“REGULAMENTA A APLICAÇÃO DA LEI FEDERAL N° 13.709, DE 14 DE AGOSTO DE 2018 - LEI DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) - NO AMBITO DA ADMINISTRAÇÃO MUNICIPAL DE ARAPEÍ/SP.”
RENE LUCIO GONCALVES, Prefeito Municipal de Arapei, Estado de Sao Paulo, no uso das atribuições que lhe são conferidas por lei,
CAPITULO I - DISPOSICOES PRELIMINARES
Art. 1° - Este Decreto regulamenta a Lei Federal n° 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências correlatas a serem observados por seus órgaos e entidades, visando garantir a proteção de dados pessoais.
Art. 2° - Para os fins deste Decreto, considera-se:
I - dado pessoal: informaçao relacionada a pessoa natural identificada ou identificavel;
II - dado pessoal sensivel: dado pessoal sobre origem racial ou étnica, conviccao religiosa, opiniao politica, filiação a sindicato ou a organização de caráter religioso, filosófico ou politico, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequivoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - plano de adequação: conjunto das regras de boas praticas e de governança de dados pessoais que estabelecam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as acões educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas aos incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.
Art. 3° - As atividades de tratamento de dados pessoais pelos orgãos e entidades municipais deverão observar a boa fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
ILI - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação as finalidades do tratamento de dados;
IV - livre acesso: garantia aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realizacção do tratamento e os respectivos agentes de tratamento, observados os segredos, comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorréncia de dados em virtude do tratamento de dados pessoais;
IX - nao discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPITULO II - DAS RESPONSABILIDADES
Art. 4° O Poder Executivo Municipal de Arapeí, por meio de seus órgãos e entidades, nos termos da Lei Federal n° 13.709/2018, deve realizar e manter continuamente atualizados:
I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
II - a análise e o relatório de risco e impacto a proteção de dados pessoais;
III - o plano de adequação, observadas as exigências do art. 17 deste Decreto.
Art. 5° Os órgãos e entidades da Administração Pública Municipal ficam designados como controlador, devendo cada um indicar o seu encarregado pelo tratamento de dados, para os fins do art. 41 da Lei Federal n° 13.709/2018.
Paragrafo único: A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, em algum dos meios oficiais de divulgação do Municipio de Arapeí (mural oficial ou sites), sendo preferencialmente no site oficial, em seção específica sobre tratamento de dados pessoais.
Art. 6° Compete a entidade ou ao orgão controlador:
I - aprovar, prover condições e promover acões para efetividade do Plano de Adequação de Proteção de Dados Pessoais do órgâo e/ou entidade;
II - nomear encarregado para conduzir o Plano de Adequação e sua manutenção, através de ato próprio; .
III - elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade; e
IV - fornecer aos operadores termos de uso, manuais de instruções e treinamento dos tratamentos sob sua responsabilidade.
§ 1° Os atos do controlador público são de responsabilidade do titular de mais alta hierarquia do órgão ou entidade.
§ 2° A nomeação do encarregado deverá atender prerrogativas e qualificações necessárias ao exercicio dessa função.
Art. 7° - Compete ao encarregado e sua equipe de apoio:
I - gerenciar o Plano de Adequação para:
a) inventariar os tratamentos do controlador, inclusive os eletrônicos;
b) analisar a maturidade dos tratamentos em face dos objetivos e metas estabelecidos e do consequente risco de incidentes de privacidade;
c) avaliar medidas de seguranga, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situacões acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado
ou ilicito;
d) adotar as providéncias cabíveis para implementar as medidas de segurança avaliadas;
e) cumprir os objetivos e metas previstas no Plano de Adequação do seu órgao e/ou entidade.
II - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providéncias, em articulação com a Ouvidoria de cada órgão e entidade;
III - receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais - ANPD e adotar providéncias;
IV - orientar os funcionários e os contratados no cumprimento das práticas necessárias a privacidade de dados pessoais;
V - quando provocado, entregar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade;
VI - atender as normas complementares da Agéncia Nacional de Proteção de Dados Pessoais;
VII - informar a Agéncia Nacional de Proteção de Dados Pessoais e aos titulares dos dados pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um plano de respostas a incidentes.
Art. 8° - Compete ao operador de dados pessoais e sua equipe de apoio:
I - manter registro das operações de tratamento de dados pessoais que forem realizadas;
II - realizar o tratamento de dados segundo as instruções fornecidas pelo controlador e de acordo com as normas aplicáveis;
Ill - adotar, em conformidade as instruções fornecidas pelo controlador, medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilicito;
IV - subsidiar o controlador no intuito de dar cumprimento as solicitações, orientações e as recomendações do encarregado;
V - executar outras atribuições correlatas.
