IMPRENSA OFICIAL - TAMBAÚ
Publicado em 13 de janeiro de 2025 | Edição nº 918 | Ano VII
Entidade: Poder Executivo | Seção: Atos Oficiais | Subseção: Decretos
DECRETO Nº 4.200, DE 13 DE JANEIRO DE 2025.
Regulamenta, no âmbito do Poder Executivo Municipal, a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, que dispõe sobre a proteção de dados pessoais, e dá outras providências.
DR. LEONARDO TEIXEIRA SPIGA REAL, Prefeito Municipal de Tambaú, Estado de São Paulo, no uso da atribuição que lhe confere o art. 73, II, da Lei Orgânica do Município,
DECRETA:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º - Este Decreto regulamenta as competências e os procedimentos a serem observados no âmbito do Poder Executivo Municipal, com a finalidade de garantir a proteção de dados pessoais prevista na Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei de Proteção de Dados Pessoais - LGPD).
Art. 2º - Para fins deste Decreto, considera-se:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituídas sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX - plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidente de segurança e outros aspectos relacionados ao tratamento de dados pessoais; e
XX - autoridade nacional: órgão da administração pública responsável por zelar, executar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Art. 3º - As atividades de tratamento de dados pessoais pelos órgãos municipais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comerciais e industriais;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS DA ADMINISTRAÇÃO PÚBLICA MUNICIPAL
Seção I
DOS DIREITOS DO TITULAR
Art. 4º - Todos os direitos do titular dos dados pessoais deverão ser observados conforme dispõe o Capítulo III da Lei Federal nº 13.709, de 2018, ou posterior legislação que, eventualmente, possa vir a alterá-la ou substituí-la, em especial os relacionados às garantias, requisições, armazenamento e revisão de decisões automatizadas.
Seção II
DOS DEVERES PARA TRATAMENTO DE DADOS PESSOAIS
Art. 5º - O tratamento de dados pessoais pelos órgãos da Administração Pública Municipal Direta deve:
I - objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público; e
II - observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.
Art. 6º - Os órgãos da Administração Pública Municipal Direta podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei Federal nº 13.709, de 2018.
Art. 7º - É vedado aos órgãos da Administração Pública Municipal Direta transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 2011;
II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709, de 2018;
III - quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada ao encarregado de dados para comunicação à Autoridade Nacional de Proteção de Dados;
IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo único - Em quaisquer das hipóteses previstas neste artigo:
I - a transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada, e
II - as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.
Seção III
HIPÓTESES DE TRATAMENTO DE DADOS PESSOAIS E SENSÍVEIS
Art. 8º - O tratamento de dados pessoais somente poderá realizado nas hipóteses estabelecidas no art.7º da Lei Federal nº 13.709, de 2018.
Art. 9º - O tratamento de dados pessoais e sensíveis, incluindo os dados sobre saúde e os dados sobre crianças e adolescentes, somente poderão ocorrer nas hipóteses definidas pela Lei Federal nº 13.709, de 2018, ou posterior legislação que, eventualmente, possa vir a alterá-la ou substituí-la.
Seção IV
DO USO COMPARTILHADO DE DADOS PESSOAIS COM PESSOA DE DIREITO PRIVADO
Art. 10 - Os órgãos da Administração Pública Municipal Direta podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:
I - o encarregado de dados pessoais informe à Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente; e
II - seja obtido o consentimento do titular, salvo:
a) nas hipóteses de dispensa de consentimento previstas na legislação federal;
b) nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I deste artigo.
Parágrafo único - Sempre que o consentimento for necessário, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e os órgãos municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.
Seção V
DO TÉRMINO DO TRATAMENTO DE DADOS
Art. 11 - Para eliminação ou autorização da conservação dos dados pessoais será necessário observar os artigos que tratam do tema, em especial a Seção IV do Capítulo II da Lei Federal nº 13.709/2018, ou posterior legislação que, eventualmente, possa vir a alterá-la ou substituí-la.
Seção VI
DOS AGENTES DE TRATAMENTO
Subseção I
Do Controlador
Art. 12 - São atribuições do controlador de dados:
I - nomear o encarregado de dados;
II - decidir quanto ao tratamento de dados pessoais;
III - fornecer instruções aos operadores para a realização do tratamento de dados pessoais;
IV - definir a finalidade do tratamento;
V - cumprir os deveres de transparência;
VI - estabelecer estrutura adequada para recepção de requerimento dos titulares e solicitações de providências determinadas pela ANPD;
VII - quando solicitado pela ANPD, elaborar o relatório de impacto a proteção de dados pessoais, inclusive de dados sensíveis referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos industriais e comerciais;
VIII - manter registro das operações de tratamento de dados pessoais que realize, especialmente quando baseado no legítimo interesse.
Art. 13 - Fica definida a Prefeitura Municipal de Tambaú como controladora de dados pessoais perante a ANPD, competindo aos titulares das unidades da Administração Municipal Direta, no âmbito das suas competências e atribuições, atuarem como representantes do Município.
Subseção II
Do Operador
Art. 14 - O operador deverá manter registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse.
Art. 15 - O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
Art. 16 - O operador de dados pessoais deve ser distinto do controlador, não atuando como subordinado ou membro de seus órgãos.
