DECRETO Nº 6.785, DE 25 DE AGOSTO DE 2023.
Estabelece a Política Municipal de Proteção de Dados Pessoais do Poder Executivo Municipal, em conformidade com a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais – LGPD - no âmbito da administração direta do Município de Adamantina.
MÁRCIO CARDIM, Prefeito do Município de Adamantina, Estado de São Paulo, no uso das atribuições que lhe são conferidas por Lei,
DECRETA:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Artigo 1º Fica instituída a Política Municipal de Proteção de Dados Pessoais, que dispõe sobre o conjunto de diretrizes, projetos, ações e metas estratégicas para a adequação do tratamento de dados pessoais realizado no âmbito da administração pública municipal direta, autárquica e fundacional, em conformidade com a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD.
Parágrafo único. A Política Municipal de Proteção de Dados Pessoais observará a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para os propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
X – responsabilização e prestação de contas: demonstração, pelo agente de tratamento, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Artigo 2º São diretrizes estratégicas da Política Municipal de Proteção de Dados Pessoais:
I - a observância das políticas de segurança da informação do Município;
II - a publicação e a atualização periódica das regras de boas práticas e governança estabelecidas pelo controlador e operador, que levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;
III - o atendimento simplificado e eletrônico das demandas do titular;
IV - a promoção da transparência pública, nos termos da Lei Federal nº 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação - LAI;
V - o desenvolvimento do nível de maturidade dos tratamentos dos dados pessoais, que será monitorado com o acompanhamento anual de indicadores de "compliance" e de boas práticas; e
VI - a segurança jurídica dos instrumentos firmados, consoante orientação da Procuradoria-Geral do Município.
Artigo 3º Para fins deste Decreto, considera-se:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, sendo o Município único controlador de dados na administração pública Municipal direta;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador corporativo para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD;
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro;
XIII - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XIV - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XV - programa de governança em privacidade: documentação do controlador que estabelece uma metodologia abrangente que influenciará permanentemente os processos de tomada de decisão referentes a tratamento de dados pessoais, incluindo as estratégias, habilidades, pessoas, processos e ferramentas que os órgãos e as entidades precisam prover para conquistar a confiança dos servidores e dos cidadãos e, ao mesmo tempo, cumprir com exigências apresentadas na legislação sobre proteção de dados pessoais;
XVI - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; e
CAPÍTULO II
DOS PROGRAMAS DE GOVERNANÇA EM PRIVACIDADE
Artigo 4º Além de inventariar os tratamentos de dados pessoais realizados no âmbito do órgão ou da entidade, o encarregado de dados , deverá elaborar os respectivos Programas de Governança em Privacidade - PGP, nos termos do art. 50, § 2º, inciso I, da Lei Federal nº 13.709/2018, observadas, ainda, as disposições desta Política Municipal de Proteção de Dados Pessoais.
§ 1º Os Programas de Governança em Privacidade - PGP, deverão ser submetidos à aprovação da autoridade máxima de cada órgão ou entidade da administração pública Municipal direta, autárquica e fundacional, que os encaminhará para a homologação do Comitê de privacidade de dados Municipal.
§ 2º Nos Programas de Governança em Privacidade - PGP, deverá ser prevista a elaboração dos seguintes documentos, sempre que a estrutura, a escala e o volume das operações de tratamento de dados pessoais na repartição recomendarem:
I - política de privacidade e proteção de dados, de uso interno;
II - aviso de privacidade, para usuários externos;
III - relatório de impacto de proteção de dados - RIPD para a atividades de tratamento que ofereçam altos riscos para os direitos e as liberdades individuais dos cidadãos;
IV - plano de resposta a incidentes; e
V - plano de treinamento e de conscientização dos colaboradores.
§ 3º O Relatório de Impacto à Proteção de Dados Pessoais terá o seguinte conteúdo mínimo:
I - a finalidade das atividades de tratamento;
II - a descrição dos tipos de dados coletados;
III - os compartilhamentos realizados;
IV - análise de necessidade e proporcionalidade;
V - as hipóteses de tratamento previstas na Lei que autorizam cada atividade;
VI - as medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Artigo 5º O encarregado de dados deverá seguir as orientações e os esclarecimentos compartilhados pelo Comitê de Privacidade de Dados no Poder Executivo Municipal, contando com o apoio técnico das áreas jurídica e tecnológica da sua instituição.
§ 1º O Comitê de Privacidade de Dados, sempre que entender oportuno, compartilhará modelos com o Encarregado de Dados por meio de materiais congêneres disponibilizados em plataforma digital.
§ 2º O Departamento de Tecnologia da Informação do Município de Adamantina/SP, disponibilizará, de forma não onerosa, informações sobre os sistemas que ele opere ou administre por força de contrato, de convênio ou de acordo celebrado com terceiros ou o próprio município.
§ 3º A disponibilização das informações de que trata o § 2º deste artigo poderá se dar mediante solicitação fundamentada do Encarregado de Dados interessado ou do Comitê de Privacidade de Dados no Poder Executivo Municipal, diretamente ou por meios digitais.
