Faço saber que a Câmara de Santa Maria de Jetibá aprovou e eu Joel Ponath – Presidente, promulgo esta Resolução, com amparo no Art. 33, inc. IV da Lei Orgânica Municipal;
considerando que a Mesa Diretora é o órgão direto de todos os trabalhos legislativos da Câmara Municipal, conforme estabelece o Art. 38 do Regimento Interno;
considerando o advento da Lei Federal nº 13709 de 14/08/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), bem como a crescente utilização da internet e modelos digitais estruturados para acesso e processamento de dados disponibilizados pelos órgãos governamentais;
considerando que a Câmara Municipal deve desenvolver os trabalhos administrativos e legislativos implementando as garantias e direitos fundamentais dos cidadãos;
considerando a necessidade da proteção e da privacidade dos dados pessoais dos titulares dos atos processuais administrativos conforme disposto no Art. 5º, Inc. X da constituição Federal;
considerando que é assegurado a toda pessoa natural, a titularidade dos seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos do Art. 17 da LGPD (Lei Geral de Proteção de Dados);
considerando o disposto nos Arts. 38 e 39, Inc. IV do Regimento Interno e o Art. 32, Inc. I da Lei Orgânica de Santa Maria de Jetibá; resolve:
Art. 1º Regulamentar por esta Resolução a aplicação da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), no âmbito da Câmara Municipal de Santa Maria de Jetibá;
§ 1º As disposições desta resolução abrangem os dados pessoais mantidos em suporte eletrônico ou em processos físicos;
§ 2º Não se aplicam as disposições contidas nesta resolução, ao tratamento de dados pessoais realizados nos gabinetes parlamentares, lideranças partidárias, frentes parlamentares, comissões temáticas, quando o tratamento não utilizar sistemas institucionais da Câmara Municipal de Santa Maria de Jetibá.
Art. 2º Para fins desta resolução, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecidos em um ou em vários locais em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII – plano de adequação: conjunto de regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.
Art. 3º As atividades de tratamento de dados pessoais realizadas na esfera da Câmara deverão observar a boa fé e os seguintes princípios;
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bom como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais.
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 4º As decisões referentes ao tratamento de dados pessoais, na esfera da administração da Câmara Municipal, serão exercidas pelo controlador, com o auxílio do Comitê Gestor de Governança de Dados e Informações, composto por servidores do quadro da Câmara Municipal, ou terceirizada, respeitadas suas respectivas competências campos funcionais.
Art. 5º O Comitê Gestor de Governança de Dados e Informações da Câmara Municipal, será criada mediante Portaria da Presidência, com responsabilidade de auxiliar o controlador no desempenho das seguintes atividades:
I – monitoramento de dados pessoais e de fluxos das respectivas operações de tratamento;
II – análise de risco;
III – elaboração e atualização da política de proteção de dados pessoais;
IV – exame das propostas de adaptação à política de Proteção de Dados Pessoais.
V – elaboração e atualização do Inventário de Dados Pessoais;
VI – Relatório de impacto de Proteção de Dados Pessoais, exceto quando determinado somente ao encarregado pela ANPD.”
Art. 6º O Comitê Gestor de Governança de Dados e Informações da Câmara Municipal será composto de 03 (três) Servidores, com mandato de 02 (dois) anos, permitida a recondução tendo como presidente um de seus membros, o qual exercerá a função de encarregado de dados pessoais após indicação do controlador.
Parágrafo Único: Os membros do Comitê deverão possuir conhecimentos sobre tratamento de dados pessoais.
Art. 7º A Política de Proteção de Dados Pessoais, a que alude o inciso III, do artigo 5º desta Resolução, corresponde à compilação de regras de boas práticas e de governança para tratamento de dados pessoais, de observância obrigatória pelos órgãos e entidades da Administração Pública, devendo conter, no mínimo:
I – descrição das condições de organização, de funcionamento e dos procedimentos de tratamento, abrangendo normas de segurança, padrões técnicos, mecanismos internos de supervisão e de mitigação de riscos, plano de resposta a incidentes de segurança, bem como obrigações específicas para os agentes envolvidos no tratamento e ações educativas aplicáveis;
II – indicação da forma de publicidade das operações de tratamento, preferencialmente em espaço específico nos respectivos sítios eletrônicos oficiais, respeitada as recomendações da autoridade nacional;
III – enumeração dos meios de manutenção de dados em formato interoperável e estruturado, para seu uso compartilhado e acesso das informações pelo público em geral, nos termos das Leis Federais nº 12.527, de 18 de novembro de 2011, e nº 13.709, de 14 de agosto de 2018.