Art. 9° - Compete a Administração Municipal:
I - orientar a aplicação de soluções de TIC (Tecnologia da Informação e Comunicação) relacionadas a proteção de dados pessoais;
II - adequar as arquiteturas e as operações compartilhadas de TIC hospedadas no datacenter e na rede corporativa as exigéncias da Lei Federal n° 13.709/2018;
III - propor padrões de desenvolvimento de novas soluções de TIC, considerando a proteção de dados pessoais, desde a fase de concepção do produto e servico até a sua execução.
Paragrafo único: As arquiteturas e as operações de que trata o inciso II poderão ter seu escopo alterado por meio de acordo entre as partes responsáveis pelo compartilhamento.
Art. 10° - Compete a Ouvidoria do Municipio:
I - coordenar e orientar a rede de encarregados responsáveis pela implementação do Plano de Adequação;
II - consolidar os resultados e apoiar 0 monitoramento da Proteção de Dados Pessoais implementados no Municipio;
III - disponibilizar canal de atendimento ao titular do dado, considerando as atividades desempenhadas pela Ouvidoria do Municipio;
IV - coordenar a qualidade do atendimento ao titular do dado;
V - estabelecer sistemática de auditoria interna com vistas a aumentar e proteger o valor organizacional do Municipio, fornecendo avaliação, assessoria e conhecimento objetivos baseados em riscos;
VI - encaminhar o atendimento ao encarregado responsável pelos dados e acompanhar sua resolutividade, nos termos do art. 19 deste Decreto;
VII - produzir e manter atualizados manuais de implementação das Políticas de Proteção de Dados Pessoais Locais e modelos de documentos, bem como capacitações para os agentes públicos.
Art. 11° - Compete ao Departamento Jurídico do Município:
I - disponibilizar aos agentes de tratamento e ao encarregado consultoria juridica para dirimir questões e emitir pareceres do significado e alcance da Lei Federal n° 13.709/2018;
Il - disponibilizar modelos de contratos, convénios e acordos aderentes a Lei Federal n° 13.709/2018, a serem utilizados pelos agentes de tratamento;
III - disponibilizar modelo de termo de uso de sistema de informação da Administração Pública;
IV - adotar as medidas jurídicas necessárias à adequação dos instrumentos já firmados a LGPD.
CAPITULO III - DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRACAO PUBLICA MUNICIPAL
Art. 12° - O tratamento de dados pessoais pelos órgãos e entidades da Administração Pública Municipal deve:
I - objetivar o exercicio de suas competéncias legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse píblico;
II - observar o dever de conferir publicidade as hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.
Art. 13° - O tratamento de dados pessoais deve ser restrito à sua finalidade, executado de forma adequada e pelo prazo necessário.
§ 1° - A adequação a que se refere o caput deve obedecer a Política de Segurança da Informação adotada no Município.
§ 2° - A necessidade de armazenamento dos dados pessoais observarà as obrigações legais ou judiciais de mantê-los protegidos.
§ 3° - Os responsáveis pelos tratamentos devem registrar as operações realizadas com dados pessoais.
§ 4° - O controlador deve adotar medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis no âmbito e nos limites técnicos de seus serviços, para não serem acessados por terceiros não autorizados e, sempre que possível, proceder a sua anonimização
Art. 14° - Os órgaos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de poliíticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no art. 6° da Lei Federal n° 13.709/2018.
§ 1° - O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública poderá ser realizado nas seguintes hipóteses:
I - execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convénios ou instrumentos congéneres; e
II - cumprir obrigação legal ou judicial.
§ 2° - O controlador deve manter o registro do compartilhamento dos dados pessoais para efeito de comprovação prevista no inciso VII do art. 18 da Lei Federal n° 13.709/2018.
Art. 15° - E vedado aos érgios e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I- em casos de execução descentralizada de atividade publica que exija a transferéncia, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal n° 12.527/2011;
II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal n° 13.709/2018;
III - quando houver previsão legal ou a transferéncia for respaldada, por meio de claúsula específica, em contratos, convénios ou instrumentos congéneres, cuja celebração deverá ser informada pelo responsável ao Controlador Geral do Municipio para comunicação a autoridade nacional de proteção de dados;
IV - na hipótese de a transferéncia dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a seguranga e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Paragrafo Único: Em quaisquer das hipóteses previstas neste artigo:
I - a transferéncia de dados dependera de autorização específica conferida pelo órgão municipal a entidade privada;
II - as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.
