DECRETO Nº 132, DE 21 DE MARÇO DE 2022
REGULAMENTA A APLICAÇÃO DA LEI FEDERAL Nº 13.709, DE 14 DE AGOSTO DE 2018 – LEI DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) – NO ÂMBITO DO PODER EXECUTIVO MUNICIPAL.
O Prefeito Municipal de Quilombo, Estado de Santa Catarina, no uso de suas atribuições que lhe confere os Incisos IX e XXIII, do Art. 65 da Lei Orgânica Municipal; e
CONSIDERANDO a Lei Federal nº 13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado visando a proteção de dados pessoais;
CONSIDERANDO a necessidade de proteção da privacidade e dos dados pessoais dos cidadãos, contribuintes, terceiros, servidores, agentes políticos e demais titulares de dados; e
CONSIDERANDO a necessidade de adequar os processos, ativos, serviços e políticas públicas, do Poder Executivo Municipal, em cumprimento a norma,
DECRETA:
Art. 1º Este decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais – LGPD, no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências, a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais, com os seguintes fundamentos:
I – O respeito à privacidade;
II – A autodeterminação informativa;
III – A liberdade de expressão, de informação, de comunicação e de opinião;
IV – A inviolabilidade da intimidade, da honra e da imagem;
V – O desenvolvimento econômico e tecnológico e a inovação;
VI – A livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
DO TRATAMENTO DE DADOS PESSOAIS
Art. 2º O tratamento de dados pessoais no âmbito do Poder Executivo Municipal, deverá observar a boa-fé e ser realizado para o atendimento da finalidade pública, na persecução do interesse público, com o objetivo de executar as
competências legais ou cumprir as atribuições legais do serviço público, observado as exigências do art. 23, inciso I e II da LGPD, e art. 3º, XI, deste Decreto.
I – As hipóteses legais de tratamento de dados pessoais dos processos, ativos, políticas públicas e serviços, oferecidos e mantidos no âmbito do Poder Executivo Municipal, serão identificadas no processo de mapeamento dos dados pessoais, nos termos dos artigos 7º, 11º, 14º e 23º, da Lei Federal nº 13.709/2018;
II – Fica definida a Carta de Serviço ao Usuário, estabelecida pelo Decreto Municipal nº 342/2021, de 29 de setembro de 2021, conforme Lei Federal nº 13.460/2017, como norma regulamentadora dos documentos pessoais necessários, para acesso a cada procedimento identificado no inciso I deste artigo;
III – No tratamento de dados pessoais cujo acesso é público será sempre considerado a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização;
IV – O tratamento posterior dos dados pessoais, cujo o acesso é público ou tornados manifestadamente públicos, poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.
§ 1º Excetua-se do disposto no caput deste artigo, o tratamento de dados previsto no art. 4º da Lei Federal nº 13.709, de 14 de agosto de 2018.
§ 2º Considera-se como tratamento toda operação realizada com os dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
§ 3º Qualquer hipótese de tratamento, deve considerar, além da LGPD, a legislação de arquivos públicos, regulamentada pelo CONARQ, a Lei de Acesso à Informação – LAI (Lei nº 12.527, de 18 de novembro de 2018), e outras leis e regulamentos em vigor.
§ 4º Quando os dados pessoais estiverem contidos em documentos arquivísticos, qualquer que seja o suporte ou formato, esses dados poderão ser tratados no contexto da LGPD, mas os documentos arquivísticos propriamente ditos, deverão seguir os procedimentos definidos pela gestão de documentos.
§ 5º O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos do art. 14 da LGPD e da legislação pertinente.
§ 5º O tratamento de dados pessoais sensíveis somente poderá ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; e sem fornecimento de consentimento do titular, nas hipóteses previstas no inciso II, art. 11 da LGPD.
DO PROGRAMA MUNICIPAL DE ADEQUAÇÃO À LEI GERAL DE PROTEÇÃO DOS DADOS (LGPD)
Art. 3º Fica instituído, no âmbito do Poder Executivo Municipal, o Programa Municipal de Adequação à Lei Geral de Proteção dos Dados – LGPD, definido como um conjunto de ações e boas práticas, contendo no mínimo:
I – Designação, por ato específico do Chefe do Poder Executivo, de um Encarregado de Proteção de Dados Pessoais no Município, Servidor Público Municipal, em atendimento ao art. 41 da Lei Federal nº 13.709/2018.
