A Prodesp realiza o tratamento de dados pessoais em conformidade com a LGPD, seguindo princípios que garantem mais transparência, segurança e respeito aos direitos dos titulares. Esses princípios, previstos no art. 6º da LGPD, orientam a forma como os dados são utilizados no dia a dia e significam que:

Finalidade: Seus dados são tratados apenas para objetivos legítimos, claros e informados, sem uso posterior para finalidades diferentes daquelas inicialmente indicadas.

Adequação: O tratamento dos dados é compatível com a finalidade informada e com o contexto em que foram coletados.

Necessidade: A PRODESP trata apenas os dados pessoais realmente necessários para cumprir a finalidade informada. Isso significa que não são coletados ou utilizados dados em excesso, mas somente aqueles adequados e proporcionais ao serviço ou atividade realizada.

Livre acesso: Você pode consultar, de forma facilitada e gratuita, como seus dados são tratados, por quanto tempo e quais informações são mantidas.

Qualidade dos dados: Buscamos manter seus dados corretos, atualizados, claros e relevantes para a finalidade a que se destinam.

Transparência: As informações sobre o tratamento de dados são disponibilizadas de forma clara e acessível, indicando quem são os responsáveis pelo tratamento, respeitados os limites legais.

Segurança: São adotadas medidas técnicas e administrativas para proteger os dados contra acessos não autorizados, perdas, alterações indevidas ou qualquer forma de uso ilícito.

Prevenção: A Prodesp atua de forma preventiva para reduzir riscos e evitar danos relacionados ao tratamento de dados pessoais.

Não discriminação: Os dados pessoais não são utilizados para fins discriminatórios, ilegais ou abusivos.

Responsabilização e prestação de contas: A Prodesp adota práticas que demonstram o cumprimento da LGPD e a efetividade das medidas de proteção aplicadas.

A LGPD estabelece dois papéis principais no tratamento de dados pessoais: o controlador e o operador, estes conceitos estão previstos no art. 5º da lei.

· Art. 5º, VI – controlador é quem decide o porquê e como os dados pessoais serão tratados.;

· Art. 5º, VII – operador é quem realiza o tratamento dos dados em nome do controlador, seguindo suas orientações.

A Prodesp atua, de forma predominante, como operadora no tratamento de dados pessoais, realizando atividades em nome de seus clientes, que incluem órgãos e entidades do Estado de São Paulo, bem como municípios paulistas, no contexto da execução de políticas públicas e da transformação digital do Estado de São Paulo. Nesses casos, as decisões relativas às finalidades e aos meios do tratamento de dados pessoais competem aos respectivos clientes, que exercem o papel de controladores.

Essa atuação é formalizada por meio de instrumentos jurídicos específicos, como contratos, convênios e acordos de cooperação, nos quais são definidas de forma clara as responsabilidades de cada parte quanto ao uso adequado, à segurança e à proteção dos dados pessoais, em conformidade com a legislação aplicável.

Considerando a natureza dos serviços prestados, destacam-se abaixo dois exemplos em que a atuação da Prodesp como operadora se materializa de forma mais evidente e relevante para o titular: o Diário Oficial do Estado de São Paulo (DOESP) e o Portal das APIs.

Diário Oficial do Estado de São Paulo – DOESP

No caso específico do DOESP, é importante esclarecer que se trata do veículo oficial utilizado pela Administração Pública para dar publicidade a atos administrativos, legislativos e judiciais, garantindo a transparência e o acesso à informação. Nesse contexto, a Prodesp atua exclusivamente como operadora de dados pessoais, sendo responsável apenas pela execução técnica e operacional das publicações, conforme as solicitações feitas pelos órgãos e entidades da Administração Pública estadual.

Os órgãos e entidades que solicitam a publicação são os responsáveis pelo conteúdo divulgado e assumem o papel de controladores dos dados pessoais, inclusive quanto à análise e ao atendimento de pedidos relacionados à exclusão, correção ou atualização das informações publicadas. As responsabilidades relativas à origem, ao conteúdo e à legalidade das publicações estão previstas na regulamentação específica que disciplina o funcionamento do DOESP, conforme o Decreto nº 67.717/2023.

