IMPRENSA OFICIAL - APIAÍ
Publicado em 02 de abril de 2025 | Edição nº 130A | Ano II
Entidade: Poder Executivo | Seção: Atos Oficiais | Subseção: Decretos
DECRETO MUNICIPAL Nº 450, DE 27 DE MARÇO DE 2024.
“Regulamenta a política de proteção de dados pessoais no âmbito da Administração Pública do Município de Apiaí; institui regras específicas complementares às normas gerais estabelecidas pela Lei Federal nº 13. 709, de 14 de agosto de 2018 - Lei de Proteção de Dados Pessoais (LGPD), e dá outras providências.”
SERGIO VICTOR BORGES BARBOSA, Prefeito do Município de Apiaí, Estado de São Paulo, no uso de suas atribuições legais e nos termos da legislação específica;
CONSIDERANDO a Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);
CONSIDERANDO que a proteção dos dados pessoais é um direito fundamental, previsto no inciso LXXIX, do art. 5º, da Constituição Federal, nos termos da Emenda Constitucional nº 115 de 10 de fevereiro de 2022;
CONSIDERANDO a necessidade de dotar o Poder Executivo Municipal com mecanismos de proteção de dados pessoais para garantir o cumprimento da norma de regência;
CONSIDERANDO, por fim, o dever da Administração Pública Municipal em proteger as informações pessoais dos cidadãos em seus Bancos de Dados e Sistemas Governamentais;
DECRETA:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Artigo 1°: Este Decreto regulamenta as normas específicas e os procedimentos necessários para aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei de Proteção de Dados Pessoais (LGPD), no âmbito da Administração Pública do Município de Apiaí, estabelecendo procedimentos, competências e providências a serem adotadas pelos seus Departamentos e Secretarias, visando garantir a proteção de dados pessoais.
Artigo 2°: As deliberações acerca do tratamento de dados pessoais, no âmbito da Administração Pública do Município de Apiaí, competem ao Chefe do Poder Executivo, que poderá delegá-las aos Secretários Municipais, no âmbito de suas respectivas atribuições e competências.
Artigo 3°: Para os fins deste Decreto, considera-se:
I. Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III. Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;
V. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador;
VIII. Encarregado: pessoa indicada pelo Controlador como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX. Agentes de tratamento: o Controlador e o operador;
X. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII. Consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII. Plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais;
XIV. Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XV. Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XVI. Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVII. Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVIII. Relatório de impacto à proteção de dados pessoais: documentação do Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XIX. Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XX. Autoridade Nacional de Proteção de Dados: órgão da Administração Pública Federal responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
CAPÍTULO II
DOS PRINCÍPIOS
Artigo 4°: As atividades de tratamento de dados pessoais pelos Departamentos e Secretarias vinculados a Administração Pública do Município de Apiaí deverão observar a boa-fé e os seguintes princípios:
I. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI. Transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII. Prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais;
IX. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO III
DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA MUNICIPAL
Artigo 5°: O tratamento de dados pessoais pelos Departamentos e Secretarias vinculados a Administração Pública do Município de Apiaí deve:
I. objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;
II. observar o dever de conferir publicidade às hipóteses de sua realização, fornecendo informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.
Artigo 6º: O tratamento de dados pessoais deve ser restrito à sua finalidade, executado de forma adequada e pelo prazo necessário.
§1°: A adequação a que se refere o caput deve obedecer a Política de Segurança da Informação adotada no Município.
§2°: A necessidade de armazenamento dos dados pessoais observará as obrigações legais ou judiciais de mantê-los protegidos.
§3°: Os responsáveis pelos tratamentos devem registrar as operações realizadas com dados pessoais.
§4°: O Controlador deve adotar medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis no âmbito e nos limites técnicos de seus serviços, para não serem acessados por terceiros não autorizados e, sempre que possível, proceder a sua anonimização.
Artigo 7º: Os Departamentos e Secretarias vinculados a Administração Pública do Município de Apiaí podem realizar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender as finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no art. 6°, da Lei Federal nº 13. 709, de 14 de agosto de 2018.
§1°: O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública poderá ser realizado nas seguintes hipóteses:
I. execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
II. cumprir obrigação legal ou judicial.
§2°: O Controlador deve manter o registro do compartilhamento dos dados pessoais para efeito de comprovação prevista no inciso VII, do art. 18 da Lei Federal n° 13.709, de 14 de agosto de 2018.
