IMPRENSA OFICIAL - SÃO JOSÉ DO RIO PARDO
Publicado em 04 de setembro de 2024 | Edição nº 1404 | Ano VII
Entidade: Poder Executivo | Seção: Atos Oficiais | Subseção: Decretos
DECRETO Nº 7.734, DE 04 DE SETEMBRO DE 2024.
Dispõe sobre a Política de Proteção de Dados Pessoais Local da Prefeitura Municipal de São José do Rio Pardo.
O Prefeito do Município de São José do Rio Pardo, Estado de São Paulo, no uso das atribuições que lhe são conferidas e;
CONSIDERANDO a Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais);
D E C R E T A:
Art. 1º. Fica aprovada a Política de Proteção de Dados Pessoais da Prefeitura Municipal de São José do Rio Pardo, na forma do Anexo publicado no sítio institucional.
Parágrafo único. A Política de Proteção de Dados Pessoais será composta por este Decreto, que regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei de Proteção de Dados Pessoais (LGPD) – no âmbito da Prefeitura Municipal de São José do Rio Pardo.
Art. 2º. Este Decreto entra em vigor na data de sua publicação.
São José do Rio Pardo, 04 de setembro de 2024.
Marcio Callegari Zanetti
Prefeito
Publicado no Diário Oficial Eletrônico do Município.
Paulo Eduardo Gonçalves Boldrin
Secretário Municipal de Gestão Pública
ANEXO
POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DA PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PARDO
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º. A Política de Proteção de Dados Pessoais tem por finalidade estabelecer os princípios, diretrizes e responsabilidades mínimas a serem observados e seguidos para a proteção dos dados pessoais aos planos estratégicos, programas, projetos e processos da Prefeitura Municipal de São José do Rio Pardo.
Art. 2º. A Política de Proteção de Dados Pessoais e suas eventuais normas complementares, metodologias, manuais e procedimentos aplicam-se a todos os órgãos da Prefeitura Municipal de São José do Rio Pardo, abrangendo os servidores, prestadores de serviço, colaboradores, estagiários, consultores externos e quem, de alguma forma, desempenhe atividades de tratamento de dados pessoais, estendendo-se àqueles que realizam tratamento de dado pessoal em nome da Prefeitura Municipal de São José do Rio Pardo.
DA LEI GERAL DE PROTEÇÃO DE DADOS
Art 3º. A Lei Geral de Proteção de Dados (LGPD) é uma das leis mais significativas que afetam a forma como a Prefeitura Municipal de São José do Rio Pardo realiza suas atividades de tratamento de dados pessoais. Penalidades significativas são aplicáveis, se ocorrer alguma violação a LGPD, que tem o fito de proteger os dados pessoais dos cidadãos do Brasil. Dessa forma, é política da Prefeitura Municipal de São José do Rio Pardo garantir o cumprimento das determinações da LGPD e outras legislações relevantes, demonstrando a todo momento de forma clara e transparente que está em constante busca da conformidade.
DAS DEFINIÇÕES
Art 4º. Há diversas definições listadas na LGPD, previstas em seu artigo 5º, no entanto, as definições mais fundamentais em relação a esta política são as seguintes:
I - Dados pessoais são definidos como: Informação relacionada a pessoa natural identificada ou identificável ("titular dos dados"); uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, por uma informação como um nome, um número de identificação, dados de localização ou fatores específicos como físico, biológico, identidade genética, mental, econômica, cultural ou social;
II - Tratamento: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
III - Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; sendo que os propósitos e meios desse tratamento são determinados pela legislação, pelo responsável pelo tratamento ou por critérios específicos;
IV - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
V - Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
DOS PRINCÍPIOS RELACIONADOS AO TRATAMENTO DE DADOS PESSOAIS
Art 5º. Há vários princípios fundamentais previstos na LGPD em seu artigo 6º. Dentre eles, a coleta de dados pessoais deve respeitar:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Parágrafo único. A Prefeitura Municipal de São José do Rio Pardo garante que busca sempre estar em conformidade com todos estes princípios tanto no tratamento que atualmente realiza, como na introdução de novos métodos que forneçam mais segurança, por exemplo novos sistemas de TI – Tecnologia da Informação.