Portal das APIs

Nos serviços digitais que envolvem a coleta de consentimento, disponibilizados por meio do aplicativo Poupatempo Digital, e relacionados às APIs de consulta e operação de dados do DETRAN/SP, a Prodesp atua na qualidade de operadora de dados pessoais.

Nessa atuação, a Prodesp realiza o tratamento de dados pessoais em nome do controlador, observando estritamente as diretrizes, finalidades e limites definidos por este, nos termos do artigo 5º, inciso VII, da LGPD.

O tratamento de dados pessoais realizado pela Prodesp sempre ocorre com base nas hipóteses previstas na LGPD, ou seja, apenas quando há uma base legal que autoriza esse tratamento.

De forma geral, os dados pessoais podem ser tratados:

a) mediante o consentimento expresso do titular;

b) para o cumprimento de obrigação legal ou regulatória;

c) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

d) para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

e) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

f) para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

g) para a proteção da vida ou da incolumidade física do titular ou de terceiros;

h) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

i) quando necessário para atender aos interesses legítimos do Controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e

j) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Considerando a natureza dos serviços que presta, a Prodesp realiza o tratamento de dados pessoais, principalmente, nas seguintes situações:

a) Mediante o consentimento expresso do titular, em especial para atender as seguintes finalidades:

I. Para que, na qualidade de operadora, realize o tratamento e o compartilhamento de dados pessoais por meio do Portal de APIs, com o objetivo de viabilizar a integração e o intercâmbio seguro de informações entre sistemas.

b) Para cumprimento de obrigação contratual, legal, judicial ou regulatória, em especial para atender as seguintes finalidades:

I. execução do contrato de prestação de serviços para atender os titulares, os órgãos do Estado de São Paulo e os demais clientes da Prodesp;

II. realizar processo de faturamento, comunicação e cobrança, decorrente dos serviços prestados diretamente ao titular dos dados;

III. permitir o acesso e proporcionar o correto funcionamento dos sistemas disponibilizados pela Companhia, em seu nome ou em nome de algum controlador (cliente);

IV. permitir o atendimento ao titular de dados nos canais disponibilizados pela Companhia para esta finalidade;

V. execução de contrato com clientes e fornecedores;

VI. formalização e manutenção dos contratos de trabalho.

c) Para execução de políticas públicas, em especial para atender as seguintes finalidades:

I. Apoiar a modernização e integração dos serviços públicos estaduais por meio de sistemas e plataformas digitais que ampliam eficiência, transparência e acesso ao cidadão.

II. Viabilizar a operação de programas de governo digital, como plataformas integradas entre Estado e municípios, melhorando a gestão e o atendimento público.

III. Fortalecer a interoperabilidade e compartilhamento seguro de dados entre órgãos públicos para execução e entrega de políticas públicas digitais.

IV. Contribuir para a inclusão digital e ampliação de serviços digitais essenciais à população, garantindo acesso seguro e protegido.

V. Suportar a integração de bases e processos digitais que reduzem a burocracia e promovem eficiência na administração pública.

A Prodesp coleta e utiliza apenas os dados pessoais que são realmente necessários para a prestação dos serviços e para o cumprimento das obrigações legais aplicáveis. Isso significa que os dados são tratados exclusivamente para finalidades específicas e legítimas, evitando a coleta ou o uso de informações em excesso ou sem relação com o serviço prestado.

Página da Prodesp (www.prodesp.sp.gov.br)

Visitantes

No acesso de visitantes ao site da Prodesp, não há coleta de dados pessoais.

Áreas restritas para usuários cadastrados

O acesso às áreas restritas requer o tratamento de dados pessoais, mínimos necessários, com a finalidade de permitir o registro, identificação e controle de acesso dos usuários, tais como nome completo, endereço de e-mail e número de documentos como RG e CPF.

Em atendimento à legislação vigente e para fins de segurança e rastreabilidade, há o registro de acesso, o que pode incluir o registro automático do endereço IP.

