Este texto não substitui o publicado no Diário Oficial do Município - DOM.

DECRETO Nº 21.903, DE 14 DE JANEIRO DE 2022

(Publicação DOM 17/01/2022 p.01)

Ver Decreto nº 22.170, de 08/06/2022 - LAI / LGPD

Dispõe sobre o Programa de Proteção de Dados no Poder Executivo Municipal, em consonância às disposições da Lei Federal Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD.

O Prefeito Municipal de Campinas, no uso de suas atribuições legais; e
Considerando o disposto no inciso X, do art. 5º, da Constituição da República Federativa do Brasil, o qual estabelece que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas;
Considerando o disposto no inciso VIII, do art. 75, da Lei Orgânica do Município de Campinas;
Considerando o disposto no art. 25, da Lei Federal nº 12.527, de 18 de novembro de 2011, que estabelece que é dever do Estado controlar o acesso e a divulgação de informações sigilosas produzidas por seus órgãos e entidades, assegurando sua proteção;
Considerando o parágrafo único do art. 1º da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD, que estabelece que as normas gerais de proteção contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios;
Considerando ser assegurado a toda pessoa natural a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos do art. 17, da LGPD;
Considerando que a Prefeitura do Município de Campinas busca, em respeito aos munícipes, em conformidade com a LGPD e baseada nos princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas, nos termos do art. 6º da LGDP,

DECRETA:

CAPÍTULO I
DISPOSIÇÕES GERAIS

Art. 1º  Este Decreto tem por objetivo promover a adequação da Prefeitura Municipal de Campinas - PMC à cultura de proteção de dados nos serviços e políticas executados pelo Poder Executivo Municipal, por meio de ações que compõem o Programa de Proteção de Dados do Município.

Art. 2º  Para fins deste Decreto, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular dos dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, devendo fornecer elementos decisórios essenciais ao operador;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD;
IX - agentes de tratamento de dados pessoais: o controlador e o operador;
X - tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados pessoais: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI - uso compartilhado de dados pessoais: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII - Relatório de Impacto à Proteção de Dados Pessoais (RIPD): documentação do controlador, conforme definido no inciso VI do art. 2º deste Decreto, com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX - Autoridade Nacional de Proteção de Dados - ANPD: órgão da Administração Pública Federal, cujos papéis e competências estão definidos na Lei Federal nº 13.709, de 14 de Agosto de 2018 -LGPD; e
XX - incidente de segurança de dados: violação às medidas de segurança, técnicas e administrativas implementadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Parágrafo único.  As regras constantes da LGPD aplicam-se à Prefeitura do Município de Campinas, assim como os regulamentos e as orientações publicadas pela Autoridade Nacional de Proteção de Dados.

CAPÍTULO II
DO PROGRAMA DE PROTEÇÃO DE DADOS PESSOAIS

Art. 3º  Fica estabelecido o Programa de Proteção de Dados, constituído por frentes de atuação divididas nos seguintes eixos, assim definidos:
I - Eixo "Compreender o problema": elaboração de um conjunto de diagnósticos que permita mapear os tratamentos de dados pessoais e dados pessoais sensíveis que são realizados pela Prefeitura, além de possibilitar a análise dos riscos envolvidos;
II - Eixo "Criar e revisar normativos": criação de ações que abrangerão os agentes relevantes para a implementação de políticas e boas práticas, melhoria das competências desses agentes, dos instrumentos, dos processos de trabalho e das atividades atinentes à privacidade, bem como a produção de textos normativos e regulatórios;
III - Eixo "Gerenciar riscos": identificação dos riscos e definição das medidas para mitigá-los, estruturando-se ferramentas, instrumentos e processos de trabalho para dirimi-los, criar respostas a incidentes de segurança de dados e realizar as comunicações previstas na legislação e regulamentos;
IV - Eixo "Elaborar instrumentos": desenvolvimento de metodologias, minutas-padrão, modelos de documentação e procedimentos para que os instrumentos necessários ao atendimento dos direitos dos titulares e demais dispositivos constantes na LGPD e legislação correlata, bem como em regulamentos complementares, venham a ser implementados;
V - Eixo "Capacitar e sensibilizar": promoção da capacitação para os agentes públicos da Prefeitura Municipal de Campinas, de modo a fomentar uma cultura de proteção de dados no âmbito da administração pública municipal, além da realização de eventos mobilizadores, que poderão contar com a participação da sociedade civil e de especialistas em temas relativos à proteção e governança de dados.
Parágrafo único.  Cabe ao Departamento de Informatização - DEINFO propor as medidas de governança necessárias à implementação da conformidade no âmbito da Prefeitura Municipal de Campinas.

