DECRETA:

CAPÍTULO I – DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Este Decreto regulamenta, no âmbito da Administração Pública Municipal de Meridiano, as disposições da Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), estabelecendo as regras e procedimentos para o tratamento de dados pessoais, inclusive nos meios digitais, por todos os órgãos e entidades da administração direta e indireta do Município.

Art. 2º  São objetivos deste Decreto:

I – Assegurar a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, em conformidade com a LGPD;

II – Estabelecer diretrizes e procedimentos para o tratamento de dados pessoais, garantindo a transparência, a segurança e a conformidade legal;

III – Definir as responsabilidades dos agentes de tratamento de dados pessoais no âmbito municipal;

IV – Fomentar a cultura de proteção de dados pessoais e privacidade entre os servidores e colaboradores;

V – Promover a adequação dos sistemas, processos e procedimentos municipais às exigências da LGPD.

Art. 3º Para os fins deste Decreto, aplicam-se as definições contidas na Lei Federal nº 13.709/2018 (LGPD), e, adicionalmente, considera-se:

I – Administração Pública Municipal: Os órgãos e entidades da administração direta e indireta do Município de Meridiano.

II – Encarregado de Dados (DPO): Pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

III – Comitê de Proteção de Dados (CPD): Órgão colegiado de caráter consultivo e deliberativo, responsável por auxiliar na implementação e monitoramento das políticas de proteção de dados pessoais no Município.

IV – Departamento de Tecnologia da Informação e Comunicação (DTIC): Unidade responsável pela gestão da infraestrutura, sistemas e segurança da informação no âmbito do Município.

CAPÍTULO II – DOS PRINCÍPIOS DO TRATAMENTO DE DADOS PESSOAIS

Art. 4º Todo tratamento de dados pessoais realizado pela Administração Pública Municipal de Meridiano deverá observar os princípios da boa-fé e, em especial:

I – Finalidade: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – Adequação: Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – Necessidade: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – Livre Acesso: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – Qualidade dos Dados: Garantia, aos titulares, de clareza, exatidão, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – Transparência: Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – Segurança: Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII – Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – Não Discriminação: Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – Responsabilização e Prestação de Contas: Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia das medidas.

CAPÍTULO III – DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS

Art. 5º O Município de Meridiano, na qualidade de Controlador de dados pessoais, designará um Encarregado de Dados (DPO) para atuar como canal de comunicação entre o Município, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

§ 1º As atribuições do Encarregado de Dados (DPO) incluem:

I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – Receber comunicações da ANPD e adotar providências;

III – Orientar os servidores e colaboradores do Município a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV – Executar as demais atribuições determinadas pelo Comitê de Proteção de Dados (CPD) ou estabelecidas em normas complementares.

§ 2º O nome e os dados de contato do Encarregado de Dados (DPO) serão divulgados publicamente no site oficial do Município.

Art. 6º Fica instituído o Comitê de Proteção de Dados (CPD) do Município de Meridiano, órgão colegiado de caráter consultivo e deliberativo, com as seguintes atribuições, entre outras:

I – Propor, revisar e monitorar a Política de Proteção de Dados Pessoais do Município;

II – Deliberar sobre questões estratégicas relacionadas à privacidade e proteção de dados;
III – Acompanhar a conformidade com a LGPD e demais normas aplicáveis;

IV – Auxiliar na resolução de dúvidas e conflitos relacionados ao tratamento de dados pessoais;

V – Promover a conscientização e capacitação em proteção de dados.

Parágrafo único: A composição e o funcionamento do Comitê de Proteção de Dados (CPD) serão definidos em ato normativo específico do Poder Executivo Municipal.

Art. 7º Os Secretários Municipais e demais gestores de órgãos e entidades da Administração Pública Municipal são responsáveis por garantir que o tratamento de dados pessoais em suas respectivas áreas esteja em conformidade com a LGPD e este Decreto, zelando pela implementação das medidas de segurança e pelo cumprimento das diretrizes.

Art. 8º Todos os servidores e colaboradores da Administração Pública Municipal que realizam tratamento de dados pessoais são responsáveis por:

I – Conhecer e cumprir as disposições da LGPD, deste Decreto e das normas internas de proteção de dados;

II – Utilizar os dados pessoais apenas para as finalidades legítimas e específicas para as quais foram coletados;

III – Manter a confidencialidade e a integridade dos dados pessoais, evitando acessos não autorizados ou uso indevido;

IV – Reportar imediatamente ao Encarregado de Dados (DPO) ou ao DTIC qualquer incidente de segurança ou suspeita de violação de dados pessoais.

CAPÍTULO IV – DAS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS 

Art. 9º O tratamento de dados pessoais pela Administração Pública Municipal será realizado com base nas hipóteses legais previstas no Art. 7º da LGPD, sendo as principais:

I – Para o cumprimento de obrigação legal ou regulatória;

II – Para a execução de políticas públicas, previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

III – Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

IV – Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

V – Para a proteção da vida ou da incolumidade física do titular ou de terceiros;

VI – Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

VII – Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

VIII – Para a proteção do crédito;

IX – Com o consentimento do titular.

Art. 10.  O tratamento de dados pessoais sensíveis pela Administração Pública Municipal será realizado com base nas hipóteses legais previstas no Art. 11 da LGPD, sendo as principais:

I – Para o cumprimento de obrigação legal ou regulatória;

II – Para a execução de políticas públicas, previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

III – Para o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

IV – Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
V – Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

VI – Com o consentimento do titular.

CAPÍTULO V – DOS DIREITOS DOS TITULARES DOS DADOS PESSOAIS

Art. 11. A Administração Pública Municipal garantirá aos titulares dos dados pessoais o exercício dos direitos previstos no Art. 18 da LGPD, mediante requerimento expresso do titular ou de seu representante legal, por meio dos canais de atendimento a serem disponibilizados.

