DECRETO Nº 267/2023

Estabelece medidas preparatórias, ações iniciais e regulamenta a adequação às disposições contidas na Lei Geral de Proteção de Dados Pessoais - LGPD, no âmbito do Poder Executivo Municipal de Guarabira/PB.

O PREFEITO DO MUNICÍPIO DE GUARABIRA/PB no uso de suas

atribuições que lhe são conferidas pelo artigo 18, incisos VII, VIII, IX, X, XXVI e XXXI da Lei Orgânica do Município;

CONSIDERANDO a Lei Federal nº 13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por Pessoa Natural ou por Pessoa Jurídica de Direito Público ou Privado visando a Proteção de Dados Pessoais;

CONSIDERANDO a necessidade de Proteção da Privacidade e dos Dados Pessoais dos cidadãos, contribuintes, fornecedores, servidores, colaboradores e demais titulares de dados; e

CONSIDERANDO a necessidade de aparelhar o Poder Executivo Municipal de mecanismos de tratamento de Dados Pessoais para garantir o cumprimento regimental,

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Este decreto estabelece medidas preparatórias, ações iniciais e regulamenta a adequação às disposições contidas na Lei Geral de Proteção de Dados Pessoais - LGPD, no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências a serem observadas por seus órgãos e entidades, visando a garantia da proteção de dados pessoais.

Art. 2º As normas gerais contidas neste decreto são de interesse municipal e devem ser observadas pelos órgãos e entidades, da administração pública direta e indireta, no âmbito do Poder Executivo.

Art. 3º Este decreto aplica-se a qualquer operação de tratamento de Dados Pessoais, desde que realizada no âmbito do Poder Executivo Municipal de Guarabira/PB, seja da Administração Direta ou Indireta.

Parágrafo único. Excetua-se do disposto no caput deste artigo, o tratamento de dados previsto no art. 4º da Lei Federal nº 13.709, de 14 de agosto de 2018.

Art. 4º Para os fins deste decreto, considera-se:

I -   Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

a)   trata-se, ainda, de documento de comunicação e transparência que orienta a descrição dos processos de tratamento de dados pessoais que possam gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação;

II -  Planejamento da adequação a LGPD: conjunto de regras de boas práticas e de governança de dados pessoais, que estabelecem as condições de organização, o regime de funcionamento, as políticas e os procedimentos, as normas de segurança, os padrões técnicos, os requisitos para o tratamento legítimo de dados, o sigilo das informações, as obrigações específicas, as ações educativas, os regramentos e determinações internas de supervisão e de mitigação de riscos, o plano de respostas a incidentes, a adoção de mecanismos de segurança desde a concepção de novos produtos ou serviços, entre outros aspectos relacionados ao tratamento de dados pessoais;

III - Programa de governança em privacidade:apresenta os principais pontos da LGPD, fornecendo os subsídios para a criação deum programa institucional de gerenciamento da privacidade;

IV - Inventário de dados pessoais: inventário de todas as operações de tratamento de dados pessoais e suas avaliações sob a ótica dos princípios da LGPD; e

V -  Avaliação de riscos: identificação e mensuração de riscos de governança e privacidade, mitigando-os com a adoção de controles apropriados.

CAPÍTULO II

DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS

Seção I

Do Controlador e do Operador

Art. 5º O Município de Guarabira fica definido como controlador.

Art. 6º O Controlador e os operadores devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Seção II

Do Encarregado

Art. 7º O Encarregado é responsável por atuar como Canal de Comunicação entre o Controlador, os titulares dos dados (operadores) e a Autoridade Nacional de Proteção de Dados (ANPD).

Art. 8º A identidade e as informações de contato (nome, endereço e telefone de contato) do Encarregado devem ser divulgadas publicamente, de forma clara e objetiva, no endereço eletrônico do Município de Guarabira ou website próprio, para atendimento ao disposto no art. 41, § 1°, da LGPD.

Art. 9º O encarregado pelo tratamento de dados pessoais indicado deve:

I -   possuir conhecimentos multidisciplinares essenciais a sua atribuição, preferencialmente, os relativos aos temas de privacidade e proteção de dados pessoais, de análise jurídica, de gestão de riscos, de governança de dados e de acesso à informação no setor público; e

II -  não se encontrar lotado, nem prestando serviços nas unidades de Tecnologia da Informação ou de sistemas de informação do Controlador.

Art. 10. O Município de Guarabira deverá assegurar ao Encarregado:

I -   acesso direto e imediato aos órgãos da administração;

II -  pronto apoio das unidades administrativas no cumprimento das solicitações, respeitando o prazo fixado; e

III - pronta comunicação, de forma adequada e em tempo hábil, sobre questões relacionadas à proteção de dados pessoais.

Art. 11. As atividades do encarregado pelo tratamento de dados pessoais consistem em:

I -   aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II -  receber comunicações da autoridade nacional e adotar providências;

III - orientar os servidores e os contratados do órgão ou entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV - submeter à Comissão Municipal de Proteção de Dados Pessoais e da Privacidade (CMPD), sempre que julgar necessário, matérias atinentes a este decreto e a LGPD;

V -  determinar ao responsável por unidade administrativa, a realização de estudos técnicos para elaboração das diretrizes previstas no relatório de impacto à proteção de dados pessoais;

VI - decidir sobre as sugestões formuladas pela autoridade nacional a respeito da adoção de padrões e de boas práticas para o tratamento de dados pessoais conforme art. 32 da LGPD;

VII -        providenciar a publicação dos relatórios de impacto à proteção de dados pessoais previstos pelo art. 32 da LGPD;

VIII -      elaborar apontamentos e requisitar providências ao responsável por unidade administrativa, sempre que necessário e sobre matéria referente à aplicação deste decreto, à aplicação da LGPD e à proteção de dados pessoais;

IX - organizar e coordenar a primeira reunião da CMPD de acordo com o estipulado no § 3º do art. 5º; e

X -  executar as demais atribuições determinadas pelo controlador, a exemplo do art. 19, ou estabelecidas em normas complementares.

