IMPRENSA OFICIAL - SÃO BENTO DO SAPUCAÍ
Publicado em 17 de outubro de 2024 | Edição nº 817 | Ano IV
Entidade: Poder Executivo | Seção: Atos Oficiais | Subseção: Decretos
DECRETO Nº. 4.490, DE 14 DE OUTUBRO DE 2024.
Regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, dentro da Prefeitura Municipal de São Bento do Sapucaí/SP.
ANA CATARINA MARTINS BONASSI, Prefeita Municipal da Estância Climática de São Bento do Sapucaí, Estado de São Paulo, no uso de suas atribuições legais e nos termos do que dispõe a Lei Orgânica do Município,
CONSIDERANDO a Lei Federal nº 13.709, de 14/08/2018, Lei Geral de Proteção de Dados Pessoais (LGPD), que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
CONSIDERANDO a necessidade de proteção da privacidade e dos dados pessoais dos cidadãos, contribuintes, terceiros, servidores, agentes políticos e demais titulares de dados, juntamente com a precisão de adequar os processos, ativos, serviços e políticas públicas, em cumprimento a norma;
D E C R E T A:
Art. 1º - Este decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais – LGPD, estabelecendo competências, procedimentos e providências, visando garantir a proteção de dados pessoais, com os seguintes fundamentos:
I – O respeito à privacidade;
II – A autodeterminação informativa;
III – A liberdade de expressão, de informação, de comunicação e de opinião;
IV – A inviolabilidade da intimidade, da honra e da imagem;
V – O desenvolvimento econômico e tecnológico e a inovação;
VI – A livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
VIII – interesse público;
IX – transparência de atuação no âmbito de suas competências.
DO TRATAMENTO DE DADOS PESSOAIS
Art. 2º - O tratamento de dados pessoais pela Prefeitura Municipal de São Bento do Sapucaí, deverá observar a boa-fé e ser realizado único e exclusivamente para o atendimento à finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, observado as exigências do art. 23, inciso I da LGPD, e art. 3º, XI, deste Decreto:
I – As hipóteses legais de tratamento de dados pessoais dos processos, ativos, políticas públicas e serviços, oferecidos e mantidos pela Prefeitura Municipal de São Bento do Sapucaí, serão identificadas no processo de inventário dos dados pessoais, nos termos dos artigos 7º, 11º, 14º e 23º, da Lei Federal nº 13.709/2018;
II – No tratamento de dados pessoais cujo acesso é público, será sempre considerado a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização;
III – O tratamento posterior dos dados pessoais, cujo acesso é público ou tornados manifestadamente públicos, poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.
§ 1º - Excetua-se do disposto no caput deste artigo, o tratamento de dados previsto no art. 4º da Lei Federal nº 13.709, de 14 de agosto de 2018.
§ 2º - Considera-se como tratamento toda operação realizada com os dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
§ 3º - Qualquer hipótese de tratamento, deve considerar, além da LGPD, a legislação de arquivos públicos, regulamentada pelo CONARQ, a Lei de Acesso à Informação – LAI (Lei nº 12.527, de 18 de novembro de 2018), e outras leis e regulamentos em vigor.
§ 4º - Quando os dados pessoais estiverem contidos em documentos arquivísticos, qualquer que seja o suporte ou formato, esses dados poderão ser
tratados no contexto da LGPD, mas os documentos arquivísticos propriamente ditos, deverão seguir os procedimentos definidos pela gestão de documentos.
§ 5º - O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, nos termos do art. 14 da LGPD e da legislação pertinente.
§ 6º - O tratamento de dados pessoais sensíveis somente poderá ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas, e sem fornecimento de consentimento do titular, nas hipóteses previstas no inciso II, art. 11 da LGPD.
