Ementa
“REGULAMENTA A LEI FEDERAL Nº 13.709, DE 14 DE AGOSTO DE 2018, LEI DE PROTEÇÃO DE DADOS PESSOAIS (LGPD), NO ÂMBITO DO PODER EXECUTIVO MUNICIPAL, ESTABELECENDO COMPETÊNCIAS, PROCEDIMENTOS E PROVIDÊNCIAS CORRELATAS A SEREM OBSERVADOS POR SEUS ÓRGÃOS E ENTIDADES E DA OUTRAS PROVIDÊNCIAS.”
NELSON CASULA, Prefeito Municipal de Clementina, usando de suas atribuições legais e,
D E C R E T A:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art 1ºEste Decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências correlatas a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais.
Art 2ºPara os fins deste Decreto, considera-se:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX- agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas aos incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.
Art 3ºAs atividades de tratamento de dados pessoais pelos órgãos e entidades municipais deverão observar a boa fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos, comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO II
DAS RESPONSABILIDADES
Art 4ºO Poder Executivo Municipal, por meio de seus órgãos e entidades, nos termos da Lei Federal nº 13.709/2018, deve realizar e manter continuamente atualizados:
I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
II - a análise e o relatório de risco e impacto à proteção de dados pessoais;
III - o plano de adequação, observadas as exigências do art. 12 deste Decreto.
Art 5ºSerá designado através de Portaria o encarregado da proteção de dados pessoais, para os fins do art. 41 da Lei Federal nº 13.709/2018.
Parágrafo único. A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, em algum dos meios oficiais de divulgação do Município de Clementina (mural oficial ou sites), sendo preferencialmente no site oficial, em seção específica sobre tratamento de dados pessoais.
Art 6ºCompete encarregado da proteção de dados pessoais:
I - aprovar, prover condições e promover ações para efetividade do Plano de Adequação de Proteção de Dados Pessoais do órgão e/ou entidade;
II - elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica; e
III - fornecer aos operadores termos de uso, manuais de instruções e treinamento dos tratamentos.
§ 1º Os atos do controlador público são de responsabilidade do titular de mais alta hierarquia do órgão ou entidade.
§ 2º A nomeação do encarregado deverá atender prerrogativas e qualificações necessárias ao exercício dessa função.
CAPÍTULO III
DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA MUNICIPAL
Art 7ºO tratamento de dados pessoais pelos órgãos e entidades da Administração Pública Municipal deve:
I - objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;
II - observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.
Art 8ºO tratamento de dados pessoais deve ser restrito à sua finalidade, executado de forma adequada e pelo prazo necessário.
§ 1º A adequação a que se refere o caput deve obedecer à Política de Segurança da Informação adotada no Município.
§ 2º A necessidade de armazenamento dos dados pessoais observará as obrigações legais ou judiciais de mantê-los protegidos.
§ 3º Os responsáveis pelos tratamentos devem registrar as operações realizadas com dados pessoais.
§ 4º O controlador deve adotar medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis no âmbito e nos limites técnicos de seus serviços, para não serem acessados por terceiros não autorizados e, sempre que possível, proceder à sua anonimização.
Art 9ºOs órgãos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei Federal nº 13.709/2018.
§ 1º O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública poderá ser realizado nas seguintes hipóteses:
I - execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; e
II - cumprir obrigação legal ou judicial.
§ 2º O controlador deve manter o registro do compartilhamento dos dados pessoais para efeito de comprovação prevista no inciso VII do art. 18 da Lei Federal nº 13.709/2018.
Art 10É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527/2011;
II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709/2018;
III - quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Controlador Geral do Município para comunicação à autoridade nacional de proteção de dados;
IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo único. Em quaisquer das hipóteses previstas neste artigo:
I - a transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada;
II - as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.
Art 11Os órgãos e entidades da Administração Pública Municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:
I - os encarregados informem à Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;
II - seja obtido o consentimento do titular, salvo:
a) nas hipóteses de dispensa de consentimento previstas na Lei Federal nº 13.709/2018;
b) nos casos de uso compartilhado de dados, em que será dada a devida publicidade;
Art 12Os planos de adequação devem observar, no mínimo, o seguinte:
I - publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet;
II - atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23, § 1º, e do art. 27, parágrafo único, da Lei Federal nº 13.709/2018;
III - manutenção de dados para o uso compartilhado com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral;
IV - elaboração de inventário de dados, assim entendido o registro de operações de tratamento de dados pessoais, realizados pelo órgão ou entidade;
V - elaboração do Relatório de Impacto de Proteção de Dados Pessoais, assim entendida a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos;
VI - elaboração de Plano de Resposta a Incidentes, assim entendido o plano de resposta para tratar ocorrências de situações que venham a lesar a segurança de dados pessoais mantidos sob a responsabilidade do órgão ou entidade;
VII - instrumentalização da adequação de Contratos, conforme orientações expedidas pelo Departamento Jurídico;
VIII - implementação da utilização de Termos de Uso conforme orientações expedidas pelo Departamento Jurídico;
CAPÍTULO IV
DO ATENDIMENTO AO TITULAR DO DADO
Art 13O atendimento ao titular do dado será formalizado nos canais eletrônicos de atendimento da Ouvidoria-Geral do Município e direcionado a cada órgão ou entidade competente.
§ 1º A identificação do titular ou procurador deverá ser idônea.
§ 2º O canal de atendimento deve prover funções de registro e gerenciamento para servir ao acompanhamento dessa forma de atendimento.
Art 14O atendimento ao titular poderá ser prestado de forma presencial na entidade em que os dados são encontrados, desde que haja a conferência de documento oficial e infraestrutura adequada.
§ 1º Quando o titular for incapaz, o atendente deve conferir a certidão de nascimento do titular e o documento de identidade de um dos pais ou responsáveis legais.
§ 2º Atestada a legitimidade do titular ou de seu procurador, o atendente coletará dados de identificação e de contato do solicitante, protocolará e transcreverá a solicitação através dos canais de atendimento da Ouvidoria-Geral do Município.
§ 3º O atendimento presencial ao procurador ou curador somente será aceito através do instrumento de outorga.
Art 15A Ouvidoria-Geral do Município encaminhará o atendimento ao encarregado responsável pelos dados e acompanhará sua resolutividade.
§ 1º O encarregado deverá adotar as providências para apensar os dados solicitados ao atendimento.
§ 2º Os dados pessoais solicitados no atendimento deverão ser entregues ao titular ou seu representante legal, através de meio eletrônico protegido ou pessoalmente.
Art 16Em qualquer forma de atendimento, o encarregado observará que as informações pessoais produzidas pelo órgão ou entidade não devem ser providas quando estiverem vinculadas a tratamento sigiloso nos termos da legislação vigente.
Parágrafo único. O encarregado informará o fundamento legal que fundamenta o indeferimento de entrega da informação sigilosa solicitada.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Art 17Os órgãos e entidades da Administração Pública Municipal deverão estar em conformidade com o disposto deste Decreto.
Art 18Poderão ser expedidas normas complementares a este Decreto, conjuntamente, pela Ouvidoria-Geral e pelo Departamento Jurídico, aos quais compete também, em conjunto, dirimir os casos omissos.
Art 19Este Decreto entra em vigor na data de sua publicação.
Clementina-SP, 22 de dezembro de 2022.
NELSON CASULA
Prefeito Municipal
Registrado e publicado na Secretaria Municipal e afixado nos termos da legislação em vigor. Data supra.
Niuza Aparecida Rizzato Gonçalves.
Chefe de Gabinete.