IMPRENSA OFICIAL - JACI
Publicado em 27 de fevereiro de 2025 | Edição nº 1078 | Ano IX
Entidade: Poder Executivo | Seção: Atos Oficiais | Subseção: Decretos
DECRETO N° 064, DE 09 DE DEZEMBRO DE 2.024.
DISPÕE SOBRE A REGULAMENTAÇÃO DA APLICAÇÃO DA LEI FEDERAL Nº 13.709, DE 14 DE AGOSTO DE 2018 – LEI DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) NO ÂMBITO DA PREFEITURA MUNICIPAL DE JACI E DÁ OUTRAS PROVIDÊNCIAS.
VALÉRIA PERPÉTUO GUIMARÃES HENRIQUE, Prefeita do Município de Jaci, Comarca de Mirassol, Estado de São Paulo, usando das atribuições que lhe são conferidas por lei,
CONSIDERANDO a Lei Federal nº 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), e a necessidade de sua regulamentação no âmbito do Município de Jaci/SP e de seus mecanismos de tratamento e proteção de dados pessoais;
CONSIDERANDO a Lei Federal n. 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI), que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal;
CONSIDERANDO o dever da Administração Pública de proteger as informações pessoais dos cidadãos;
CONSIDERANDO a necessidade de instituir e manter uma política que norteie o tratamento de dados e informações no âmbito do Município de Jaci/SP, quanto aos aspectos de segurança;
CONSIDERANDO a importância que deve ser dada à garantia da integridade, à disponibilidade, à confidencialidade e à autenticidade dos dados e das informações utilizadas pelo Município de Jaci/SP,
D E C R E T A:
Art. 1º. As medidas de proteção de dados pessoais e obrigatórias nos termos da Lei Geral de Proteção de Dados Pessoais – LGPD, aprovada pela Lei federal n. 13.709, de 14 de agosto de 2018, serão implantadas e ficam regulamentadas, no âmbito da Prefeitura Municipal de Jaci, de acordo com o presente Decreto.
Parágrafo único. A guarda e o controle interno de dados pessoais, tanto de pessoas físicas como jurídicas, obedecerão às normas do sistema interno de proteção de dados pessoais da Prefeitura Municipal.
Art. 2º Para os fins deste decreto, considera-se:
I - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;
V - Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - Controlador: pessoal natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - Encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - Agentes de tratamento: o controlador e o operador;
X - Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - Consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - Plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas aos incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.
Art. 3º As atividades de tratamento de dados pessoais por órgão municipal, no âmbito da Prefeitura Municipal de Jaci, deverão observar a boa-fé e os seguintes princípios:
I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – Transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – Prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais;
IX – Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 4º. Nos termos da LGPD as decisões referentes ao tratamento de dados pessoais, no âmbito da Administração Pública Direta e Indireta do Município de Jaci, cabem ao Poder Executivo Municipal que exercerá as atribuições de Controlador de Dados e Informações no âmbito da Prefeitura Municipal.
Art. 5º O Poder Executivo, por meio dos setores que integram a estrutura Municipal, nos termos da Lei Federal nº 13.709, de 2018, deve realizar e manter continuamente atualizados:
I – O mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
II – A análise de risco;
III – O plano de adequação, observadas as exigências deste decreto;
IV – O relatório de impacto à proteção de dados pessoais, quando solicitado.
Art. 6°. O Poder Executivo Municipal poderá instituir, mediante Portaria, um Comitê Gestor de Governança de Dados e Informações da Prefeitura do Município de Jaci, responsável por auxiliar o Controlador de Dados e Informações no desempenho das seguintes atividades:
I - Monitoramento contínuo de dados pessoais e de fluxos das respectivas operações de tratamento;
II - Análise de risco;
III - Elaboração e atualização contínua da Política de Proteção de Dados Pessoais;
IV - Orientar, sob o aspecto formal, a implantação, em seus respectivos âmbitos, da Política de Proteção de Dados Pessoais, em conformidade com as diretrizes gerais deliberadas;
V - Expedir normas regulamentares necessárias ao cumprimento da Lei n° 13.709/2018 e desta Lei;
VI - Assegurar o cumprimento das normas relativas à proteção dos dados pessoais, de forma adequada aos objetivos da Lei n° 13.709/2018;
VII - Recomendar ao Poder Executivo medidas de implementação e aperfeiçoamento das normas e procedimentos necessários ao correto cumprimento do disposto na Lei n° 13.709/2018 (LGPD);
VIII - Orientar as demais unidades da estrutura organizacional da Prefeitura Municipal de Jaci no que se refere ao cumprimento do disposto na Lei n° 13.709/2018 e neste Decreto;
IX - Monitorar a aplicação da Lei n° 13.709/2018 e deste Decreto no âmbito da Prefeitura Municipal de Jaci.
Parágrafo único. O Comitê Gestor de Governança de Dados e Informações da Prefeitura do Município de Jaci será composto por 03 (três) membros, tendo como Presidente um de seus membros, o qual exercerá a designação de ENCARREGADO DE DADOS E INFORMAÇÕES PESSOAIS, conforme indicado na respectiva Portaria.