II – Constituição, por ato específico do Chefe do Poder Executivo, de um Comitê Municipal de Proteção de Dados Pessoais (CMPDP) composto por Servidores Públicos Municipais, nos termos do art. 8º deste Decreto.
III – Realização de treinamentos de capacitação e conscientização dos Servidores Públicos Municipais;
IV – Realização de Mapeamento do tratamento de dados pessoais, de que trata o Art. 2º, I, de todos os processos, ativos, políticas públicas e serviços oferecidos e mantidos no âmbito do Poder Executivo Municipal;
V – Revisão e proposta de alterações necessárias nas políticas de privacidade, políticas e procedimentos de segurança e proteção de dados pessoais, adotadas pelo Poder Executivo.
VI – Adoção de medidas de gerenciamento de riscos no tratamento de dados pessoais, de incidentes e de riscos em Segurança da Informação, Segurança Cibernética, indicando também, os recursos tecnológicos necessários;
VII – Gerenciamento dos Termos de Consentimento das demandas recebidas dos titulares dos dados;
VIII – Adequação regulamentar e de procedimentos, quanto a aspectos legais vinculados à Proteção de Dados Pessoais.
IX – Elaboração do Relatório de Impacto a Proteção de Dados – RIPD, com base na análise de riscos
X – Elaboração do Programa de Governança em Privacidade
XI – Divulgar no sítio oficial do Município, informações das hipóteses de tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, nos termos do art. 23, I, da LGPD.
§ 1º A condução de todo o processo de adequação a LGPD, de que trata o caput do deste artigo, será de responsabilidade da Secretaria Municipal de Administração e Planejamento.
§ 2º Caso haja necessidade, tendo em vista a limitação de recursos humanos e de capacidade técnica, por meio do Comitê e do Encarregado, poderá ser solicitado ao Chefe do Poder Executivo, a contratação de assessoramento ou apoio técnico especializado, no processo de implantação e adequação à Lei Geral de Proteção de Dados – LGPD.
§ 3º O modelo de governança a ser adotado será centralizado e irá utilizar um
mesmo conjunto de recursos para toda a Instituição, elaborando diretrizes e produzindo os documentos de privacidade, a partir do Comitê.
I – A exceção da centralização de que trata § 3º, se dará na elaboração de Relatórios de Impacto à Proteção de Dados – RIPDs, que, devido à sua natureza, devem ser produzidos pelas Secretarias, a partir de diretrizes definidas pelo Comitê.
DO MAPEAMENTO DO TRATAMENTO DE DADOS PESSOAIS
Art. 4º O Mapeamento do tratamento dos dados pessoais, de que trata o art. 37 da LGPD e art. 3º, IV, deste Decreto, consiste no registro das operações de tratamento dos dados pessoais, no âmbito do Poder Executivo Municipal, e deve ser realizado no prazo máximo de 180 dias, a contar da data de publicação deste Decreto, devendo demonstrar no mínimo:
Os agentes de tratamento de dados (Operador e Controlador)
Encarregado
Finalidade
Dados pessoais tratados
Categoria dos titulares dos dados pessoais
Hipóteses legais de tratamento de dados (art. 7º e 11) e previsão legal (leis municipais, decretos, carta de serviço, que regulamentam serviços e políticas públicas)
Prazo de retenção
Transferências internacionais
Fases do ciclo de vida do tratamento dos dados pessoais com ativos organizacionais: coleta, retenção, processamento, compartilhamento, eliminação
Descrição do tratamento efetuado
Área e processo que o utiliza
Controles de segurança e proteção de dados implementados
Indicação se o dado pessoal em questão é sensível
Se trata dados de crianças, adolescentes ou algum outro grupo de vulneráveis
§ 1º Nas fases do ciclo de vida do tratamento dos dados pessoais com ativos organizacionais, de que trata inciso IX, deste artigo, deve-se considerar:
I – Na fase de Coleta deve-se identificar os ativos envolvidos na coleta de dados pessoais. Esses dados podem entrar na organização por algum documento,
algum sistema hospedado em algum equipamento localizado em local físico do órgão público. Podem ser coletados pela prestação de algum serviço externo ou serviço prestado pelo próprio órgão público por meio de alguma de suas unidades organizacionais.
