DECRETO Nº 024, DE 30 DE JUNHO DE 2022.
Dispõe sobre a implementação da Lei Federal nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais – LGPD - no âmbito do Poder Executivo Municipal de Castanheira, Estado de Mato Grosso e dá outras providências.
O PREFEITO MUNICIPAL DE CASTANHEIRA/MT, no uso das suas atribuições legais, conferidas pela Constituição Federal e pelo Artigo 68, inciso III, da Lei Orgânica do Município,
Considerando que os dados pessoais integram o âmbito de proteção dos direitos fundamentais de liberdade, de privacidade, de intimidade e do livre desenvolvimento da personalidade da pessoa natural ou jurídica;
Considerando a promulgação da Lei Federal nº 13.709, de 14 de agosto de 2018, que estabeleceu a Lei Geral de Proteção de Dados Pessoais - LGPD;
Considerando que, nos termos do parágrafo único do Artigo 1º da Lei Geral de Proteção de Dados Pessoais, as normas de proteção relativas ao tratamento de dados pessoais são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios;
DECRETA:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º - Este Decreto dispõe sobre as atribuições, diretrizes, ações e procedimentos para adequação do Poder Executivo do Município de Castanheira a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), a fim de tutelar o direito fundamental a proteção de dados pessoais e a autodeterminação informativa.
Art. 2º - Para os fins deste Decreto, considera-se:
I - Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;
V - Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
VII - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - Encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - Agentes de tratamento: o controlador e o operador;
X - Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - Consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - Plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas aos incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.
Art. 3º - As atividades de tratamento de dados pessoais pelos órgãos e pelas entidades da Administração Pública do Poder Executivo deverão observar a boa-fé e os seguintes princípios:
I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – Transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 4º - São diretrizes da Política Municipal de Proteção de Dados Pessoais:
I - A definição de objetivos e metas para as estratégias de adequação à LGPD e para os programas de governança em privacidade e o monitoramento dos resultados;
II - O atendimento simplificado e eletrônico das demandas do cidadão;
III - O alinhamento e o equilíbrio com a promoção da transparência pública;
IV - A proporcionalidade das medidas acerca de proteção de dados, privacidade e segurança da informação;
V - O desenvolvimento do nível de maturidade dos tratamentos dos dados;
VI - A manutenção da segurança jurídica dos instrumentos firmados;
VII – A economicidade das ações;
VIII - O atendimento tempestivo, simplificado e, preferencialmente, eletrônico às demandas do titular de dados pessoais;
IX - O alinhamento ao planejamento estratégico do Município;
X - Outras diretrizes estabelecidas pelo Comitê Municipal de Proteção de Dados Pessoais – CMPD.
CAPÍTULO II
DO COMITÊ MUNICIPAL DE PROTEÇÃO DE DADOS PESSOAIS
Art. 5º - Fica criado o Comitê Municipal de Proteção de Dados Pessoais – CMPD, órgão colegiado consultivo na área de proteção de dados pessoais, no âmbito do Poder Executivo Municipal, orientado pelo disposto na Lei Federal nº 13.709/2018, subordinado administrativamente à Secretaria Municipal de Administração.
Parágrafo único - Compete ao Comitê Municipal de Proteção de Dados Pessoais – CMPD, com base nos princípios e disposições contidos na Lei Federal nº 13.709, de 14 de agosto de 2018, e em regulamentações complementares emitidas pela Autoridade Nacional de Proteção de Dados - ANPD, estabelecer diretrizes, definir normas, atribuir competências e deliberar sobre a Política Municipal de Proteção de Dados Pessoais, estratégias de adequação, objetivos, metas, prazos e os programas de governança em privacidade.
Art. 6º - É assegurada autonomia técnica ao CMPD, observadas as diretrizes da Autoridade Nacional de Proteção de Dados-ANPD e o disposto na Lei Federal nº 13.709/2018.
Art. 7º - Integram o CMPD os membros indicados pelos Chefes e Titulares dos seguintes órgãos do Poder Executivo Municipal:
I – Gabinete do Prefeito;
II - Secretaria Municipal de Administração;
II – Unidade de Controle Interno do Poder Executivo; e
III – Procuradoria Municipal.
§1º - O CMPD terá os recursos técnicos e operacionais necessários ao desempenho de suas funções e à manutenção dos seus conhecimentos, além de acesso motivado às operações de tratamento.
§2º - Cada órgão de que trata o caput, do presente artigo, indicará 01 (um) membro para o CMPD.
§3º - A participação no Comitê será considerada prestação de serviço público relevante, não remunerada.
§4º - A designação dos membros será efetivada por Decreto do Prefeito Municipal.
