IMPRENSA OFICIAL - RIFAINA
Publicado em 07 de julho de 2025 | Edição nº 275 | Ano II
Entidade: Poder Executivo | Seção: Atos Oficiais | Subseção: Decretos
DECRETO Nº 1.534/25 DE 07 DE JULHO DE 2025.
Dispõe sobre a regulamentação da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) - no âmbito da Administração Municipal Direta e Indireta do Poder Executivo Municipal.
WILSON ALES DA SILVA JUNIOR, Prefeito de Rifaina, no uso das atribuições que lhe são conferidas pela Lei Orgânica do Município;
CONSIDERANDO o disposto no inciso LXXIX, artigo 5º, da Constituição Federal de 1988, incluído por meio da Emenda Constitucional nº 115, de 10 de fevereiro de 2022, que inseriu no texto constitucional o direito à proteção dos dados pessoais;
CONSIDERANDO a Lei Nacional nº 13.709, de 14 de agosto de 2018, que disciplina as normas gerais de proteção de dados pessoais;
CONSIDERANDO finalmente a necessidade de regulamentação de normas e procedimentos específicos no âmbito interno do Poder Executivo Municipal com relação à proteção de dados pessoais,
DECRETA:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Este Decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, estabelecendo normas, competências e procedimentos a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais.
Art. 2º Para os fins deste Decreto, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI - uso compartilhado de dados: comunicação, difusão, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX - autoridade nacional ou ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional;
XX - documento: unidade de registro de informações, qualquer que seja o suporte ou formato;
XXI - plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais;
XXII - incidente de segurança: qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, como acesso não autorizado, acidental ou ilícito, que resulte na destruição, perda, alteração, vazamento ou, ainda, qualquer forma de tratamento de dados inadequada ou ilícita, a qual possa ocasionar risco para os direitos e liberdades do titular dos dados pessoais, observados os princípios da proporcionalidade e razoabilidade.
Art. 3º As atividades de tratamento de dados pessoais pelos órgãos e entidades do poder executivo municipal deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA
Art. 4º O tratamento de dados pessoais pelos órgãos e entidades da administração pública municipal deve:
I - objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para ao atendimento de sua finalidade pública e a persecução do interesse público;
II - observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas.
Art. 5º O tratamento de dados pessoais, inclusive os dados pessoais sensíveis e os dados pessoais de crianças e adolescentes somente poderão ocorrer nas hipóteses e exceções previstas na legislação vigente.
Art. 6º Os órgãos e as entidades da Administração Pública Municipal poderão efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios elencados no artigo 6º da Lei Federal nº 13.709, de 14 de agosto de 2018.
§ 1º Ressalvadas as hipóteses de dispensa do consentimento prevista na legislação vigente, o controlador que necessitar comunicar ou compartilhar com outros controladores, dados pessoais obtidos mediante o disposto no inciso I, do artigo 7º, da Lei Federal nº 13.709, de 14 de agosto de 2018, deverá obter consentimento específico do titular para esta finalidade.
§ 2º As solicitações de compartilhamento e o uso compartilhado de dados pessoais, bem como os respectivos procedimentos, observarão as diretrizes e recomendações expedidas pela autoridade nacional.
Art. 7º É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 18 de novembro de 2011;
II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da legislação vigente;
III - quando houver previsão legal ou a transferência for respaldada, por meio de dispositivo específico em contratos, convênios ou instrumentos congêneres;
IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo único. Para as hipóteses previstas neste artigo, a transferência dos dados dependerá de autorização específica conferida pelo órgão municipal às entidades privadas, que deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantidos pelo órgão municipal.
Art. 8º Os órgãos e entidades da Administração Pública Municipal poderão efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:
I - a Autoridade Nacional de Proteção de Dados seja informada, de acordo com a regulamentação, conforme disposto no parágrafo único, do art. 27, da LGPD; e
II - seja obtido o consentimento do titular, salvo:
a) nas hipóteses de dispensa de consentimento previstas na Lei Federal nº 13.709, de 14 de agosto de 2018;
b) nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso II, artigo 4º, deste Decreto;
c) nas hipóteses do artigo 7º, deste Decreto.
