O Secretário Municipal das Finanças de Fortaleza, no uso das atribuições que lhe são conferidas pela Legislação Municipal, em especial, pela Lei Complementar nº 176, de 19 de dezembro de 2014, e ainda, pelo art. 6º, inc. IX, do Decreto nº 13.810, de 13 de maio de 2016, que autoriza o Titular da Pasta a expedir Portaria e demais atos normativos sobre a aplicação de leis, decretos e regulamentos no interesse dessa Secretaria.

Considerando que os dados pessoais integram o âmbito de proteção dos direitos fundamentais de liberdade, de privacidade, de intimidade e do livre desenvolvimento da personalidade da pessoa natural ou jurídica;

Considerando a necessidade de implementar um conjunto de controles, normas, procedimentos, padrões e sistemas que visem o estabelecimento, a implantação, o monitoramento, análise e o melhoramento contínuo da segurança dos dados pessoais e fiscais sob a responsabilidade e tutela da Secretaria Municipal das Finanças;

Considerando a crescente importância e reconhecimento da proteção e tratamento dos dados pessoais e fiscais dos contribuintes, que suscita a perquirição por um ambiente seguro, a melhoria dos processos de trabalho, a adoção de novas tecnologias e, sobretudo, a conscientização e educação das pessoas;

Considerando, por fim, a entrada em vigor da Lei Federal nº 13.709, de 14 de agosto de 2018, que estabeleceu a Lei Geral de Proteção de Dados Pessoais - LGPD e sua alteração pela Lei 13.853 , de 08 de julho de 2019, e pela Lei nº 14.010 , de 10 de junho de 2020.

Resolve:

CAPÍTULO I - DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Fica instituída a Política de Privacidade e Proteção de Dados Pessoais - PPPDP, no âmbito da Secretaria Municipal das Finanças - SEFIN, constituída por um conjunto de diretrizes, regras e ações para a operacionalização setorial das normas contidas na Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).

Parágrafo único. A Política de Privacidade e Proteção de Dados Pessoais observará a boa-fé objetiva e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos fiscal, comercial e industrial, bem como o sigilo fiscal;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e

X - responsabilização e prestação de contas: demonstração, pelo agente público, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 2º São diretrizes da Política de Privacidade e Proteção de Dados Pessoais da SEFIN:

I - as regras de boas práticas e governança estabelecidas pelo Controlador e o Operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;

II - alinhamento com as políticas de Segurança da Informação do Município de Fortaleza e as estabelecidas na Portaria nº 19/2019 - SEFIN;

III - o atendimento simplificado e eletrônico das demandas do cidadão;

IV - o alinhamento e o equilíbrio com a promoção da transparência pública, em específico com as previsões da Lei nº 12.527, de 18 de novembro de 2011 - LAI e do Decreto Municipal 13.305 , de 21 de fevereiro de 2014;

V - o estabelecimento da proporcionalidade das medidas acerca de proteção de dados, privacidade e segurança da informação;

VI - o desenvolvimento do nível de maturidade dos tratamentos dos dados;

VII - a manutenção da segurança jurídica dos instrumentos firmados;

VIII - a economicidade das ações;

IX - o alinhamento com o Planejamento Estratégico da SEFIN e com o Governo Municipal de Fortaleza.

Art. 3º Para fins desta Portaria, considera-se:

I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;

VI - controlador: a Secretaria Municipal das Finanças, pessoa jurídica, de direito público a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: a Secretaria Municipal das Finanças, pessoa jurídica, de direito público, que realiza o tratamento de dados pessoais;

VIII - encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX - agentes de tratamento: o controlador e o operador; e

X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

CAPÍTULO II - DA POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Art. 4º A Política de Privacidade e Proteção de Dados Pessoais - PPPDP da SEFIN, não alcança tratamentos relacionados a:

I - segurança pública;

II - defesa nacional;

III - segurança do Estado;

IV - atividades de investigação e repressão a infrações penais; ou

V - origem de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na Lei Federal nº 13.709, de 14 de agosto de 2018.

CAPÍTULO III - DA GOVERNANÇA DA PPPDP

Art. 5º Compete ao Secretário Executivo das Finanças:

I - aprovar normas de proteção de dados pessoais a serem regulamentadas por portaria a ser publicada no Diário Oficial do Município;

II - aprovar o parecer dos resultados do controle interno sobre a adequabilidade à Política de Privacidade e Proteção de Dados Pessoais - PPPDP.