DOS DIREITOS DOS TITULARES DE DADOS
Art 6º. O titular dos dados possui direitos previstos na LGPD, previstos nos artigos 17 a 22, que consistem em:
I - Direito à informação;
II - Direito de acesso aos dados;
III - Direito de retificação;
IV - Direito de eliminação (direito de esquecer);
V - Direito a anonimização ou bloqueio no tratamento;
VI - Direito a notificação de retificação ou eliminação;
VII - Direito de portabilidade de dados;
VIII - Direito de se opor à tomada de decisão automatizada.
§ 1º. Esses direitos são respeitados pela Prefeitura Municipal de São José do Rio Pardo por meio de procedimentos adequados que permitem que a ação necessária seja realizada de acordo com os prazos indicados na LGPD e na Lei de acesso à informação.
§ 2º. Esses prazos são previstos conforme Tabela 1:
Solicitação de Dados | Prazo |
O direito de ser informado | Quando os dados são coletados (se fornecidos pelo titular) ou no prazo de quinze dias (se não forem fornecidos pelo titular) |
O direito de acesso | 20 dias |
O direito de retificação | 20 dias |
O direito de apagar | Imediatamente, exceto se houver justificativa |
O direito de restringir o tratamento | Imediatamente, exceto se houver justificativa |
O direito à portabilidade de dados | 20 dias |
Direitos em relação à tomada de decisões e perfis automatizados. | Não especificado |
Tabela 1 – Prazos no caso de solicitações de dados.
DA LEGALIDADE DO TRATAMENTO DE DADOS PESSOAIS
Art. 7º. O tratamento de dados pessoais pela Prefeitura Municipal de São José do Rio Pardo será realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
Parágrafo único. Este Decreto e demais normas de organização definem as funções e atividades que constituem as finalidades e balizadores do tratamento de dados pessoais para fins desta Política.
Art. 8º. Em atendimento a suas competências legais, a Prefeitura Municipal de São José do Rio Pardo poderá, no estrito limite de suas atividades, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares.
Art 9º. As principais hipóteses legais para o tratamento dos dados pessoais, nos processos da Prefeitura Municipal de São José do Rio Pardo são:
I - Consentimento: A Prefeitura Municipal de São José do Rio Pardo sempre obtém o explícito consentimento de um titular para coletar e tratar seus dados, salvo as exceções previstas na LGPD. No caso de crianças e adolescentes com menos de 18 anos, o consentimento de pelo menos um dos pais ou do responsável deve ser obtido, quando a base legal utilizada for o consentimento. Serão fornecidas informações transparentes sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos. Esta informação será fornecida de forma acessível, escrita em linguagem clara e gratuita;
II - Obrigação legal: Se os dados pessoais precisarem ser coletados e tratados para cumprir a lei, o consentimento explícito não será necessário. Este pode ser o caso de alguns dados relacionados às atividades do servidor público e à tributação, por exemplo, e para muitas áreas abordadas pelo setor público;
III - Interesse Público: Quando a Prefeitura Municipal de São José do Rio Pardo realiza uma tarefa que é de interesse público ou um dever oficial, o consentimento do titular dos dados não será solicitado. A avaliação do interesse público ou do dever oficial será documentada e disponibilizada como prova quando necessária;
IV - Contratual: Quando os dados pessoais coletados e tratados forem necessários para cumprir um contrato, não é necessário o consentimento explícito. Esta situação pode ser verificada, frequentemente, nos casos em que o contrato não pode ser concluído sem os dados pessoais em questão;
V - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VI - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
VII - Legítimo Interesse: Se o tratamento de dados pessoais ocorrer em razão do interesse legítimo da Prefeitura Municipal de São José do Rio Pardo, e for verificado que não afeta os direitos e liberdades do titular dos dados de maneira significativa, então estará salvaguardado pela legalidade. A avaliação do interesse legítimo será documentada por formulário específico;
VIII - Tratamento de dados sensíveis: a Prefeitura Municipal de São José do Rio Pardo também poderá tratar dados pessoais sensíveis sem o consentimento do titular, nas hipóteses em que for indispensável para hipóteses previstas no Art. 11 da LGPD, como nos atendimentos na área da saúde.
§ 1º. Poderão ser coletados dados pessoais de crianças sem o consentimento, quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento.
§ 2º. A Prefeitura Municipal de São José do Rio Pardo assegurará que todas as contratações, das quais envolvam o tratamento de dados pessoais, estarão sujeitas a contrato documentado que inclui as informações e termos específicos exigidos pela LGPD.