§5º - O mandato dos membros do Comitê será de 02 (dois) anos, permitida a recondução.
§6º - A coordenação do CMPD será realizada pela Secretaria Municipal de Administração em articulação com a Unidade de Controle Interno do Poder Executivo.
§7º - Na ausência de servidores municipais a ser indicados pelos Chefes da Unidade de Controle Interno do Poder Executivo e da Procuradoria Geral do Município, os seus titulares integrarão o CMPD.
CAPITULO III
DAS RESPONSABILIDADES
Art. 8º - O Chefe do Poder Executivo Municipal indicará, mediante Portaria, preferencialmente servidor efetivo, para ser o Encarregado pelo tratamento dos dados pessoais, nos termos do inciso III do Artigo 23 e do Artigo 41 da LGPD.
Art. 9º - Compete ao Encarregado e sua equipe de apoio:
I - Aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar providências;
II - Receber comunicações da Autoridade Nacional de Proteção de Dados - ANPD e adotar providências;
III - Orientar os servidores, funcionários e os contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV - Realizar, com apoio do Comitê Municipal de Proteção de Dados Pessoais – CMPD, o mapeamento dos processos de tratamento de dados pessoais realizados no âmbito do órgão ou da entidade Municipal, inclusive dos compartilhamentos com entidades públicas ou privadas, propondo adequações a luz da LGPD;
V - Executar outras atribuições normatizadas pelo Comitê Municipal de Proteção de Dados Pessoais – CMPD;
VI - Atender às normas complementares da Autoridade Nacional de Proteção de Dados - ANPD.
Art. 10 - O Encarregado deve ter garantidos:
I - Acesso direto aos dirigentes dos órgãos ou entidades;
II - Apoio dos setores jurídico, tecnológico, de controle interno e da ouvidoria para o desempenho de suas funções;
III - Acesso motivado a todas as operações de tratamento de dados pessoais no âmbito do órgão ou entidade.
Art. 11 - Compete ao operador de dados pessoais e sua equipe de apoio:
I - Manter registro das operações de tratamento de dados pessoais que forem realizadas;
II - Realizar o tratamento de dados segundo as instruções fornecidas pelo controlador e de acordo com as normas aplicáveis;
III - Adotar, em conformidade às instruções fornecidas pelo controlador, medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
IV - Subsidiar o controlador no intuito de dar cumprimento às solicitações, orientações e às recomendações do encarregado;
V - Executar outras atribuições correlatas.
Art. 12 - Poderá o Poder Executivo, caso necessário, contratar empresa especializada em Tecnologia da Informação e Comunicação, para:
I – Oferecer os subsídios técnicos necessários à formulação das orientações pelo CMPD para a elaboração dos planos de adequação;
II – Orientar, sob o ponto de vista tecnológico, os órgãos e as entidades na implantação dos respectivos planos de adequação.
CAPÍTULO IV
DO TRATAMENTO DE DADOS PESSOAIS PELO PODER EXECUTIVO
Art. 13 - O tratamento de dados pessoais pelos órgãos e entidades do Poder Executivo Municipal deve:
I - Objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;
II - Observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.
Art. 14 - O tratamento de dados pessoais deve ser restrito à sua finalidade, executado de forma adequada e pelo prazo necessário.
§1º - A adequação a que se refere o caput deve obedecer à Política de Segurança da Informação adotada no Município.
§2º - A necessidade de armazenamento dos dados pessoais observará as obrigações legais ou judiciais de mantê-los protegidos.
§3º - Os responsáveis pelos tratamentos devem registrar as operações realizadas com dados pessoais.
§4º - O controlador deve adotar medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis no âmbito e nos limites técnicos de seus serviços, para não serem acessados por terceiros não autorizados e, sempre que possível, proceder à sua anonimização.
Art. 15 - Os órgãos e as entidades do Poder Executivo Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no Artigo 6º da Lei Federal nº 13.709/2018.
§1º - O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública poderá ser realizado nas seguintes hipóteses:
I - Execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; e
II - Cumprir obrigação legal ou judicial.
§2º - O controlador deve manter o registro do compartilhamento dos dados pessoais para efeito de comprovação prevista no inciso VII do Artigo 18 da Lei Federal nº 13.709/2018.
Art. 16 - É vedado aos órgãos e entidades do Poder Executivo Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527/2011;
II - Nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709/2018;
III - Quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Controlador do Município para comunicação à autoridade nacional de proteção de dados;
IV - Na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo único - Em quaisquer das hipóteses previstas neste artigo:
I - A transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada;
II - As entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.
