Este texto não substitui o publicado no Diário Oficial do Município - DOM.

RESOLUÇÃO FJPO Nº 02/2020

(Publicação DOM 10/01/2020 p.76)

Regulamenta a proteção de dados pessoais no âmbito da Fundação José Pedro de Oliveira.

O Presidente da Fundação José Pedro de Oliveira - FJPO, no uso das atribuições do seu cargo, em atendimento ao artigo 50, da Lei Federal nº 13.709, de 14 de agosto de 2018, com redação dada pela Lei Federal nº 13.853, de 08 de julho de 2019; e

CONSIDERANDO a urgente necessidade de estabelecer as condições de organização, de segurança, do regime de funcionamento, dos procedimentos e de outros aspectos relacionados ao tratamento de dados pessoais,

RESOLVE , ad referendum ao Conselho de Administração da Fundação José Pedro de Oliveira:

Art. 1º  Fica instituído o Sistema de Proteção de Dados, no âmbito da Fundação José Pedro de Oliveira - FJPO.

CAPÍTULO I
DO SISTEMA DE PROTEÇÃO DE DADOS

Art. 2º  O Sistema de Proteção de Dados da Fundação José Pedro de Oliveira compreende o conjunto integrado de métodos, normas, ações e procedimentos adotados, tendo como fundamentos o respeito à privacidade, a autodeterminação informativa e a inviolabilidade da intimidade, da honra e da imagem.

Seção I
Das Definições

Art. 3º Para os fins desta Resolução, considera-se:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - controlador: a Fundação José Pedro de Oliveira, representada pelo respectivo Presidente;
VII - operador: servidor público do quadro de pessoal da Fundação José Pedro de Oliveira designado para o tratamento de dados;
VIII - agentes de tratamento: o controlador e o operador;
IX - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classifi cação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
X - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XI - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XII - uso compartilhado de dados: comunicação, difusão, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XIII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Seção II
Dos Princípios

Art. 4º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos e explícitos;
II - adequação: compatibilidade do tratamento com as finalidades, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os de caráter sigiloso quando especificados por lei;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS

Seção I
Das Hipóteses

Art. 5º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições legais;
IV - para a realização de estudos de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados ao contrato;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, este último nos termos daLei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
§ 1º É dispensada a exigência do consentimento previsto noinciso I para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos legalmente.
§ 2º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Resolução e na legislação pertinente, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
§ 3º Os contratos ou atos jurídicos análogos firmados a partir desta Resolução deverão constar cláusula de atendimento à Lei Geral de Proteção de Dados vigente.

Art. 6º O consentimento previsto no inciso I do art. 5º desta Resolução deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação inequívoca de vontade do titular.

Art. 7º Os tratamentos de dados pessoais deverão ter autorização prévia e expressa da Presidência da Fundação José Pedro de Oliveira para sua execução e compartilhamento, salvo os casos já pré-estabelecidos em instrumentos jurídicos com finalidades específicas e institucionais, dos quais já conste anuência formal do Presidente.
Parágrafo único. Sempre que considerar necessário, o Presidente poderá requerer manifestação prévia da Coordenadoria Jurídica da Fundação José Pedro de Oliveira para averiguar o cumprimento desta Resolução e das demais legislações vigentes sobre o assunto.

Seção II
Do Tratamento de Dados Pessoais Sensíveis

Art. 8º O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para cumprimento de obrigação legal ou regulatória pelo controlador.

Art. 9º Todos os tratamentos de dados sensíveis deverão ter autorização prévia e expressa do Presidente da Fundação José Pedro de Oliveira para sua execução e compartilhamento, sem prejuízo de manifestação jurídica, visando o cumprimento das normas vigentes sobre o assunto.

CAPÍTULO III
DO TRATAMENTO DE DADOS PESSOAIS PELA FJPO

Seção I
Das Regras

Art. 10.  O tratamento de dados pessoais pela Fundação José Pedro de Oliveira atenderá sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
I - sejam informadas as hipóteses em que, no exercício de suas competências, o órgão realiza o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
II - seja indicado um operador quando realizarem operações de tratamento de dados pessoais.

Art. 11.  O uso compartilhado de dados pessoais pela Fundação José Pedro de Oliveira deve atender a finalidades específicas de execução de políticas públicas e atribuição legal, respeitados os princípios de proteção de dados pessoais e atendidos os dispositivos legais.

Seção II
Da Responsabilidade

Art. 12.  Quando houver infração a esta Resolução, o Presidente da Fundação José Pedro de Oliveira deverá tomar as medidas cabíveis para fazer cessar a violação.

Art. 13.  Em caso de necessidade, os agentes de tratamento de dados publicarão relatórios de impacto à proteção de dados pessoais e sugerirão a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pela Fundação José Pedro de Oliveira.

CAPÍTULO IV
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS

Seção I
Do Controlador e do Operador

Art. 14.  O presidente da Fundação designará, por meio de Portaria a ser publicada no Diário Oficial de Campinas, 1 (um) operador de dados e 1 (um) operador suplente que assinarão termo de ciência e responsabilidade, conforme Anexo I desta Resolução.

Art. 15.  Os agentes de tratamento devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Art.16.  Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Seção II
Da Responsabilidade e do Ressarcimento de Danos

Art. 17.  O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Art. 18.  A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos legalmente;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos em lei.

Art. 19.  O controlador deverá comunicar às autoridades competentes e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Art. 20.  Os casos omissos serão dirimidos pela Presidência da Fundação José Pedro de Oliveira.

Art. 21.  Esta Resolução entra em vigor na data de sua publicação.

PUBLIQUE-SE.

CUMPRA-SE.

Campinas, 08 de janeiro de 2020

SINVAL ROBERTO DURIGON
Presidente da Fundação José Pedro de Oliveira

ANEXO I
TERMO DE CIÊNCIA E RESPONSABILIDADE OPERADOR DE TRATAMENTO DE DADOS