PORTARIA Nº 40/ 2023
REGULAMENTA A POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DO PODER LEGISLATIVO MUNICIPAL, EM CONSONÂNCIA COM A LEI FEDERAL Nº 13.709, DE 14 DE AGOSTO DE 2018 - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD).
O PRESIDENTE (OU MESA DIRETORA) DO PODER LEGISLATIVO DA CIDADE DE TAQUARITINGA DO NORTE/PE, no uso das atribuições legais que lhe foram conferidas pela Constituição Federal e pela Lei Orgânica Municipal.
CONSIDERANDO que os dados pessoais integram o âmbito de proteção dos direitos fundamentais de liberdade, de privacidade, de intimidade e do livre desenvolvimento da personalidade da pessoa natural ou jurídica;
CONSIDERANDO a Lei Federal nº 13.709/2018, que estabeleceu a Lei Geral de Proteção de Dados Pessoais - LGPD;
CONSIDERANDO que, nos termos do parágrafo único do art.1º da Lei Geral de Proteção de Dados Pessoais, as normas de proteção relativas ao tratamento de dados pessoais são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
DECRETA:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º. Fica instituída a Política de Proteção de Dados Pessoais -PMPDP, conjunto de diretrizes, normas e ações para o desenvolvimento e a adaptação da ação governamental à Lei Federal nº 13.709/2018, no âmbito da Administração Pública direta, autárquica e fundacional do Poder Legislativo Municipal.
Parágrafo único. A Política Municipal de Proteção de Dados Pessoais observará a boa-fé e os seguintes princípios:
- finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dosdados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
– livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
– qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
– não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
- responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes decomprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 2º. São diretrizes da Política Municipal de Proteção de Dados Pessoais:
– as regras de boas práticas e governança estabelecidas pelo controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;
– o atendimento simplificado e eletrônico das demandas do cidadão;
- o alinhamento e o equilíbrio com a promoção da transparência pública, em específico com a Lei Municipal nº 2.085/2022;
– o estabelecimento da proporcionalidade das medidas acerca de proteção de dados, privacidade e segurança da informação;
– o desenvolvimento do nível de maturidade dos tratamentos dos dados;
– a manutenção da segurança jurídica dos instrumentos firmados;
– a economicidade das ações;
VIII – o alinhamento ao planejamento estratégico do Município.
Art. 3º. Para fins deste normativo, considera-se:
– dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
– dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
– banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
– titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
- controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
- agentes de tratamento: o controlador e o operador; e
- tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção,classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
CAPÍTULO II
DAS RESPONSABILIDADES
Art. 4º. A Administração Pública no âmbito do Poder Legislativo, nos termos da Lei Federal nº 13.709/2018, deve realizar e manter continuamente atualizados:
– o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
– a análise de risco;
– o plano de adequação, observadas as exigências constantes em norma específica;
– o relatório de impacto à proteção de dados pessoais, quando solicitado.
Parágrafo único. Para fins do inciso III, deste artigo, as a Administração do Legislativo Municipal deve observar as diretrizes editadas pelo Comitê Gestor de Proteção de Dados Pessoais - CGPDP de que trata o art. 5º deste normativo.
Art. 5º. Fica criado o Comitê Gestor de Proteção de Dados Pessoais - CGPDP, que será composto da seguinte forma:
– Um representante da Chefia de Gabinete ou diretoria, que o presidirá;
– Um representante do Unidade de Controle Interno;
– Um representante do âmbito Jurídico;
IV – Um representante da área de tecnologia de dados ou afins.
Parágrafo Único. Compete ao Comitê Gestor de Proteção de Dados Pessoais – CGPDP, com base nos princípios e disposições contidos na Lei Federal nº 13.709, de 14 de agosto de 2018, e em regulamentações complementares emitidas pela Autoridade Nacional de Proteção de Dados – ANPD, estabelecer diretrizes, definir normas, atribuir competências e deliberar sobre Política institucional de Proteção de Dados Pessoais, estratégias de adequação, objetivos, metas, prazos e os programas de governança em privacidade.
Art. 6º - O Comitê Gestor poderá convidar membros temporários para apoiá-los em suas atividades, de acordo com a necessidade.
Art. 7º. Compete à Chefia de Gabinete e a Unidade de Controle Interno:
- coordenar e orientar a rede de encarregados responsáveis pela implementação da PMPD;
– consolidar os resultados e apoiar o monitoramento da Política Municipal de Proteção de Dados Pessoais;
– disponibilizar canal de atendimento ao titular, considerando as atividades desempenhadas pela Ouvidoria do Município;
– coordenar a qualidade do atendimento ao titular do dado;
– produzir e manter atualizados manuais e modelos de documentos, bem como capacitações para os agentes públicos; e
– estabelecer sistemática de auditoria interna com vistas a aumentar e proteger o valor organizacional do Município, fornecendo avaliação, assessoria e conhecimentos objetivos baseados em riscos.
