DECRETO Nº 4425, DE 20 DE OUTUBRO DE 2023.
*REGULAMENTA A APLICAÇÃO E IMPLEMENTAÇÃO DA LEI FEDERAL Nº 13709, DE 14 DE AGOSTO DE 2018 - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD), NO ÂMBITO DO PODER EXECUTIVO MUNICIPAL DE VALPARAÍSO/SP E DÁ OUTRAS PROVIDÊNCIAS *
CARLOS ALEXANDRE PEREIRA, Prefeito do Município de Valparaíso, Estado de São Paulo, USANDO das atribuições que lhe são conferidas pelo exercício do cargo,
CONSIDERANDO o previsto na Lei Geral de Proteção de Dados Pessoais (LGPD) Lei Federal nº 13.709, de 14 de agosto de 2018;
CONSIDERANDO que a proteção dos dados pessoais é um direito fundamental, previsto no inciso LXXIX, do artigo 5º, da Constituição Federal, nos termos da Emenda Constitucional nº 115 de 10 de fevereiro de 2022;
CONSIDERANDO a necessidade de dotar o Poder Executivo Municipal de mecanismos de proteção de dados pessoais para garantir o cumprimento da norma de regência;
CONSIDERANDO a crescente utilização da Internet e de modelos computacionais estruturados para acesso e processamento de dados disponibilizados pelos órgãos da Administração Direta e Indireta da Prefeitura Municipal de Valparaíso;
CONSIDERANDO a necessidade da proteção da privacidade e dos dados pessoais no âmbito das atividades da Prefeitura Municipal de Valparaíso;
D E C R E T A
CAPÍTULO I
DISPOSIÇÕES INICIAIS
Art.1º Este decreto tem como objetivo regulamentar a aplicação da Lei Federal nº 13709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD, no âmbito do Município de Valparaíso/SP.
Art.2º A disciplina da proteção de dados pessoais tem como fundamentos:
I– o respeito à privacidade;
II– a autodeterminação informativa;
III– a liberdade de expressão, de informação, de comunicação e de opinião;
IV– a inviolabilidade da intimidade, da honra e da imagem;
V– o desenvolvimento econômico e tecnológico e a inovação;
VI– a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VI – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Art.3º As atividades de tratamento de dados pessoais pelos órgãos e entidades municipais deverão observar a boa-fé e os seguintes princípios:
I– finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II– adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III– necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV– livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V– qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI– transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII– segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII– prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais;
IX– não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X– responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art.4º Este decreto não se aplica ao tratamento de dados pessoais:
I– realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II– realizado para fins exclusivamente jornalísticos, artístico ou acadêmico, aplicando-se a esta última hipótese os arts. 7º e 11 da LGPD;
III– realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, ou;
IV– provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país.
CAPÍTULO II
DO CONTROLADOR DE DADOS PESSOAIS
SEÇÃO I
DA INDICAÇÃO
Art.5º As decisões relacionadas ao tratamento de dados pessoais no âmbito da Administração Pública Direta e Indireta do Município de Valparaíso são de responsabilidade do Prefeito Municipal. Ele tem a prerrogativa de delegar atribuições de controle aos Secretários Municipais e ao Procurador do Município, desde que sejam observadas as competências e campos funcionais pertinentes.
SEÇÃO II
DO COMITÊ GESTOR DE PRIVACIDADE
Art.6º O Comitê Gestor de Privacidade do Município de Valparaíso, estabelecido por Portaria do Prefeito Municipal, tem a responsabilidade de auxiliar o controlador na execução das seguintes atividades:
I- Monitorar o tratamento de dados pessoais e os fluxos das operações relacionadas a esse tratamento;
II- Realizar análise de riscos;
III- Elaborar e manter atualizada a Política de Proteção de Dados Pessoais;
IV- Examinar as propostas de adaptação à Política de Proteção de Dados Pessoais.
SEÇÃO III
DA POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS
Art.7º A Política de Proteção de Dados Pessoais mencionada no inciso III do Artigo 6º deste decreto consiste em um conjunto de regras de boas práticas e de governança para o tratamento de dados pessoais. Essa política deve ser seguida de forma obrigatória pelos órgãos e entidades da Administração Pública.
CAPÍTULO III
DO ENCARREGADO DE DADOS PESSOAIS
SEÇÃO I
DA DESIGNAÇÃO
Art.8º Aquele responsável pelo tratamento de dados pessoais no âmbito municipal deve designar um encarregado de proteção de dados. Esse encarregado será responsável por garantir o cumprimento da LGPD e por atender às solicitações dos titulares de dados pessoais e Autoridade Nacional de Proteção de Dados (ANPD).
Parágrafo Único: A designação do encarregado de tratamento de dados pessoais será realizada por meio de Portaria.
