O PREFEITO DO MUNICÍPIO DE CACHOEIRO DE ITAPEMIRIM, ESTADO DO ESPÍRITO SANTO, no uso de suas atribuições legais que lhe são conferidas pelo artigo 69, inciso VI da Lei Orgânica Municipal, tendo em vista o que consta do Processo Digital n° 44025/2023,
CONSIDERANDO o previsto na Lei Geral de Proteção de Dados Pessoais (LGPD) Lei Federal nº 13.709, de 14 de agosto de 2018;
CONSIDERANDO que a proteção dos dados pessoais é um direito fundamental, previsto no inciso LXXIX, do artigo 5º, da Constituição Federal, nos termos da Emenda Constitucional n.º 115 de 10 de fevereiro de 2022;
CONSIDERANDO a necessidade de dotar o Poder Executivo Municipal de mecanismos de proteção de dados pessoais para garantir o cumprimento da norma de regência;
CONSIDERANDO a crescente utilização da Internet e de modelos computacionais estruturados para acesso e processamento de dados disponibilizados pelos órgãos da Administração Direta e Indireta da Prefeitura Municipal de Cachoeiro de Itapemirim, decreta:
CAPÍTULO I
DA FINALIDADE
Art. 1º Este Decreto regulamenta a aplicação e implementação da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, a fim de tutelar o direito fundamental à proteção dos dados pessoais no âmbito da Administração Pública municipal estabelecendo competências, diretrizes, procedimentos gerais e providências correlatas a serem observados no âmbito da administração pública municipal direta e indireta, visando a garantir a proteção de dados pessoais.
CAPÍTULO II
DOS OBJETIVOS E
CONCEITOS
Art. 2º A implementação da Lei Geral de Proteção de Dados Pessoais, no âmbito da Administração Pública Municipal de Cachoeiro de Itapemirim, tem os seguintes objetivos:
I - o tratamento de dados pessoais de acordo com a LGPD, primando pela segurança e proteção de dados;
II - a proteção aos direitos fundamentais de liberdade e de privacidade;
III - a livre desenvolvimento da personalidade da pessoa natural; e
IV - a garantia do tratamento adequado dos dados pessoais.
Art. 3º Para os efeitos do disposto neste Decreto considera-se:
I – dado pessoal: informação relacionada à pessoa natural identificada ou identificável
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - plano de adequação: conjunto de regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de resposta aos incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais;
XIV - Comitê de Proteção e Privacidade de Dados Pessoais (CGPD): Comitê formado por representantes de pastas distintas da Administração Municipal, com o objetivo de atuar de forma deliberativa e consultiva quanto a qualquer assunto relacionado à LGPD, demais leis que possam colidir com o tema proteção de dados e sobre este Decreto.
Art. 4º O tratamento de dados pessoais no âmbito da administração pública municipal de Cachoeiro de Itapemirim deverá ser realizado para o atendimento da finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
Art. 5º São diretrizes estratégicas da Política Municipal de Proteção de Dados Pessoais:
I - a observância das políticas de segurança da informação do Município;
II - a publicação e a atualização periódica das regras de boas práticas e governança, que levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;
III - o atendimento simplificado e eletrônico das demandas do titular;
IV - a promoção da transparência pública, nos termos da Lei Federal n° 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação (LAI).
CAPÍTULO III
DAS ATRIBUIÇÕES
Art. 6º A Administração Pública Municipal Direta e Indireta, nos termos da Lei Federal nº 13.709, de 14 de agosto de 2018, deve realizar e manter continuamente atualizados:
I - o mapeamento de processos e dos fluxos de dados pessoais existentes em suas unidades organizacionais;
II - gestão de riscos no tratamento de dados pessoais;
III - elaboração de Plano de respostas a incidentes e remediação;
IV - realização de Relatórios cabíveis;
V - elaboração e aprovação de um Plano de Adequação e de uma Política de Proteção de Dados Pessoais, observadas as exigências do art. 7º deste Decreto, devendo prover condições e promover ações para efetividade desses instrumentos;
VI - monitoramento contínuo dos mecanismos de proteção dos dados
VII - capacitação e criação de cultura de proteção de dados no âmbito das suas atividades;
VIII - designar o Encarregado pelo Tratamento de Dados Pessoais;
IX - Outras atividades que sejam determinadas em normativas e legislações complementares.
Art. 7º O tratamento de dados pessoais pelos Órgãos e Entidades Municipais deve:
I - objetivar o exercício de suas competências legais e o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;
II - observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a sua execução.