Art. 16° - Os órgãos e entidades da Administração Pública Municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:
I - os encarregados informem a Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;
II - seja obtido o consentimento do titular, salvo:
a) nas hipóteses de dispensa de consentimento previstas na Lei Federal n° 13.709/2018;
b) nos casos de uso compartilhado de dados, em que será dada a devida publicidade;
c) nas hipóteses do art. 13 deste Decreto.
Paragrafo único: Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e o órgãos e entidades municipais poderão ocorrer somente nos termos e para as indicadas no ato do consentimento.
Art. 17° - Os planos de adequação devem observar, no minimo, o seguinte:
I - publicidade das informações relativas ao tratamento de dados em veiculos de fácil acesso, preferencialmente nas paginas dos órgãos e entidades na internet;
II - atendimento das exigéncias que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23, § 1°, e do art. 27, parágrafo unico, da Lei Federal n° 13.709/2018;
III - manutenção de dados para o uso compartilhado com vistas a execução de políticas públicas, à prestação de serviços públicos, a descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral;
IV - elaboração de inventário de dados, assim entendido o registro de operações de tratamento de dados pessoais, realizados pelo órgão ou entidade;
V - elaboração do Relatório de Impacto de Proteção de Dados Pessoais, assim entendida a descrição dos processos de tratamento de dados pessoais que podem gerar riscos as liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos;
VI - elaboração de Plano de Resposta a Incidentes, assim entendido o plano de resposta para tratar ocorréncias de situações que venham a lesar a segurança de dados pessoais mantidos sob a responsabilidade do órgão ou entidade;
VII - instrumentalização da adequação de Contratos, conforme orientações expedidas pelo Departamento Jurídico;
VIII - implementação da utilização de Termos de Uso conforme orientações expedidas pelo Departamento Jurídico;
Art. 18° - As entidades integrantes da Administração Municipal indireta que atuarem em regime de concorréncia, sujeitas ao disposto no art. 173 da Constituição Federal, deverão observar o regime relativo as pessoas juridicas de direito, privado particulares, exceto quando estiverem operacionalizando politicas públicas e no âmbito da execução delas, nos termos do art. 24 da Lei Nº 13.709/2018.
CAPITULO IV - DO ATENDIMENTO AO TITULAR DO DADO
Art. 19° - O atendimento ao titular do dado sera formalizado nos canais eletrônicos de atendimento da Ouvidoria do Municipio e direcionado a cada órgão ou entidade competente, nos termos do inciso II do art. 7° deste Decreto.
§ 1°- A identificação do titular ou procurador devera ser idonea, emitida por autoridade certificadora da ICP-Brasil.
§ 2° - O canal de atendimento deve prover funções de registro e gerenciamento para servir ao acompanhamento dessa forma de atendimento.[
Art. 20° - O atendimento ao titular poderá ser prestado de forma presencial na entidade em que os dados são encontrados, desde que haja a conferéncia de documento oficial e infraestrutura adequada.
§ 1° - Quando o titular for incapaz, o atendente deve conferir a certidão de nascimento do titular e o documento de identidade de um dos pais ou responsáveis legais.
§ 2° - Atestada a legitimidade do titular ou de seu procurador, o atendente coletará dados de identificação e de contato do solicitante, protocolará e transcreverá a solicitação através dos canais de atendimento da Ouvidoria do Municipio.
§ 3° - O atendimento presencial ao procurador ou curador somente será aceito através do instrumento de outorga.
Art. 21. A Ouvidoria do Municipio encaminhará o atendimento ao encarregado responsável pelos dados e acompanhará sua resolutividade.
§ 1° - O encarregado deverá adotar as providências para apensar os dados solicitados ao atendimento.
§ 2° - Os dados pessoais solicitados no atendimento deverão ser entregues ao titular ou seu representante legal, através de meio eletrônico protegido ou pessoalmente.
Art. 22° - Em qualquer forma de atendimento, o encarregado observará que as informações pessoais produzidas pelo órgão ou entidade nado devem ser providas quando estiverem vinculadas a tratamento sigiloso nos termos da legislação vigente.
Paragrafo único: O encarregado informará o fundamento legal que fundamenta o indeferimento de entrega da informação sigilosa solicitada.
CAPITULO V - DISPOSICOES FINAIS
Art, 23° - Os órgãos e entidades da Administração Pública Municipal deverão estar em conformidade com o disposto no art. 4° deste Decreto até o dia 30 de abril de 2024.
Art. 24° - Poderão ser expedidas normas complementares a este Decreto, conjuntamente, pela Ouvidoria e pelo Departamento Juridico, aos quais compete também, em conjunto, dirimir os casos omissos.
Art. 25° - Este Decreto entra em vigor na data de sua publicação.
* Nota: O conteúdo disponibilizado é meramente informativo não substituindo o original publicado em Diário Oficial.