DO PROGRAMA DE ADEQUAÇÃO À LEI GERAL DE PROTEÇÃO DOS DADOS (LGPD)
Art. 3º - Fica instituído, no âmbito da Prefeitura Municipal de São Bento do Sapucaí, o Programa de Adequação à Lei Geral de Proteção dos Dados – LGPD, definido como um conjunto de ações e boas práticas, contendo no mínimo:
I - Designação, por ato específico do Prefeito, de um Encarregado de Proteção de Dados Pessoais, em atendimento ao art. 41 da Lei Federal nº 13.709/2018;
II - Constituição, por ato específico do Prefeito, de um Comitê de Proteção de Dados Pessoais, composto por Servidores Públicos, nos termos do art. 8º deste Decreto;
III - Realização de treinamentos de capacitação e conscientização dos Servidores Públicos e seus colaboradores, com base na LGPD;
IV - Realização de inventário do tratamento de dados pessoais, de que trata o Art. 2º, I, de todos os processos, ativos, políticas públicas e serviços oferecidos e mantidos no âmbito da Prefeitura Municipal de São Bento do Sapucaí;
V - Revisão e proposta de alterações necessárias nas políticas de privacidade, políticas e procedimentos de segurança e proteção de dados pessoais, adotadas pela Prefeitura Municipal de São Bento do Sapucaí;
VI - Adoção de medidas de gerenciamento de riscos no tratamento de dados pessoais, de incidentes e de riscos em Segurança da Informação, Segurança Cibernética, indicando também, os recursos tecnológicos necessários;
VII - Gerenciamento dos Termos de Consentimento das demandas recebidas dos titulares dos dados;
VIII - Adequação regulamentar e de procedimentos, quanto a aspectos legais vinculados à Proteção de Dados Pessoais;
IX - Elaboração do Relatório de Impacto a Proteção de Dados – RIPD, com base na análise de riscos;
X - Elaboração do Programa de Governança em Privacidade; e
XI - Divulgar no sítio oficial da Prefeitura Municipal de São Bento do Sapucaí, informações das hipóteses de tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, nos termos do art. 23, I, da LGPD.
Parágrafo único. Caso haja necessidade, tendo em vista a limitação de recursos humanos e de capacidade técnica, por meio do Comitê e do Encarregado, poderá ser solicitado a Prefeitura Municipal de São Bento do Sapucaí, a contratação de assessoramento ou apoio técnico especializado, no processo de implantação e adequação à Lei Geral de Proteção de Dados – LGPD.
DO INVENTÁRIO DO TRATAMENTO DE DADOS PESSOAIS
Art. 4º - O Inventário do tratamento dos dados pessoais, de que trata o art. 37 da LGPD e art. 3º, IV, deste Decreto, consiste no registro das operações de tratamento dos dados pessoais, na Prefeitura Municipal de São Bento do Sapucaí, e deve ser realizado no prazo máximo de 180 dias, a contar da data de publicação deste Decreto, devendo demonstrar no mínimo:
I - Os agentes de tratamento de dados (Operador e Controlador);
II - Encarregado;
III - Finalidade;
IV - Dados pessoais tratados;
V - Categoria dos titulares dos dados pessoais;
VI - Hipóteses legais de tratamento de dados (art. 7º e 11) e previsão legal (leis municipais, decretos, carta de serviço, que regulamentam serviços e políticas públicas);
VII - Prazo de retenção;
VIII - Transferências internacionais;
IX - Fases do ciclo de vida do tratamento dos dados pessoais com ativos organizacionais: coleta, retenção, processamento, compartilhamento, eliminação;
X - Descrição do tratamento efetuado;
XI - Área e processo utilizado para o tratamento;
XII - Controles de segurança e proteção de dados implementados;
XIII - Indicação se o dado pessoal em questão, é sensível;
XIV - Se trata dados de crianças, adolescentes ou algum outro grupo de vulneráveis.
§ 1º - Nas fases do ciclo de vida do tratamento dos dados pessoais com ativos organizacionais, de que trata inciso IX, deste artigo, deve-se considerar:
I - Durante a fase de Coleta, deve-se identificar os ativos envolvidos no processo de obtenção de dados pessoais. Esses dados podem ser inseridos na organização por meio de documentos, sistemas hospedados em equipamentos localizados em instalações físicas do órgão público, ou por meio da prestação de serviços externos ou internos, realizados pelas diversas unidades organizacionais do próprio órgão.
II - Na fase de Retenção, é essencial avaliar os ativos responsáveis pelo armazenamento dos dados pessoais. Esses dados podem estar armazenados em bases de dados, documentos, equipamentos ou sistemas. Também é importante levar em conta as secretarias municipais encarregadas da guarda e armazenamento dos dados, além dos locais físicos onde os ativos estão situados. No caso de armazenamento em “nuvem”, deve-se considerar o serviço de armazenamento contratado e/ou utilizado.
III - A fase de Processamento segue a mesma lógica das etapas anteriores. Nela, são identificados os ativos utilizados para o tratamento dos dados. Esse tratamento pode ocorrer em documentos, em sistemas internos, ou por meio de serviços contratados pelo órgão. É fundamental identificar as pessoas (funções organizacionais), as unidades organizacionais e os equipamentos envolvidos nesse processo. Além disso, é importante considerar a localização física dessas unidades e equipamentos.