Art. 8º Os órgãos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no artigo 6º da Lei Federal nº 13.709, de 14 de agosto de 2018.
Parágrafo único. É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado;
II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709, de 14 de agosto de 2018;
III - quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Encarregado Geral do Município para comunicação à Autoridade Nacional de Proteção de Dados; ou
IV - na hipótese da transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
CAPÍTULO IV
DA COMPETÊNCIA
Art. 9º A Coordenadoria de Tecnologia da Informação - CTI coordenará a implementação da LGPD no âmbito da administração pública municipal direta e indireta e atuará estrategicamente na avaliação da conformidade com a LGPD dos mecanismos de tratamento de dados pessoais existentes na administração pública municipal e na proposição de ações gerais e estratégicas à proteção dos dados pessoais.
Art. 10 São atribuições da Coordenadoria de Tecnologia da Informação -
I – realizar supervisão estratégica dos mecanismos, políticas, estratégias e metas de proteção de dados pessoais existentes, visando estabelecer a conformidade do Poder Executivo Municipal com as disposições da Lei Federal nº 13.709, de 2018;
II – formular e definir princípios, diretrizes e estratégias gerais para a proteção dos dados pessoais no âmbito do Poder Executivo Municipal e propor sua regulamentação;
III – elaborar projetos, ações e metas estratégicas transversais para a adequação do tratamento de dados pessoais realizado no âmbito da Prefeitura Municipal de Cachoeiro de Itapemirim;
IV – propor a edição de normas gerais sobre tratamento e proteção de dados pessoais no âmbito da administração pública municipal, a serem encaminhadas para deliberação final do Prefeito;
V – monitorar e fiscalizar a execução dos planos, dos projetos e das ações gerais aprovados para viabilizar a implantação das diretrizes previstas na LGPD;
VI – propor a adoção de medidas de segurança técnicas e administrativas gerais aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, com apoio dos Encarregados pelo tratamento dos dados pessoais que trata este capítulo;
VII – coordenar e orientar a rede de Encarregados pelo tratamento dos dados pessoais responsáveis pela promoção da proteção dos dados pessoais em seus órgãos e/ou entidades;
VIII – prestar orientações gerais sobre o tratamento e a proteção de dados pessoais de acordo com as diretrizes estabelecidas na Lei Federal nº 13.709, de 2018, e neste Decreto;
IX – estimular a adoção de padrões gerais para prestação de serviços públicos, inclusive plataformas digitais, que facilitem o exercício de controle dos titulares sobre seus dados pessoais, objeto de tratamento pela administração pública municipal direta, autárquica e fundacional;
X – promover o intercâmbio de informações gerais sobre a proteção de dados pessoais com outros órgãos;
XI – promover a integração e a articulação entre os diversos órgãos da administração municipal direta e indireta com vistas ao desenvolvimento e à operacionalização de ações transversais e gerais para adequação à LGPD;
XII – difundir regras de boas práticas e de governança relacionadas ao tratamento de dados pessoais, inclusive mediante a divulgação de ações e resultados alcançados por órgãos e entidades que sejam referência na governança em privacidade e proteção de dados pessoais;
XIII – auxiliar em caso de divergência relativa ao tratamento e proteção de dados pessoais entre Secretarias, entidades autárquicas e fundacionais;
XIV – exercer outras atividades correlatas.
CAPÍTULO V
DO ENCARREGADO
PELO TRATAMENTO DOS DADOS PESSOAIS
Art. 11 A autoridade máxima do Município, deverá designar um Encarregado pelo Tratamento dos Dados Pessoais, nos termos do disposto III do art. 23 e no art. 41 da Lei Federal nº 13.709, de 14 de agosto de 2018, e seu suplente.
§ 1º Os encarregados pelo tratamento dos dados pessoais serão designados, via decreto municipal, devendo ser dada transparência e publicidade dessa designação.
§ 2º Caso não ocorra designação de titular e suplente como encarregado pelo tratamento dos dados pessoais, a autoridade máxima da entidade ou do órgão citado no caput desse artigo responderá como Encarregado pelo tratamento dos dados pessoais do seu órgão ou entidade.
§ 3º A autoridade máxima mencionada no caput desse artigo deverá garantir condições necessárias para o desenvolvimento das atividades pelo Encarregado pelo tratamento dos dados pessoais.