Parágrafo único. Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e os controladores poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.
Art. 9º Os planos de adequação observarão, no mínimo, o seguinte:
I - publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet, bem como no Portal da Transparência;
II - atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do § 1º, art. 23 e do parágrafo único, art. 27, da Lei Federal nº 13.709, de 14 de agosto de 2018;
III - manutenção de dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
CAPÍTULO III
DAS RESPONSABILIDADES
Seção I
Das Responsabilidades na Administração Pública Municipal
Art. 10. Para os fins deste Decreto, estão definidos como controladores de dados, com as atribuições que constam do inciso VI, do artigo 2º, todas as Secretarias Municipais e as entidades da Administração Indireta do Município.
§ 1º Cada órgão ou entidade, no âmbito de sua atuação, poderá regulamentar o tratamento dos dados pessoais em suas atividades, observando as demais normas e políticas relacionadas vigentes, caso entendam necessário.
§ 2º No caso em que uma mesma operação de tratamento de dados pessoais envolver mais de um controlador, a regulamentação do § 1º deve ser feita de forma conjunta.
Art. 11. Compete a cada órgão ou entidade da Administração Direta e Indireta, que tem o papel de controlador:
I - nomear o responsável por conduzir e elaborar o plano de adequação com o descritivo dos procedimentos, processos e modelos de documentação específicas e medidas que serão realizadas para adequar o órgão ou entidade por ele representado à Lei Geral de Proteção de Dados, com base nas normas e orientações recebidas da Coordenadoria Geral de Tratamento e Proteção de Dados Pessoais do Município;
II - implementar a adequação de seu respectivo setor à LGPD, com base no Plano de Adequação elaborado na forma do inciso I deste artigo;
III - receber e decidir, no âmbito dos respectivos órgãos, sobre as recomendações do encarregado pelo tratamento de dados pessoais;
IV - atender às solicitações encaminhadas pelo encarregado de dados no sentido de fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 14 de agosto de 2018;
V - encaminhar ao encarregado, no prazo por este fixado:
a) informações sobre o tratamento de dados pessoais que venham a ser solicitados pela autoridade nacional de proteção de dados, nos termos do art. 29, da Lei Federal nº 13.709, de 14 de agosto de 2018; e
b) relatórios de impacto à proteção de dados pessoais, ou informações necessárias à elaboração de tais relatórios, nos termos do art. 32, da Lei Federal nº 13.709, de 14 de agosto de 2018;
VI - assegurar que o encarregado seja informado, de forma adequada e em tempo útil, de todas as questões relacionadas com a proteção de dados pessoais no âmbito do poder executivo municipal.
Art. 12. O Poder Executivo Municipal, por meio de suas Secretarias, órgãos e entidades da Administração Direta e Indireta, nos termos da Lei Federal nº 13.709, de 14 de agosto de 2018, deve realizar e manter continuamente atualizados:
I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
II - a análise de risco;
III - o plano de adequação, observadas as exigências do artigo 9º deste Decreto;
IV - o relatório de impacto à proteção de dados pessoais, quando solicitado.
§ 1º Para fins do inciso III, do caput deste artigo, as Secretarias Municipais da Prefeitura de Rifaina devem observar as diretrizes editadas pela Coordenadoria Geral de Tratamento e Proteção de Dados Pessoais.
§ 2º Fica a critério dos órgãos e entidades da Administração Indireta a adoção das diretrizes editadas de acordo com o parágrafo anterior, sendo permitido que estabeleçam padrões próprios para o respectivo plano de adequação em conformidade com sua realidade interna, observadas as disposições previstas do artigo 9º e em demais normas vigentes ou padrões estabelecidos pelos órgãos de controle.
Art. 13. As entidades integrantes da Administração Indireta Municipal que atuarem em regime de concorrência, sujeitas ao disposto no art. 173, da Constituição Federal, observarão o regime relativo às pessoas jurídicas de direito privado, salvo enquanto estiverem operacionalizando políticas públicas e no âmbito da execução delas, nos termos do art. 24, da Lei Federal nº 13.709, de 14 de agosto de 2018.
