REGULAMENTAÇÃO DA LGPD EM ÂMBITO MUNICIPAL - ÁREA DE IMPRENSA
img
REGULAMENTAÇÃO DA LGPD EM ÂMBITO MUNICIPAL - ÁREA DE IMPRENSA

DECRETO MUNICIPAL Nº 5.116, DE 02/07/2021
REGULAMENTA A APLICAÇÃO DA LEI FEDERAL Nº 13.709, DE 14 DE AGOSTO DE 2018 - LEI DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) - NO ÂMBITO DA ADMINISTRAÇÃO MUNICIPAL DE IGREJINHA/RS.

 

DISPONÍVEL EM: https://camaraigrejinha.cespro.com.br/visualizarDiploma.php?cdMunicipio=7565&cdDiploma=202105116&NroLei=5.116

 

 

O PREFEITO DE IGREJINHA, no uso das suas atribuições que lhe confere o inciso II do art. 23 e o inciso I do art. 30 da Constituição da República, bem como a Lei Orgânica Municipal,

DECRETA:

 

CAPÍTULO I - DISPOSIÇÕES PRELIMINARES


Art. 1º Este Decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências correlatas a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais.

Art. 2º Para os fins deste Decreto, considera-se:
   I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
   II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
   III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
   IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;
   V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
   VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
   VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
   VIII - encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
   IX - agentes de tratamento: o controlador e o operador;
   X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
   XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
   XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
   XIII - plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas aos incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.

Art. 3º As atividades de tratamento de dados pessoais pelos órgãos e entidades municipais deverão observar a boa fé e os seguintes princípios:
   I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
   II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
   III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
   IV - livre acesso: garantia aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
   V - qualidade dos dados: garantia aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
   VI - transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos, comercial e industrial;
   VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
   VIII - prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais;
   IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
   X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
 

CAPÍTULO II - DAS RESPONSABILIDADES


Art. 4º O Poder Executivo Municipal, por meio de seus órgãos e entidades, nos termos da Lei Federal nº 13.709/2018, deve realizar e manter continuamente atualizados:
   I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
   II - a análise e o relatório de risco e impacto à proteção de dados pessoais;
   III - o plano de adequação, observadas as exigências do art. 17 deste Decreto.

Art. 5º Os órgãos e entidades da Administração Pública Municipal ficam designados como controlador, devendo cada um indicar o seu encarregado pelo tratamento de dados, para os fins do art. 41 da Lei Federal nº 13.709/2018.
   Parágrafo único. A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, em algum dos meios oficiais de divulgação do Município de Igrejinha (mural oficial ou sites), sendo preferencialmente no site oficial, em seção específica sobre tratamento de dados pessoais.

Art. 6º Compete à entidade ou ao órgão controlador:
   I - aprovar, prover condições e promover ações para efetividade do Plano de Adequação de Proteção de Dados Pessoais do órgão e/ou entidade;
   II - nomear encarregado para conduzir o Plano de Adequação e sua manutenção, através de ato próprio;
   III - elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade; e
   IV - fornecer aos operadores termos de uso, manuais de instruções e treinamento dos tratamentos sob sua responsabilidade.
   § 1º Os atos do controlador público são de responsabilidade do titular de mais alta hierarquia do órgão ou entidade.
   § 2º A nomeação do encarregado deverá atender prerrogativas e qualificações necessárias ao exercício dessa função.

Art. 7º Compete ao encarregado e sua equipe de apoio:
   I - gerenciar o Plano de Adequação para:
      a) inventariar os tratamentos do controlador, inclusive os eletrônicos;
      b) analisar a maturidade dos tratamentos em face dos objetivos e metas estabelecidos e do consequente risco de incidentes de privacidade;
      c) avaliar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
      d) adotar as providências cabíveis para implementar as medidas de segurança avaliadas;
      e) cumprir os objetivos e metas previstas no Plano de Adequação do seu órgão e/ou entidade.
   II - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, em articulação com a Ouvidoria de cada órgão e entidade;
   III - receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais - ANPD e adotar providências;
   IV - orientar os funcionários e os contratados no cumprimento das práticas necessárias à privacidade de dados pessoais;
   V - quando provocado, entregar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade;
   VI - atender às normas complementares da Agência Nacional de Proteção de Dados Pessoais;
   VII - informar à Agência Nacional de Proteção de Dados Pessoais e aos titulares dos dados pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um plano de respostas a incidentes.