§ 1º Para fins de eventual tratamento de dados pessoais realizado no âmbito da Câmara Municipal, todos de interesse público, considera-se legítimo interesse, de que trata o Art. 10 da Lei nº 13.709/2018, sem prejuízo de outras hipóteses previstas no ordenamento jurídico, a promoção da instituição, a aproximação com a sociedade, a preservação histórica, o exercício das atividades de representação do povo de legislar sobre os assuntos de interesse local, de controle e fiscalização dos atos do Poder Executivo Municipal e da aplicação dos recursos públicos, e o fortalecimento da democracia, assim como aquelas atividades decorrentes de suas autonomias financeira e administrativa.
§ 2º Os direitos do titular de dados pessoais, em qualquer caso, serão ponderados com o interesse público de conservação de dados históricos, preservação da transparência da instituição e das condutas de agentes públicos, no exercício de suas atribuições e divulgação de informações relevantes à sociedade, no exercício da democracia.
Art. 8º A sociedade civil, cidadãos, órgãos e entidades da administração pública de Santa Maria de Jetibá, poderão, motivadamente, solicitar adaptação à política de proteção de dados pessoais, conforme as respectivas especificidades, cujas propostas de adaptação elaboradas deverão ser submetidas à análise do Comitê Gestor de Governança de Dados e Informações da Câmara Municipal.
Parágrafo único. O titular dos dados pessoais tem direito de peticionar, em relação aos seus dados, contra a unidade administrativa que realizou o tratamento, mediante requerimento endereçado ao Comitê Gestor de Governança de Dados e Informações, com direito a recurso dirigido a Diretora Geral da Câmara Municipal.
Art. 9º A Câmara Municipal, na condição de Controladora, manterá registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse, solicitando-se, quando necessário, consentimento do titular dos dados pessoais, observando-se que tais registros, também, deverão ser realizados por qualquer empresa contratada que atue como operadora de dados pessoais.
Art. 10 Qualquer empresa contratada pela Câmara Municipal que atue como operadora de dados pessoais deverá realizar o devido tratamento conforme Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), devendo a Comissão de Licitações e Contratos, assim como os demais servidores que atuarem no procedimento de contratações públicas, orientar a observância dos preceitos, instruções e das normas sobre a matéria.
Parágrafo único. Os editais de licitações, os chamamentos públicos, as dispensas de licitação, as inexigibilidades de licitação, assim como os instrumentos contratuais utilizados para estabelecer as relações de serviço com a Câmara Municipal, deverão mencionar expressamente a possibilidade de verificação da adoção das instruções e normas pela contratada, no que se refere a Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), estando sujeitos a penalidades administrativas decorrentes da Lei de Licitações.
Art. 11. Os padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência serão regulamentadas por sugestão do Comitê Gestor de Governança de Dados e Informações, mediante ato do Presidente da Câmara Municipal.
Art. 12. O encarregado pelo tratamento de dados pessoais que trata o Art. 6º desta Resolução, atuará como canal de comunicação entre a Câmara Municipal, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), bem como com outras entidades de proteção de dados pessoais, devendo obedecer o seguinte:
I – Possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente conhecimentos relativos à privacidade e a proteção de dados pessoais, à análise jurídica, a gestão de riscos, a governança de dados e ao acesso à informação no setor público;
II – receber continuo aperfeiçoamento relacionado aos conhecimentos de que trata o Inciso I do “caput” deste artigo;
III - ser nomeado, no prazo de 30 (trinta) dias após a criação do cargo comissionado de “Encarregado de Dados Pessoais”.
IV – não poderá ser designado para desenvolver atividades nas unidades de tecnologia da informação ou para atuar como gestor responsável por sistemas de informação no órgão ou outra área da qual possa resultar conflito de interesses.
§ 1º A identidade e as informações de contato do encarregado serão divulgadas no sitio eletrônico da Câmara Municipal, dando-se ostensiva publicidade.
§ 2º O disposto no “caput” deste artigo não impede que os demais setores e departamentos da Câmara Municipal, em seus respectivos âmbitos, prestem auxilio administrativo para desempenhar os procedimentos de proteção/tratamento de dados, em interlocução com o encarregado de dados pessoais.
Art. 13. O encarregado de dados pessoais deverá receber o apoio necessário para o desempenho de suas funções, bem como ter acesso motivado a todas as operações de tratamento de dados pessoais no âmbito da Câmara.