§1º. O Encarregado terá os recursos operacionais e financeiros necessários ao desempenho de suas funções e à manutenção dos seus conhecimentos, bem como acesso motivado a todas as operações de tratamento.

§ 2º. O Encarregado está impreterivelmente vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções.

Seção II

Da Comissão

Art. 12. Fica criada a Comissão Municipal de Proteção de Dados Pessoais e da Privacidade (CMPD), responsável pelo assessoramento ao encarregado, pela definição, deliberação e edição de conteúdo sobre a matéria de proteção de dados pessoais no âmbito deste Município.

§1º. A comissão deve ser composta preferencialmente por, no mínimo, 1 (um) integrante de cada unidade administrativa, a menos que a unidade não efetue tratamento de dados pessoais.

§2º. A comissão deve ser multidisciplinar, composta por membros de notório conhecimento em matéria jurídica, fluxo de processos, fluxo de dados, segurança da informação e proteção dados, de tecnologia da informação, de negócio e, por fim, transparência no setor público.

§3º. Compete à Comissão Municipal de Proteção de Dados Pessoais e da Privacidade (CMPD), em sua primeira reunião, mediante a presença de todos os seus integrantes, iniciar os trabalhos de elaboração do seu regimento interno.

CAPÍTULO III

DAS MEDIDAS PREPARATÓRIAS E DAS AÇÕES INICIAIS

Art. 13. Compete ao Controlador, o estabelecimento e a divulgação de canal de atendimento próprio para comunicação entre o Encarregado pelo tratamento de dados pessoais e o Titular dos respectivos dados.

§1º. O canal de atendimento deve ser baseado em formulário eletrônico ou sistema para atendimento de solicitações, sugestões e/ou reclamações, que concentrará todas as comunicações entre os Titulares dos dados e o Encarregado.

§2º. O canal de atendimento deve possuir fluxo para atendimento aos direitos dos titulares (art. 18, 19 e 20 da LGPD), solicitações, sugestões e/ou reclamações apresentadas, desde o seu ingresso até a adoção das providências cabíveis.

Art. 14. Cabe às entidades da Administração Indireta observar, no âmbito de sua respectiva autonomia, as exigências da Lei Federal nº 13.709/2018, designando seu encarregado e elaborando o plano de adequação a este Decreto.

Art. 15. Cabe ao Controlador:

I -   o regramento, mapeamento e levantamento de dados e dos respectivos fluxos dentre suas unidades organizacionais, bem como em relação aos seus compartilhamentos;

II -  estabelecimento do programa de governança em privacidade, incluindo política de privacidade e aviso de cookies;

III - inventário de dados pessoais;

IV - estabelecimento de termos de uso e políticas de segurança e tecnologia da Informação;

V -  avaliação de riscos;

VI - adequação de contratos com o estabelecimento de regras mínimas e revisão de minutas de contratos, instrumentos de parceria e congêneres, que autorizem tratamento de dados pessoais e sigilo de informações, em conformidade com a LGPD;

VII -        confecção do relatório de impacto à proteção de dados pessoais, quando solicitado;

VIII -      implementação do plano de resposta a incidentes de segurança; e

IX - publicização das medidas e ações adotadas em canal específico, preferencialmente no sítio do Controlador ou em hotsite específico de informações sobre a LGPD.

§1º. A execução do planejamento da adequação a LGPD é de responsabilidade da Comissão Municipal de Proteção de Dados Pessoais e da Privacidade (CMPD).

§2º. O planejamento da adequação a LGPD deve ser promovido e orquestrado pelo Encarregado, que deve prestar auxílio e executar procedimentos, desde que não sejam de cunho deliberativo.

Art. 16. As Secretarias Municipais, suas direções, coordenações e chefias devem dar cumprimento, no âmbito das suas unidades, às ordens e recomendações do encarregado de proteção de dados pessoais.

CAPÍTULO V

DAS DISPOSIÇÕES FINAIS

Art. 17. Para fins de adequação a Lei Geral de Proteção de Dados Pessoais - LGPD, todos os órgãos e entidades da administração pública do Poder Executivo, da Administração Direta e Indireta deverão adotar as medidas e ações previstas neste decreto.

Art. 18. Caberá ao Chefe do Poder Executivo a designação da Comissão Municipal de Proteção de Dados Pessoais e da Privacidade da Administração Direta e a autoridade máxima das Autarquias Municipais, no âmbito da Administração Indireta.

Art. 19. A Comissão Municipal de Proteção de Dados Pessoais e da Privacidade (CMPD) após reunida, deverá deliberar e publicar o seu regimento interno no Diário Oficial do Município.

Art. 20.  Este Decreto entra em vigor na data de sua publicação.

Guarabira, 12 de janeiro de 2023.

Marcus Diôgo de Lima

Prefeito