O PREFEITO MUNICIPAL DA SERRA, ESTADO DO ESPÍRITO SANTO, usando das atribuições legais que lhe são conferidas pelo disposto no inciso V do artigo 72 da Lei Orgânica do Município da Serra e,
CONSIDERANDO o previsto na Lei Geral de Proteção de Dados Pessoais (LGPD) - Lei Federal nº 13.709, de 14 de agosto de 2018;
CONSIDERANDO que a proteção dos dados pessoais é um direito fundamental, previsto no inciso LXXIX, do artigo 5º, da Constituição Federal, nos termos da Emenda Constitucional n.º 115 de 10 de fevereiro de 2022;
CONSIDERANDO a necessidade de dotar o Poder Executivo Municipal de mecanismos de proteção de dados pessoais para garantir o cumprimento da norma de regência;
CONSIDERANDO a crescente utilização da Internet e de modelos computacionais estruturados, para acesso e processamento de dados disponibilizados pelos órgãos da Administração Direta e Indireta da Prefeitura Municipal da Serra;
CONSIDERANDO a necessidade da proteção da privacidade e dos dados pessoais no âmbito das atividades da Prefeitura Municipal da Serra (PMS), Decreta:
Art. 1º Este Decreto regulamenta a aplicação e implementação da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, a fim de tutelar o direito fundamental à proteção dos dados pessoais no âmbito da Administração Pública municipal estabelecendo competências, diretrizes, procedimentos gerais e providências correlatas a serem observados no âmbito da Administração Pública municipal direta, autárquica e fundacional, visando a garantir a proteção de dados pessoais.
Art. 2º A implementação da LGPD, no âmbito da Administração Pública municipal da Serra, tem os seguintes objetivos:
I - o tratamento de dados pessoais de acordo com a LGPD, primando pela segurança e proteção de dados;
II - a proteção aos direitos fundamentais de liberdade e de privacidade;
III - o livre desenvolvimento da personalidade da pessoa natural; e
IV - a garantia do tratamento adequado dos dados pessoais.
Art. 3º Para os efeitos do disposto neste Decreto considera-se:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Art. 4º O tratamento de dados pessoais no âmbito da Administração Pública municipal da Serra deverá ser realizado para o atendimento da finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, de acordo com o capítulo IV da LGPD.
Parágrafo único. A Política Municipal de Proteção de Dados Pessoais deverá observar os princípios estabelecidos no art. 6º da LGPD.
Art. 5º São diretrizes estratégicas da Política Municipal de Proteção de Dados Pessoais:
I - a observância das políticas de segurança da informação do Município;
II - a publicação e a atualização periódica das regras de boas práticas e governança, que levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;
III - o atendimento simplificado e eletrônico das demandas do titular;
IV - a promoção da transparência pública, nos termos da Lei Federal n° 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação (LAI);
Art. 6º O Gabinete do Prefeito e as Secretarias, no âmbito da Administração Direta, e as autarquias e fundações, no âmbito da Administração Indireta, possuem a atribuição de realizar a implementação da LGPD no plano das suas finalidades, tendo, em especial, as seguintes atribuições:
I - o mapeamento de processos e dos fluxos de dados pessoais existentes em suas unidades organizacionais;
II - gestão de riscos no tratamento de dados pessoais;
III - elaboração de Plano de respostas a incidentes e remediação;
IV - realização de Relatórios cabíveis;
V - elaboração e aprovação de um plano de adequação e de uma política de proteção de dados pessoais, observadas as exigências do art. 7º deste Decreto, devendo prover condições e promover ações para efetividade desses instrumentos;
VI - monitoramento contínuo dos mecanismos de proteção dos dados pessoais;
VII - capacitação e criação de cultura de proteção de dados no âmbito das suas atividades;
VIII - designar o Encarregado pelo tratamento de dados pessoais;
IX - Outras atividades que sejam determinadas em normativas ou legislações complementares.
Parágrafo único. Para fins de cumprimento das atribuições previstas neste artigo, os órgãos e entidades mencionadas no caput devem observar as diretrizes editadas pela Controladoria Geral do Município (CGM), órgão responsável pela coordenação da implementação da LGPD no âmbito da Administração Pública municipal direta, autárquica e fundacional.