§ 4º As informações de que trata o § 2º deste artigo, em relação a cada sistema operado, deverão ser apresentadas em formato padronizado definido pelo Comitê de Privacidade de Dados no Poder Executivo, ou por alimentação em plataforma digital:
I - tipos de dados armazenados;
II - existência de políticas de autorização, de autenticação e de controle de acesso aos dados;
III - matriz de atribuições e de responsabilidades pelas operações de tratamento de dados;
IV - existência de registros ("logs") das operações de tratamento de dados e retenção desses registros;
V - existência de estratégias de "backup" e de recuperação de desastres;
VI - ferramentas de prevenção contra ameaças à disponibilidade, integridade e confiabilidade dos dados;
VII - integrações totais ou parciais com outros sistemas;
VIII - armazenamento dos dados em outros repositórios para o uso em plataformas de BI e "big data";
IX - contratação de empresas terceirizadas, na qualidade de suboperadoras;
X - dados armazenados fora do local físico das dependências do município; e
XI - segurança e acesso ao ambiente físico de Tecnologia da Informação - TI.
§ 5º No caso de sistemas transversais, a disponibilização de informações pela Tecnologia da Informação - TI prevista no § 2º deste artigo não afasta a obrigação de outro gestor do sistema fornecê-las, quando for solicitado pelo Encarregado de Dados interessado ou pelo Comitê de Privacidade de Dados no Poder Executivo Municipal, diretamente ou por meio digital.
CAPÍTULO III
DAS PLATAFORMAS TECNOLÓGICAS E DOS SÍTIOS ELETRÔNICOS
Artigo 6º O Encarregado de Dados, providenciará plataforma tecnológica digital para a governança dos dados pessoais no âmbito da administração pública direta, autárquica e fundacional, de modo que se possa monitorar, de forma permanente, a conformidade à LGPD, de modo que contenha minimamente as seguintes ferramentas:
I - gerenciamento de processos com dados pessoais;
II - gerenciamento de medidas de segurança implementadas e a serem implementadas;
III - gerenciamento de adequação de documentos;
IV - mecanismo para emissão de relatório de impacto;
IV - canal de atendimento ao titular de dados;
V - gerenciamento de incidentes.
Artigo 7º Os sítios eletrônicos dos órgãos e das entidades deverão veicular seu aviso de privacidade e de "cookies" para prévia aceitação do usuário.
CAPÍTULO IV
DO ATENDIMENTO AO TITULAR
Artigo 8º O atendimento ao titular do dado será prestado pelo Encarregado de Dados por meio de canal próprio de atendimento.
§ 1º A identificação do titular ou procurador deverá ser idônea e realizada por meio proporcionais.
§ 2º O canal de atendimento deve prover funções de registro e gerenciamento da demanda que viabilizem ao titular o acompanhamento do seu atendimento.
Artigo 9º O Encarregado de Dados fará o uso do sistema eletrônico do canal de atendimento eletrônico para a emissão de relatórios gerenciais e de informações quando solicitado pelo Comitê de Privacidade de Dados no Poder Executivo Municipal para o exercício de suas competências.
§ 1º O encarregado de dados adotará providências para atendimento do titular, em conformidade com a LGPD, a LAI e a legislação sobre proteção de dados pessoais, e encaminhará os esclarecimentos para o requerente.
§ 2º Os dados pessoais solicitados no atendimento deverão ser entregues ao titular ou seu representante legal, por meio eletrônico protegido ou pessoalmente.
Artigo 10. O encarregado de dados não disponibilizará dados pessoais tratados pelo órgão ou entidade quando estiverem protegidos por sigilo nos termos da legislação vigente.
Parágrafo único. O encarregado de dados informará o fundamento legal que embasa o indeferimento da entrega da informação sigilosa solicitada.
CAPÍTULO V
DO REGISTRO DAS OPERAÇÕES DE TRATAMENTO E DA ANONIMIZAÇÃO DE DADOS PESSOAIS
Artigo 11. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem.
Artigo 12. O controlador deve adotar medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis no âmbito e nos limites técnicos de seus serviços, para não serem acessados por terceiros não autorizados e, sempre que possível, proceder à sua anonimização.
CAPÍTULO VI
DO COMPARTILHAMENTO DE DADOS PESSOAIS
Artigo 13. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios gerais de proteção de dados pessoais e as hipóteses previstas nos arts. 7º e 11º da Lei Federal nº 13.709/2018.
§ 1º O controlador deve manter o registro do compartilhamento dos dados pessoais para fins de cumprimento do inciso VII do art. 18 da Lei Federal nº 13.709/2018.
§ 2º Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
Artigo 14. O uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado observará as normas da Lei Federal nº 13.709/2018, em especial o disposto nos arts. 26 e 27.
CAPÍTULO VII
DISPOSIÇÕES FINAIS
Artigo 15. O Encarregado de Dados e o Comitê de Privacidade de Dados, criado para implementação da LGPD no Poder Executivo Municipal, diligenciarão para o fiel cumprimento deste Decreto.
Artigo 16. Este Decreto entra em vigor na data de sua publicação.
Adamantina, 25 de agosto de 2023
MÁRCIO CARDIM
Prefeito do Município