IMPRENSA OFICIAL - CAPELA DO ALTO
Publicado em 11 de julho de 2022 | Edição nº 842 | Ano V
Entidade: Poder Executivo | Seção: Atos Oficiais | Subseção: Decretos
DECRETO Nº 3.396/2022
de 14 de Junho de 2022.
“Regulamenta a aplicação da Lei Federal 13.709 de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD) no âmbito da Administração Municipal”.
PÉRICLES GONÇALVES, Prefeito do Município de Capela do Alto, no uso de suas atribuições legais,
Considerando a necessidade de regulamentação da Lei Federal 13.709 de 2018;
Considerando a necessidade de planejamento da referida legislação;
Considerando a necessidade de disponibilização dos dados municipais;
Considerando ainda a importância da Lei Geral de Proteção de Dados;
D E C R E T A:
Art. 1º - Fica regulamentada na Administração Pública Municipal a Lei Geral de Proteção de Dados – 13.709 de 14 de agosto de 2018 – de acordo com as especificações deste decreto.
Art. 2º -Para fins deste decreto, considera-se:
I) dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II) dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III) dado anonimizado: dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV) banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V) titular dos dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI) controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, devendo fornecer elementos decisórios essenciais ao operador;
VII) operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII) encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD;
IX) agentes de tratamento de dados pessoais: o controlador e o operador;
X) tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI) anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII) consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII) bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV) eliminação: exclusão de dados ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV) transferência internacional de dados pessoais: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI) uso compartilhado de dados pessoais: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por secretarias, departamentos e/ou setores no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII) Relatório de Impacto à Proteção de Dados Pessoais (RIPD): documentação do controlador, conforme definido no inciso VI do art. 2º deste decreto, com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII) órgão de pesquisa: órgão ou entidade da administração pública ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX) Autoridade Nacional de Proteção de Dados - ANPD: órgão da Administração Pública Federal, cujos papéis e competências estão definidos na Lei Federal nº 13.709, de 14 de Agosto de 2018 - LGPD; e
XX) incidente de segurança de dados: violação às medidas de segurança, técnicas e administrativas implementadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Parágrafo único - As regras constantes da LGPD aplicam-se à Prefeitura do Município de Capela do Alto, assim como os regulamentos e as orientações publicadas pela Autoridade Nacional de Proteção de Dados.
Art. 3º - O Poder Executivo Municipal, por meio de seus órgãos e entidades, nos termos da Lei Federal 13.709/2018, deve realizar e manter continuamente atualizados:
I) O mapeamento dos dados pessoais existentes e do fluxo de dados pessoais em suas unidades;
II) A análise e o relatório de risco e impacto à proteção de dados pessoais;
III) O plano de adequação, observadas as exigências do art. 9º deste decreto.
Art. 4º -Fica estabelecido o Programa Municipal de Proteção de Dados, constituído por frentes de atuação divididas nos seguintes eixos, assim definidos:
I) Eixo "Compreender o problema": elaboração de um conjunto de diagnósticos que permita mapear os tratamentos de dados pessoais e dados pessoais sensíveis que são realizados pela Prefeitura, além de possibilitar a análise dos riscos envolvidos;
II) Eixo "Criar e revisar normativos": criação de ações que abrangerão os agentes relevantes para a implementação de políticas e boas práticas, melhoria das competências desses agentes, dos instrumentos, dos processos de trabalho e das atividades atinentes à privacidade, bem como a produção de textos normativos e regulatórios;
III) Eixo "Gerenciar riscos": identificação dos riscos e definição das medidas para mitigá-los, estruturando-se ferramentas, instrumentos e processos de trabalho para dirimi-los, criar respostas a incidentes de segurança de dados e realizar as comunicações previstas na legislação e regulamentos;
IV) Eixo "Elaborar instrumentos": desenvolvimento de metodologias, minutas-padrão, modelos de documentação e procedimentos para que os instrumentos necessários ao atendimento dos direitos dos titulares e demais dispositivos constantes na LGPD e legislação correlata, bem como em regulamentos complementares, venham a ser implementados;
V) Eixo "Capacitar e sensibilizar": promoção da capacitação para os agentes públicos da Prefeitura Municipal de Capela do Alto, de modo a fomentar uma cultura de proteção de dados no âmbito da administração pública municipal, além da realização de eventos mobilizadores, que poderão contar com a participação da sociedade civil e de especialistas em temas relativos à proteção e governança de dados.