§ 4º O Encarregado pelo Tratamento dos Dados indicado deverá:
I - possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente os relativos aos temas de privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados, acesso à informação no setor público e segurança da informação, em nível que atenda às necessidades do órgão ou da entidade, e possuir curso superior completo;
II - não estar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação do órgão ou entidade do Poder Executivo Municipal.
§ 5º A identidade e as informações de contato do Encarregado pelo Tratamento de Dados Pessoais deverão ser divulgadas publicamente, de forma clara e objetiva, no sítio eletrônico institucional destinado à LGPD, nos termos do §1º do art. 41 da LGPD.
Art. 12 São atribuições do Encarregado pelo Tratamento dos Dados pessoais
I – receber solicitações, pedidos de informação, reclamações e denúncias relacionados ao tratamento de dados pessoais realizados no seu órgão e/ou entidade encaminhados pelos sistemas definidos nos capítulos VIII e IX deste Decreto, prestar os esclarecimentos necessários, e encaminhar para providências pelos agentes competentes;
II – receber comunicações da Autoridade Nacional de Proteção de Dados e encaminhar para providências pelos agentes competentes;
III – orientar os servidores, terceirizados, contratados, conveniados e parceiros do órgão ou da entidade municipal a respeito das práticas a serem tomadas em relação à proteção de dados pessoais do seu órgão ou entidade;
IV – executar as demais atribuições determinadas em normas complementares.
Art. 13 A autoridade máxima do órgão ou da entidade deverá assegurar ao Encarregado pelo Tratamento dos Dados Pessoais:
I – o acesso direto à alta administração;
II – o pronto apoio das unidades administrativas no atendimento das solicitações de informações;
III – o contínuo aperfeiçoamento relacionado aos temas de privacidade e proteção de dados pessoais, observada a disponibilidade orçamentária e financeira do órgão ou entidade;
IV – o apoio, caso necessário, por uma equipe interdisciplinar de proteção de dados; e
V – recursos temporais, materiais e financeiros para o desenvolvimento das atividades pelo Encarregado.
Parágrafo único Para fins do inc. I do caput deste artigo, considera-se como alta administração, titulares máximos de órgãos da administração pública direta e Presidentes e Diretores das entidades da administração pública indireta.
CAPÍTULO VI
DO COMITÊ DE
PROTEÇÃO E PRIVACIDADE DE DADOS (CGPD)
Art. 14 A autoridade máxima do Município, deverá designar um Comitê de Proteção e Privacidade, que centralizará as funções de encarregado pelo tratamento de dados pessoais dos órgãos e entidades do Poder Executivo do Município de Cachoeiro de Itapemirim-ES, atuando como canal de comunicação entre o controlador, os titulares dos dados, os demais órgãos e entidades públicas.
Art. 15 São atribuições do Comitê:
I - Deliberar sobre assuntos relacionados à Segurança da Informação;
II - Avaliar os mecanismos de tratamento e proteção de dados existentes e propor políticas, estratégias e metas para a conformidade operacional da
empresa com as disposições da Lei 13.709, de 14 de agosto de 2018;
III - Formular princípios e diretrizes para a gestão de dados pessoais;
IV - Formular políticas e regulamentos internos para regulamentar a gestão de dados pessoais pelos agentes internos e externos que tratam dados pessoais em nome do controlador ou em função do cumprimento do contrato firmado com o controlador;
V - Supervisionar a execução dos planos, dos projetos, das políticas e diretrizes aprovadas pelo Comitê;
VI - Prestar orientações sobre o tratamento e a proteção de dados pessoais de acordo com as diretrizes estabelecidas na Lei 13.709, de 14 de agosto de 2018 e nas normas internas;
VII - Promover a comunicação interna e externa acerca das medidas de proteção de dados adotadas, de ofício ou mediante provocação do interessado de dados pessoais à outros órgãos;
VIII - Auxiliar o Encarregado na auditoria do tratamento realizado pelos operadores de dados pessoais;
IX - Direcionar os trabalhos do Encarregado, garantindo-lhe a autonomia necessária ao exercício do seu encargo legal.
Art. 16 Os Encarregados pelo Tratamento dos Dados Pessoais, os gestores dos órgãos da administração direta e indireta da Prefeitura Municipal de Cachoeiro de Itapemirim e os agentes públicos deverão ser treinados e sensibilizados sobre as normas e políticas de proteção de dados pessoais, bem como sobre as medidas de segurança que devem ser adotadas no âmbito da administração pública municipal.
