DECRETO N° 18, DE 29 DE DEZEMBRO DE 2023.

Dispõe sobre a aplicação da Lei Federal nº 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais LGPD) no âmbito do município de Salgadinho.

O Prefeito do Município de Salgadinho, Estado de Pernambuco, o Exmo. Sr. JOSÉ SOARES DA FONSECA, no uso das atribuições que lhe confere a Constituição Federal, Constituição do Estado de Pernambuco e pela Lei Orgânica do Município de Salgadinho,

DECRETA:

CAPÍTULO I

Disposição Iniciais

Art. 1°. Este decreto dispõe sobre a aplicação da Lei federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).

CAPÍTULO II

Do Controlador de Dados Pessoais

SEÇÃO I

Da Indicação

Art. 2°. As decisões referentes ao tratamento de dados pessoais, no âmbito da Administração Pública Direta e Indireta do Município de Salgadinho, cabem ao Prefeito Municipal e aos Diretores ou Presidentes da Administração Indireta, podendo delegar atribuições de controle aos Secretários Municipais e do Procurador Geral do Município, respeitadas suas respectivas competências e campos funcionais.

SEÇÃO II

Do Comitê Gestor de Governança de Dados e Informações

Art. 3°. O Comitê Gestor de Governança de Dados e Informações do Município de Salgadinho, instituído por portaria do Prefeito Municipal, é responsável por auxiliar o controlador no desempenho das seguintes atividades:

I- Monitoramento de dados pessoais e de fluxos das respectivas operações de tratamento;

II - Análise de risco;

III - Elaboração e atualização da Política de Proteção de Dados Pessoais;

IV- Exame das propostas de adaptação à Política de Proteção de Dados Pessoais.

Parágrafo único. As atividades de que trata o "caput" deste artigo poderão ser desempenhadas por intermédio de subcomitês instituídos por secretaria.

SEÇÃOIII

Da Política de Proteção de Dados Pessoais

Art. 4°. A Política de Proteção de Dados Pessoais, a que alude o inciso III do artigo 3º deste decreto, corresponde à compilação de regras de boas práticas e de governança para tratamento de dados pessoais, de observância obrigatória pelos órgãos e entidades da Administração Pública, devendo conter, no mínimo:

I - Descrição das condições de organização, de funcionamento e dos procedimentos de tratamento, abrangendo normas de segurança, padrões técnicos, mecanismos internos de supervisão e de mitigação de riscos, plano de resposta a incidentes de segurança, bem como obrigações específicas para os agentes envolvidos no tratamento e ações educativas aplicáveis;

II - Indicação da forma de publicidade das operações de tratamento, preferencialmente em espaço específico nos respectivos sítios eletrônicos oficiais, respeitadas as recomendações da autoridade nacional; enumeração dos meios de manutenção de dados em formato interoperável e estruturado, para seu uso compartilhado e acesso das informações pelo público em geral, nos termos das Leis federais n° 12.527, de 18 de novembro de 2011, e n° 13.709, de 14 de agosto de 2018.

Art. 5°. Os órgãos e entidades da Administração Pública poderão, motivadamente, solicitar adaptações à Política de Proteção de Dados Pessoais, conforme as respectivas especificidades.

Parágrafo único. As propostas de adaptação elaboradas nos termos do "caput" deste artigo deverão ser submetidas à análise do Comitê Gestor de Governança de Dados e Informações.

CAPÍTULO III

Do Encarregado de Dados Pessoais

SEÇÃO I

Da Designação

Art. 6°. Fica designado o Controlador Interno do Município como Encarregado da Proteção de Dados Pessoais no âmbito da Administração Pública Direta do Município de Salgadinho.

§ 1º. A identidade e as informações de contato do encarregado serão divulgadas no Portal da Transparência.

§ 2°. O disposto no "caput" deste artigo não impede que os órgãos da Administração Pública indiquem, em seus respectivos âmbitos, para desempenhar, em interlocução com o encarregado, as atividades a que aludem os incisos I e III do § 2º do artigo 41 da Lei federal nº 13.709, de 14 de agosto de 2018, respectivamente:

I - Serviços de Informações ao Cidadão - SIC;

II - Agentes de Tratamento de Dados;

III - Comissões de Avaliação de Documentos e Acesso - CADA.