SEÇÃO II
DAS ATRIBUIÇÕES DO ENCARREGADO
Art.9º O Encarregado de Tratamento de Dados Pessoais possui as seguintes atribuições:
I- Receber solicitações, pedidos de informação, reclamações e denúncias relacionadas ao tratamento de dados pessoais realizados em seu órgão, prestando os esclarecimentos necessários e encaminhando para as devidas providências pelos agentes competentes;
II- Receber comunicações da Autoridade Nacional de Proteção de Dados e encaminhá-las para as devidas providências pelos agentes competentes;
III- Orientar os servidores, terceirizados, contratados, conveniados e parceiros do órgão ou entidade municipal em relação às práticas a serem adotadas para a proteção de dados pessoais;
IV- Executar outras atribuições determinadas em normas complementares.
Art.10 Por requisição do Encarregado, os órgãos da Administração Pública devem fornecer as informações necessárias para atender solicitações da autoridade nacional dentro do prazo estipulado.
Art.11 No âmbito de suas competências, cabe aos Secretários Municipais e ao Procurador do Município:
I- Observar as recomendações e atender às requisições encaminhadas pelo Encarregado;
II- Encaminhar as informações solicitadas pela Autoridade Nacional, conforme o disposto no artigo 29 da Lei Federal nº 13709, de 14 de agosto de 2018, e os relatórios de impacto à proteção de dados pessoais, ou informações necessárias à sua elaboração;
III- Assegurar que o Encarregado seja informado de forma adequada e tempestiva sobre o tratamento e o uso compartilhado de dados pessoais necessários à execução de políticas públicas, bem como sobre a ocorrência de incidentes de segurança que possam representar risco ou dano relevante aos titulares de dados pessoais.
Art.12 Os requerimentos do titular de dados, formulados nos termos do artigo 18 da Lei Federal nº 13709, de 14 de agosto de 2018, ou de terceiros que envolvam dados pessoais, serão direcionados ao Encarregado.
Parágrafo Único: Os requerimentos mencionados no caput deste artigo serão respondidos pelo Encarregado, mediante parecer jurídico prévio emitido pela Procuradoria do Município.
Art.13 As Secretarias Municipais, o Gabinete do Prefeito e a Procuradoria do Município devem, em relação aos bancos de dados e informações pessoais sob sua responsabilidade, estruturados ou não, em suporte físico ou eletrônico:
I- Atribuir fundamento legal para o tratamento dos dados;
II- Indicar a finalidade do tratamento, a existência de compartilhamento dos dados e o respectivo instrumento, bem como o local em que os dados estão custodiados ou armazenados.
Parágrafo Único: Os órgãos mencionados no caput deste artigo devem comprovar ao Encarregado o cumprimento do disposto neste artigo.
Art.14 As entidades da Administração Pública Indireta devem apresentar, ao encarregado designado no artigo 9º deste decreto, no prazo de 90 (noventa) dias a partir da publicação deste decreto, o respectivo plano de conformidade com as disposições da Lei Federal nº 13709, de 14 de agosto de 2018.
CAPÍTULO IV
DA POLÍTICA DE TRATAMENTO DE DADOS
Art.15 A finalidade do tratamento relacionado à execução de Políticas Públicas deve estar previamente estabelecida em Lei, regulamentos ou respaldada em contratos, convênios ou instrumentos congêneres, observando o direito à preservação da intimidade e da privacidade da pessoa natural.
Art.16 Dados pessoais são informações relacionadas a pessoas naturais identificadas ou identificáveis, incluindo, sem limitação:
I- o nome e apelido;
II- o endereço de uma residência;
III- um endereço de correio eletrônico como nome.apelido@empresa.com;
IV- o número de um cartão de identificação;
V- dados de localização, como por exemplo, a função de dados de localização no celular;
VI- um endereço IP (protocolo de internet);
Art.17 Para o tratamento de dados pessoais e pessoais sensíveis, é necessária a obtenção do consentimento do titular de forma específica e destacada, para finalidades específicas.
§1º Considera-se dado sensível:
I- dado pessoal sobre origem racial ou étnica
II- convicção religiosa
III- opinião política
IV- filiação a sindicato ou a organização de caráter religioso, filosófico ou político
V- dado referente à saúde ou à vida sexual
VI- dado genético ou biométrico
Parágrafo Único: Só será possível o tratamento de dado sensível sem consentimento quando for indispensável em situações ligadas a:
I– cumprimento de obrigação legal ou regulatória pelo controlador;
II– tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
III– realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
IV– exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
V– proteção da vida ou da incolumidade física do titular ou de terceiro
VI– tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
VII– garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art.12 desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Art.18 O compartilhamento de dados com outros órgãos públicos ou a transferência de dados a terceiros deve ser comunicado ao titular dos dados. Em caso de alteração da finalidade, é necessário obter um novo consentimento com a finalidade especificada.
§1º O compartilhamento de dados no âmbito da administração pública para a execução de Políticas Públicas dispensa o consentimento do titular dos dados.
§2º A solicitação de acesso aos dados por parte de órgãos públicos deve ser devidamente justificada, descrevendo a motivação, uso e destino dos dados.
Art.19 A proteção de dados nos sistemas informatizados deve incluir medidas de autenticação, cadastro e segurança das informações relacionadas ao titular.
Art.20 São consideradas operações de tratamento todas as ações realizadas com dados pessoais, incluindo a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração das informações.