Ouvidoria (Fala SP)

Os dados pessoais são tratados no âmbito da Ouvidoria (Fala SP) para o cumprimento de suas atribuições institucionais, conforme previsto no Decreto Estadual 68.156/2023 e 68.157/2023, especialmente para o recebimento, registro, análise e resposta de solicitações, reclamações, elogios, sugestões e denúncias apresentadas pelos cidadãos.

Além disso, a Ouvidoria também realiza o tratamento de dados pessoais no exercício de suas atribuições como responsável pelo Serviço de Informações ao Cidadão (SIC), em conformidade com a Lei nº 12.527/2011 (Lei de Acesso à Informação) para o atendimento de pedidos de acesso à informação.

Nesse contexto, podem ser tratados dados pessoais de qualquer pessoa que apresente manifestações ou requerimentos à Ouvidoria, incluindo, conforme a natureza da demanda:

· dados cadastrais e de identificação;

· informações de contato;

· informações relacionadas a manifestações, denúncias ou pedidos apresentados.

O tratamento desses dados é realizado exclusivamente para as finalidades descritas acima, observando os princípios da LGPD e os limites legais aplicáveis.

Prestação de Serviços Governamentais e Soluções Digitais

A Prodesp desenvolve, opera e hospeda soluções digitais e serviços públicos em nome de órgãos e entidades estaduais e municipais, em especial para:

· Sistemas de gestão de processos (como SEI Cidades SP.GOV.BR), que promovem a modernização da administração pública e a interoperabilidade entre diferentes esferas de governo;

· Plataformas integradas de serviços ao cidadão, como o Poupatempo e serviços correlatos que demandam identificação e tratamento de dados pessoais;

· Portais, APIs e soluções de inovação tecnológica, que possibilitam troca segura de informações entre sistemas públicos, assim como entidades privadas;

· Soluções de infraestrutura tecnológica, como serviços de nuvem pública para prefeituras e órgãos públicos, que envolvem tratamento de dados para provisionamento, autenticação e segurança de recursos computacionais;

· Ferramentas de produtividade e colaboração, incluindo serviços de e-mail, comunicação e ambientes corporativos;

· Serviços de digitalização e gestão documental, que suportam a transição de acervos físicos para formatos digitais e sua disponibilização segura.

Nessas situações a Prodesp atua como operadora de dados pessoais, realizando o tratamento conforme as instruções dos órgãos públicos clientes (controladores), que definem as finalidades e escopo dos dados tratados.

Gestão de Colaboradores

A Prodesp trata dados pessoais de seus colaboradores para finalidades legítimas e necessárias ao desempenho das atividades organizacionais, tais como:

· recrutamento e seleção;

· admissão, cadastro funcional e benefícios;

· gestão de contratos de trabalho e obrigações legais;

· controle de frequência, saúde e segurança no trabalho;

· desenvolvimento profissional, treinamento e avaliação de desempenho.

A Prodesp compartilha seus dados pessoais somente quando necessário e de forma segura respeitando as disposições da LGPD, em especial o princípio da necessidade e sempre de forma compatível com a finalidade para a qual foram coletados.

Quando seus dados podem ser compartilhados:

1. Com órgãos públicos e entidades parceiras, para a execução de serviços públicos ou políticas públicas, com troca de informações de forma segura e protegida.

2. Com fornecedores e prestadores de serviço, quando necessário para operar, manter ou dar suporte às soluções tecnológicas, sempre com medidas contratuais e técnicas de segurança.

3. Por determinação legal ou ordem judicial, quando uma lei ou autoridade competente exigir o compartilhamento.

4. Com consentimento do titular, quando você autorizar explicitamente o uso e o compartilhamento para finalidades específicas.

5. Em atendimento à Lei de Acesso à Informação, quando cidadãos ou interessados solicitarem informações públicas de interesse coletivo ou geral, sempre respeitando os limites legais de proteção de dados pessoais.

O compartilhamento é feito com medidas de segurança adequadas para proteger a confidencialidade, integridade e disponibilidade dos dados, garantindo transparência e o respeito aos direitos dos titulares.