Parágrafo único. Além de cursos, palestras e oficinas dirigidas, as ações de capacitação abrangerão a confecção de cartilhas, manuais de implementação da LGPD e de material de apoio geral, entre outros.
CAPÍTULO VIII
DOS DIREITOS DO
TITULAR
Art. 17 O titular dos dados poderá apresentar de forma expressa, diretamente ou por meio de representante legalmente constituído, solicitação e pedido de acesso de informação nos sistemas disponibilizados relativo ao tratamento de dados pessoais pelos órgãos e entidades do Poder Executivo Municipal.
§ 1º A manifestação deverá ser realizada em conformidade com os artigos 18 e 19 deste Decreto;
§ 2º O órgão deverá responder ao requerente, conforme os prazos estabelecidos nos sistemas e normas que o regulam;
§ 3º Em caso de impossibilidade de adoção imediata da providência objeto da manifestação, a resposta poderá:
I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 4º É direito do requerente obter o inteiro teor da decisão de negativa de sua manifestação.
Seção I
Da Solicitação
Sobre o Tratamento De Dados Pessoais
Art. 18 O titular dos dados poderá apresentar de forma expressa, diretamente ou por meio de representante legalmente constituído, solicitações relativas ao tratamento dos seus dados pessoais pelos órgãos e entidades do Poder Executivo Municipal por meio do Portal da Ouvidoria ou através do 156 do município, devendo a solicitação constar a identificação do requerente e a especificação da solicitação requerida.
§ 1º Caso a solicitação não seja respondida no prazo estipulado, cabe registro de reclamação nos termos do artigo 20 deste Decreto.
§ 2º Entende-se por solicitação, para fins de aplicação deste artigo, o exercício pelo titular dos dados dos direitos previstos na LGPD que se apliquem ao poder público, com exceção do direito de acesso à informação, que seguirá o rito estabelecido pelo Portal de Acesso à informação, conforme previsto no artigo 19 deste Decreto.
Seção II
Do Pedido de
Acesso de Informação Sobre o Tratamento de Dados Pessoais
Art. 19 O titular dos dados poderá apresentar de forma expressa, diretamente ou por meio de representante legalmente constituído, pedido de acesso de informação relativo ao tratamento dos seus dados pessoais pelos órgãos e entidades do Poder Executivo Municipal, por meio do Portal da Ouvidoria do município, devendo o pedido constar a identificação do requerente e a especificação objetiva do pedido de acesso de informação.
CAPÍTULO IX
DA DENÚNCIA E DA
RECLAMAÇÃO SOBRE O TRATAMENTO DE DADOS PESSOAIS
Art. 20 Qualquer interessado poderá apresentar de forma expressa, diretamente ou por meio de representante legalmente constituído, denúncia e/ou reclamação relativas ao tratamento de dados pessoais pelos órgãos e entidades do Poder Executivo Municipal, por meio da Ouvidoria-Geral do Município de Cachoeiro de Itapemirim.
§ 1º A apresentação de reclamação e denúncia deverá ser realizada eletronicamente por meio do Portal da Ouvidoria, ou presencialmente junto à unidade de atendimento da Ouvidoria.
§ 2º O registro da denúncia poderá, à escolha do interessado, ser realizado de forma identificada, de forma identificada com pedido de sigilo ou de forma anônima.
§ 3º Para registro da reclamação será exigida a apresentação do protocolo da solicitação a que se refere o art. 18 deste Decreto, em situação de não atendimento no prazo previsto ou atendido de forma não conclusiva.
§ 4º As denúncias e reclamações recebidas serão objeto de avaliação preliminar pelo Encarregado de Dados Pessoais.
§ 5º As denúncias e reclamações recebidas pelo Encarregado de Dados Pessoais poderão ser encerradas quando:
I – não forem da competência da Administração Pública Municipal;
II – não apresentarem elementos mínimos indispensáveis a sua apuração;
III – instaurado processo correcional para apuração da denúncia; e
IV – o interessado:
a) deixar de proceder com lealdade, urbanidade e boa-fé;
b) agir de modo temerário; e
c ) deixar de prestar as informações complementares no prazo de 10(dez)
CAPÍTULO X
DISPOSIÇÕES FINAIS
Art. 21 A Controladoria Geral do Município poderá definir normas complementares que se fizerem necessárias ao cumprimento deste Decreto.
Art. 22 Este Decreto entra em vigor na data de sua publicação.
Cachoeiro de Itapemirim/ES, 10 de julho de 2023.
VICTOR DA SILVA
COELHO
PREFEITO MUNICIPAL