II – Na fase de Retenção, deve-se avaliar os ativos utilizados para armazenar os dados pessoais. Esses dados podem estar armazenados em bases de dados, documentos, equipamentos ou sistemas. É preciso considerar também as secretarias municipais, responsáveis pelo armazenamento e guarda dos dados, bem como os locais físicos onde estão localizados os ativos que armazenam esses dados. Se o armazenamento for em “nuvem”, por exemplo, é necessário considerar o serviço de armazenamento contratado e/ou utilizado.
III – A fase de Processamento segue a mesma linha de raciocínio das anteriores. Identifica-se os ativos onde são realizados os tratamentos dos dados. O tratamento pode ser realizado em documento, pode ser feito por um sistema interno ou contratado pelo órgão. É preciso identificar as pessoas (papeis organizacionais), unidade organizacionais e equipamentos envolvidos nesse tratamento. Onde estão localizadas fisicamente essas unidades organizacionais e os equipamentos envolvidos nesse tratamento também são importantes.
IV – Na fase de Compartilhamento é preciso mapear os ativos envolvidos na distribuição ou divulgação dos dados pessoais para dentro e para fora do órgão público. Quais sistemas são usados para transmitir, exibir ou divulgar dados pessoais? Quais pessoas são destinatárias dessas informações? Quais unidades organizacionais, quais equipamentos são usados para tal?
V – No que se refere à fase de Eliminação, nos termos do art. 16 da LGPD, deve-se avaliar os ativos que armazenam os dados pessoais que possam ser objeto de: solicitação de eliminação ou descarte, devendo obedecer, nesse caso, tabela de temporalidade a ser definida pelo Município. Os dados pessoais a serem eliminados podem estar armazenados em ativos relacionados com bases de dados, documentos, equipamentos ou sistemas. É necessário considerar também as unidades organizacionais responsáveis pelo armazenamento e guarda dos dados que possam ser objeto de eliminação ou descarte, bem como os locais físicos onde estão localizados os ativos que contenham dados a serem eliminados ou descartados. Se a eliminação do dado pessoal ou descarte do ativo tiver relação com solução em “nuvem”, por exemplo, é preciso considerar o serviço de armazenamento contratado ou utilizado
§ 2º Considera-se como ativos organizacionais, nos termos do § 1º, bases de dados, documentos, equipamentos, locais físicos, pessoas, sistemas, secretarias, departamentos, e, outros ativos.
§ 3º O Relatório de Inventário dos dados pessoais, resultado do Mapeamento de todos os processos, ativos, políticas públicas e serviços oferecidos e mantidos no âmbito do Poder Executivo Municipal, de que trata o caput deste artigo, demonstrará o conteúdo mínimo, nos termos do art. 23, I, da LGPD, e art. 3º, XI, deste Decreto.
§ 4º O Mapeamento de que trata o caput deste artigo, deve abranger inclusive a revisão de documentos administrativos, a exemplo de Editais, Contratos, Aditivos, Convênios, Termos de Parcerias, e outros, que envolvam dados pessoais, visando a adequação aos princípios, direitos e normas contidas na LGPD.
§ 5º Na conclusão do processo de mapeamento dos dados, de que trata o
caput deste artigo, será elaborado, Relatório de Impacto de Proteção de Dados Pessoais – RIPD.
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Art. 5º O Controlador é a pessoa jurídica de direito público, Ente Federativo, Município de Quilombo responsável pelo cumprimento da Lei Geral de Proteção de Dados, e por tomar as decisões referentes ao tratamento de dados pessoais, conforme art. 5º, VI, e 39 da LGPD.
Art. 6º O operador é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada, nos termos do art. 5º, VII e art. 39 da LGPD.
Parágrafo único. Com base no Mapeamento do tratamento de dados pessoais, de que trata o art. 3º, IV, deste Decreto, deverá ser identificado, todos os ativos, softwares, sistemas informatizados, aplicativos e outros que, realizam o tratamento de dados pessoais, em nome do Município de Quilombo, entendidos, nos termos da LGPD, como Operadores.
