente.

Para proteção da identidade e dos elementos de identificação dos manifestantes de Ouvidoria, a SECONT observa as disposições do Decreto nº 2289-R, de 01 de julho de 2009, e da Lei nº 13.460, de 2017, que é regulamentada pelo Decreto nº 4.267 - R, de 21 de junho de 2018.

Nome e dados cadastrais dos manifestantes são compartilhados nos seguintes casos:

1. Manifestações de Ouvidoria em que o sigilo não é solicitado pelo demandante, com as áreas internas de gestão ou com órgãos competentes não integrantes da Rede de Ouvidorias do Poder Executivo Estadual, quando necessário ao tratamento da manifestação.
2. Com as áreas de apuração da SECONT, em se tratando de denúncias, quando necessário à elucidação dos fatos relatados na denúncia e mediante solicitação destas; e
3. Com as outras unidades da Rede de Ouvidorias do Poder Executivo Estadual, em se tratando de manifestações em que o sigilo é solicitado pelo demandante, mediante consentimento prévio do denunciante.

Os dados pessoais dos manifestantes são ocultados para os órgãos integrantes da Rede de Ouvidoria nas manifestações em que é solicitado o sigilo, de modo que se impeça a possibilidade de identificação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pela Ouvidoria Geral do Estado em ambiente controlado e seguro no Prodest.

A identificação do denunciado, quando existente, é compartilhada com unidades correcionais dos órgãos, nos casos em que não é feita a apuração direta pela SECONT, tendo em vista a necessidade de identificação do autor e da suposta irregularidade para a apuração dos fatos, nos termos do art. 44 da Portaria nº 012-R, de 23 de setembro de 2020:

Art. 44. Os órgãos e entidades que integram o Sistema de Correição do Poder Executivo do Estado do Espírito Santo - SISCORES manterão, independentemente de classificação, acesso restrito às informações e aos documentos, sob seu controle, relacionados a:

I - informações pessoais relativas à intimidade, à vida privada, à honra e à imagem das pessoas;

[...]

1º A restrição de acesso de que trata este artigo não se aplica àquele que figurar como investigado, acusado ou indiciado, assim como os aos respectivos procuradores, devidamente identificados nos autos.

2º O denunciante, por essa única condição, não terá acesso às informações de que trata este artigo.

3º Salvo hipótese de sigilo legal, a restrição de acesso de que trata este artigo não se aplica ao CONSECOR, à COGES, às unidades setoriais e aos servidores no exercício de suas respectivas atribuições.

Ainda sobre as práticas da SECONT, vale lembrar que o cuidado com os dados pessoais já vinha sendo observado em decorrência de legislações anteriores, a exemplo da Lei de Acesso à Informação, Lei nº 12.527, de 2011, e de seu Decreto regulamentador, nº 3.152-R, de 2012, já citados anteriormente. Esses normativos já se preocupavam com a guarda de informações pessoais dos agentes públicos ou privados, dando-os restrição de acesso.

Nas ações de auditoria interna, a SECONT conta com procedimentos específicos voltados para a proteção de informações sigilosas, incluídos os dados pessoais, conforme explicita o Referencial técnico da atividade de Auditoria Interna do Poder Executivo Estadual do Espírito Santo (aprovado pela Resolução Consect Nº 048/2022):

[...]  As políticas de concessão de acesso aos papéis de trabalho devem:
i. indicar as partes internas ou externas à Secont que podem ter acesso aos registros e como eventuais solicitações de acesso devem ser tratadas;
ii. considerar a necessidade de manutenção do sigilo das informações, de acordo com os preceitos legais; e
iii. ser submetidas à apreciação do Consect e aprovação da alta administração da Secont.

[...] Antes da publicação do relatório, a unidade auditada deve ser consultada sobre a existência de informação sigilosa tratada na comunicação final dos resultados, conforme requisitos estabelecidos pela legislação em vigor.

No caso de trabalhos realizados sob segredo de justiça ou que envolvam informações sigilosas ou pessoais, podem ser estabelecidas restrições sobre divulgação de informações ao trabalho, tanto na interlocução com a unidade auditada quanto na comunicação e na publicação dos resultados.

Nos processos instaurados na Subsecretaria de integridade Governamental e Empresarial - SUBINT, os dados das pessoas físicas relacionadas às pessoas jurídicas investigadas e processadas nos processos administrativos de responsabilização – PAR são mantidos sob sigilo na forma determinada pela legislação, conforme o conteúdo e fases processuais.

Nesse contexto, todo o procedimento é mantido sob sigilo nas fases de recebimento e análise inicial de denúncia, e investigação preliminar, quando não há identificação de quaisquer dados dos investigados (nem pessoas físicas nem pessoas jurídicas).

Após a instauração do processo administrativo de investigação – PAR, é dada publicidade apenas para o CNPJ das pessoas jurídicas investigadas (não há indicação de dados de pessoas físicas pela SECONT). O sigilo relativo à tramitação do processo é mantido até o seu encerramento.

Com a decisão são publicados dados relacionados ao advogado responsável pelo processo e eventualmente dados de pessoas físicas que de alguma forma tenham sido alcançadas pela decisão (nome e CPF – casos de desconsideração de personalidade jurídica, por exemplo).

Dados pessoais das pessoas físicas relacionadas às empresas investigadas/processadas são mantidos em sigilo mesmo após o encerramento do processo na SECONT.

Por fim, a SECONT emprega o uso de APIs (sigla em inglês de “Application Programming Interface”, que significa “Interface de Programação de Aplicativos”), o qual provê a integração entre os sistemas e proporciona maior segurança durante a troca de informações, além de aumentar a performance dos mesmos.