1. Introdução

A Empresa de Pesquisa Agropecuária do Estado do Rio de Janeiro – PESAGRO-RIO reconhece a gestão estratégica de dados como pilar essencial para a modernização institucional e a promoção de políticas públicas baseadas em evidências.

Esta Política de Governança de Dados estabelece diretrizes e controles para o tratamento de dados (pessoais e não pessoais) em todas as unidades e projetos da PESAGRO‑RIO, incluindo coleta, produção, recepção, classificação, acesso, uso, reprodução, transmissão, distribuição, processamento, armazenamento, arquivamento, eliminação e avaliação de dados, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018), Lei de Acesso à Informação (Lei 12.527/2011), Lei do Governo Digital (14.129/2021) e normas internas correlatas.

2. Objetivos

• Garantir que os dados sejam tratados de forma segura, íntegra e transparente.
• Apoiar a implantação do Data Lake e da Interface Digital de Relacionamento, em alinhamento com o Privacy by Design.
• Estabelecer diretrizes na gestão de dados.
• Promover cultura organizacional de ética digital e proteção de dados.
• Prevenir riscos jurídicos, reputacionais e tecnológicos.

3. Princípios de Governança de Dados

4. Compromissos Institucionais (declarações de política)

A PESAGRO‑RIO compromete‑se a:

• Mapear finalidades e bases legais para todo tratamento de dados pessoais, evitando consentimento quando houver base mais adequada ao setor público.
• Manter documentação do tratamento (inventário/registro de operações), avisos de privacidade e informações ao público em linguagem clara.
• Aplicar classificação da informação (pública, interna, restrita, sigilosa) e sinalização de dados pessoais/sensíveis, observando LAI e sigilos legais.
• Definir e observar prazos de retenção e descarte seguro compatíveis com a legislação e com requisitos arquivísticos.
• Promover segurança por padrão, com gestão de acessos pelo princípio do menor privilégio, uso de repositórios e canais institucionais e desencorajar mensagerias informais para troca de dados.
• Prever cláusulas de proteção de dados em contratos/convênios, reconhecendo papéis de controlador e operador e exigindo salvaguardas proporcionais ao risco.
• Avaliar impactos à proteção de dados (RIPD) para tratamentos de alto risco, antes da implantação ou de mudanças relevantes.
• Atender direitos de titulares com prazos e critérios legais, equilibrando transparência e proteção de sigilos.
• Responder a incidentes de segurança de dados de forma célere e proporcional, inclusive com comunicações legalmente exigidas.
• Fomentar cultura e capacitação contínuas sobre proteção de dados, segurança da informação e uso ético de dados.
• Publicar dados abertos e estatísticas agregadas quando cabível, com anonimização adequada.

Observação: a forma operacional de cumprir estes compromissos (instâncias, fluxos, SLAs, indicadores, auditorias) está definida no Plano e nas normas técnicas correlatas.

5. Deveres Gerais de Colaboradores(as) e Gestores(as)

• Cumprir esta Política e as normas correlatas; zelar pela confidencialidade e pelo uso adequado de dados.
• Evitar coleta excessiva ou reuso incompatível com a finalidade informada.
• Utilizar apenas sistemas e meios institucionais para armazenar/compartilhar dados; é vedado compartilhar dados pessoais por canais não autorizados.
• Reportar suspeitas de incidentes, acessos indevidos ou falhas de controle aos canais institucionais.
• Consultar o(a) Encarregado(a)/DPO em caso de dúvida sobre base legal, compartilhamento ou direitos de titulares.

6. Terceiros, Compartilhamento e Transferências

Operações com terceiros observarão finalidade específica, base legal, dever de confidencialidade e cláusulas de proteção de dados; o compartilhamento para fins de interesse público seguirá a LGPD/LAI.

Transferências internacionais ocorrerão apenas quando atendidos os requisitos legais e salvaguardas adequadas.

A seleção e gestão de terceiros observarão as diretrizes da Política de Terceiros, sem detalhar procedimentos neste documento.

7. Direitos dos Titulares e Transparência

Serão assegurados os direitos previstos na LGPD, por meios e prazos definidos em normas internas. A transparência será promovida por avisos de privacidade, FAQs e publicações institucionais, resguardados os sigilos legais.

8. Diretrizes Iniciais

As diretrizes a seguir serão detalhadas e operacionalizadas por normas específicas:

• Preenchimento de checklists de conformidade e modelos de fluxo de dados;
• Identificação de dados pessoais e sensíveis, com indicação de finalidade e retenção;
• Formalização de compartilhamentos por instrumentos jurídicos;
• Registro de sistemas e bases de dados para avaliação de riscos;
• Designação de responsáveis setoriais pelos dados.

9. Próximos Passos

A implementação e o aperfeiçoamento da governança de dados no âmbito da PESAGRO-RIO e de seus programas e projetos ocorrerão de forma progressiva, observando o planejamento institucional, a disponibilidade de recursos, a maturidade organizacional e as prioridades estratégicas.

Nesse contexto, poderão ser adotadas, entre outras, as seguintes iniciativas:

• consolidação gradual de instrumentos de apoio à governança de dados, incluindo mapeamento de riscos jurídicos, tecnológicos e operacionais;
• desenvolvimento e atualização de normas, políticas e procedimentos complementares relacionados à segurança da informação, privacidade, proteção de dados e gestão do ciclo de vida da informação;
• fortalecimento das práticas de transparência, dados abertos e prestação de contas, em consonância com a legislação aplicável e o interesse público;
• promoção de ações de capacitação e sensibilização contínuas voltadas a gestores, colaboradores e parceiros institucionais;
• monitoramento e avaliação periódica da efetividade das diretrizes estabelecidas nesta Política, com vistas à melhoria contínua.

Os próximos passos serão definidos e priorizados pelas instâncias competentes de governança, podendo ser ajustados conforme a evolução institucional, normativa e tecnológica.