IV - Na fase de Compartilhamento, é necessário mapear os ativos envolvidos na distribuição ou divulgação dos dados pessoais, tanto internamente quanto externamente ao órgão público. É importante identificar quais sistemas são utilizados para transmitir, exibir ou divulgar esses dados, quem são os destinatários
dessas informações, quais unidades organizacionais envolvidas nesse processo e quais equipamentos utilizados.
V - Na fase de Eliminação, conforme o art. 16 da LGPD, é essencial avaliar os ativos que armazenam dados pessoais passíveis de solicitação de eliminação ou descarte, seguindo a tabela de temporalidade definida pela Prefeitura Municipal de São Bento do Sapucaí. Os dados pessoais a serem eliminados podem estar armazenados em bases de dados, documentos, equipamentos ou sistemas. Também é importante considerar as unidades organizacionais responsáveis pela guarda desses dados, bem como os locais físicos onde os ativos que contêm dados a serem eliminados ou descartados estão localizados. Caso a eliminação ou o descarte envolva uma solução em “nuvem”, é necessário considerar o serviço de armazenamento contratado ou utilizado.
§ 2º - Considera-se como ativos organizacionais, nos termos do § 1º, bases de dados, documentos, equipamentos, locais físicos, pessoas, sistemas, áreas, departamentos, entre outros.
§ 3º - Relatório de que trata o caput deste artigo, deve abranger inclusive a revisão de documentos administrativos, a exemplo de Editais, Contratos, Aditivos, Convênios, Termos de Parcerias, e outros, que envolvam dados pessoais, visando a adequação aos princípios, direitos e normas contidas na LGPD.
§ 4º - Na conclusão do processo de inventário dos dados, de que trata o caput deste artigo, será elaborado se necessário, um Relatório de Impacto de Proteção de Dados Pessoais – RIPD.
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Art. 5º - O Controlador é a pessoa jurídica de direito público, Prefeitura Municipal de São Bento do Sapucaí, responsável pelo cumprimento da Lei Geral de Proteção de Dados, e por tomar as decisões referentes ao tratamento de dados pessoais, conforme art. 5º, VI, e 39 da LGPD.
Art. 6º - O operador é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada, nos termos do art. 5º, VII e art. 39 da LGPD.
Parágrafo único - Com base no Inventário do tratamento de dados pessoais, de que trata o art. 3º, IV, deste Decreto, deverão ser identificados, todos os ativos, softwares, sistemas informatizados, aplicativos e outros que, realizam o tratamento de dados pessoais, em nome da Prefeitura Municipal de São Bento do Sapucaí, sendo estes considerados, nos termos da LGPD, como Operadores.
I – Contempla a revisão dos documentos administrativos, para adequação das exigências da LGPD, a revisão de todos os contratos, convênios, termos de parcerias ou documentos congêneres, mantidas entre o Controlador e Operadores, com inclusão de cláusulas de proteção de dados e exigência de termos de acordos de confidencialidade e sigilo com prestadores de serviço e terceiros.
DO ENCARREGADO E DO COMITÊ DE PROTEÇÃO DE DADOS PESSOAIS
Art. 7º - A designação do Encarregado de Proteção de dados, para os fins de atendimento do art. 41 da Lei Federal nº 13.709/2018, o art. 3º, I, deste Decreto, deverá ocorrer por ato do Prefeito da Prefeitura Municipal de São Bento do Sapucaí, no prazo de até 30 dias a contar da data de publicação deste Decreto, como responsável por garantir a conformidade à LGPD.
§ 1º - A identidade e as informações de contato do Encarregado de proteção de dados, como canal de atendimento, devem ser divulgadas publicamente, de forma clara e objetiva, no sítio oficial da Prefeitura Municipal de São Bento do Sapucaí, em seção específica sobre tratamento de dados pessoais.
§ 2º - O Encarregado da proteção de dados está vinculado à obrigação de sigilo e de confidencialidade no exercício de suas atribuições, em conformidade com a Lei Federal nº 13.709 de 2018 e com a Lei Federal nº 12.527 de 2011.
§ 3º - O Encarregado terá autonomia no desempenho de suas funções e, preferencialmente, deverá possuir qualificações profissionais que incluam conhecimentos em proteção de dados e segurança da informação, em um nível que satisfaça as exigências operacionais da organização.