Artigo 8°: É vedado aos Departamentos e Secretarias vinculados a Administração Pública do Município de Apiaí transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I. em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 18 de novembro de 2011;
II. nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13. 709, de 14 de agosto de 2018;
III. quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Encarregado para comunicação à Autoridade Nacional de Proteção de Dados;
IV. na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou a proteção e o resguardo da segurança e da integridade do titular dos dados, desde que vedado o tratamento para outras finalidades
Parágrafo Único: Em quaisquer das hipóteses previstas neste artigo:
I. a transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada;
II. as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelos Departamentos e Secretarias.
Artigo 9º: Os Departamentos e Secretarias vinculados a Administração Pública do Município de Apiaí podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:
I. o Encarregado informe a Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;
II. seja obtido o consentimento do titular, salvo:
a. nas hipóteses de dispensa de consentimento, previstas na Lei Federal nº 13. 709, de 14 de agosto de 2018;
b. nos casos de uso compartilhado de dados, em que será dada a devida publicidade;
c. nas hipóteses do art. 6º deste Decreto.
Parágrafo Único: Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e o órgãos e entidades municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.
CAPÍTULO IV
DAS RESPONSABILIDADES
Artigo 10: Os Departamentos e Secretarias vinculados a Administração Pública do Município de Apiaí deverão, nos termos da Lei Federal nº 13.709, de 14 de agosto de 2018, realizar e manter continuamente atualizados:
I. o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
II. a análise e o relatório de risco e impacto à proteção de dados pessoais;
III. o plano de adequação, observadas as exigências do art. 18 deste Decreto;
IV. o relatório de impacto à proteção de dados pessoais, quando solicitado.
Artigo 11: O Poder Executivo do Município de Apiaí fica definido como Controlador.
Artigo 12: Compete ao Município de Apiaí, enquanto órgão Controlador:
I. aprovar, prover condições e promover ações para efetividade do Plano de Adequação de Proteção de Dados Pessoais do Departamento e/ou Secretaria;
II. nomear Encarregado para conduzir o Plano de Adequação e sua manutenção, através de ato próprio;
III. elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei,
IV. fornecer aos operadores termos de uso, manuais de instruções e treinamento dos tratamentos sob sua responsabilidade.
Artigo 13: Fica designado o Secretário Municipal de Administração como o Encarregado da proteção de dados pessoais, para os fins do art. 41 da Lei Federal nº 13.709, de 14 de agosto de 2018.
Parágrafo Único: A identidade e as informações de contato do Encarregado devem ser divulgadas publicamente, de forma clara e objetiva, no Portal da Transparência, em seção específica sobre tratamento de dados pessoais.
Artigo 14: Compete ao Encarregado:
I. gerenciar o Plano de Adequação para:
a) inventariar os tratamentos do Controlador, inclusive os eletrônicos;
b) analisar a maturidade dos tratamentos em face dos objetivos e metas estabelecidos e do consequente risco de incidentes de privacidade;
c) avaliar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
d) adotar as providências cabíveis para implementar as medidas de segurança avaliadas;
e) cumprir os objetivos e metas previstas no Plano de Adequação do seu órgão e/ou entidade.
II. receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências em articulação com a Ouvidoria Municipal;
III. receber comunicações da Autoridade Nacional e adotar as providências necessárias para o seu cumprimento;
IV. atender as normas complementares da Agência Nacional de Proteção de Dados Pessoais;
V. orientar os servidores públicos e os contratados do Município de Apiaí acerca das práticas a serem tomadas em relação à proteção de dados pessoais;
VI. editar diretrizes para a elaboração dos planos de adequação, conforme previsto no inciso III, do art. 5° deste Decreto;
VII. informar a Agência Nacional de Proteção de Dados Pessoais e aos titulares dos dados pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um plano de respostas a incidentes.
VIII. decidir sobre as sugestões formuladas pela Autoridade Nacional a respeito da adoção de padrões e de boas práticas para o tratamento de dados pessoais, nos termos do art. 32 da Lei Federal nº 13. 709, de 14 de agosto de 2018;
IX. providenciar a publicação dos relatórios de impacto à proteção de dados pessoais previstos pelo art. 32 da Lei Federal nº 13.709, de 14 de agosto de 2018;
X. encaminhar ao Departamento ou Secretaria responsável pelo tratamento de dados pessoais, fixando prazo para atendimento à solicitação ou apresentação das justificativas pertinentes, em caso de recebimento de informe da autoridade nacional com medidas cabíveis para fazer cessar eventual violação à Lei Federal nº 13.709, de 14 de agosto de 2018, nos termos do art. 31;
XI. avaliar as justificativas apresentadas nos termos do inciso X deste artigo, para o fim de:
a) caso avalie ter havido a violação, determinar a adoção das medidas solicitadas pela autoridade nacional;
b) caso avalie não ter havido a violação, apresentar as justificativas pertinentes à autoridade nacional, segundo o procedimento cabível;
XII. requisitar dos Departamentos e Secretarias responsáveis as informações pertinentes, para sua compilação em um único relatório, caso solicitada pela autoridade nacional a publicação de relatórios de impacto à proteção de dados pessoais, nos termos do art. 32 da Lei Federal nº 13.709, de 14 de agosto de 2018;
XIII. elaborar a política de proteção de dados;
XIV. executar as demais atribuições estabelecidas em normas complementares.
§1°: Para a devida execução de suas atribuições, o Encarregado terá acesso aos recursos orçamentários e estruturais próprios.