Seção II
Do Encarregado Pelo Tratamento de Dados Pessoais
Art. 14. Compete ao Encarregado pelo Tratamento de Dados Pessoais da Prefeitura de Rifaina:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV - providenciar, em caso de recebimento de informe da autoridade nacional com medidas cabíveis para fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 14 de agosto de 2018, nos termos do art. 31 daquela lei, o encaminhamento ao responsável, fixando prazo para atendimento à solicitação ou apresentação das justificativas pertinentes;
V - avaliar as manifestações apresentadas nos termos do inciso IV, deste artigo, para o fim de:
a) havendo violação, determinar a adoção das medidas solicitadas pela autoridade nacional;
b) não ocorrendo violação, apresentar as justificativas pertinentes à autoridade nacional, segundo o procedimento cabível.
VI - requisitar as informações pertinentes, para consolidação em um único relatório, caso solicitada pela autoridade nacional a publicação de relatórios de impacto à proteção de dados pessoais do respectivo órgão ou entidade, nos termos do artigo 32, da Lei Federal nº 13.709, de 14 de agosto de 2018;
VII - providenciar medidas para a publicação dos relatórios de impacto à proteção de dados pessoais previstos pelo art. 32, da Lei Federal nº 13.709, de 14 de agosto de 2018;
VIII - executar as demais atribuições determinadas estabelecidas em normas complementares.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, em sítio eletrônico do respectivo controlador.
§ 2º Respeitadas eventuais competências exclusivas previstas em normas vigentes, o Encarregado pelo Tratamento de Dados Pessoais da Prefeitura de Rifaina, poderá delegar as atividades descritas neste artigo à Coordenadoria Geral de Tratamento e Proteção de Dados Pessoais do Município, da Controladoria-Geral do Município.
§ 3º Para a devida execução de suas atribuições, o Encarregado pelo Tratamento de Dados Pessoais será dotado de recursos orçamentários e estruturais próprios.
§ 4º As competências previstas neste artigo também se aplicam aos Encarregados pelo Tratamento de Dados Pessoais dos órgãos e entidades da Administração Indireta Municipal, com exceção ao disposto no § 2º deste artigo.
Art. 15. Ficará designado por meio de portaria após a criação do cargo ou função mediante Lei, o Controlador-Geral de Dados do Município sendo este o Encarregado pelo Tratamento de Dados Pessoais da Prefeitura Municipal de Rifaina.
§ 1º Cada Secretaria Municipal e Entidade da Administração Indireta indicará seu Encarregado pelo Tratamento de Dados Pessoais, através de ato formal e tornado público no Diário Oficial do Município, em conformidade com o art. 41, da Lei Geral de Proteção de Dados Pessoais.
§ 2º O Encarregado pelo Tratamento de Dados Pessoais dos órgãos da Administração Direta Municipal designado na forma do parágrafo anterior, exercerá as suas atribuições apenas no âmbito do órgão ao qual está vinculado.
§ 3º Respeitada a sua autonomia, na ausência de encarregado pelo tratamento de dados pessoais nos órgãos e entidades da administração indireta municipal por qualquer motivo, inclusive a não designação conforme o §1º deste artigo, designa-se automaticamente como Encarregado pelo Tratamento de Dados Pessoais a autoridade máxima do respectivo órgão, enquanto perdurar a ausência.
Seção III
Da Coordenadoria-geral de Tratamento e Proteção de Dados do Município
Art. 16. Compete à Coordenadoria Geral de Tratamento e Proteção de Dados do Município, no âmbito interno da Prefeitura Municipal de Rifaina:
I - mapear os dados pessoais existentes e dos fluxos de dados pessoais nas unidades da Prefeitura;
II - analisar o risco e desenvolver a governança sobre o tema;
III - determinar a órgãos e entes municipais a realização de estudos técnicos para elaboração das diretrizes;
IV - editar e implantar as diretrizes do plano de adequação;
V - realizar relatório de impacto à proteção de dados pessoais, quando solicitado;
VI - acompanhar as diretrizes formuladas pela autoridade nacional a respeito da adoção de padrões e de boas práticas para o tratamento de dados pessoais;
VII - promover a capacitação dos servidores públicos municipais sobre as diretrizes e procedimentos a serem adotados;
VIII - receber comunicações da autoridade nacional e adotar providências;
IX - orientar os servidores públicos e os contratados da Administração Pública Direta a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
X - realizar as demais atividades de sua competência, previstas em outras normas vigentes.