Art.21 Caso não haja medidas técnicas de segurança implementadas, ações necessárias para proteger os dados devem ser analisadas e executadas, sempre visando mitigar os riscos potenciais.
Art.22 O titular dos dados pessoais tem o direito de obter, a qualquer momento e mediante requisição:
I- Confirmação da existência de tratamento de seus dados;
II- Acesso aos dados;
III- Correção de dados incompletos, inexatos ou desatualizados;
IV- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
V- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observando segredos comerciais e industriais;
VI- Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
VII- Informações sobre as entidades públicas e privadas com as quais o Controlador compartilhou os dados;
VIII- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da recusa;
IX- Revogação do consentimento.
Art.23 As práticas de proteção de dados pessoais devem abranger todos os processos e pessoas que tratem esses dados, em todas as unidades organizacionais da Administração Pública Direta e Indireta do Município de Valparaíso, assim como quaisquer pessoas físicas ou jurídicas com quem o Município se relacione, como usuários dos serviços, fornecedores, prestadores de serviços, instituições e outros entes públicos ou privados.
Art.24 O tratamento de dados deve ser limitado ao mínimo de dados pessoais necessários para a realização das atividades pela administração pública direta e indireta, com a identificação dos titulares ocorrendo apenas durante o período necessário.
Art.25 O tratamento deve ser realizado apenas para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratado de maneira incompatível com as finalidades previamente definidas ou em desacordo com as hipóteses previstas na LGPD.
Art.26 A proteção dos dados pessoais deve ser eficaz nos meios físicos e digitais, com a garantia de tratamento seguro, resguardado de acessos não autorizados ou ilícitos, perda ou destruição acidental, por meio da implementação de medidas técnicas ou organizacionais adequadas.
Art.27 A consulta aos titulares sobre o tratamento, finalidade, forma, conteúdo, integridade, duração, compartilhamento e exatidão de seus dados pessoais deve ser transparente, permitindo a atualização e correção dos dados, bem como a revogação do consentimento, quando aplicável.
Art.28 O compartilhamento de dados pessoais deve ocorrer somente em situações de justificada necessidade, com finalidade e tratamento claramente especificados e estritamente aplicados às medidas necessárias para o registro, controle, proteção, sincronização, eliminação, anonimização e bloqueio dos dados pessoais compartilhados.
Art.29 Todos os serviços, produtos, projetos, processos e procedimentos da Administração Direta e Indireta do Município, em funcionamento ou ainda não implantados, devem ser estruturados de forma a atender plenamente aos requisitos de segurança, às boas práticas de governança, aos princípios gerais da LGPD e às demais leis e regulamentos.
Art.30 O término do tratamento de dados pessoais deve ocorrer após a verificação de que a finalidade foi alcançada, que deixaram de ser pertinentes ou necessários, ou que o período de tratamento expirou.
Parágrafo Único: O titular tem o direito de revogar o consentimento por meio de solicitação expressa.
Art.31 Os dados pessoais serão eliminados após o término do tratamento, a menos que haja obrigação legal de mantê-los ou que sejam anonimizados para fins de pesquisa por órgãos de pesquisa ou uso exclusivo do controlador.
CAPÍTULO V
DO COMPARTILHAMENTO DE DADOS PESSOAIS ENTRE ENTIDADES PÚBLICAS
Art.32 É permitido o compartilhamento de dados com órgãos públicos ou a transferência de dados a terceiros fora do setor público. Para tanto, os agentes de tratamento devem comunicar claramente as operações realizadas aos titulares dos dados.
Art.33 No caso de compartilhamento dentro da administração pública no âmbito da execução de políticas públicas, o órgão que coleta os dados deve informar claramente que haverá compartilhamento, com qual órgão e para qual finalidade.
Art.34 Caso algum órgão solicite acesso a dados coletados pela Administração Direta ou Indireta do Município, é necessário justificar esse acesso com base na execução de uma política pública específica e devidamente determinada, descrevendo o motivo da solicitação e o uso dos dados.
Art.35 A Administração Direta ou Indireta do Município tem a obrigação de informar de forma clara e atualizada a finalidade e a forma como os dados serão tratados, prevendo legalmente as atividades, os procedimentos e as práticas adotadas na execução dessas atividades. Essas informações devem ser de fácil acesso, preferencialmente no site eletrônico, mantendo os dados em formato interoperável e estruturado para compartilhamento.
Art.36 É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I– em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 2011;
II– nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709, de 2018;
III– quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao encarregado do Município para comunicação à autoridade nacional de proteção de dados;
IV– na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo Único: Em quaisquer das hipóteses previstas neste artigo:
I– a transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada;
II– as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Art.37 Este Decreto entra em vigor na data de sua publicação, revogada disposições em contrário.
MUNICÍPIO DE VALPARAÍSO, 20 DE OUTUBRO DE 2023.
CARLOS ALEXANDRE PEREIRA
Prefeito
AFIXADO NO EXPEDIENTE DA PREFEITURA MUNICIPAL DE VALPARAÍSO e registrado na Secretaria de Administração, aos 20 de outubro de 2023, por mim,
MAURO ANTONIO DA SILVA
Secretário de Administração