I – Contempla a revisão dos documentos administrativos, para adequação das exigências da LGPD, no âmbito do Poder Executivo, a revisão de todos os contratos, convênios, termos de parcerias ou documentos congêneres, mantidas entre o Controlador e Operadores, com inclusão de cláusulas de proteção de dados e exigência de Termos de acordos de confidencialidade e sigilo com prestadores de serviço e Terceiros.
DO ENCARREGADO E DO COMITÊ MUNICIPAL DE PROTEÇÃO DE DADOS PESSOAIS
Art. 7º A designação do Encarregado de Proteção de dados, para os fins de atendimento do art. 41 da Lei Federal nº 13.709/2018, o art. 3º, I, deste Decreto, deverá ocorrer por ato do Chefe do Poder Executivo, no prazo de até 30 dias a contar da data de publicação deste Decreto, como responsável por garantir a conformidade do Poder Executivo Municipal à LGPD.
§ 1º A identidade e as informações de contato do Encarregado de Proteção de dados, como canal de atendimento, devem ser divulgadas publicamente, de forma clara e objetiva, no sítio oficial do Município, em seção específica sobre tratamento de dados pessoais.
§ 2º O encarregado da proteção de dados está vinculado à obrigação de sigilo e de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 13.709 de 2018 e com a Lei Federal no 12.527 de 2011.
§ 3º O encarregado terá liberdade na realização de suas atribuições, e, preferencialmente, qualificações profissionais considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.
Art. 8º A constituição do Comitê Municipal de Proteção de Dados Pessoais
(CMPDP), de que trata o art. 3º, II, deste Decreto, deverá ocorrer no prazo de até 30 dias a contar da data de publicação deste Decreto, por ato do Chefe do Poder Executivo.
§ 1º Compete ao Comitê Municipal de Proteção de Dados Pessoais apoiar o encarregado e deliberar, dentre outras, sobre as orientações e as diretrizes referente à proteção de dados pessoais, buscando preservar integridade, confidencialidade, disponibilidade, autenticidade, privacidade da informação e a Proteção de dados.
DAS POLÍTICAS DE SEGURANÇA E PRIVACIDADE
Art. 9º As medidas técnicas, administartvias e de segurança, adotadas pelo Poder Executivo, nos termos do art. 46 da LGPD, devem contemplar a revisão e proposta de alterações necessárias nas políticas de privacidade e nas políticas e procedimentos de segurança, para proteção dos dados pessoais, de que trata o art. 3º, IV, deste Decreto, será realizada, com base nos resulados do Relatório de que trata o art. 4º, § 1º deste Decreto, com o objetivo de garantir a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na LGPD.
§ 1º A política de privacidade de dados pessoais, deve permanecer durante todas as fases do tratamento, que deve ser limitado quanto a quantidade de dados pessoais coletados, extensão do tratamento, período de armazenamento e acessibilidade ao mínimo necessário para a concretização da finalidade do tratamento dos dados pessoais, considerado:
I – Especificação da finalidade – os objetivos para os quais os dados pessoais são coletados, usados, retidos e divulgados devem ser comunicados ao titular dos dados antes ou no momento em que as informações são coletadas. As finalidades especificadas devem ser claras, limitadas e relevantes em relação ao que se pretende ao tratar os dados pessoais.
II – Limitação da coleta – a coleta de dados pessoais deve ser legal e limitada ao necessário para os fins especificados.
III – Minimização dos dados – a coleta dos dados pessoais que possa identificar individualmente o titular de dados deve obter o mínimo necessário de informações pessoais. A concepção de programas, tecnologias e sistemas de informação e comunicação deve começar com interações e transações não identificáveis, como padrão. Qualquer vinculação de dados pessoais e a possibilidade de informações serem usadas para identificar o titular de dados, deve ser minimizada.
IV – Limitação de uso, retenção e divulgação – o uso, retenção e divulgação de dados pessoais devem limitar-se às finalidades relevantes identificadas para o titular de dados, para as quais ele consentiu ou é exigido ou permitido por lei. Os dados pessoais serão retidos apenas pelo tempo necessário para cumprir as finalidades declaradas e depois eliminados com segurança.
