Publicado em 16/01/2023 às 09:58
DECRETO Nº 267/2023
Estabelece medidas preparatórias, ações iniciais e regulamenta
a adequação às disposições contidas na Lei Geral de Proteção de Dados Pessoais -
LGPD, no âmbito do Poder Executivo Municipal de Guarabira/PB.
O PREFEITO DO MUNICÍPIO DE GUARABIRA/PB no uso de suas
atribuições que lhe são conferidas pelo artigo 18, incisos VII,
VIII, IX, X, XXVI e XXXI da Lei Orgânica do Município;
CONSIDERANDO a Lei Federal nº
13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados
pessoais, inclusive nos meios digitais, por Pessoa Natural ou por Pessoa
Jurídica de Direito Público ou Privado visando a Proteção de Dados Pessoais;
CONSIDERANDO a necessidade de
Proteção da Privacidade e dos Dados Pessoais dos cidadãos, contribuintes, fornecedores,
servidores, colaboradores e demais titulares de dados; e
CONSIDERANDO a necessidade de
aparelhar o Poder Executivo Municipal de mecanismos de tratamento de Dados Pessoais
para garantir o cumprimento regimental,
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Este decreto estabelece
medidas preparatórias, ações iniciais e regulamenta a adequação às disposições
contidas na Lei Geral de Proteção de Dados Pessoais - LGPD, no âmbito do Poder Executivo
Municipal, estabelecendo competências, procedimentos e providências a serem
observadas por seus órgãos e entidades, visando a garantia da proteção de dados
pessoais.
Art. 2º As normas gerais
contidas neste decreto são de interesse municipal e devem ser observadas pelos
órgãos e entidades, da administração pública direta e indireta, no âmbito do Poder
Executivo.
Art. 3º Este decreto aplica-se a
qualquer operação de tratamento de Dados Pessoais, desde que realizada no
âmbito do Poder Executivo Municipal de Guarabira/PB, seja da Administração Direta
ou Indireta.
Parágrafo único. Excetua-se do disposto
no caput deste artigo, o tratamento de dados previsto no art. 4º da Lei Federal
nº 13.709, de 14 de agosto de 2018.
Art. 4º Para os fins deste decreto,
considera-se:
I - Relatório de impacto à proteção
de dados pessoais: documentação do controlador que contém
a descrição dos processos de tratamento de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos fundamentais, bem como medidas,
salvaguardas e mecanismos de mitigação de risco;
a) trata-se, ainda, de documento de
comunicação e transparência que orienta a descrição dos processos de tratamento
de dados pessoais que possam gerar riscos, bem como medidas, salvaguardas e mecanismos
de mitigação;
II - Planejamento da adequação a
LGPD: conjunto de regras de boas práticas e de governança
de dados pessoais, que estabelecem as condições de organização, o regime de
funcionamento, as políticas e os procedimentos, as normas de segurança, os
padrões técnicos, os requisitos para o tratamento legítimo de dados, o sigilo das
informações, as obrigações específicas, as ações educativas, os regramentos e
determinações internas de supervisão e de mitigação de riscos, o plano de
respostas a incidentes, a adoção de mecanismos de segurança desde a concepção de
novos produtos ou serviços, entre outros aspectos relacionados ao tratamento de
dados pessoais;
III - Programa de governança em privacidade:apresenta os principais pontos da LGPD, fornecendo os subsídios para a criação
deum programa institucional de gerenciamento da privacidade;
IV - Inventário de dados pessoais: inventário de
todas as operações de tratamento de dados pessoais e suas avaliações sob a ótica
dos princípios da LGPD; e
V - Avaliação de riscos: identificação e mensuração
de riscos de governança e privacidade, mitigando-os com a adoção de controles apropriados.
CAPÍTULO II
DOS AGENTES DE TRATAMENTO DE DADOS
PESSOAIS
Seção I
Do Controlador e do Operador
Art. 5º O Município de Guarabira
fica definido como controlador.
Art. 6º O Controlador e os operadores
devem manter registro das operações de tratamento de dados pessoais que
realizarem, especialmente quando baseado no legítimo interesse.