Art. 10. Os dados pessoais tratados pela Prefeitura Municipal de São José do Rio Pardo são:
I - Mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade ou face a solicitação de remoção, devendo a neutralização ou descarte do dado observando as condições e períodos da tabela de temporalidade de retenção de dados;
II - Compartilhados somente para o exercício das funções institucionais ou para atendimento de políticas públicas aplicáveis; e
III - Revistos em periodicidade mínima bianual, sendo de imediato eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.
Art. 11. A responsabilidade da Prefeitura Municipal de São José do Rio Pardo pelo tratamento de dados pessoais estará circunscrita ao dever de se ater ao exercício de sua competência legal e institucional e de empregar boas práticas de governança e de segurança.
Art 12. A Prefeitura Municipal de São José do Rio Pardo adota os princípios do “Privacy by Design”, que consiste na proteção da privacidade e dos dados pessoais, em todos os seus processos. Não é permitido desenvolver nenhum projeto ou processo, sem que a proteção da privacidade esteja no centro desse desenvolvimento, incluindo a realização de uma ou mais avaliações de impacto de proteção de dados. Essa é uma fonte de inspiração para a Prefeitura Municipal de São José do Rio Pardo, reforçando seu compromisso com a ética e transparência.
Art 13. A avaliação do impacto na proteção de dados incluirá:
I - Consideração de como os dados pessoais serão processados e com quais objetivos;
II - Avaliação se o tratamento de dados pessoais proposto é necessário e proporcional ao(s) objetivo(s);
III - Avaliação dos riscos para os indivíduos no tratamento de dados pessoais;
IV - Quais são os controles necessários para abordar os riscos identificados e demonstrar conformidade com a legislação.
Parágrafo único. O uso de técnicas como minimização de dados será aplicada, quando apropriado.
DA TRANSFERÊNCIAS INTERNACIONAIS DE DADOS PESSOAIS
Art. 14. Caso ocorra a transferência de dados pessoais para fora do Brasil serão cuidadosamente revisadas, para garantir que estão dentro dos limites impostos pela LGPD. Isso depende, em parte, da ANPD quanto à adequação das proteções para dados pessoais aplicáveis no país de destino e isso pode se modificar com o tempo.
DA NOTIFICAÇÃO DE VIOLAÇÃO
Art 15. É política da Prefeitura Municipal de São José do Rio Pardo atuar de forma justa e proporcional, considerando as ações a serem tomadas para informar as partes afetadas com relação a violações de dados pessoais.
Parágrafo único. Em consonância com a LGPD, no caso de verificação da ocorrência de uma violação que possa resultar em um risco para os direitos e liberdades dos indivíduos, a autoridade fiscalizadora será informada no prazo de 3 (três) dias úteis. Isso será gerenciado de acordo com o Procedimento de Resposta a Incidentes de Segurança da Informação, que define o processo de tratamento de incidentes de segurança da informação.
DOS CONTRATOS, CONVÊNIOS, ACORDOS E INSTRUMENTOS CONGÊNERES
Art. 16. Os contratos, convênios, acordos e instrumentos similares atualmente em vigor, que de alguma forma envolvam o tratamento de dados pessoais, devem incorporar cláusulas específicas em total conformidade com a presente Política de Proteção de Dados Pessoais e que contemplem:
I - requisitos mínimos de segurança da informação;
II - determinação de que o operador não processe os dados pessoais para finalidades que divergem da finalidade principal informada pelo controlador;
III - requisitos de proteção de dados pessoais que os operadores de dados pessoais devem atender;
IV - condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do controlador;
V - diretrizes específicas sobre o uso de subcontratados pelo operador para execução contratual que envolva tratamento de dados pessoais.
Art. 17. São adotadas medidas rigorosas com o propósito de assegurar que os terceiros e processadores de dados pessoais contratados estão plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração do acordo entre as partes envolvidas.
DA COMUNICAÇÃO E DO USO COMPARTILHADO DE DADOS PESSOAIS
Art. 18. A Prefeitura Municipal de São José do Rio Pardo poderá efetuar o uso compartilhado de dados pessoais com outros órgãos públicos para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios elencados no art. 6º da Lei Federal nº 13.709, de 14 de agosto de 2018.