Parágrafo único - Cabe ao Setor de Tecnologia da Informação propor as medidas de governança necessárias à implementação da conformidade no âmbito da Prefeitura Municipal de Capela do Alto.
Art. 5º - Para a implementação do Programa Municipal de Proteção de Dados, serão adotadas regras de transição, cabendo:
I) Ao Depto Jurídico - propor cláusula-padrão acerca da proteção de dados pessoais que passe a ser utilizada por toda a administração pública municipal, ou validar texto proposto para esse fim;
II) Ao Setor de Tecnologia da Informação:
a) propor a metodologia de análise de riscos que orientará os órgãos e entidades da administração na identificação e tratamento dos riscos referentes à proteção de dados;
b) aplicação de avaliação de maturidade para todos os órgãos e entidades da administração pública municipal direta e indireta, além da compilação dos resultados obtidos, de modo a obter informações qualificadas que permitam embasar decisões sobre processos de negócio que endereçam dados pessoais;
c) esclarecimento de eventuais dúvidas dos órgãos e entidades da administração pública municipal direta e indireta acerca da proteção e da governança de dados;
d) construção das orientações para atendimento aos titulares de dados pessoais, de modo que o exercício de direito dos titulares seja plenamente garantido, providenciando as capacitações necessárias, além das adequações dos sítios eletrônicos e canais institucionais de comunicação para que os titulares possam solicitar o acesso facilitado às informações sobre o tratamento de seus dados no âmbito da Prefeitura.
§ 1º - O Setor de Tecnologia da Informação poderá requerer auxílio de outras áreas da administração, para as providências necessárias à transição prevista no caput deste artigo.
§ 2º - As secretarias, departamentos e/ou setores da Administração Pública Municipal que realizam compartilhamento de dados com operadores, deverão, respeitando o cronograma de trabalho por eles estabelecidos em prazo não superior a 90 (noventa) dias a contar da publicação deste decreto, identificar e mapear os dados compartilhados, a finalidade do compartilhamento, quem terá acesso a esses dados, entre outros elementos, de forma a produzir, posteriormente, orientações a quem trata dados pessoais em nome da Prefeitura Municipal de Capela do Alto.
§ 3º- Os departamentos, secretarias e/ou setores da administração pública municipal deverão encaminhar ao Setor de Tecnologia da Informação, no prazo de 30 (trinta) dias contados da publicação deste decreto, a indicação de pelo menos 1 (um) representante para ser o responsável pela realização de capacitação e futura elaboração de documentos, normativas e instrumentos relativos à proteção de dados, devendo os profissionais indicados possuir o seguinte perfil mínimo:
I) possuir conhecimento das bases de dados, digitais e não digitais, existentes no setor, departamento ou secretaria;
II) possuir acesso aos responsáveis pelas decisões finais;
III) possuir disponibilidade para participar das capacitações que serão indicadas; e
IV) possuir perfil proativo, dinâmico e realizador.
§ 4º - Os responsáveis de cada secretaria, departamento e/ou setor da administração pública municipal devem ser indicados considerando-se a possibilidade de, futuramente, serem objeto de nova indicação para atuarem como encarregados pelo tratamento de dados pessoais, de modo a exercerem as atribuições constantes do art. 41, da LGPD.
§ 5º - O questionário de avaliação de maturidade a que se refere a alínea "b" do inciso II do caput deste artigo, deve ser respondido, sob a orientação da Gerencia Geral da Prefeitura, por todas as secretarias, departamentos e/ou setores da administração pública municipal, contendo informações realistas e descritivas acerca das bases de dados, digitais ou não, sob sua responsabilidade no momento do levantamento.
§ 6º-Fica autorizado o uso compartilhado de dados entre as secretarias, departamentos e/ou setores da administração pública municipal a que se refere o inciso XVI do art. 2º, com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas ou execução de contratos, no âmbito de suas atribuições legais, observados os princípios de proteção de dados pessoais elencados no art. 6º da LGPD.