Seção II
Do Encarregado
Art. 7º O Encarregado é responsável
por atuar como Canal de Comunicação entre o Controlador, os titulares dos dados
(operadores) e a Autoridade Nacional de Proteção de Dados (ANPD).
Art. 8º A identidade e as informações
de contato (nome, endereço e telefone de contato) do Encarregado devem ser
divulgadas publicamente, de forma clara e objetiva, no endereço eletrônico do
Município de Guarabira ou website próprio, para atendimento ao disposto no art.
41, § 1°, da LGPD.
Art. 9º O encarregado pelo tratamento
de dados pessoais indicado deve:
I - possuir conhecimentos
multidisciplinares essenciais a sua atribuição, preferencialmente, os relativos
aos temas de privacidade e proteção de dados pessoais, de análise jurídica, de
gestão de riscos, de governança de dados e de acesso à informação no setor
público; e
II - não se encontrar lotado, nem
prestando serviços nas unidades de Tecnologia da Informação ou de sistemas de informação
do Controlador.
Art. 10. O Município de
Guarabira deverá assegurar ao Encarregado:
I - acesso direto e imediato aos órgãos
da administração;
II - pronto apoio das unidades administrativas
no cumprimento das solicitações, respeitando o prazo fixado; e
III - pronta comunicação, de forma adequada e em tempo hábil, sobre questões relacionadas
à proteção de dados pessoais.
Art. 11. As atividades do
encarregado pelo tratamento de dados pessoais consistem em:
I - aceitar reclamações e comunicações
dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade
nacional e adotar providências;
III - orientar os servidores e os contratados do órgão ou entidade a respeito
das práticas a serem tomadas em relação à proteção de dados pessoais;
IV - submeter à Comissão Municipal de Proteção de Dados Pessoais e da Privacidade
(CMPD), sempre que julgar necessário, matérias atinentes a este decreto e a
LGPD;
V - determinar ao responsável por unidade administrativa, a realização de estudos
técnicos para elaboração das diretrizes previstas no relatório de impacto à proteção
de dados pessoais;
VI - decidir sobre as sugestões formuladas pela autoridade nacional a respeito
da adoção de padrões e de boas práticas para o tratamento de dados pessoais
conforme art. 32 da LGPD;
VII - providenciar a publicação dos
relatórios de impacto à proteção de dados pessoais previstos pelo art. 32 da
LGPD;
VIII - elaborar apontamentos e requisitar
providências ao responsável por unidade administrativa, sempre que necessário e
sobre matéria referente à aplicação deste decreto, à aplicação da LGPD e à proteção
de dados pessoais;
IX - organizar e coordenar a primeira reunião da CMPD de acordo com o estipulado
no § 3º do art. 5º; e
X - executar as demais atribuições determinadas pelo controlador, a exemplo
do art. 19, ou estabelecidas em normas complementares.
§1º. O Encarregado terá os recursos operacionais e financeiros
necessários ao desempenho de suas funções e à manutenção dos seus conhecimentos,
bem como acesso motivado a todas as operações de tratamento.
§ 2º. O Encarregado está impreterivelmente vinculado à
obrigação de sigilo ou de confidencialidade no exercício das suas funções.
Seção II
Da Comissão
Art. 12. Fica criada a Comissão
Municipal de Proteção de Dados Pessoais e da Privacidade (CMPD), responsável
pelo assessoramento ao encarregado, pela definição, deliberação e edição de
conteúdo sobre a matéria de proteção de dados pessoais no âmbito deste Município.
§1º. A comissão deve ser composta preferencialmente por, no
mínimo, 1 (um) integrante de cada unidade administrativa, a menos que a unidade
não efetue tratamento de dados pessoais.
§2º. A comissão deve ser multidisciplinar, composta por membros
de notório conhecimento em matéria jurídica, fluxo de processos, fluxo de dados,
segurança da informação e proteção dados, de tecnologia da informação, de negócio
e, por fim, transparência no setor público.
