Este texto não substitui o publicado no Diário Oficial do Município - DOM.
DECRETO Nº 21.903, DE 14 DE JANEIRO DE 2022
(Publicação DOM 17/01/2022 p.01)
Dispõe sobre o Programa de Proteção de Dados no Poder Executivo Municipal, em consonância às disposições da Lei Federal Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD.
O Prefeito Municipal de Campinas, no uso de suas atribuições legais; e
Considerando o disposto no inciso X, do art. 5º, da Constituição da República Federativa do Brasil, o qual estabelece que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas;
Considerando o disposto no inciso VIII, do art. 75, da Lei Orgânica do Município de Campinas;
Considerando o disposto no art. 25, da Lei Federal nº 12.527, de 18 de novembro de 2011, que estabelece que é dever do Estado controlar o acesso e a divulgação de informações sigilosas produzidas por seus órgãos e entidades, assegurando sua proteção;
Considerando o parágrafo único do art. 1º da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD, que estabelece que as normas gerais de proteção contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios;
Considerando ser assegurado a toda pessoa natural a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos do art. 17, da LGPD;
Considerando que a Prefeitura do Município de Campinas busca, em respeito aos munícipes, em conformidade com a LGPD e baseada nos princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas, nos termos do art. 6º da LGDP,
DECRETA:
CAPÍTULO I
DISPOSIÇÕES GERAIS
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular dos dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, devendo fornecer elementos decisórios essenciais ao operador;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD;
IX - agentes de tratamento de dados pessoais: o controlador e o operador;
X - tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados pessoais: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI - uso compartilhado de dados pessoais: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII - Relatório de Impacto à Proteção de Dados Pessoais (RIPD): documentação do controlador, conforme definido no inciso VI do art. 2º deste Decreto, com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX - Autoridade Nacional de Proteção de Dados - ANPD: órgão da Administração Pública Federal, cujos papéis e competências estão definidos na Lei Federal nº 13.709, de 14 de Agosto de 2018 -LGPD; e
XX - incidente de segurança de dados: violação às medidas de segurança, técnicas e administrativas implementadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Parágrafo único. As regras constantes da LGPD aplicam-se à Prefeitura do Município de Campinas, assim como os regulamentos e as orientações publicadas pela Autoridade Nacional de Proteção de Dados.
CAPÍTULO II
DO PROGRAMA DE PROTEÇÃO DE DADOS PESSOAIS
I - Eixo "Compreender o problema": elaboração de um conjunto de diagnósticos que permita mapear os tratamentos de dados pessoais e dados pessoais sensíveis que são realizados pela Prefeitura, além de possibilitar a análise dos riscos envolvidos;
II - Eixo "Criar e revisar normativos": criação de ações que abrangerão os agentes relevantes para a implementação de políticas e boas práticas, melhoria das competências desses agentes, dos instrumentos, dos processos de trabalho e das atividades atinentes à privacidade, bem como a produção de textos normativos e regulatórios;
III - Eixo "Gerenciar riscos": identificação dos riscos e definição das medidas para mitigá-los, estruturando-se ferramentas, instrumentos e processos de trabalho para dirimi-los, criar respostas a incidentes de segurança de dados e realizar as comunicações previstas na legislação e regulamentos;
IV - Eixo "Elaborar instrumentos": desenvolvimento de metodologias, minutas-padrão, modelos de documentação e procedimentos para que os instrumentos necessários ao atendimento dos direitos dos titulares e demais dispositivos constantes na LGPD e legislação correlata, bem como em regulamentos complementares, venham a ser implementados;
V - Eixo "Capacitar e sensibilizar": promoção da capacitação para os agentes públicos da Prefeitura Municipal de Campinas, de modo a fomentar uma cultura de proteção de dados no âmbito da administração pública municipal, além da realização de eventos mobilizadores, que poderão contar com a participação da sociedade civil e de especialistas em temas relativos à proteção e governança de dados.