Art. 8º Compete ao operador de dados pessoais e sua equipe de apoio:
   I - manter registro das operações de tratamento de dados pessoais que forem realizadas;
   II - realizar o tratamento de dados segundo as instruções fornecidas pelo controlador e de acordo com as normas aplicáveis;
   III - adotar, em conformidade às instruções fornecidas pelo controlador, medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
   IV - subsidiar o controlador no intuito de dar cumprimento às solicitações, orientações e às recomendações do encarregado;
   V - executar outras atribuições correlatas.

Art. 9º Compete à Administração Municipal:
   I - orientar a aplicação de soluções de TIC (Tecnologia da Informação e Comunicação) relacionadas à proteção de dados pessoais;
   II - adequar as arquiteturas e as operações compartilhadas de TIC hospedadas no datacenter e na rede corporativa às exigências da Lei Federal nº 13.709/2018;
   III - propor padrões de desenvolvimento de novas soluções de TIC, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução.
   Parágrafo único. As arquiteturas e as operações de que trata o inciso II poderão ter seu escopo alterado por meio de acordo entre as partes responsáveis pelo compartilhamento.

Art. 10. Compete à Ouvidoria-Geral do Município:
   I - coordenar e orientar a rede de encarregados responsáveis pela implementação do Plano de Adequação;
   II - consolidar os resultados e apoiar o monitoramento da Proteção de Dados Pessoais implementados no Município;
   III - disponibilizar canal de atendimento ao titular do dado, considerando as atividades desempenhadas pela Ouvidoria Geral do Município;
   IV - coordenar a qualidade do atendimento ao titular do dado;
   V - estabelecer sistemática de auditoria interna com vistas a aumentar e proteger o valor organizacional do Município, fornecendo avaliação, assessoria e conhecimento objetivos baseados em riscos;
   VI - encaminhar o atendimento ao encarregado responsável pelos dados e acompanhar sua resolutividade, nos termos do art. 19 deste Decreto;
   VII - produzir e manter atualizados manuais de implementação das Políticas de Proteção de Dados Pessoais Locais e modelos de documentos, bem como capacitações para os agentes públicos.

Art. 11. Compete ao Departamento Jurídico do Município:
   I - disponibilizar aos agentes de tratamento e ao encarregado consultoria jurídica para dirimir questões e emitir pareceres do significado e alcance da Lei Federal nº 13.709/2018;
   II - disponibilizar modelos de contratos, convênios e acordos aderentes à Lei Federal nº 13.709/2018, a serem utilizados pelos agentes de tratamento;
   III - disponibilizar modelo de termo de uso de sistema de informação da Administração Pública;
   IV - adotar as medidas jurídicas necessárias à adequação dos instrumentos já firmados a LGPD.
 

CAPÍTULO III - DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA MUNICIPAL


Art. 12. O tratamento de dados pessoais pelos órgãos e entidades da Administração Pública Municipal deve:
   I - objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;
   II - observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.

Art. 13. O tratamento de dados pessoais deve ser restrito à sua finalidade, executado de forma adequada e pelo prazo necessário.
   § 1º A adequação a que se refere o caput deve obedecer à Política de Segurança da Informação adotada no Município.
   § 2º A necessidade de armazenamento dos dados pessoais observará as obrigações legais ou judiciais de mantê-los protegidos.
   § 3º Os responsáveis pelos tratamentos devem registrar as operações realizadas com dados pessoais.
   § 4º O controlador deve adotar medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis no âmbito e nos limites técnicos de seus serviços, para não serem acessados por terceiros não autorizados e, sempre que possível, proceder à sua anonimização.

Art. 14. Os órgãos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei Federal nº 13.709/2018.
   § 1º O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública poderá ser realizado nas seguintes hipóteses:
      I - execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; e
      II - cumprir obrigação legal ou judicial.
   § 2º O controlador deve manter o registro do compartilhamento dos dados pessoais para efeito de comprovação prevista no inciso VII do art. 18 da Lei Federal nº 13.709/2018.

Art. 15. É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
   I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527/2011;
   II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709/2018;
   III - quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Controlador Geral do Município para comunicação à autoridade nacional de proteção de dados;
   IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
   Parágrafo único. Em quaisquer das hipóteses previstas neste artigo:
      I - a transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada;
      II - as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.