Art. 7°. O Encarregado de Dados deverá receber o apoio necessário para o desempenho de suas funções, solicitando pareceres jurídicos à Procuradoria Geral do Município, bem como ter acesso motivado a todas as operações de tratamento de dados pessoais no âmbito da Administração Pública Direta.

Art. 8°. As entidades da Administração Pública Indireta, respeitada sua autonomia, e observadas às disposições da Lei federal nº 13.709, de 14 de agosto de 2018, mediante ato próprio, deverão indicar seus respectivos encarregados e observar o disposto nos artigos 4° e 5º deste decreto.

Parágrafo único. Os encarregados designados em conformidade com o disposto no "caput" deste artigo deverão desempenhar suas atribuições em articulação com o Controlador Interno do Município.

SEÇÃO II

Das Atribuições

Art. 9°. Além das atribuições de que trata o § 2º do artigo 41 da Lei federal nº 13.709, de 14 de agosto de 2018, compete ao Encarregado de Dados:

I- Realizar a gestão da implementação da LGPD no Município de Salgadinho;

II - Aceitar solicitações, reclamações e comunicações/denúncias dos titulares e da Autoridade Nacional, interagindo com as demais unidades organizacionais, para prestar esclarecimentos e adotar providências;

III - Orientar os Agentes de Tratamento a respeito das práticas a serem adotadas em relação à proteção de dados pessoais e promover ações de sensibilização e capacitação em assuntos relacionados à LGPD;

IV - Gerenciar os incidentes de segurança relacionados à proteção de dados pessoais, interagindo com os responsáveis pelo diagnóstico e resolução, reportando-se ao Prefeito Municipal;

V - Providenciar comunicação à Autoridade Nacional e aos titulares quando verifique a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;

VI - Revisar, submeter para aprovação e divulgar apropriadamente esta Política;

VII - Liderar a elaboração do Relatório de Impacto à Proteção de Dados Pessoais RIPD, quando requerido e em conjunto com as unidades organizacionais necessárias prestando informações e encaminhado relatórios a ANDP de acordo com a legislação;

VIII - Adotar as medidas necessárias à publicação dos relatórios de impacto à proteção de dados pessoais, na forma solicitada pela autoridade nacional.

Parágrafo único - As providências de que tratam os incisos I a VIII deste artigo serão comunicadas ao controlador de dados pessoais, por intermédio do Comitê Gestor de Governança de Dados e Informações.

Art. 10°. Mediante requisição do Encarregado, os órgãos da Administração Pública, deverão encaminhar, no prazo assinalado, as informações eventualmente necessárias para atender solicitação da autoridade nacional.

Art. 11°. Cabe aos Secretários Municipais e ao Procurador Geral do Município no âmbito de suas competências:

I - Observar as recomendações e atender as requisições encaminhadas pelo Encarregado;

II - Encaminhar ao Encarregado no prazo assinalado:

a) Informações solicitadas pela Autoridade Nacional, nos termos do artigo 29 da Lei federal nº 13.709,14 de agosto de 2018;

b) Relatórios de impacto à proteção de dados pessoais, ou informações necessárias à sua elaboração. Assegurar que o Encarregado seja informado, de forma adequada e em tempo hábil, sobre:

a) O tratamento e o uso compartilhado de dados pessoais necessários à execução de políticas públicas previstas em normas legais e regulamentares ou respaldadas em contratos, convênios ou instrumentos congêneres;

b) A ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais.

Art. 12°. Os requerimentos do titular de dados, formulados nos termos do artigo 18 da Lei federal nº 13.709, de 14 de agosto de 2018, ou de terceiros que envolvam dados pessoais, serão direcionados ao Encarregado, e deverão observar os prazos e procedimentos previstos na Lei federal nº 12.527, de 18 de novembro de 2011.

Parágrafo único. Os requerimentos de que trata o "caput" deste artigo serão respondidos pelo Encarregado, mediante parecer jurídico prévio emitido pela Procuradoria Geral do Município, com o apoio técnico da Secretaria Municipal de Administração.

Art. 13°. As Secretarias Municipais, o Gabinete do Prefeito e a Procuradoria Geral Município deverão através da Secretaria Municipal de Administração, relação aos bancos de dados e informações pessoais, estruturados ou não, em suporte físico ou eletrônico, sob sua responsabilidade:

I - Atribuir fundamento legal para tratamento dos dados;

II - Indicar:

a) A finalidade do tratamento;

b) A existência de compartilhamento dos dados e respectivo instrumento;

c) O local em que os dados se encontram custodiados ou armazenados.