Art. 14. São atividades do encarregado de dados pessoais:
I – receber reclamações e comunicação dos titulares dos dados, prestar esclarecimentos e adotar providências, observando o disposto no Art. 7º desta Resolução;
II – receber comunicações da ANPD e adotar providências;
III – orientar os servidores e demais colaboradores da Câmara Municipal a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;
IV – elaborar relatórios de impacto a proteção de dados pessoais, quando necessário;
V – adotar as medidas necessárias à publicação dos relatórios de impacto à proteção de dados pessoais, na forma solicitada pela autoridade nacional;
VI – receber e encaminhar à Administração da Câmara municipal, para adoção das providências pertinentes: as sugestões direcionadas, nos termos do Art. 32 da Lei Federal nº 13.709, de 2018; o informe que trata o Art. 13 da Lei Federal nº 13.709 de 2018;
VII – executar as demais atribuições estabelecidas em normas complementares;
Art. 15 Mediante requisição do encarregado de dados pessoais, os departamentos administrativos deverão encaminhar, no prazo assinalado, as informações eventualmente necessárias para atender solicitação da autoridade nacional ou de titulares dos direitos, devendo ser comunicadas, pelo gestor da unidade administrativa responsável pelo tratamento dos dados:
I – a existência de qualquer tipo de tratamento de dados pessoais;
II – contratos que envolvam dados pessoais;
III – situações de conflito entre a proteção de dados pessoais, o princípio da transparência ou algum outro interesse público.
IV – qualquer outra situação que precise de análise e encaminhamento.
Art. 16. Os requerimentos do titular de dados, formulados nos termos do Art. 18 da Lei Federal nº 13.709/2018, serão direcionados ao encarregado de dados pessoais e deverão observar os prazos e procedimentos previstos na Lei Federal nº 12.527/2011.
§ 1º Os requerimentos de que trata o “caput” deste artigo serão respondidos pelo encarregado de dados pessoais, com o apoio técnico da coordenadoria de tecnologia da informação e comunicação da Câmara, de acordo com o Art. 6º, incs. I ao X da Lei Geral de Proteção de Dados (LGPD).
§ 2º O pedido acerca do tratamento de dados pessoais solicitado pelo titular não se confunde com o pedido realizado com fundamento na Lei 12.527/2011, mantendo-se válidos os dispositivos que restringem o acesso a informações pessoais por terceiros, salvo após decorrência do prazo de sigilo, previsão legal ou consentimento expresso do titular.
Art. 17 O encarregado de dados pessoais comunicará à Diretora Geral e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares informando:
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizados para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata;
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Parágrafo único. A comunicação será feita imediatamente após a constatação da ocorrência do incidente.
Art. 18. O tratamento de dados pessoais, em conformidade com o Art. 6º, Incs. I ao X da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) é qualquer ação que se faça com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, devendo o seu processamento ser devidamente regulamentado através de Instrução Normativa elaborada pelo comitê gestor de governança de dados e informações da Câmara Municipal e aprovado pelo controlador de dados pessoais.
Parágrafo único. O tratamento de dados pessoais no âmbito da Câmara Municipal deverá obedecer aos princípios estabelecidos pelo Art. 7º, incisos I a X e “caput” do Art. 23 da Lei Federal 13.709/2018 e demais normas que asseguram a privacidade, a intimidade, a veracidade e o acesso dos direitos da personalidade da pessoa natural.
Art. 19 Cabe à Diretora Geral da Câmara:
I – fornecer ao Comitê Gestor de Governança de Dados e Informações da Câmara Municipal, os subsídios técnicos necessários para elaboração e monitoramento de diretrizes gerais, relativas às operações de tratamento de dados pessoais;
II – orientar, sob o aspecto tecnológico, a implantação, em seus respectivos âmbitos, da Política de Proteção de Dados Pessoais, em conformidade com as diretrizes gerais deliberadas pelo Comitê Gestor de Governança de Dados e Informações da Câmara municipal.
III - assegurar o cumprimento das normas relativas à proteção de dados pessoais, de forma adequada aos objetivos da Lei 13.709/2018;
IV – Recomenda-se à Mesa Diretora da Câmara Municipal, após avaliação do Comitê Gestor de Governança de Dados e Informações da Câmara Municipal, as medidas indispensáveis à implementação e ao aperfeiçoamento das normas e procedimentos necessários ao correto cumprimento do disposto na Lei 13.709/2018 e desta Resolução.
V – monitorar a aplicação da Lei 13.709/2018 e deste ato, no âmbito da Câmara Municipal;
Art. 20 Esta Resolução entra em vigor na data de sua publicação.
Art. 21 Revogam-se as disposições em contrário.
Registre-se, Publique-se, Cumpra-se.
Santa Maria de Jetibá, 19 de dezembro de 2023.
Este texto não substitui o original publicado e arquivado pela Câmara Municipal de Santa Maria de Jetibá.