Art .19. Fica vedado à Prefeitura transferir à pessoa de direito privado dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 18 de novembro de 2011;
II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709, de 14 de agosto de 2018;
III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Encarregado de Proteção de Dados Pessoais para comunicação à Autoridade Nacional de proteção de dados;
IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo único. Em quaisquer das hipóteses previstas neste artigo, deverá ser observado:
a) a transferência de dados dependerá de autorização específica conferida pelo órgão municipal à pessoa de direito privado;
b) as pessoas de direito privado deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão municipal.
DO ENCARREGADO DE PROTEÇÃO DE DADOS PESSOAIS
Art 21. O encarregado poderá ser:
I - uma pessoa natural, integrante do quadro organizacional da Prefeitura Municipal de São José do Rio Pardo ou externo a essa; ou
II - uma pessoa jurídica.
Art. 22. A indicação do encarregado deve ser realizada por ato formal da Prefeitura Municipal de São José do Rio Pardo, do qual constem as formas de atuação e as atividades a serem desempenhadas.
§ 1º. Entende-se por ato formal o documento escrito, datado e assinado, que, de maneira clara e inequívoca, demonstre a intenção da PREFEITURA DE SÃO JOSÉ DO RIO PARDO em designar como encarregado uma pessoa natural ou uma pessoa jurídica, devendo a indicação ser publicada em Diário Oficial da União.
§ 2º. O documento referido no caput deverá ser apresentado à ANPD, quando solicitado.
Art. 23. Cabe à Prefeitura Municipal de São José do Rio Pardo estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas.
DA IDENTIDADE E DAS INFORMAÇÕES DO ENCARREGADO
Art. 24. A Prefeitura Municipal de São José do Rio Pardo deverá divulgar e manter atualizadas a identidade e as informações de contato do encarregado em seu sítio eletrônico, abrangendo no mínimo:
I - o nome completo, se o encarregado for pessoa natural;
II - o nome empresarial ou o título do estabelecimento;
III - o nome completo da pessoa natural, se pessoa jurídica;
IV - dados referentes aos meios de comunicação que viabilizem o exercício dos direitos dos titulares junto à Prefeitura Municipal de São José do Rio Pardo e possibilitem o recebimento de comunicações da ANPD.
DAS RESPONSABILIDADES DO ENCARREGADO DE PROTEÇÃO DE DADOS PESSOAIS
Art. 25. As responsabilidades do encarregado de proteção de dados pessoais consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;
II - receber comunicações da ANPD e adotar providências;
III - orientar os servidores e os contratados da Prefeitura Municipal de São José do Rio Pardo a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pela Prefeitura Municipal de São José do Rio Pardo ou estabelecidas em normas complementares.
Parágrafo único. Ao receber comunicações da ANPD, o encarregado deverá adotar as medidas necessárias para o atendimento da solicitação e para o fornecimento das informações pertinentes, adotando, entre outras, as seguintes providências:
I - encaminhar internamente a demanda para as unidades competentes;
II - fornecer a orientação e a assistência necessárias à Prefeitura Municipal de São José do Rio Pardo; e
III - indicar expressamente o representante da Prefeitura Municipal de São José do Rio Pardo perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.
Art. 26. Cabe, ainda, ao encarregado, prestar assistência e orientação à Prefeitura Municipal de São José do Rio Pardo, definição e implementação, conforme o caso, de:
I - registro e comunicação de incidente de segurança;
II - registro das operações de tratamento de dados pessoais;
III - relatório de impacto à proteção de dados pessoais;
IV - mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
V - medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
VI - processos e políticas internas que assegurem o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, e dos regulamentos e orientações da ANPD;
VII - instrumentos contratuais que disciplinam questões relacionadas ao tratamento de dados pessoais;
VIII - transferências internacionais de dados;
IX - regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da Lei nº 13.709, de 14 de agosto de 2018;
X - serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e
XI - outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
Parágrafo único. O desempenho das atividades e das atribuições dispostas nos artigos anteriores não confere ao encarregado a responsabilidade perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pela Prefeitura Municipal de São José do Rio Pardo, sendo esta responsável pela conformidade do tratamento dos dados pessoais, nos termos da Lei nº 13.709, de 14 de agosto de 2018.