Parágrafo único - Os órgãos a que se refere o "caput" deverão comprovar, ao encarregado a observância do disposto neste artigo.

Art. 14°. As entidades da Administração Pública Indireta deverão apresentar, ao encarregado designado no artigo 6º deste decreto, no prazo de 90 (noventa) dias contado da publicação deste decreto e o respectivo plano de conformidade às disposições da Lei federal nº 13.709, de 14 de agosto de 2018.

CAPÍTULO IV

Da Política de Tratamento de Dados

Art. 15°. A finalidade do tratamento relacionada à execução de Políticas Públicas deverá estar devidamente prevista em Lei, regulamentos ou respaldada em contratos, convênios ou instrumentos congêneres, observando o direito da preservação à intimidade e à privacidade da pessoa natural.

Art. 16°. Dados pessoais são informações relacionadas à pessoa natural identificada ou identificável. Estão inclusos neste conceito, sem limitar:

I - Nome, dados do título de eleitor. Cadastro de Pessoa Física (CPF), Carteira de Identidade ou Registro Geral (RG);

II - Endereço, idade, gênero, data e local de nascimento;

III - Dados bancários, informações constantes na declaração de imposto de renda, vínculos empregatícios;

IV- Localização via Sistema de Posicionamento Global (GPS), planta de imóveis particulares, fotografia, renda, hábitos de consumo, endereço de Protocolo da Internet (IP).

Art. 17°. Para o tratamento de dados pessoais e pessoais sensíveis, a regra é a necessidade de consentimento do titular dos dados de acordo com a finalidade.

Art. 18°. O compartilhamento de dados com outros órgãos públicos ou transferência de dados a terceiros deve ser comunicado ao titular dos dados. Em caso de alteração da finalidade, é necessário que o consentimento seja realizado novamente com a finalidade especificada.

§ 1º. O compartilhamento, no âmbito da administração pública, para execução de Políticas Públicas, é dispensado do consentimento do titular do dado.

§ 2º. Faz-se necessária a justificativa de solicitação de acesso aos dados, pelo órgão público demandante, com base na execução de uma política pública específica, descrevendo a motivação, uso e o destino que será atribuído aos dados.

§ 3°. A excepcionalidade de transferência de dados a terceiros deverá respeitar os requisitos da Lei.

Art. 19°. As informações protegidas por sigilo devem ser tratadas conforme a Norma de Classificação de Informação em Grau de Sigilo.

Art. 20°. Deve ser garantida a proteção de dados nos sistemas informatizados, incluindo autenticação, cadastro e informações correlacionadas ao titular.

Art. 21°. São considerados tipos de tratamento toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Art. 22°. Ações de mapeamento e análise dos processos organizacionais, com intuito de identificar os ativos organizacionais e as medidas técnicas de segurança que serão implementadas nestes ativos com vistas a prover a adequada proteção dos dados pessoais, devem ser estabelecidas por meio de decreto.

Art. 23°. Caso não existam medidas técnicas de segurança implementadas, deverão ser analisadas e executadas ações necessárias para proteger os dados, sempre mitigando os eventuais riscos.

Art. 24°. O titular dos dados pessoais tem direito a obter, em relação aos dados do titular por ela tratados, a qualquer momento e mediante requisição à Controladoria:

I - Confirmação da existência de tratamento;

II - Acesso aos dados;

III - Correção de dados incompletos, inexatos ou desatualizados;

IV - Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;

V - Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI - Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;

VII - informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre consequências da negativa; e

IX - Revogação do consentimento.

Art. 25°. As práticas de proteção de dados pessoais devem abranger todos processos e pessoas que de alguma forma tratem esses dados, em todas as unidades organizacionais da Administração Pública Direta e Indireta do Município de Salgadinho, assim como quaisquer pessoas físicas ou jurídicas com quem o Município se relacione, tais como: usuários dos serviços, fornecedores, prestadores de serviços, instituições e quaisquer outros entes públicos ou privados.