Art. 6º -Cabe às empresas que entregam soluções ou serviços de tecnologia para a administração pública municipal:
I) implementar e administrar, direta ou indiretamente, métodos de desenvolvimento, implantação e gerenciamento de serviços de Tecnologia da Informação e Comunicação - TIC que promovam a proteção dos dados pessoais;
II) zelar pela conformidade dos serviços de TIC a todas as políticas e normas de proteção de dados pessoais;
III) avaliar os novos sistemas, aplicativos e bancos de dados que possam realizar tratamento dos dados pessoais a serem implementados pelas secretarias, departamentos e/ou setores da administração pública; e
IV) atualizar e adequar suas políticas, inclusive e principalmente as voltadas para a segurança da informação para atender exigências constantes na Lei Geral de Proteção de Dados.
Art. 7º - Os órgãos e entidades da Administração Pública Municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:
I) O Controlador Geral do Município informe a Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;
II) Seja obtido o consentimento do titular, salvo:
a. Nas hipóteses de dispensa de consentimento previstas na Lei Federal 13.709/2018
b. Nos casos de uso compartilhado de dados em que será dada publicidade nos termos deste decreto;
c. Nas hipóteses do art. 8º deste decreto.
Parágrafo Único –sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e os órgãos e entidades municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.
Art. 8º - É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I) Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observando o disposto na Lei Federal 12.527/2011;
II) Nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal 13.709/2018;
III) Quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Controlador Geral do Município para comunicação à autoridade nacional de proteção de dados;
IV) Na hipótese de a transferência de dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo Único – em qualquer das hipóteses previstas neste artigo:
I) A transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada;
II) As entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.
Art. 9º -Cabe as secretarias, departamentos e/ou setores da administração pública municipal, bem como a todas às pessoas jurídicas de direito público ou privado que prestem serviços de qualquer natureza ao Município de Capela do Alto:
I) gerenciar os riscos relativos ao tratamento de dados pessoais, conforme metodologias de análise de riscos;
II) elaborar mapeamento e inventário de dados, com a utilização preferencial de ferramenta tecnológica para essa finalidade;
III) identificar contratos, convênios, termos de cooperação, acordos de resultados, editais de licitação e demais documentos jurídicos congêneres em que se realize o tratamento de dados ou o compartilhamento de dados pessoais e que possam precisar de futuras modificações para serem adequados à LGPD;
IV) zelar para que todos os processos, sistemas e serviços que tratem dados pessoais estejam em conformidade com as políticas e normas de proteção de dados pessoais;
V) identificar quais funcionários atuam no tratamento de dados pessoais e dados sensíveis, de modo que esses funcionários futuramente assinem termos de responsabilidade;
VI) identificar quais são os compartilhamentos de dados pessoais e dados sensíveis realizados com terceiros, sejam eles públicos ou privados;
VII) disseminar aos agentes públicos o conhecimento das políticas e normas de governança digital, assim como das melhores práticas de proteção de dados pessoais;
VIII) realizar a elaboração do Relatório de Impacto de Proteção de Dados, conforme exigido na LGPD, com base em metodologias padrões de mercado;
IX) designar, no caso das pessoas jurídicas prestadoras de serviço ao Município em até 15 (quinze) dias após a publicação deste decreto, pelo menos 1 (um) titular e 1 (um) suplente para a função de encarregado de dados, que será responsável pelas atribuições constantes do art. 5º, inciso VIII e 41 da LGPD, dando-se publicidade à designação, nos termos do art. 41, § 1º da LGPD.
Art. 10 – Compete a entidade ou ao órgão controlador:
I) Aprovar, prover condições e promover ações para a efetividade do Programa Municipal de Proteção de Dados;
II) Nomear controlador de dados para conduzir o Programa Municipal de Proteção de Dados.
§ 1º - os atos do controlador de dados são de responsabilidade do titular de mais alta hierarquia no Poder Público Municipal;
§ 2º - A nomeação do controlador de dados deverá atender prerrogativas e qualificações necessárias ao exercício dessa função;
§ 3º - Portaria específica de nomeação será emitida pelo Poder Público Municipal.
Art. 11 - Este Decreto entrará em vigor na data de sua publicação.
Prefeitura Municipal de Capela do Alto, em 14 de Junho de 2022.
PÉRICLES GONÇALVES
PREFEITO MUNICIPAL
Registrado nesta Secretaria e publicado no Diário Oficial Eletrônico do Município, e, por afixação nesta Prefeitura Municipal, data supra.
ROSELI FERREIRA DOS SANTOS
SECRET. ADM EM EXERCÍCIO
Este conteúdo não substitui o publicado na versão certificada.