DAS RESPONSABILIDADES NA ADMINISTRAÇÃO PÚBLICA MUNICIPAL DIRETA
Art. 27. A decisão referente ao tratamento de dados pessoais, no âmbito da Administração Direta, compete ao Chefe do Poder Executivo, que exercerá as atribuições de controlador por intermédio dos titulares das pastas, e, na Administração Indireta ao Superintendente do órgão, respeitadas suas competências.
Art. 28. A Prefeitura, por meio de suas Secretarias, nos termos da Lei Federal nº 13.709, de 2018, deve realizar e manter continuamente atualizados:
I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
II - a análise de risco;
III - o plano de adequação, observadas as exigências deste decreto;
IV - elaborar o relatório de impacto à proteção de dados pessoais, que deverá conter, no mínimo: a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados;
V - comprovar que obteve o consentimento do titular dos dados pessoais, de acordo com o § 2º do art. 8º da Lei Federal nº 13.709, de 14 de agosto de 2018;
VI - informar previamente ao titular dos dados pessoais quando houver mudanças na finalidade para o tratamento dos dados pessoais que não sejam compatíveis com o consentimento original, de acordo com o § 2º do art. 9º da Lei Federal nº 13.709, de 14 de agosto de 2018;
VII - adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse, de acordo com o § 2º do art. 10 da Lei Federal nº 13.709, de 14 de agosto de 2018;
VIII - adotar medidas para garantir o cumprimento das obrigações elencadas nos arts. 11 a 16 da Lei Federal nº 13.709, de 14 de agosto de 2018, referente ao tratamento de dados pessoais sensíveis e de dados pessoais de crianças e adolescentes;
IX - adotar medidas para garantir o cumprimento dos direitos do titular dos dados pessoais elencados nos arts.17 a 22 da Lei Federal nº 13.709, de 14 de agosto de 2018, que correspondem aos direitos do titular dos dados pessoais;
X - comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da Lei Federal nº 13.709, de 14 de agosto de 2018;
XI - formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais, nos termos dos arts. 50 e 51 da Lei Federal nº 13.709, de 14 de agosto de 2018.
Art. 29. Cabe aos Chefes de Gabinete das Secretarias:
I - dar cumprimento, no âmbito dos respectivos órgãos, às ordens e recomendações do Encarregado de Proteção de Dados Pessoais;
II - atender às solicitações encaminhadas pelo Encarregado de Proteção de Dados Pessoais no sentido de fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 2018, ou apresentar as justificativas pertinentes;
III - encaminhar ao encarregado, no prazo por este fixado:
a) informações sobre o tratamento de dados pessoais que venham a ser solicitadas pela autoridade nacional, nos termos do art. 29 da Lei Federal nº 13.709, de 2018;
b) relatórios de impacto à proteção de dados pessoais, ou informações necessárias à elaboração de tais relatórios, nos termos do art. 32 da Lei Federal nº 13.709, de 2018.
IV - assegurar que o encarregado de proteção de dados pessoais do Município seja informado, de forma adequada e em tempo útil, de todas as questões relacionadas com a proteção de dados pessoais no âmbito do Poder Executivo municipal.
Parágrafo único. A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais é da Prefeitura Municipal de São José do Rio Pardo, que no exercício das atribuições típicas de controlador determina as medidas necessárias para executar a Política de Proteção de Dados Pessoais dentro de sua estrutura organizacional.
DAS ATRIBUIÇÕES E RESPONSABILIDADES DA ADMINISTRAÇÃO MUNICIPAL INDIRETA
Art. 30. Compete aos órgãos da Administração Municipal Indireta cumprir as exigências da Lei Federal nº 13.709, de 14 de agosto de 2018, bem como as responsabilidades descritas neste decreto, providenciando, no mínimo:
I - a designação de um Encarregado de Proteção de Dados Pessoais, nos termos do art. 41 da Lei Federal nº 13.709, de 14 de agosto de 2018, cuja identidade e informações de contato devem ser divulgadas publicamente, de forma clara e objetiva;
II - a elaboração e manutenção de um plano de adequação, nos termos deste decreto.
Parágrafo único. Os Encarregados designados, em conformidade com este decreto, deverão desempenhar suas atribuições em articulação com o Encarregado de Proteção de Dados Pessoais da Prefeitura.
Art. 31. Os órgãos da Administração Municipal Indireta que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos da Lei Federal nº 13.709, de 14 de agosto de 2018.