Subseção III
Do Encarregado de Dados
Art. 17 - São atribuições do encarregado de proteção de dados pessoais:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da Administração Pública Direta a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV - editar diretrizes para a elaboração dos planos de adequação, conforme art. 23 deste Decreto;
V - determinar aos órgãos da Prefeitura Municipal de Tambaú a realização de estudos técnicos para elaboração das diretrizes previstas no inciso IV deste artigo;
VI - decidir sobre as sugestões formuladas pela autoridade nacional a respeito da adoção de padrões e de boas práticas para o tratamento de dados pessoais, nos termos do art. 32 da Lei Federal nº 13.709, de 2018;
VII - providenciar a publicação dos relatórios de impacto à proteção de dados pessoais previstos pelo art. 32 da Lei Federal nº 13.709/2018;
VIII - providenciar, em caso de recebimento de informe da autoridade nacional, medidas cabíveis para fazer cessar a uma afirmada violação, nos termos do art. 31 da Lei Federal nº 13.709/2018, com o encaminhamento ao órgão municipal responsável pelo tratamento de dados pessoais, fixando prazo para atendimento à solicitação ou apresentação das justificativas pertinentes;
IX - avaliar as justificativas apresentadas nos termos do inciso VIII deste artigo, para os fins de:
a) caso avalie ter havido a violação, determinar a adoção das medidas solicitadas pela autoridade nacional; e
b) caso avalie não ter havido a violação, apresentar as justificativas pertinentes à autoridade nacional, segundo o procedimento cabível.
X - executar as demais atribuições estabelecidas em normas complementares.
§ 1º - O encarregado de dados terá os recursos necessários ao desempenho dessas funções e à manutenção dos seus treinamentos, capacitações e atualizações, bem como acesso motivado a todas as operações de tratamento.
§ 2º - O encarregado da proteção de dados pessoais está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 13.709/2018 e com a Lei Federal nº 12.527, de 18 de novembro de 2011.
Art. 18 - A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
Art. 19 - O encarregado de dados do Município de Tambaú será designado por ato próprio baixado pelo Prefeito Municipal.
CAPÍTULO III
DAS RESPONSABILIDADES
Seção I
DAS RESPONSABILIDADES DA ADMINISTRAÇÃO PÚBLICA MUNICIPAL DIRETA
Art. 20 - O Poder Executivo Municipal, por meio de suas unidades da Administração Pública Direta, deve realizar e manter continuamente atualizados:
I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
II - a análise de risco;
III - o plano de adequação, observadas as exigências do art. 24 deste Decreto; e
IV - o relatório de impacto à proteção de dados pessoais, quando solicitado.
Seção II
DA RESPONSABILIDADE E DO RESSARCIMENTO DE DANOS
Art. 21 - O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo nos termos da lei.
Seção III
DO DEPARTAMENTO MUNICIPAL DE TECNOLOGIA DA INFORMAÇÃO
Art. 22 - Cabe ao Departamento Municipal de Tecnologia da Informação:
I - oferecer os subsídios técnicos necessários à edição das diretrizes pelo encarregado de dados pessoais para a elaboração dos planos de adequação; e
II - orientar, sob o ponto de vista tecnológico, as unidades da Administração Pública Direta na implantação dos respectivos planos de adequação;
III - propor padrões de desenvolvimento e novas soluções de tecnologia da informação, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até sua execução;
IV - adequar o ambiente de tecnologia da informação em atendimento aos requisitos da LGPD.
Seção IV
DOS PLANOS DE ADEQUAÇÃO
Art. 23 - Os planos de adequação devem observar, no mínimo, aos seguintes requisitos:
I - atendimento das exigências estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23 e do parágrafo único do art. 27 da Lei Federal nº 13.709/2018;
II - manutenção de dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
Parágrafo único - As unidades da Administração Pública Direta do Município devem observar as diretrizes editadas pelo encarregado de dados, quando da elaboração do plano de adequação.
CAPÍTULO IV
AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS (ANPD)
Art. 24 - Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na Lei Federal nº 13.709/2018, ficam sujeitos às sanções administrativas aplicáveis pela autoridade nacional.
Art. 25 - Quando houver infração à Lei Federal nº 13.709/2018, em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.
Art. 26 – A autoridade nacional poderá sugerir a adoção de boas práticas para os tratamentos de dados pessoais pelo Poder Público.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Art. 27 - Os procedimentos de tratamento de dados e de tomada de decisões relacionados à aplicação do presente Decreto seguirão, subsidiariamente, os preceitos da Lei Federal nº 12.527, de 18 de novembro de 2011- Lei de Acesso à Informação.
Art. 28 - As autoridades do Poder Executivo Municipal adotarão as providências necessárias para atendimento aos requisitos da Lei Federal nº 13.709/2018, promovendo os ajustes necessários nos processos de tratamento de dados pessoais.
Art. 29 - Este Decreto entra em vigor na data de sua publicação.
Tambaú, 13 de janeiro de 2025.
Dr. Leonardo Teixeira Spiga Real
Prefeito Municipal
Registrado e publicado no Departamento Administrativo da Prefeitura Municipal de Tambaú, em 13 de janeiro de 2025.
Anselmo Caiafa Ribeiro
Diretor do Departamento Administrativo
Este conteúdo não substitui o publicado na versão certificada.