Art. 8º - A constituição do Comitê de Proteção de Dados Pessoais, de que trata o art. 3º, II, deste Decreto, deverá ocorrer no prazo de até 30 dias a contar da data de publicação deste Decreto.
Parágrafo único - Compete ao Comitê de Proteção de Dados Pessoais apoiar o Encarregado e deliberar, dentre outras, sobre as orientações e as diretrizes referente à proteção de dados pessoais, buscando preservar integridade, confidencialidade, disponibilidade, autenticidade, privacidade da informação e Proteção de dados pessoais.
DA RESPONSABILIDADE DOS AGENTES DE TRATAMENTO
Art. 9º - Conforme o artigo 42 da Lei nº 13.709 de 2018, o Controlador ou Operador que, no exercício de atividades de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo a outrem, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
DA ISENÇÃO DE RESPONSABILIDADE DOS AGENTES DE TRATAMENTO
Art. 10 - Os agentes de tratamento serão isentos de responsabilidade apenas se provarem que não realizaram o tratamento de dados pessoais a eles atribuído, que o tratamento realizado não resultou em violação à legislação de proteção de dados, ou que o dano decorreu de culpa exclusiva do titular dos dados ou de terceiros.
Art. 11 - O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam; e
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único - Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 da Lei Federal nº 13.709, de 2018, der causa ao dano.
Art. 12 - As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.
DO ATENDIMENTO AO TITULAR
Art. 13 - O titular deverá ter o acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada
e ostensiva, conforme regulamentação e para atender ao princípio do livre acesso, abrangendo:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, respeitando os segredos comercial e industrial;
III – identificação dos agentes de tratamento;
IV – informações de contato dos agentes de tratamento;
V – detalhes sobre o uso compartilhado de dados pelos agentes de tratamento e sua finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos previstos no art. 18 da Lei Federal nº 13.709, de 2018.
DAS POLÍTICAS DE SEGURANÇA E PRIVACIDADE
Art. 14 - As medidas técnicas, administrativas e de segurança adotadas pela Prefeitura Municipal de São Bento do Sapucaí, conforme o art. 46 da LGPD, devem incluir a revisão e a proposta de alterações necessárias nas políticas de privacidade, bem como nas políticas e procedimentos de segurança para a proteção de dados pessoais, conforme o art. 3º, IV, deste Decreto. Essa revisão será realizada com base nos resultados do Relatório mencionado no art. 4º, § 1º deste Decreto, com o objetivo de assegurar a preservação dos direitos do titular, assim como os fundamentos e princípios estabelecidos na LGPD.
§ 1º - A política de privacidade de dados pessoais, deve permanecer durante todas as fases do tratamento, que deve ser limitado quanto a quantidade de dados pessoais coletados, extensão do tratamento, período de armazenamento e acessibilidade ao mínimo necessário para a concretização da finalidade do tratamento dos dados pessoais, considerado:
I - Especificação da finalidade – os objetivos para os quais os dados pessoais são coletados, usados, retidos e divulgados devem ser comunicados ao titular dos dados antes ou no momento em que as informações são coletadas. As finalidades especificadas devem ser claras, limitadas e relevantes em relação ao que se pretende ao tratar os dados pessoais.
II - Limitação da coleta – a coleta de dados pessoais deve ser legal e limitada ao necessário para os fins especificados.
III - Minimização dos dados – a coleta dos dados pessoais que possa identificar individualmente o titular de dados deve obter o mínimo necessário de informações pessoais. A concepção de programas, tecnologias e sistemas de informação e comunicação deve começar com interações e transações não identificáveis, como padrão. Qualquer vinculação de dados pessoais e a possibilidade de informações serem usadas para identificar o titular de dados, deve ser minimizada.
IV - Limitação de uso, retenção e divulgação – o uso, retenção e divulgação de dados pessoais devem limitar-se às finalidades relevantes identificadas para o titular de dados, para as quais ele consentiu ou é exigido ou permitido por lei. Os dados pessoais serão retidos apenas pelo tempo necessário para cumprir as finalidades declaradas e depois eliminados com segurança.