Transferência Internacional

Os dados coletados poderão ser armazenados em servidores localizados fora do Brasil. Nessa hipótese, a Prodesp garante que a transferência internacional ocorrerá em conformidade com as disposições da LGPD e a Resolução CD/ANPD nº 19/2024, incluindo:

(i) Adoção de mecanismos adequados de transferência internacional, como cláusulas-padrão de proteção de dados, certificações ou selos de conformidade reconhecidos pela ANPD;

(ii) Garantia de que o país de destino ofereça nível adequado de proteção de dados pessoais, nos termos do art. 33, II da LGPD;

(iii) Formalização de compromissos entre as partes para assegurar a segurança dos dados durante a transferência, com adoção de medidas técnicas e administrativas que garantam a confidencialidade, integridade e disponibilidade dos dados pessoais;

(iv) Revisão periódica das práticas e políticas de proteção de dados para garantir conformidade contínua com as exigências legais.

Quando atua como controladora, a PRODESP mantém os dados pessoais apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados, sempre de acordo com a lei e tabelas de temporalidade vigentes.

Em alguns casos, os dados poderão ser mantidos mesmo após o término do tratamento, por exemplo:

a) cumprimento de obrigação legal, regulatória ou contratual;

b) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

c) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na lei nº 13.709/18; ou

d) uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Quando a Prodesp atua como operadora, o prazo de retenção e o descarte dos dados seguem as orientações do órgão responsável pelo serviço (controlador), conforme os contratos, a legislação e as tabelas de temporalidade aplicáveis.

Em qualquer hipótese, o descarte é realizado de forma segura, observadas as boas práticas em segurança da informação.

A Prodesp adota medidas técnicas e organizacionais para proteger os dados pessoais contra acessos não autorizados, vazamentos, perdas, alterações indevidas ou qualquer outra forma de uso irregular.

Essas medidas são definidas considerando o tipo de dado tratado, a finalidade do tratamento, o contexto em que ele ocorre e os riscos envolvidos para os direitos dos titulares, sempre observando as boas práticas e a legislação aplicável.

Sempre que possível, os dados são transmitidos de forma segura, com o uso de mecanismos de proteção, como criptografia, para garantir a confidencialidade das informações durante a comunicação entre sistemas e usuários.

A Prodesp não se responsabiliza por situações decorrentes de culpa exclusiva de terceiros, como ataques cibernéticos fora de seu controle, ou por ações do próprio usuário, como o compartilhamento indevido de suas informações.

Caso ocorra algum incidente de segurança que possa representar risco relevante aos direitos e liberdades dos titulares, a Prodesp adotará as providências cabíveis e realizará a comunicação nos prazos e termos previstos na legislação.

Em todas as situações, a Prodesp se compromete a tratar os dados pessoais com confidencialidade, integridade e disponibilidade, dentro dos limites legais e das finalidades informadas.

De acordo com a LGPD, o encarregado é o responsável por atuar como canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados, a ANPD.

Atualmente, a função de Encarregado de Dados na Prodesp é exercida pelo sr. Pedro Ferreira Cruz, conforme previsto na Resolução nº 18 da Agência Nacional de Proteção de Dados (ANPD).

Quando a Prodesp atuar como controladora de dados pessoais, os titulares de dados poderão entrar em contato com o Encarregado para exercer seus direitos e esclarecer dúvidas por meio do formulário online de privacidade.

A Prodesp atua, na maior parte dos casos, como operadora de dados pessoais, ou seja, presta serviços tecnológicos em nome de órgãos e entidades do Estado de São Paulo, que são os responsáveis pelas decisões sobre o uso dos dados.

Nesses casos, o exercício dos direitos previstos na Lei Geral de Proteção de Dados Pessoais (LGPD), como solicitar acesso, correção ou exclusão de dados, deve ser feito diretamente junto ao órgão responsável pelo serviço, por meio do encarregado de dados pessoais desse órgão.