§3º. Compete à Comissão Municipal de Proteção de Dados
Pessoais e da Privacidade (CMPD), em sua primeira reunião, mediante a presença
de todos os seus integrantes, iniciar os trabalhos de elaboração do seu regimento
interno.
CAPÍTULO III
DAS MEDIDAS PREPARATÓRIAS E DAS
AÇÕES INICIAIS
Art. 13. Compete ao
Controlador, o estabelecimento e a divulgação de canal de atendimento próprio
para comunicação entre o Encarregado pelo tratamento de dados pessoais e o Titular
dos respectivos dados.
§1º. O canal de atendimento deve ser baseado em formulário
eletrônico ou sistema para atendimento de solicitações, sugestões e/ou reclamações,
que concentrará todas as comunicações entre os Titulares dos dados e o
Encarregado.
§2º. O canal de atendimento deve possuir fluxo para atendimento
aos direitos dos titulares (art. 18, 19 e 20 da LGPD), solicitações, sugestões e/ou
reclamações apresentadas, desde o seu ingresso até a adoção das providências cabíveis.
Art. 14. Cabe às entidades da
Administração Indireta observar, no âmbito de sua respectiva autonomia, as exigências
da Lei Federal nº 13.709/2018, designando seu encarregado e elaborando o plano de
adequação a este Decreto.
Art. 15. Cabe ao Controlador:
I - o regramento, mapeamento e
levantamento de dados e dos respectivos fluxos dentre suas unidades organizacionais,
bem como em relação aos seus compartilhamentos;
II - estabelecimento do programa de
governança em privacidade, incluindo política de privacidade e aviso de
cookies;
III - inventário de dados pessoais;
IV - estabelecimento de termos de uso e políticas de segurança e tecnologia da
Informação;
V - avaliação de riscos;
VI - adequação de contratos com o estabelecimento de regras mínimas e revisão
de minutas de contratos, instrumentos de parceria e congêneres, que autorizem
tratamento de dados pessoais e sigilo de informações, em conformidade com a LGPD;
VII - confecção do relatório de impacto
à proteção de dados pessoais, quando solicitado;
VIII - implementação do plano de resposta
a incidentes de segurança; e
IX - publicização das medidas e ações adotadas em canal específico, preferencialmente
no sítio do Controlador ou em hotsite específico de informações sobre a LGPD.
§1º. A execução do planejamento da adequação a LGPD é de responsabilidade
da Comissão Municipal de Proteção de Dados Pessoais e da Privacidade (CMPD).
§2º. O planejamento da adequação a LGPD deve ser promovido e
orquestrado pelo Encarregado, que deve prestar auxílio e executar
procedimentos, desde que não sejam de cunho deliberativo.
Art. 16. As Secretarias
Municipais, suas direções, coordenações e chefias devem dar cumprimento, no
âmbito das suas unidades, às ordens e recomendações do encarregado de proteção de
dados pessoais.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 17. Para fins de adequação
a Lei Geral de Proteção de Dados Pessoais - LGPD, todos os órgãos e entidades
da administração pública do Poder Executivo, da Administração Direta e Indireta
deverão adotar as medidas e ações previstas neste decreto.
Art. 18. Caberá ao Chefe do
Poder Executivo a designação da Comissão Municipal de Proteção de Dados
Pessoais e da Privacidade da Administração Direta e a autoridade máxima das Autarquias
Municipais, no âmbito da Administração Indireta.
Art. 19. A Comissão Municipal de
Proteção de Dados Pessoais e da Privacidade (CMPD) após reunida, deverá
deliberar e publicar o seu regimento interno no Diário Oficial do Município.
Art. 20. Este Decreto entra em vigor na data de sua publicação.
Guarabira, 12 de janeiro de 2023.
Marcus Diôgo de Lima
Prefeito
Saiba mais
Saiba mais
Saiba mais
Saiba mais
Saiba mais
Saiba mais
Ao continuar navegando em nosso portal, você concorda com a nossa Política de Privacidade. Para ter mais informações, acesse nossa página de Aviso de Privacidade.