§ 2º - A Prefeitura Municipal de São Bento do Sapucaí deve manter, dentro de suas possibilidades e estágios de desenvolvimento tecnológico, uma política de segurança da informação reconhecida, que inclua um conjunto mínimo de premissas, políticas e especificações técnicas. Isso deve abranger aspectos como interconexões, segurança, meios de acesso, organização e intercâmbio de informações, áreas de integração e, sempre que possível, as normas:
I - ABNT NBR ISO/IEC 27001:2022. Sistemas de gestão da segurança da informação;
II - ABNT NBR ISO/IEC 27002: 2022. Código de Prática para controles de segurança da informação;
III - ABNT NBR ISO/IEC 27005:2019. Gestão de riscos de segurança da informação;
IV - ABNT NBR ISO/IEC 31000:2018. Gestão de riscos – Diretrizes; e
V - ABNT NBR ISO/IEC 27701:2019. Técnicas de segurança — Extensão da ABNT NBR ISO/ IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes.
§ 3º - Poderá ser utilizado, como ferramenta de gestão da política de segurança da informação, o Plano Diretor de Tecnologia da Informação – PDTI, que deverá relacionar o diagnóstico/planejamento/monitoramento da melhoria contínua dos recursos, processos e infraestrutura de TI de um determinado período.
§ 4º - A Prefeitura Municipal de São Bento do Sapucaí, manterá, no processo de elaboração do orçamento público, a cada exercício, saldo orçamentário disponível em dotação, visando, quando for o caso, atender as lacunas que demonstram níveis altos de riscos, e adotará as medidas necessárias para garantir a proteção de dados dos titulares.
RELATÓRIO DE IMPACTO A PROTEÇÃO DE DADOS PESSOAIS
Art. 15 - Nos termos do art. 4º, § 4º, deste Decreto, e, art. 38 da LGPD, a elaboração dos Relatórios de Impacto a Proteção de Dados Pessoais – RIPD, é de responsabilidade do Controlador, e deverão considerar os resultados apurados no inventário do tratamento de dados pessoais de que trata deste Decreto, e conter ainda, no mínimo:
I – A descrição dos tipos de dados coletados;
II – A(s) metodologia(s) utilizada(s) para a coleta e para a garantia da segurança das informações; e
III – A análise do Controlador em relação as medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Parágrafo único - O Relatório de Impacto à Proteção de Dados (RIPD) tem como objetivo identificar não conformidades no tratamento de dados pessoais, destacando eventuais desvios entre o cenário atual e os requisitos da Lei Federal nº 13.709/2018. Isso inclui a identificação de dados pessoais que não atendem aos critérios de finalidade de processamento ou de mínimo necessário, bem como a necessidade de ajustes nos processos dentro de cada estrutura organizacional, entre outros aspectos.
ELABORAÇÃO DO PROGRAMA DE GOVERNANÇA EM PRIVACIDADE
Art.16 - O Programa de Governança em Privacidade, conforme o art. 50 da LGPD, tem como objetivo assegurar a conformidade com os requisitos da LGPD. Este programa incluirá um conjunto de atividades que se traduzirão em ações concretas, levando em consideração a estrutura organizacional da Prefeitura Municipal de São Bento do Sapucaí. O intuito é desenvolver uma lista de atividades que se ajuste à realidade do município, contendo, no mínimo, as seguintes ações:
I – Treinamento e conscientização;
II – Definição de estratégias de proteção de Dados Pessoais;
III – Elaboração dos documentos de privacidade; e
IV – Implementação do Programa de Governança em Privacidade.
Parágrafo único - O Programa de Governança em Privacidade deve conter ainda, planos de resposta a incidentes e remediação e, políticas e salvaguardas
adequadas com base em processos de avaliação sistemática de impactos e riscos à privacidade.
Art.17 - As medidas de boas práticas incluem todas as ações e mecanismos nas áreas de segurança da informação, privacidade, governança e outras, com o objetivo de reduzir riscos e promover uma cultura institucional de proteção de dados pessoais. Essas práticas visam proteger os direitos dos titulares e cumprir os princípios e exigências da Lei Geral de Proteção de Dados (LGPD).
Art. 18 - Este Decreto entrará em vigor na data de sua publicação.
REGISTRE-SE, PUBLIQUE-SE e CUMPRA-SE.
São Bento do Sapucaí, 14 de Outubro de 2024.
ANA CATARINA MARTINS BONASSI
Prefeita Municipal
Registrado e Publicado por afixação na Sede da Prefeitura Municipal e publicado no Diário Oficial Eletrônico do Município, conforme Art. 68, § 1º da Lei Orgânica do Município.
MATHEUS COSTA CAMARGO
Assessor Jurídico
Este conteúdo não substitui o publicado na versão certificada.