Art. 7º A CGM coordenará a implementação da LGPD no âmbito da Administração Pública municipal direta, autárquica e fundacional e atuará estrategicamente na avaliação da conformidade dos mecanismos de tratamento de dados pessoais existentes com a LGPD e na proposição de ações gerais e estratégicas à proteção dos dados pessoais.
Parágrafo único. A coordenação mencionada no caput deste artigo poderá ser delegada à Comissão Mista de Reavaliação de Informações - CMRI.
Art. 8º São atribuições da CGM:
I - realizar supervisão estratégica dos mecanismos, políticas, estratégias e metas de proteção de dados pessoais existentes, visando estabelecer a conformidade do Poder Executivo Municipal com as disposições da Lei Federal nº 13.709, de 2018;
II - formular e definir princípios, diretrizes e estratégias gerais para a proteção dos dados pessoais no âmbito do Poder Executivo Municipal e propor sua regulamentação;
III - elaborar projetos, ações e metas estratégicas transversais para a adequação do tratamento de dados pessoais realizado no âmbito da Administração Direta, autárquica e fundacional da PMS;
IV - propor a edição de normas gerais sobre tratamento e proteção de dados pessoais no âmbito da Administração Pública municipal, a serem encaminhadas para deliberação final do Prefeito;
V - monitorar e fiscalizar a execução dos planos, dos projetos e das ações gerais aprovados para viabilizar a implantação das diretrizes previstas na LGPD;
VI - propor a adoção de medidas de segurança técnicas e administrativas gerais aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, com apoio dos Encarregados pelo tratamento dos dados pessoais que trata este capítulo;
VII - coordenar e orientar a rede de Encarregados pelo tratamento dos dados pessoais responsáveis pela promoção da proteção dos dados pessoais em seus órgãos e/ou entidades;
VIII - prestar orientações gerais sobre o tratamento e a proteção de dados pessoais de acordo com as diretrizes estabelecidas na Lei Federal nº 13.709, de 2018, e neste Decreto;
IX - estimular a adoção de padrões gerais para prestação de serviços públicos, inclusive plataformas digitais, que facilitem o exercício de controle dos titulares sobre seus dados pessoais, objeto de tratamento pela Administração Pública municipal direta, autárquica e fundacional;
X - promover o intercâmbio de informações gerais sobre a proteção de dados pessoais com outros órgãos;
XI - promover a integração e a articulação entre os diversos órgãos da Administração municipal direta e indireta com vistas ao desenvolvimento e à operacionalização de ações transversais e gerais para adequação à LGPD;
XII - difundir regras de boas práticas e de governança relacionadas ao tratamento de dados pessoais, inclusive mediante a divulgação de ações e resultados alcançados por órgãos e entidades que sejam referência na governança em privacidade e proteção de dados pessoais;
XIII - auxiliar em caso de divergência relativa ao tratamento e proteção de dados pessoais entre Secretarias, entidades autárquicas e fundacionais;
XIV - exercer outras atividades correlatas.
Art. 9º A CGM, por intermédio do Controlador Geral, poderá instituir grupo de trabalho e regulamentação por ato próprio, para implantação e acompanhamento da implantação da LGPD no âmbito municipal.
Art. 10 A autoridade máxima do Gabinete do Prefeito e das Secretarias, no âmbito da Administração Direta municipal, e das entidades autárquicas e fundacionais, no âmbito da Administração Indireta municipal, deverá designar um Encarregado pelo tratamento dos dados pessoais, nos termos do disposto III do art. 23 e no art. 41 da Lei Federal nº 13.709, de 14 de agosto de 2018, e seu suplente.
§ 1º Os encarregados pelo tratamento dos dados pessoais serão designados por Portaria do órgão ou entidade mencionada no caput desse artigo, devendo ser dada transparência e publicidade dessa designação.
§ 2º Caso não ocorra designação de titular e suplente como encarregado pelo tratamento dos dados pessoais, a autoridade máxima da entidade ou do órgão citado no caput desse artigo responderá como encarregado pelo tratamento dos dados pessoais do seu órgão ou entidade.
§ 3º A autoridade máxima mencionada no caput desse artigo deverá garantir condições necessárias para o desenvolvimento das atividades pelo Encarregado pelo tratamento dos dados pessoais.