I - à Secretaria de Justiça: propor cláusula-padrão acerca da proteção de dados pessoais que passe a ser utilizada por toda a administração pública municipal direta e indireta, ou validar texto proposto para esse fim;
II - ao Departamento de Informatização - DEINFO:
a) propor a metodologia de análise de riscos que orientará os órgãos e entidades da administração na identificação e tratamento dos riscos referentes à proteção de dados;
b) aplicação de avaliação de maturidade para todos os órgãos e entidades da administração pública municipal direta e indireta, além da compilação dos resultados obtidos, de modo a obter informações qualificadas que permitam embasar decisões sobre processos de negócio que endereçam dados pessoais;
c) esclarecimento de eventuais dúvidas dos órgãos e entidades da administração pública municipal direta e indireta acerca da proteção e da governança de dados;
d) construção das orientações para atendimento aos titulares de dados pessoais, de modo que o exercício de direito dos titulares seja plenamente garantido, providenciando as capacitações necessárias, além das adequações dos sítios eletrônicos e canais institucionais de comunicação para que os titulares possam solicitar o acesso facilitado às informações sobre o tratamento de seus dados no âmbito da Prefeitura.
I - possuir conhecimento das bases de dados, digitais e não digitais, existentes no órgão ou entidade;
II - possuir acesso aos responsáveis pelas decisões finais dos respectivos órgãos ou entidades;
III - possuir disponibilidade para participar das capacitações que serão indicadas; e
IV - possuir perfil proativo, dinâmico e realizador.
I - implementar e administrar, direta ou indiretamente, métodos de desenvolvimento, implantação e gerenciamento de serviços de Tecnologia da Informação e Comunicação - TIC que promovam a proteção dos dados pessoais;
II - zelar pela conformidade dos serviços de TIC a todas as políticas e normas de proteção de dados pessoais;
III - avaliar os novos sistemas, aplicativos e bancos de dados que possam realizar tratamento dos dados pessoais a serem implementados pelos órgãos e entidades da administração pública municipal direta e indireta; e
IV - atualizar e adequar suas políticas, inclusive e principalmente as voltadas para a segurança da informação para atender exigências constantes na Lei Geral de Proteção de Dados.
I - gerenciar os riscos relativos ao tratamento de dados pessoais, conforme metodologias de análise de riscos;
II - elaborar mapeamento e inventário de dados, com a utilização preferencial de ferramenta tecnológica para essa finalidade;
III - identificar contratos, convênios, termos de cooperação, acordos de resultados, editais de licitação e demais documentos jurídicos congêneres em que se realize o tratamento de dados ou o compartilhamento de dados pessoais e que possam precisar de futuras modificações para serem adequados à LGPD;
IV - zelar para que todos os processos, sistemas e serviços que tratem dados pessoais estejam em conformidade com as políticas e normas de proteção de dados pessoais;
V - identificar quais funcionários atuam no tratamento de dados pessoais e dados sensíveis, de modo que esses funcionários futuramente assinem termos de responsabilidade;
VI - identificar quais são os compartilhamentos de dados pessoais e dados sensíveis realizados com terceiros, sejam eles públicos ou privados;
VII - disseminar aos agentes públicos o conhecimento das políticas e normas de governança digital, assim como das melhores práticas de proteção de dados pessoais;
VIII - realizar a elaboração do Relatório de Impacto de Proteção de Dados, conforme exigido na LGPD, com base em metodologias padrões de mercado;
IX - designar, no caso das pessoas jurídicas prestadoras de serviço ao Município ou às entidades da administração indireta, em até 15 (quinze) dias após a publicação deste Decreto, pelo menos 1 (um) titular e 1 (um) suplente para a função de encarregado de dados, que será responsável pelas atribuições constantes do art. 5º, inciso VIII e 41 da LGPD,dando-se publicidade à designação, nos termos do art. 41, § 1º da LGPD.
Campinas, 14 de janeiro de 2022
DÁRIO SAADI
Prefeito Municipal
RAFAEL SAIDEMBERG OTTAVIANO
Secretário Municipal de Justiça em exercício
CLÁUDIO QUERCIA SOARES
Secretário Municipal de Gestão e Controle em exercício
Redigido nos termos do SEI PMC.2019.00026108-96.
ADERVAL FERNANDES JUNIOR
Secretário Municipal Chefe de Gabinete do Prefeito