Art. 17 - Os órgãos e entidades do Poder Executivo Municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:
I - Os encarregados informem à Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;
II - Seja obtido o consentimento do titular, salvo:
a) Nas hipóteses de dispensa de consentimento previstas na Lei Federal nº 13.709/2018;
b) Nos casos de uso compartilhado de dados, em que será dada a devida publicidade;
c) Nas hipóteses do Artigo 15 deste Decreto.
Parágrafo único - Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e o órgãos e entidades municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.
Art. 18 - Os planos de adequação devem observar, no mínimo, o seguinte:
I - Publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet;
II - Atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do Artigo 23, §1º, e do Artigo 27, parágrafo único, da Lei Federal nº 13.709/2018;
III - Manutenção de dados para o uso compartilhado com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral;
IV - Elaboração de inventário de dados, assim entendido o registro de operações de tratamento de dados pessoais, realizados pelo órgão ou entidade;
V - Elaboração do Relatório de Impacto de Proteção de Dados Pessoais, assim entendida a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos;
VI - Elaboração de Plano de Resposta a Incidentes, assim entendido o plano de resposta para tratar ocorrências de situações que venham a lesar a segurança de dados pessoais mantidos sob a responsabilidade do órgão ou entidade;
VII - Instrumentalização da adequação de Contratos, conforme orientações expedidas pelo Departamento Jurídico;
VIII - Implementação da utilização de Termos de Uso conforme orientações expedidas pelo Departamento Jurídico.
CAPÍTULO V
DO ATENDIMENTO AO TITULAR DO DADO
Art. 19 - O atendimento ao titular do dado será formalizado nos canais eletrônicos de atendimento da Ouvidoria do Município e direcionado a cada órgão ou entidade competente.
§1º - A identificação do titular ou procurador deverá ser idônea, emitida por autoridade certificadora da ICP-Brasil.
§2º - O canal de atendimento deve prover funções de registro e gerenciamento para servir ao acompanhamento dessa forma de atendimento.
Art. 20 - O atendimento ao titular poderá ser prestado de forma presencial na entidade em que os dados são encontrados, desde que haja a conferência de documento oficial e infraestrutura adequada.
§1º - Quando o titular for incapaz, o atendente deve conferir a certidão de nascimento do titular e o documento de identidade de um dos pais ou responsáveis legais.
§2º - Atestada a legitimidade do titular ou de seu procurador, o atendente coletará dados de identificação e de contato do solicitante, protocolará e transcreverá a solicitação através dos canais de atendimento da Ouvidoria do Município.
§3º - O atendimento presencial ao procurador ou curador somente será aceito através do instrumento de outorga.
Art. 21 - A Ouvidoria do Município encaminhará o atendimento ao encarregado responsável pelos dados e acompanhará sua resolutividade.
§1º - O encarregado deverá adotar as providências para apensar os dados solicitados ao atendimento.
§2º - Os dados pessoais solicitados no atendimento deverão ser entregues ao titular ou seu representante legal, através de meio eletrônico protegido ou pessoalmente.
Art. 22 - Em qualquer forma de atendimento, o encarregado observará que as informações pessoais produzidas pelo órgão ou entidade não devem ser providas quando estiverem vinculadas a tratamento sigiloso nos termos da legislação vigente.
Parágrafo único - O encarregado informará o fundamento legal que fundamenta o indeferimento de entrega da informação sigilosa solicitada.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 23 - As empresas públicas e as sociedades de economia mista municipais deverão estabelecer, monitorar e revisar suas políticas de proteção de dados pessoais por ato próprio aprovado pelos seus respectivos conselhos de administração.
§1º - As empresas públicas e as sociedades de economia mista municipais que atuam em regime de concorrência, sujeitas ao disposto no Artigo 173 da Constituição Federal, observarão o mesmo regime de tratamento de dados dispensado pela LGPD às pessoas jurídicas de direito privado.
§2º - Quando estiverem executando políticas públicas, as empresas públicas e as sociedades de economia mista municipais observarão as regras da LGPD destinadas aos órgãos e as entidades do Poder Público, observados, no que couber, os termos deste Decreto.
Art. 24 - Poderão ser expedidas normas complementares a este Decreto pelo Comitê Municipal de Proteção de Dados Pessoais – CMPD, ao qual compete dirimir os casos omissos.
Art. 25 - Este decreto entra em vigor na data de sua publicação, revogadas as disposições em contrário.
Castanheira/MT, 30 de junho de 2022.
JAKSON DE OLIVEIRA RIOS JUNIOR
Prefeito Municipal
REGISTRADO e PUBLICADO por afixação nesta data no local de costume.