§ 4º O funcionamento, estrutura, procedimentos e atribuições dos encarregados referidos no caput deste artigo serão disciplinados pelo órgão ou entidade, na forma de resoluções, regulamentos, ordens de serviços e manuais observando as normas gerais editadas pela CGM, entre outros atos normativos permitidos.
§ 5º O Encarregado pelo tratamento dos dados indicado deverá:
I - possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente os relativos aos temas de privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados, acesso à informação no setor público e segurança da informação, em nível que atenda às necessidades do órgão ou da entidade, e possuir curso superior completo;
II - não estar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação do órgão ou entidade do Poder Executivo Municipal.
§ 6º Para fins de atendimento das atribuições de que trata o artigo 11 deste Decreto, o Encarregado pelo tratamento dos dados pessoais deverá participar de ações de capacitação relevantes ou atinentes à área, conforme indicações da CGM.
Art. 11 São atribuições do Encarregado pelo tratamento dos dados pessoais:
I - receber solicitações, pedidos de informação, reclamações e denúncias relacionados ao tratamento de dados pessoais realizados no seu órgão e/ou entidade encaminhados via Ouvidoria, além de prestar os esclarecimentos necessários, e encaminhar para providências dos agentes competentes;
II - receber comunicações da Autoridade Nacional de Proteção de Dados e encaminhar para providências dos agentes competentes;
III - orientar os servidores, terceirizados, contratados, conveniados e parceiros do órgão ou da entidade municipal a respeito das práticas a serem tomadas em relação à proteção de dados pessoais do seu órgão ou entidade;
IV - executar as demais atribuições determinadas em normas complementares.
Art. 12 A autoridade máxima do órgão ou da entidade deverá assegurar ao Encarregado pelo tratamento dos dados pessoais:
I - o acesso direto à alta administração;
II - o pronto apoio das unidades administrativas no atendimento das solicitações de informações;
III - o contínuo aperfeiçoamento relacionado aos temas de privacidade e proteção de dados pessoais, observada a disponibilidade orçamentária e financeira do órgão ou entidade;
IV - o apoio, caso necessário, por uma equipe interdisciplinar de proteção de dados; e
V - recursos temporais, materiais e financeiros para o desenvolvimento das atividades pelo Encarregado.
Parágrafo único. Para fins do inc. I do caput deste artigo, considera-se como alta administração, titulares máximos de órgãos da Administração Pública direta e os Presidentes e Secretários das entidades da Administração Pública Indireta.
Art. 13 Os Encarregados pelo tratamento dos dados pessoais, os gestores dos órgãos da Administração Direta, autárquica e fundacional da Prefeitura Municipal da Serra e os agentes públicos deverão ser treinados e sensibilizados sobre as normas e políticas de proteção de dados pessoais, bem como sobre as medidas de segurança que devem ser adotadas no âmbito da Administração Pública municipal, mediante ações de capacitação.
Parágrafo único. Além de cursos, palestras e oficinas dirigidas, as ações de capacitação abrangerão a confecção de cartilhas, manuais de implementação da LGPD e de material de apoio geral, entre outros.
Art. 14 A CGM poderá estabelecer diretrizes e ações gerais para a política de proteção de dados pessoais do Poder Executivo Municipal, fixar parâmetros gerais para elaboração e atualização dos relatórios de impacto à proteção de dados pessoais com critérios de orientação geral para os programas de governança em privacidade dos órgãos e das entidades autárquicas e fundacionais da Administração Pública municipal, nos termos do inc. I do art. 50 da LGPD.
Art. 15 Os órgãos e as entidades municipais deverão apresentar cronograma de implementação da LGPD no âmbito das suas finalidades.
Parágrafo único. Os órgãos da Administração direta e indireta deverão informar, nos seus sítios eletrônicos, as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as políticas utilizadas para a execução dessas atividades, relativas a atuações específicas.
Art. 16 O titular dos dados poderá apresentar de forma expressa, diretamente ou por meio de representante legalmente constituído, solicitação e pedido de acesso de informação pela Ouvidoria (e_OUV) ou pelo Serviço de Informação ao Cidadão (e_SIC).