Art. 26°. O tratamento deve limitar-se ao mínimo de dados pessoais necessários para a realização das atividades pela administração pública direta e indireta, devendo a identificação de seus titulares ocorrer apenas durante o período necessário.

Art. 27°. O tratamento deve ser tão-somente para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de forma incompatível com as finalidades previamente definidas ou em descompasso com as hipóteses previstas na LGPD.

Art. 28°. A proteção dos dados pessoais deve ser eficaz nos meios físicos e digitais, devendo ser tratados de forma segura, resguardados de tratamento não autorizado ou ilícito, perda ou destruição acidental, mediante adoção de medidas técnicas ou organizacionais adequadas.

Art. 29°. Deve ser provida transparência a consulta aos titulares sobre o tratamento, finalidade, forma, conteúdo, integridade, duração, compartilhamento e exatidão de seus dados pessoais, bem como possibilitada a atualização e a correção dos dados pessoais e a revogação do consentimento por seus titulares, quando aplicável.

Art. 30°. O compartilhamento de dados pessoais deve ocorrer somente em situações de justificada necessidade, com finalidade e tratamento claramente especificados e rigorosamente aplicadas às medidas necessárias para registro, controle, proteção, sincronização, eliminação, anonimização e bloqueio dos dados pessoais compartilhados.

Art. 31°. Todos os serviços, produtos, projetos, processos e procedimentos da Administração Direta e indireta do Município, em funcionamento ou ainda não implantados, devem ser estruturados de forma a atender plenamente aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios gerais previstos na LGPD e às demais leis e regulamentos.

Art. 32°. O término do tratamento de dados pessoais deverá ocorrer com a verificação de que a finalidade foi alcançada, se deixaram de ser pertinentes ou necessários ou ocorreu o fim do período de tratamento.

Parágrafo único. O titular também tem o direito de revogação do consentimento por meio de solicitação expressa.

Art. 33°. Os dados pessoais serão eliminados após o término de seu tratamento, exceto para o cumprimento de obrigação legal ou anonimizados para estudo por órgão de pesquisa ou uso exclusivo do controlador.

CAPÍTULO V

Do Compartilhamento de Dados Pessoais Entre Entidades Públicas

Art. 34°. É possível o compartilhamento de dados com órgãos públicos ou transferência de dados a terceiro fora do setor público. Para tanto, os agentes de tratamento devem comunicar as operações executadas, de forma clara, aos titulares dos dados.

Art. 35°. Para o compartilhamento dentro da administração pública no âmbito da execução de políticas públicas, o órgão que coleta deverá informar claramente que o dado será compartilhado, com qual órgão e a finalidade.

Art. 36°. Se algum órgão solicitar o acesso a dado colhido pela Administração Direta ou Indireta do Município, isto é, pedir para receber o compartilhamento, precisará justificar esse acesso com base na execução de uma política pública específica e claramente determinada e ainda possuir atribuição, descrevendo o motivo da solicitação de acesso e o uso que será feito com os dados.

Art. 37°. É obrigação da Administração Direta ou Indireta do Município informar a finalidade e a forma como o dado será tratado com informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente no sítio eletrônico. Essa informação deverá manter os dados em formato interoperável e estruturado para o uso compartilhado.

CAPÍTULO VI

Das Disposições Finais

Art. 38°. Cabe à Secretaria de Municipal de Administração:

I - Fornecer, ao Comitê Gestor de Governança de Dados e Informações, os subsídios técnicos necessários para elaboração e monitoramento de diretrizes gerais relativas às operações de tratamento de dados pessoais;

II - Orientar, sob o aspecto tecnológico, as Secretarias Municipais, o Gabinete do Prefeito, a Procuradoria Geral do Município na implantação e os Órgãos de Controle Interno, em seus respectivos âmbitos, da Política de Proteção de Dados Pessoais, em conformidade com as diretrizes gerais deliberadas pelo Comitê Gestor de Governança de Dados e Informações.

Art. 39°. A Controladoria do Município, respeitadas suas atribuições, acompanhará o cumprimento do disposto neste decreto.

Art. 40°. Os Secretários Municipais e o Procurador Geral do Município poderão, mediante atos próprios, expedir normas complementares internas necessárias à execução deste decreto.

Prefeitura Municipal de Salgadinho, 29 de dezembro de 2023.

JOSÉ SOARES DA FONSECA

Prefeito