Art. 4º  Para implementação do Programa de Proteção de Dados na Prefeitura Municipal de Campinas serão adotadas regras de transição, competindo:
I - à Secretaria de Justiça: propor cláusula-padrão acerca da proteção de dados pessoais que passe a ser utilizada por toda a administração pública municipal direta e indireta, ou validar texto proposto para esse fim;
II - ao Departamento de Informatização - DEINFO:
a) propor a metodologia de análise de riscos que orientará os órgãos e entidades da administração na identificação e tratamento dos riscos referentes à proteção de dados;
b) aplicação de avaliação de maturidade para todos os órgãos e entidades da administração pública municipal direta e indireta, além da compilação dos resultados obtidos, de modo a obter informações qualificadas que permitam embasar decisões sobre processos de negócio que endereçam dados pessoais;
c) esclarecimento de eventuais dúvidas dos órgãos e entidades da administração pública municipal direta e indireta acerca da proteção e da governança de dados;
d) construção das orientações para atendimento aos titulares de dados pessoais, de modo que o exercício de direito dos titulares seja plenamente garantido, providenciando as capacitações necessárias, além das adequações dos sítios eletrônicos e canais institucionais de comunicação para que os titulares possam solicitar o acesso facilitado às informações sobre o tratamento de seus dados no âmbito da Prefeitura.
§ 1º  O DEINFO poderá requerer auxílio de outras áreas da administração direta ou indireta, para as providências necessárias à transição prevista no caput deste artigo.
§ 2º  Os órgãos e entidades da Administração Pública Municipal Direta e Indireta que realizam compartilhamento de dados com operadores, deverão, respeitando o cronograma de trabalho por eles estabelecidos em prazo não superior a 60 dias a contar da publicação deste decreto, identificar e mapear os dados compartilhados, a finalidade do compartilhamento, quem terá acesso a esses dados, entre outros elementos, de forma a produzir, posteriormente, orientações a quem trata dados pessoais em nome da Prefeitura Municipal de Campinas.
§ 3º  Os órgãos e entidades da administração pública municipal direta e indireta deverão encaminhar ao DEINFO, no prazo de 15 (quinze) dias contados da publicação deste Decreto, a indicação de pelo menos 1 (um) representante para ser o responsável pela realização de capacitação e futura elaboração de documentos, normativas e instrumentos relativos à proteção de dados, devendo os profissionais indicados possuir o seguinte perfil mínimo: (Ver Portaria nº 97.330, de 20/04/2022-SGDP)
I - possuir conhecimento das bases de dados, digitais e não digitais, existentes no órgão ou entidade;
II - possuir acesso aos responsáveis pelas decisões finais dos respectivos órgãos ou entidades;
III - possuir disponibilidade para participar das capacitações que serão indicadas; e
IV - possuir perfil proativo, dinâmico e realizador.
§ 4º  Os responsáveis de cada órgão e entidade da administração pública municipal direta e indireta devem ser indicados  considerando-se a possibilidade de, futuramente, serem objeto de nova indicação para atuarem como encarregados pelo tratamento de dados pessoais, de modo a exercerem as atribuições constantes do art. 41, da LGPD.
§ 5º  O questionário de avaliação de maturidade a que se refere a alínea "b" do inciso II do caput deste artigo, deve ser respondido, sob a orientação da Secretaria Municipal de Gestão e Controle, por todos os órgãos e entidades da administração pública municipal direta e indireta, contendo informações realistas e descritivas acerca das bases de dados, digitais ou não, sob sua responsabilidade no momento do levantamento.
§ 6º  Fica autorizado o uso compartilhado de dados entre os órgãos da administração pública municipal direta e indireta a que se refere o inciso XVI do art. 2º, com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas ou execução de contratos, no âmbito de suas atribuições legais, observados os princípios de proteção de dados pessoais elencados no art. 6º da LGPD.