§ 1º A manifestação deverá ser realizada conforme os arts. 17 e 18 deste Decreto.
§ 2º O órgão deverá responder ao requerente, conforme os prazos estabelecidos nos sistemas e normas que o regulam.
§ 3º Em caso de impossibilidade de adoção imediata da providência objeto da manifestação, a resposta poderá:
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 4º É direito do requerente obter o inteiro teor da decisão de negativa de sua manifestação.
Seção I
Da Solicitação Sobre o Tratamento De Dados Pessoais
Art. 17 O titular dos dados poderá apresentar de forma expressa, diretamente ou por meio de representante legalmente constituído, solicitações relativas ao tratamento dos seus dados pessoais pelos órgãos e entidades do Poder Executivo Municipal por meio dos canais da Ouvidoria ou do Serviço de Informação ao Cidadão, devendo a solicitação constar a identificação do requerente e a especificação da solicitação requerida.
§ 1º Entende-se por solicitação, para fins de aplicação deste artigo, o exercício pelo titular dos dados dos direitos previstos na LGPD que se apliquem ao poder público, com exceção do direito de acesso, que seguirá o rito estabelecido pelo Serviço de Informações ao Cidadão (e-SIC), conforme previsto no art. 18 deste Decreto.
Seção II
Do Pedido de Acesso de Informação Sobre o Tratamento de Dados Pessoais
Art. 18 O titular dos dados poderá apresentar de forma expressa, diretamente ou por meio de representante legalmente constituído, pedido de acesso de informação relativo ao tratamento dos seus dados pessoais pelos órgãos e entidades do Poder Executivo Municipal, por meio do Serviço de Informações ao Cidadão (e_SIC) do município, devendo o pedido constar a identificação do requerente e a especificação objetiva do pedido de acesso de informação.
Art. 19 Qualquer interessado poderá apresentar de forma expressa, diretamente ou por meio de representante legalmente constituído, denúncia e/ou reclamação relativas ao tratamento de dados pessoais pelos órgãos e entidades do Poder Executivo Municipal, por meio da Ouvidoria-Geral do Município da Serra.
§ 1º A apresentação de reclamação e denúncia deverá ser realizada eletronicamente por meio do e_OUV, Sistema de Ouvidoria Municipal da Serra, ou presencialmente junto à unidade de atendimento da Ouvidoria.
§ 2º O registro da denúncia poderá, à escolha do interessado, ser realizado de forma identificada, de forma identificada com pedido de sigilo ou de forma anônima.
§ 3º O registro anônimo é considerado “comunicação”, não gerando para o interessado possibilidade de acompanhamento do tratamento da denúncia, visto não haver inserção de dados de identificação no registro.
§ 4º Para registro da reclamação será exigida a apresentação do protocolo da solicitação a que se refere o art. 18 deste Decreto, em situação de não atendimento no prazo previsto ou atendido de forma não conclusiva.
§ 5º As denúncias e reclamações recebidas serão objeto de avaliação preliminar pela Ouvidoria quanto à fundamentação mínima que possibilite a averiguação dos fatos relatados, descrita de forma clara, simples e objetiva.
§ 6º As denúncias referentes ao tratamento de dados pessoais por servidores públicos municipais, que configurem falta funcional e em que o autor possa ser identificado, serão tratadas conforme disposições do Código de Ética Municipal, ou demais normas especificas eventualmente incidentes.
§ 7º As denúncias e reclamações recebidas pela Ouvidoria poderão ser encerradas quando:
I - não forem da competência da Administração Pública Municipal;
II - não apresentarem elementos mínimos indispensáveis a sua apuração;
III - instaurado processo correcional para apuração da denúncia; e
IV - o interessado:
a) deixar de proceder com lealdade, urbanidade e boa-fé;
b) agir de modo temerário; e
c) deixar de prestar as informações complementares no prazo de 10(dez) dias.
Art. 20 O Controlador Geral do Município poderá definir normas complementares que se fizerem necessárias ao cumprimento deste Decreto.
Art. 21 Este Decreto entra em vigor na data de sua publicação.
Palácio Municipal em Serra, aos 24 de março de 2023.
Este texto não substitui o original publicado e arquivado na Prefeitura Municipal da Serra.