Art. 7º. O Encarregado de Dados e Informações Pessoais atuará como canal de comunicação entre a Prefeitura Municipal, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), bem como com outras entidades de proteção de dados pessoais, devendo obedecer ao seguinte:
I – Possuir conhecimentos multidisciplinares essenciais à sua designação, como, preferencialmente, conhecimentos relativos à informática, ciências da computação, privacidade e proteção de dados pessoais, gestão de riscos, governança de dados e acesso à informação no setor público;
II – Receber capacitação relacionada aos conhecimentos de que trata o Inciso I do “caput” deste artigo.
Art. 8º. São atividades do Encarregado de Dados e Informações Pessoais:
I – Receber reclamações e comunicação dos titulares dos dados, prestar esclarecimentos e adotar providências, observando o disposto nesta Resolução;
II – Receber comunicações da ANPD e adotar providências;
III – orientar os servidores e demais colaboradores da Prefeitura Municipal a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;
IV – Elaborar relatórios sobre a proteção de dados pessoais, quando necessário;
V – Adotar as medidas necessárias à publicação dos relatórios relativos à proteção de dados pessoais, na forma solicitada pela autoridade competente;
VI – Receber e encaminhar à Administração Pública Municipal, para verificação da viabilidade de adoção, as sugestões e providências a ele direcionadas;
VII – Executar demais atribuições eventualmente estabelecidas em normas complementares.
Art. 9º. A Política de Proteção de Dados Pessoais, a ser desenvolvida nos termos deste Decreto, consiste na reunião de diretrizes para a manipulação de informações pessoais, que devem ser rigorosamente seguidas por todos os setores da Prefeitura, abrangendo as condições mínimas estabelecidas na Lei nº 13.709, de 14 de agosto de 2018 (LGPD).
Art. 10. Todo e qualquer pedido de fornecimento de dados pessoais pertencentes aos registros, cadastros e arquivos mantidos pela Prefeitura Municipal deverá ser formulado por escrito.
Parágrafo Único. Fica proibido o fornecimento de dados pessoais sob a guarda da Prefeitura quando não solicitado por escrito.
Art. 11. Os requerimentos do titular de dados, formulados nos termos do artigo 18 da Lei nº 13.709/2018 (LGPD), serão direcionados ao Encarregado de Dados e Informações Pessoais, e deverão observar os prazos e procedimentos previstos na Lei nº 12.527, de 2011 (LAI).
§ 1º. Os requerimentos de que trata o caput deste artigo serão respondidos pelo Encarregado de Dados e Informações Pessoais, com o apoio técnico-jurídico da Procuradoria Jurídica da Prefeitura e dos responsáveis pelos setores que detenham a informação.
§ 2º. O pedido de tratamento de dados pessoais solicitado pelo titular não se confunde com o pedido realizado com fundamento na Lei de Acesso a Informação, mantendo-se válidos os dispositivos que restringem o acesso a informações pessoais por terceiros, salvo após decorrência do prazo de sigilo, previsão legal ou consentimento expresso do titular.
Art. 12. O Encarregado de Dados e Informações Pessoais comunicará ao Controlador e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares informando:
I - A descrição da natureza dos dados pessoais afetados;
II - As informações sobre os titulares envolvidos;
III - A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - Os riscos relacionados ao incidente;
V - Os motivos da demora, no caso de a comunicação não ter sido imediata;
VI - As medidas que foram ou que serão adotadas para reverter ou mitigar o prejuízo.
Art. 14. O sistema de tratamento de dados pessoais, a ser introduzido sob os termos deste Decreto, funcionará de forma a abranger as diversas operações realizadas com dados pessoais, como os que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração e outras mais similares às situações relacionadas neste artigo.
Art. 15. É vedado aos Setores da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - Em casos de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 2011;
II - Nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709, de 2018;
III - Quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Controlador do Município para comunicação à autoridade nacional de proteção de dados;
IV - Na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Art. 16. Sempre que necessário, o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e os órgãos e setores municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.
Art. 17. No tratamento dos dados pessoais sob a guarda da Prefeitura serão observadas as disposições e os conceitos estabelecidos nos termos da Lei 13.709/2018 (LGPD).
Art. 18. As disposições estabelecidas neste Decreto deverão ser revisadas e aperfeiçoadas permanentemente, conforme sejam implementados os respectivos procedimentos de conformidade do Poder Executivo Municipal à 13.709/2018 (LGPD).
Art. 19. O Executivo Municipal poderá editar expedientes internos e normas complementares que se fizerem necessárias ao cumprimento deste Decreto.
Art. 20. Este Decreto entra em vigor na data de sua publicação.
Prefeitura Municipal de Jaci, 09 de dezembro de 2.024.
Valéria Perpétuo Guimarães
Prefeita Municipal
Publicado e registrado na Secretaria Municipal
Na data supra.
Este conteúdo não substitui o publicado na versão certificada.