Parágrafo único. Os órgãos da Administração Municipal Indireta, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos do Poder Público, nos termos do Capítulo IV, da Lei Federal nº 13.709, de 14 de agosto de 2018.
Art. 32. Cabe ao departamento de Tecnologia da Informação da Prefeitura Municipal de São José do Rio Pardo:
I - oferecer os subsídios técnicos necessários à edição das diretrizes pelo Encarregado de proteção de dados pessoais para a elaboração dos planos de adequação;
II - orientar, sob o ponto de vista tecnológico, as Secretarias na implantação dos respectivos planos de adequação.
Art. 33. Compete ao Comitê de Proteção de Dados Pessoais (CPDP):
I - prover orientação e o patrocínio necessários às ações de privacidade e proteção de dados pessoais na Prefeitura Municipal de São José do Rio Pardo, de acordo com os objetivos estratégicos e com as leis e regulamentos pertinentes, além de:
a) assessorar a implementação da proteção de dados pessoais;
b) constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre proteção de dados pessoais;
c) participar da elaboração da Política de Proteção de Dados Pessoais e das demais normas internas de privacidade e proteção de dados pessoais, além de propor atualizações e alterações nesses dispositivos;
d) incentivar a conscientização, capacitação e sensibilização das pessoas que desempenham qualquer atividade de tratamento de dados pessoais dentro da Prefeitura Municipal de São José do Rio Pardo;
e) deliberar sobre proposta de diretrizes para elaboração dos planos de adequação, nos termos deste decreto;
f) deliberar sobre qualquer assunto relacionado à aplicação da Lei Federal nº 13.709, de 2018, e do presente decreto pelos órgãos do Poder Executivo.
Art. 34. O Comitê de Proteção de Dados Pessoais (CPDP) terá a seguinte composição:
I - o encarregado pelo tratamento de dados pessoais;
II - um representante do departamento de Comunicação e Tecnologia da Informação;
III - um representante do departamento jurídico.
Parágrafo único. A presidência do Comitê de Proteção de Dados Pessoais (CPDP) será exercida pelo representante do departamento de Tecnologia da Informação.
Art. 35. São as atribuições do Operador:
I - observar os princípios estabelecidos no Art. 6º da LGPD, ao realizar tratamento de dados pessoais;
II - seguir as diretrizes estabelecidas pelo controlador previstas em contratos e políticas internas;
III - antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelo controlador cumprem os requisitos legais presentes nos art. 7º, art. 11 e art. 23 da LGPD;
Parágrafo único. É proibida a decisão unilateral do Operador quanto aos meios e finalidades utilizados para o tratamento de dados pessoais.
DA REGULAMENTAÇÃO DO SITE DA PREFEITURA DE SÃO JOSÉ DO RIO PARDO
Art. 36. A Prefeitura Municipal de São José do Rio Pardo deverá disponibilizar em seu site aviso de privacidade informando sobre os dados que coleta sobre os usuários do site, e ao coletar essas informações, a Prefeitura Municipal estará agindo como uma controladora de dados que, por lei, é obrigada a fornecer informações sobre o tratamento dos dados dos usuários e seus direitos.
Art. 37. O aviso de privacidade do site deverá conter as seguintes informações:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 6º desta Lei.
DAS PENALIDADES
Art. 38. Ações que violem a Política de Proteção de Dados Pessoais poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.
Art. 39. Casos de descumprimento desta Política deverão ser registrados e comunicados ao Encarregado de Dados Pessoais para ciência e tomada das providências cabíveis.
DAS DISPOSIÇÕES FINAIS
Art. 40. Os integrantes do Comitê de Proteção de Dados Pessoais (CPDP) poderão expedir instruções complementares, no âmbito de suas competências, que detalharão suas particularidades e procedimentos relativos à Proteção de Dados Pessoais alinhados às diretrizes emanadas pelo CPDP e aos respectivos Planos Estratégicos Institucionais da Prefeitura Municipal de São José do Rio Pardo.
Art. 41. As dúvidas sobre a Política de Proteção de Dados Pessoais e seus documentos devem ser submetidas ao Comitê de Proteção de Dados Pessoais.
Art. 42. Esta política deverá ser revisada anualmente, a partir do início de sua vigência.
Art. 43. Os casos omissos serão resolvidos pelo CPDP.
Art. 44. Esta política entra em vigor na data de sua publicação.
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PARDO
Este conteúdo não substitui o publicado na versão certificada.