Art. 5º  Cabe às empresas que entregam soluções ou serviços de tecnologia para a administração pública municipal direta e indireta:
I - implementar e administrar, direta ou indiretamente, métodos de desenvolvimento, implantação e gerenciamento de serviços de Tecnologia da Informação e Comunicação - TIC que promovam a proteção dos dados pessoais;
II - zelar pela conformidade dos serviços de TIC a todas as políticas e normas de proteção de dados pessoais;
III - avaliar os novos sistemas, aplicativos e bancos de dados que possam realizar tratamento dos dados pessoais a serem implementados pelos órgãos e entidades da administração pública municipal direta e indireta; e
IV - atualizar e adequar suas políticas, inclusive e principalmente as voltadas para a segurança da informação para atender exigências constantes na Lei Geral de Proteção de Dados.

Art. 6º  Cabe aos órgãos e entidades da administração pública municipal direta e indireta, bem como a todas às pessoas jurídicas de direito público ou privado que prestem serviços de qualquer natureza ao Município de Campinas ou a qualquer entidade de sua administração indireta:
I - gerenciar os riscos relativos ao tratamento de dados pessoais, conforme metodologias de análise de riscos;
II - elaborar mapeamento e inventário de dados, com a utilização preferencial de ferramenta tecnológica para essa finalidade;
III - identificar contratos, convênios, termos de cooperação, acordos de resultados, editais de licitação e demais documentos jurídicos congêneres em que se realize o tratamento de dados ou o compartilhamento de dados pessoais e que possam precisar de futuras modificações para serem adequados à LGPD;
IV - zelar para que todos os processos, sistemas e serviços que tratem dados pessoais estejam em conformidade com as políticas e normas de proteção de dados pessoais;
V - identificar quais funcionários atuam no tratamento de dados pessoais e dados sensíveis, de modo que esses funcionários futuramente assinem termos de responsabilidade;
VI - identificar quais são os compartilhamentos de dados pessoais e dados sensíveis realizados com terceiros, sejam eles públicos ou privados;
VII - disseminar aos agentes públicos o conhecimento das políticas e normas de governança digital, assim como das melhores práticas de proteção de dados pessoais;
VIII - realizar a elaboração do Relatório de Impacto de Proteção de Dados, conforme exigido na LGPD, com base em metodologias padrões de mercado;
IX - designar, no caso das pessoas jurídicas prestadoras de serviço ao Município ou às entidades da administração indireta, em até 15 (quinze) dias após a publicação deste Decreto, pelo menos 1 (um) titular e 1 (um) suplente para a função de encarregado de dados, que será responsável pelas atribuições constantes do art. 5º, inciso VIII e 41 da LGPD,dando-se publicidade à designação, nos termos do art. 41, § 1º da LGPD.

Art. 7º  Ficam definidos como controladores de dados, com as atribuições constantes do inciso VI do art. 2º, todos os órgãos da administração direta e todas as entidades da administração indireta do Município.

Art. 8º  As entidades integrantes da administração indireta do Município que atuarem em regime de concorrência, sujeitas ao disposto no art. 173, da Constituição Federal, deverão observar o regime relativo às pessoas jurídicas de direito privado, exceto quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, nos termos do art. 24 da LGPD.

Art. 9º  Os direitos, princípios e deveres expressos neste Decreto não excluem outros previstos no ordenamento jurídico relacionado à matéria.

Art. 10.  Este Decreto entra em vigor na data de sua publicação.

Campinas, 14 de janeiro de 2022

DÁRIO SAADI
Prefeito Municipal

RAFAEL SAIDEMBERG OTTAVIANO
Secretário Municipal de Justiça em exercício

CLÁUDIO QUERCIA SOARES
Secretário Municipal de Gestão e Controle em exercício

Redigido nos termos do SEI PMC.2019.00026108-96.

ADERVAL FERNANDES JUNIOR
Secretário Municipal Chefe de Gabinete do Prefeito