§ 1º Os direitos do titular incluem:

I – Confirmação da existência de tratamento;

II – Acesso aos dados;

III – Correção de dados incompletos, inexatos ou desatualizados;

IV – Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;

V – Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa;

VI – Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas na LGPD;

VII – Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – Revogação do consentimento.

§ 2º Os requerimentos serão respondidos em prazo razoável, conforme a complexidade da solicitação e as diretrizes da ANPD.

CAPÍTULO VI – DA SEGURANÇA DA INFORMAÇÃO E DO REGISTRO DAS OPERAÇÕES DE TRATAMENTO

Art. 12. A Administração Pública Municipal implementará e manterá medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

§ 1º As medidas de segurança serão definidas com base na Política de Segurança da Informação (PSI) e no Plano de Continuidade de Serviços de TIC (PCS-TIC) do Município, considerando o estado atual da tecnologia, a natureza dos dados, os riscos envolvidos e a criticidade dos sistemas.

§ 2º O DTIC será o responsável pela implementação e monitoramento contínuo das medidas de segurança.

Art. 13. As operações de tratamento de dados pessoais deverão ser registradas, especialmente no que se refere ao tipo de dados, à finalidade, à base legal, à duração do tratamento e às medidas de segurança adotadas.

Parágrafo único: O registro das operações de tratamento será utilizado para fins de auditoria, responsabilização e prestação de contas, em conformidade com a LGPD.

CAPÍTULO VII – DO COMPARTILHAMENTO DE DADOS PESSOAIS 

Art. 14. O uso compartilhado de dados pessoais pela Administração Pública Municipal com outros órgãos e entidades públicas ou com entidades privadas será realizado estritamente para o cumprimento de finalidades específicas e legítimas, observando os princípios da LGPD e as seguintes condições:

I – Com órgãos e entidades da Administração Pública, para o cumprimento de suas competências legais ou para a execução de políticas públicas;

II – Com entidades privadas, mediante consentimento do titular ou com base em outra hipótese legal, e desde que o compartilhamento seja estritamente necessário para a finalidade informada;

III – Mediante a celebração de instrumentos jurídicos adequados (convênios, acordos de cooperação, contratos), que estabeleçam as responsabilidades das partes, as finalidades do compartilhamento, as medidas de segurança e as condições de descarte dos dados.

Parágrafo único: Os contratos celebrados com prestadores de serviços que envolvam o tratamento de dados pessoais deverão conter cláusulas específicas que estabeleçam a obrigatoriedade de observância à Lei Federal nº 13.709/2018 (LGPD) e demais normas de proteção de dados, bem como a responsabilidade do prestador de serviços em relação à segurança e confidencialidade das informações.

Art. 15. A Administração Pública Municipal manterá registro das operações de compartilhamento de dados pessoais, com informações sobre a finalidade, os dados compartilhados, as partes envolvidas e as medidas de segurança adotadas.

CAPÍTULO VIII – DA RETENÇÃO E ELIMINAÇÃO DE DADOS PESSOAIS

Art. 16. Os dados pessoais serão retidos pela Administração Pública Municipal apenas pelo tempo necessário para cumprir a finalidade para a qual foram coletados, para o cumprimento de obrigação legal ou regulatória, ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

Art. 17. A eliminação dos dados pessoais, quando não houver mais base legal para sua retenção, será realizada de forma segura e irreversível, impedindo sua recuperação.

Parágrafo único: O DTIC estabelecerá os procedimentos técnicos para a eliminação segura de dados em meios físicos e digitais.

CAPÍTULO IX – DO TRATAMENTO DE INCIDENTES DE SEGURANÇA E VIOLAÇÃO DE DADOS PESSOAIS

Art. 18. A Administração Pública Municipal estabelecerá um Plano de Resposta a Incidentes de Segurança, que incluirá procedimentos para a detecção, contenção, erradicação, recuperação e análise pós-incidente de violações de dados pessoais.

Parágrafo único: Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Encarregado de Dados (DPO) comunicará a ANPD e os titulares afetados, conforme as diretrizes da LGPD.

CAPÍTULO X –  DA CONSCIENTIZAÇÃO E CAPACITAÇÃO

Art. 19. A Administração Pública Municipal promoverá programas contínuos de conscientização e capacitação em proteção de dados pessoais e privacidade para todos os servidores e colaboradores, visando disseminar as boas práticas e reforçar a importância do cumprimento da LGPD e deste Decreto.

CAPÍTULO XI – DAS SANÇÕES E CONSEQUÊNCIAS

Art. 20.  O descumprimento das disposições da LGPD, deste Decreto e das normas internas de proteção de dados pessoais pelos servidores e colaboradores da Administração Pública Municipal será passível de sanções disciplinares, cíveis e/ou criminais, conforme a legislação vigente e o regimento interno do Município, sem prejuízo das sanções administrativas aplicadas pela ANPD.

CAPÍTULO XII – DAS DISPOSIÇÕES FINAIS E TRANSITÓRIA

Art. 21. Os órgãos e entidades da Administração Pública Municipal deverão adequar seus processos e procedimentos de tratamento de dados pessoais às diretrizes deste Decreto, em prazos a serem definidos pelo Comitê de Proteção de Dados (CPD).

Art. 22. Os casos omissos e as dúvidas de interpretação deste Decreto serão dirimidos pelo Comitê de Proteção de Dados (CPD), em conjunto com o Encarregado de Dados (DPO), o Departamento de Tecnologia da Informação e Comunicação (DTIC) e a Procuradoria Geral do Município.

Art. 23. Este Decreto entra em vigor na data de sua publicação, revogadas as disposições em contrário.

Registre-se. Publique-se e Dê ciência