Art. 8º. Compete ao responsável da área de tecnologia de dados:
– orientar a aplicação de soluções de tecnologia da informação e comunicação relacionadas à proteção de dados pessoais;
– adequar as arquiteturas e as operações compartilhadas de tecnologia da informação e comunicação hospedadas no data center e na rede corporativa às exigências da Lei Federal nº 13.709, de 14 de agosto de 2018; e
– propor padrões de desenvolvimento de novas soluções de tecnologia da informação e comunicação, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução.
- definir, promover e administrar, direta e indiretamente, modelos e métodos de gerenciamento que promovam segurança dos servidores;
Parágrafo único. As arquiteturas e as operações de que trata o inciso II poderão ter seu escopo alterado por meio de acordo entre as partes responsáveis pelo compartilhamento.
Art. 9º. Compete ao responsável Jurídico da comissão:
– disponibilizar aos agentes de tratamento e aos encarregados consultoria jurídica para dirimir questões e emitir pareceres do significado e alcance da Lei Federal nº 13.709, de 14 de agosto de 2018;
– disponibilizar modelos de contratos, convênios e acordos de cooperação internacional aderentes à Lei Federal nº13.709,de 14 de agosto de 2018, a serem utilizados pelos agentes de tratamento; e
– disponibilizar modelo de termo de uso de sistema de informação da Administração Pública.
Art. 10º. Compete as unidades integrantes da estrutura administrativa do Poder Legislativo Municipal, o desempenho das atribuições típicas de controlador de dados pessoais previstas na Lei Federal nº 13.709, de 14 de agosto de 2018:
I - aprovar, prover condições e promover ações para efetividade da Política de Proteção de Dados Pessoais Locais;
II – designar o encarregado para conduzir a Política de Proteção de Dados Pessoais Locais, e atuar conforme art.41 da Lei Federal nº 13.709, de 14 de agosto de 2018 através de ato próprio;
III – elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade; e
IV – fornecer aos operadores termos de uso, manuais de instruções e treinamento dos tratamentos sob sua responsabilidade.
§ 1º A designação do encarregado deverá atender prerrogativas e qualificações necessárias ao exercício dessa função.
§2º O encarregado deve estar subordinado diretamente ao dirigente máximo dos órgãos ou entidades previstos no caput do art.1º, com poderes para tratar questões que afetem os operadores e para orientar a adequação dos processos internos à LGPD.
Art. 11º. Compete ao encarregado e sua equipe de apoio:
– apoiar a Política de Proteção de Dados Local - PPDL, no sentido de:
Realizar levantamento dos tratamentos do controlador, inclusive os eletrônicos;
Analisar a maturidade dos tratamentos em face dos objetivos e metas estabelecidos e do consequente risco de incidentes de privacidade;
avaliar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
orientar as providências cabíveis para implementar as medidas de segurança avaliadas; e
cumprir os objetivos e metas previstas na Política de Proteção de Dados Pessoais Locais.
- receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, em articulação com a Ouvidoria do Município;
– receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais –ANPD e adotar providências;
– orientar os funcionários e os contratados no cumprimento das práticas necessárias à privacidade de dados pessoais;
– quando provocado, entregar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade;
– atender às normas complementares da Autoridade Nacional de Proteção de Dados Pessoais; e
– informar à Autoridade Nacional de Proteção de Dados Pessoais e aos titulares dos dados pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um plano de respostas a incidentes.
CAPÍTULO III
DO ATENDIMENTO AO TITULAR
Art. 12. O atendimento ao titular do dado será prestado de forma eletrônica nos canais eletrônicos de atendimento da Ouvidoria do Município.
Parágrafo único. O canal de atendimento deve prover funções de registro e gerenciamento para servir ao acompanhamento dessa forma de atendimento.
Art. 13. O atendimento ao titular poderá ser prestado de forma presencial na entidade onde os dados se encontram, desde que haja a conferência de documento oficial e infraestrutura adequada.
§1º Quando o titular for incapaz, o atendente deve conferir a certidão de nascimento do titular e o documento de identidade de um dos pais ou responsáveis legais.
§ 2º Atestada a legitimidade do titular ou de seu procurador, o atendente coletará dados de identificação e de contato do solicitante, protocolará e transcreverá a solicitação através dos canais de atendimento da Ouvidoria do Município.
§ 3º O atendimento presencial ao procurador ou curador somente será aceito através do instrumento de outorga.
Art. 14. A Ouvidoria Município encaminhará o atendimento ao encarregado responsável pelos dados e acompanhará sua resolutividade.
§1º O encarregado deverá adotar as providências para apensar os dados solicitados ao atendimento.
§ 2º Os dados pessoais solicitados no atendimento deverão ser entregues ao titular ou seu representante legal, através demeio eletrônico protegido ou pessoalmente.
Art. 15. O Comitê Gestor de Proteção de Dados Pessoais - CGPDP editará normas e procedimentos complementares para o fiel cumprimento das metas e diretrizes estabelecidas na Política Municipal de Proteção de Dados Pessoais.
Art. 16. Esta Portaria entra em vigor na data de sua publicação oficial.
Taquaritinga do Norte, 01 de agosto de 2023.
AMILTON CÍCERO DA SILVA
Presidente