Para os órgãos da Administração Pública Direta do Estado de São Paulo, o encarregado de dados pessoais é o Ouvidor Geral do Estado de São Paulo, conforme previsto no Decreto estadual nº 65.347/2020. O atendimento aos titulares é realizado pelos canais oficiais da Ouvidoria Geral, disponíveis em: http://www.ouvidoriageral.sp.gov.br/

Já no caso da Administração Pública Indireta, cada entidade possui o seu próprio encarregado de dados pessoais, cujas informações de contato são divulgadas pelos respectivos órgãos.

A relação dos órgãos e entidades do Estado de São Paulo e seus canais de atendimento pode ser consultada no portal oficial do Governo do Estado:

https://www.saopaulo.sp.gov.br/

Quando a Prodesp atua como controladora de dados pessoais, os titulares têm assegurados, após a confirmação de sua identidade e respeitados os limites legais e os segredos comerciais, os seguintes direitos previstos LGPD:

Direito de confirmação e acesso (Art. 18, I e II): Você pode solicitar a confirmação de que seus dados pessoais são tratados pela Prodesp e, se forem, pedir acesso a essas informações.

Direito de retificação (Art. 18, III): Caso identifique dados incompletos, incorretos ou desatualizados, você pode solicitar a sua correção.

Direito à limitação do tratamento dos dados (Art. 18, IV): Você pode pedir a eliminação ou a limitação do uso de dados pessoais que sejam desnecessários, excessivos ou tratados em desacordo com a LGPD, sempre que a legislação permitir.

Direito de oposição (Art. 18, § 2º): Em determinadas situações, você pode se opor ao tratamento de seus dados pessoais, especialmente quando ele não depender de consentimento ou quando houver descumprimento da legislação.

Direito de portabilidade dos dados (Art. 18, V): O titular tem o direito de solicitar que seus dados pessoais sejam transferidos para outro fornecedor de serviço ou produto, quando tecnicamente possível, observados os segredos comercial e industrial.

Direito de não ser submetido a decisões automatizadas (Art. 20, LGPD): Você tem o direito de solicitar a revisão de decisões que tenham sido tomadas exclusivamente com base em tratamento automatizado de dados pessoais e que possam afetar seus interesses.

A Prodesp utiliza em seu site institucional cookies de funcionalidade com a finalidade de melhorar a experiência de navegação do usuário e compreender, de forma agregada, como o site é utilizado.

Esses cookies permitem, por exemplo, identificar se o acesso foi realizado por dispositivo móvel ou computador, o número de visitantes em determinado período e o navegador utilizado.

Para essa finalidade, são utilizados os cookies da ferramenta Microsoft Clarity. Esses cookies armazenam um identificador único e pseudonimizado, que permite analisar padrões de navegação e gerar estatísticas consolidadas sobre o uso do site, sem identificar diretamente o usuário.

O aceite dos cookies é opcional. No primeiro acesso ao site, é possível aceitar ou recusar os cookies por meio do banner de consentimento, bem como gerenciar ou revogar essa escolha posteriormente nas configurações do navegador.

Para melhor compreensão deste documento, neste Aviso de Privacidade, consideram-se:

Agência Nacional de Proteção de Dados: Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Agentes de tratamento: Controlador e o operador.

API (Interface de Programação de Aplicações – Application Programming Interface): conjunto de rotinas, protocolos, ferramentas e padrões de integração desenvolvidos pela PRODESP, que permite a comunicação e a troca de informações entre diferentes sistemas e aplicações.

Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Cookies: São pequenos arquivos armazenados no navegador do usuário que registram informações sobre a navegação e a interação com o site.

Dado pessoal: Informação relacionada a pessoa natural identificada ou identificável.

Encarregado: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD).

IP (Endereço de Protocolo de Internet – Internet Protocol): número atribuído a um dispositivo conectado à internet, que permite sua identificação e comunicação na rede, podendo ser considerado dado pessoal quando relacionado a uma pessoa natural identificada ou identificável.

Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Tratamento: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Uso compartilhado de dados: Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entes privados.

Este Aviso de Privacidade poderá ser atualizado sempre periodicamente para refletir alterações nos serviços, orientações normativas ou determinações de órgãos competentes. A versão vigente estará sempre disponível nos canais oficiais da Prodesp.