§2°: Os Departamentos e Secretarias vinculados a Administração Pública do Município de Apiaí deverão atender às solicitações feitas pelo Encarregado com fundamento neste Decreto.
§3°: O Encarregado é obrigado a manter total sigilo das informações por si acessadas em razão das atribuições dadas por este Decreto, estando sujeito às sanções cíveis, administrativas e criminais.
Artigo 15: Compete aos Secretários Municipais:
I. dar cumprimento, no âmbito dos respectivos órgãos, às ordens e recomendações do Encarregado na qualidade de responsável da proteção de dados pessoais;
II. atender às solicitações encaminhadas pela Ouvidoria Municipal no sentido de fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 14 de agosto de 2018, ou apresentar as justificativas pertinentes;
III. encaminhar ao Encarregado, no prazo por este fixado:
a. informações sobre o tratamento de dados pessoais que venham a ser solicitadas pela autoridade nacional, nos termos do art. 29 da Lei Federal nº 13.709, de 14 de agosto de 2018;
b. relatórios de impacto à proteção de dados pessoais, ou informações necessárias à elaboração de tais relatórios, nos termos do art. 32 da Lei Federal nº 13. 709, de 14 de agosto de 2018.
IV. assegurar que o Encarregado seja informado, de forma adequada e em tempo útil, de todas as questões relacionadas com a proteção de dados pessoais no âmbito da Administração Pública do Município de Apiaí.
Artigo 16: Compete a Secretaria Municipal de Administração:
I. editar as diretrizes para a elaboração dos planos de adequação no âmbito do Poder Executivo Municipal;
II. orientar, sob o ponto de vista tecnológico, as demais Secretarias e entes da administração indireta na implantação dos respectivos planos de adequação.
Artigo 17: Compete a Ouvidoria Municipal:
I. consolidar os resultados e apoiar o monitoramento da Proteção de Dados Pessoais implementados no Município;
II. disponibilizar canal de atendimento e coordenar a qualidade do atendimento ao titular do dado;
III. encaminhar o atendimento ao Encarregado e acompanhar a sua resolutividade.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Artigo 18: Os planos de adequação devem observar, no mínimo, o seguinte:
I. publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas oficiais do Município e no Portal da Transparência;
atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23, § 1°, e do art. 27, parágrafo único, da Lei Federal nº 13. 709, de 14 de agosto de 2018.
II. manutenção de dados para o uso compartilhado com vistas a execução de políticas públicas, à prestação de serviços públicos, a descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral;
III. elaboração de inventário de dados, assim entendido o registro de operações de tratamento de dados pessoais, realizados pelo órgão ou entidade;
IV. elaboração do Relatório de Impacto de Proteção de Dados Pessoais, assim entendida a descrição dos processos de tratamento de dados pessoais que podem gerar riscos as liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos;
V. elaboração de Plano de Resposta a Incidentes, assim entendido o plano de resposta para tratar ocorrências de situações que venham a lesar a segurança de dados pessoais mantidos sob a responsabilidade do órgão ou entidade;
VI. instrumentalização da adequação de Contratos, conforme orientações expedidas pela Secretaria Municipal de Assuntos Jurídicos.
Artigo 19: A Secretaria Municipal de Administração poderá expedir normas complementares a este Decreto, objetivando dirimir eventuais casos omissos.
Artigo 20: Os Departamentos e Secretarias vinculados a Administração Pública do Município de Apiaí deverão comprovar ao Encarregado estar em conformidade com o disposto no art. 10 deste Decreto no prazo de 180 (cento e oitenta) dias, contados da sua publicação.
Artigo 21: Este Decreto entra em vigor na data de sua afixação no átrio do Poder Executivo Municipal, e posterior publicação no órgão de imprensa oficial do Município, revogando as disposições em contrário.
Palácio Rio Menino – Gabinete do Prefeito,
Apiaí-SP, em 27 de março de 2024.
SERGIO VICTOR BORGES BARBOSA
Prefeito do Município de Apiaí
Este conteúdo não substitui o publicado na versão certificada.