§ 2º O Poder Executivo Municipal, deve manter, dentro das suas possibilidades e estágios de desenvolvimento tecnológico, reconhecida política de segurança da informação, com um definido conjunto mínimo de premissas, políticas e especificações técnicas, considerando interconexções, segurança, meios de acesso, organização e intercâmbio de informações, áreas de integração e ainda, sempre que possível, as normas:
I – ABNT NBR ISO/IEC 27001:2013. Sistemas de gestão da segurança da informação
II – ABNT NBR ISO/IEC 27002: 2013. Código de Prática para controles de segurança da informação
III – ABNT NBR ISO/IEC 27005:2019. Gestão de riscos de segurança da informação
IV – ABNT NBR ISO/IEC 31000:2018. Gestão de riscos – Diretrizes.
V – ABNT NBR ISO/IEC 27701:2019. Técnicas de segurança — Extensão da ABNT NBR ISO/ IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes.
VI – Resoluções do CONARQ.
VII – Normas emitidas pelo Poder Executivo Municipal.
§ 3º Poderá ser utilizado, como ferramenta de gestão da política de segurança da informação, o Plano Diretor de Tecnologia da Informação – PDTI, que deverá relacionar o diagnóstico/planejamento/monitoramento da melhoria contínua dos recursos, processos e infraestrutura de TI de um determinado período.
§ 4º O Poder Executivo Municipal, manterá, no processo de elaboração do orçamento público, a cada exercício, saldo orçamentário disponível em dotação, visando, quando for o caso, atender as lacunas que demonstram níveis altos de riscos, e adotará as medidas necessárias para garantir a proteção de dados dos Titulares.
RELATÓRIO DE IMPACTO A PROTEÇÃO DE DADOS PESSOAIS
Art. 10 Nos termos do art. 4º, § 4º, deste Decreto, e, art. 38 da LGPD, a elaboração dos Relatórios de Impacto a Proteção de Dados Pessoais – RIPD, é de responsabilidade do Controlador, e deverão considerar os resultados apurados no mapeamento do tratamento de dados pessoais de que trata deste Decreto, e conter ainda, no mínimo:
I – A descrição dos tipos de dados coletados;
II – A metodologia utilizada para a coleta e para a garantia da segurança das informações
III – A análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Parágrafo único. O Relatório de Impacto a Proteção de Dados – RIPD, visa a identificação das não-conformidades (necessidade de adequação) no tratamento de dados pessoais, apontando se há desvios entre o cenário atual e as exigências da Lei Federal nº 13.709/2018, como identificação de eventuais dados pessoais que não atendam aos critérios de finalidade de processamento ou do mínimo necessário, necessidades de alteração de processos dentro de cada estrutura organizacional, entre outros, e deverá ser divulgado no sítio oficial do Município.
ELABORAÇÃO DO PROGRAMA DE GOVERNANÇA EM PRIVACIDADE
Art.11 O Programa de Governança em Privacidade do Poder Executivo Municipal, nos termos do art. 50 da LGPD, terá como objetivo a adequação aos requisitos da LGPD, dispondo de um conjunto de atividades que serão traduzidas em ações concretas a serem atingidas, considerando ainda a estrutura organizacional do Município de Quilombo, de forma a construir uma lista de atividades que se adeque à realidade deste Ente, contendo no mínimo as seguintes atividades:
I – Treinamento e Conscientização
II – Composição do Comitê de Proteção de Dados Pessoais e da Equipe de Proteção de Dados Pessoais
III – Definição da Estratégia de Proteção de Dados Pessoais
IV – Avaliação da Realidade Organizacional
V – Elaboração dos Documentos de Privacidade
VI – Implementação do Programa de Governança em Privacidade
VII – Monitoramento do Programa de Governança em Privacidade
Parágrafo único. O Programa de Governança em Privacidade deve conter ainda planos de resposta a incidentes e remediação e, políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade.
Art. 12 Fazem parte das medidas de boas práticas, todas as ações e mecanismos, nas áreas de segurança da informação, privacidade, governança, e outras, com objetivo de reduzir o risco e fomentar a cultura institucional de proteção de dados pessoais, protejendo os direitos dos titulares e atendendo os princípios e exigências da Lei Geral de Porteção de Dados – LGPD.
Art. 13 Este Decreto entrará em vigor na data de sua publicação.
Gabinete do Executivo Municipal, 21 de março 2022.
SILVANO DE PARIZ
Prefeito Municipal
Registrado e Publicado
Em ___ /03/2022
Lei Municipal 1087/1993
Luciana Lima
Servidora Designada