Art. 16. Os órgãos e entidades da Administração Pública Municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:
   I - os encarregados informem à Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;
   II - seja obtido o consentimento do titular, salvo:
      a) nas hipóteses de dispensa de consentimento previstas na Lei Federal nº 13.709/2018;
      b) nos casos de uso compartilhado de dados, em que será dada a devida publicidade;
      c) nas hipóteses do art. 13 deste Decreto.
   Parágrafo único. Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e o órgãos e entidades municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.

Art. 17. Os planos de adequação devem observar, no mínimo, o seguinte:
   I - publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet;
   II - atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23, § 1º, e do art. 27, parágrafo único, da Lei Federal nº 13.709/2018;
   III - manutenção de dados para o uso compartilhado com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral;
   IV - elaboração de inventário de dados, assim entendido o registro de operações de tratamento de dados pessoais, realizados pelo órgão ou entidade;
   V - elaboração do Relatório de Impacto de Proteção de Dados Pessoais, assim entendida a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos;
   VI - elaboração de Plano de Resposta a Incidentes, assim entendido o plano de resposta para tratar ocorrências de situações que venham a lesar a segurança de dados pessoais mantidos sob a responsabilidade do órgão ou entidade;
   VII - instrumentalização da adequação de Contratos, conforme orientações expedidas pelo Departamento Jurídico;
   VIII - implementação da utilização de Termos de Uso conforme orientações expedidas pelo Departamento Jurídico;

Art. 18. As entidades integrantes da Administração Municipal indireta que atuarem em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, deverão observar o regime relativo às pessoas jurídicas de direito privado particulares, exceto quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, nos termos do art. 24 da Lei nº 13.709/2018.
 

CAPÍTULO IV - DO ATENDIMENTO AO TITULAR DO DADO


Art. 19. O atendimento ao titular do dado será formalizado nos canais eletrônicos de atendimento da Ouvidoria-Geral do Município e direcionado a cada órgão ou entidade competente, nos termos do inciso II do art. 7º deste Decreto.
   § 1º A identificação do titular ou procurador deverá ser idônea, emitida por autoridade certificadora da ICP-Brasil.
   § 2º O canal de atendimento deve prover funções de registro e gerenciamento para servir ao acompanhamento dessa forma de atendimento.

Art. 20. O atendimento ao titular poderá ser prestado de forma presencial na entidade em que os dados são encontrados, desde que haja a conferência de documento oficial e infraestrutura adequada.
   § 1º Quando o titular for incapaz, o atendente deve conferir a certidão de nascimento do titular e o documento de identidade de um dos pais ou responsáveis legais.
   § 2º Atestada a legitimidade do titular ou de seu procurador, o atendente coletará dados de identificação e de contato do solicitante, protocolará e transcreverá a solicitação através dos canais de atendimento da Ouvidoria-Geral do Município.
   § 3º O atendimento presencial ao procurador ou curador somente será aceito através do instrumento de outorga.

Art. 21. A Ouvidoria-Geral do Município encaminhará o atendimento ao encarregado responsável pelos dados e acompanhará sua resolutividade.
   § 1º O encarregado deverá adotar as providências para apensar os dados solicitados ao atendimento.
   § 2º Os dados pessoais solicitados no atendimento deverão ser entregues ao titular ou seu representante legal, através de meio eletrônico protegido ou pessoalmente.

Art. 22. Em qualquer forma de atendimento, o encarregado observará que as informações pessoais produzidas pelo órgão ou entidade não devem ser providas quando estiverem vinculadas a tratamento sigiloso nos termos da legislação vigente.
   Parágrafo único. O encarregado informará o fundamento legal que fundamenta o indeferimento de entrega da informação sigilosa solicitada.
 

CAPÍTULO V - DISPOSIÇÕES FINAIS


Art. 23. Os órgãos e entidades da Administração Pública Municipal deverão estar em conformidade com o disposto no art. 4º deste Decreto até o dia 31 de agosto de 2021.

Art. 24. Poderão ser expedidas normas complementares a este Decreto, conjuntamente, pela Ouvidoria-Geral e pelo Departamento Jurídico, aos quais compete também, em conjunto, dirimir os casos omissos.

Art. 25. Este Decreto entra em vigor na data de sua publicação.

 

 

Município de Igrejinha/RS, 02 de julho de 2021.
 

 

Leandro Marciano Horlle
Prefeito

 

Registre-se e publique-se.

Joel Leandro Wilhelm
Secretário de Administração e Desenvolvimento Econômico

    Gestão 2021 - 2023
    Desenvolvimentoagência conectiva