§ 1º O Controlador-Geral do Município poderá recomendar a adoção de providências visando a padronização dos procedimentos adotados pela administração pública municipal.
§ 2º Observado o parágrafo anterior, o disposto neste artigo não se aplica à Administração Indireta Municipal, ressalvadas às competências da CGPD que estejam previstas em lei.
Seção IV
Dos Setores de Tecnologia da Informação na Prefeitura Municipal de Rifaina
Art. 17. Compete aos setores de Tecnologia da Informação na Prefeitura Municipal de Rifaina:
I - orientar, sob o ponto de vista tecnológico, as secretarias municipais sobre a proteção de dados pessoais e segurança da informação;
II - recomendar a adoção de procedimentos e padrões para segurança das informações pessoais, em sistemas, equipamentos e outros itens relativos à informática;
III - realizar levantamentos das informações sobre os equipamentos e sistemas informáticos para subsídio na elaboração de diretrizes sobre proteção de dados pessoais;
IV - fomentar a atualização e modernização das tecnologias utilizadas na Prefeitura Municipal de Rifaina
V - outras atribuições referentes à sua área de atuação com relação ao tema e em demais normas vigentes.
Parágrafo único. Faculta-se à Administração Indireta a definição das atribuições e competências internas dos seus setores ou responsáveis por tecnologia da informação.
CAPÍTULO IV
DISPOSIÇÕES FINAIS
Art. 18. Secretarias Municipais e as entidades da Administração Indireta, observadas as regras definidas em Decreto, na legislação vigente e nas disposições emanadas pela ANPD, poderão expedir normativas em âmbito interno para adequação do órgão à LGPD, considerando a especificidade de suas atividades e a respectiva estrutura organizacional.
Art. 19. Em caso de alteração, criação ou extinção de qualquer Órgão, Secretaria, Cargo ou Função com atribuições neste Decreto, ficam automaticamente designados como responsáveis aqueles que vierem a suceder ou absorver as suas respectivas atividades.
Parágrafo único: A criação de qualquer espécie de cargo ou função pública para cumprimento da Lei Geral de Proteção de Dados e deste Decreto Regulamentatório se dará somente mediante lei.
Art. 20. Os agentes de tratamento, funcionários públicos ou qualquer pessoa que tenha acesso às informações pessoais tratadas pelos órgãos do poder executivo municipal ficam responsáveis por resguardar o sigilo e a confidencialidade destas informações, estando sujeitos às sanções nas esferas administrativa, civil e penal correspondentes, além das demais penalidades previstas em legislações específicas.
Art. 21. Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão os preceitos da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), e na omissão desta, observar-se-á as disposições da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo).
Parágrafo único. A contagem dos prazos relacionadas a este Decreto se inicia após a cientificação oficial do órgão ou entidade, excluindo-se da contagem o dia de início e incluindo o do vencimento, sendo prorrogado até o próximo dia útil seguinte caso o vencimento ocorra em dia em que não houver expediente ou este for reduzido à sua hora normal.
Art. 22. Em caso de alteração na LGPD ou em legislação que conflite com as disposições deste Decreto, a interpretação da norma será realizada com base no texto da legislação vigente.
Art. 23. As despesas decorrentes da execução do presente Decreto correrão por conta de verba orçamentária própria.
Art. 24. Este Decreto entra em vigor na data de sua publicação.
Rifaina, 07 de julho de 2025.
WILSON ALVES DA SILVA JUNIOR
PREFEITO MUNICIPAL
Este conteúdo não substitui o publicado na versão certificada.