Art. 6º Compete a Assessoria de Governança - ASGOV:

I - monitorar o desempenho e riscos produzidos pela Política de Privacidade e Proteção de Dados Pessoais - PPPDP para que os tratamentos alcancem a padronização, a redução do custeio, a automação e a celeridade necessária às mudanças da legislação e ao cenário das ameaças cibernéticas;

II - assessorar o Titular da Pasta e o Secretário Executivo no acompanhamento da Política de Privacidade e Proteção de Dados Pessoais com informações que apoiem decisões e orientem ações estratégicas;

III - orientar a adoção de padrões para serviços e produtos que apoiem nas decisões referentes ao tratamento de dados pessoais;

IV - favorecer a articulação entre as diversas Coordenações, Assessorias e Contencioso Administrativo Tributário - CAT para o desenvolvimento e a operacionalização das ações de adequação à Lei Federal nº 13.709, de 2018;

V - apoiar a promoção da proteção dos dados pessoais com a criação de grupos de estudos sobre boas práticas em política de proteção de dados; e

VI - sugerir a padronização de cláusulas contratuais técnicas, de convênios, ajustes e demais instrumentos assemelhados, para fins de compartilhamento e tratamento de dados pessoais.

Art. 7º Compete à Coordenadoria de Gestão Estratégica da Tecnologia da Informação - COGETI:

I - orientar a aplicação de soluções de Tecnologia da Informação e Comunicação - TIC relacionadas à proteção de dados pessoais;

II - adequar as arquiteturas e as operações compartilhadas de TIC hospedadas no datacenter e na rede corporativa às exigências da Lei Federal nº 13.709, de 2018; e

III - propor padrões de desenvolvimento de novas soluções de TIC, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução.

Parágrafo único. As arquiteturas e as operações de que trata o inciso II deste artigo poderão ter seu escopo alterado por meio de acordo entre as partes responsáveis pelo compartilhamento.

Art. 8º Compete à Assessoria Jurídica - ASJUR:

I - prestar consultoria jurídica para dirimir questões e emitir pareceres relacionados à Lei Geral de Proteção de Dados Pessoais - LGPD, quando solicitada;

II - propor modelos de contratos, convênios e acordos de cooperação aderentes à Lei Federal nº 13.709, de 2018, a serem utilizados pelos agentes de tratamento.

Art. 9º Compete ao controlador:

I - aprovar e promover ações para efetividade da Política de Privacidade e Proteção de Dados Pessoais da Secretaria Municipal das Finanças;

II - designar servidor encarregado de conduzir a Política de Privacidade e Proteção de Dados Pessoais mediante ato administrativo próprio;

III - aprovar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas Jurídica e de Tecnológica da Informação da SEFIN; e

IV - aprovar os termos de uso, manuais de instruções e treinamento dos tratamentos sob sua responsabilidade, a ser fornecido aos operadores.

Parágrafo único. - O servidor designado na forma do inciso II deste artigo deve estar subordinado diretamente ao controlador, devendo ter experiência em gestão, e poderes para tratar questões que afetem o controlador e operadores.

Art. 10. Compete ao servidor encarregado e ao Escritório de Apoio à Proteção de dado - EAPD:

I - gerenciar a Política de Privacidade e Proteção de Dados Pessoais - PPPDP no âmbito da SEFIN, mediante as seguintes ações:

a) inventariar os tratamentos do controlador, inclusive os eletrônicos;

b) analisar a maturidade dos tratamentos em face dos objetivos e metas estabelecidos e do consequente risco de incidentes de privacidade;

c) avaliar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

d) adotar as providências cabíveis para implementar as medidas de segurança avaliadas; e

e) cumprir os objetivos e metas previstas na Política de Privacidade e Proteção de Dados Pessoais - PPPDP.

II - receber reclamações, sugestões, denúncias e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências necessárias, em articulação com a Ouvidoria da Secretaria Municipal das Finanças;

III - receber comunicações da Agência Nacional de Proteção de Dados Pessoais - ANPD e adotar providências, quando for o caso;

IV - orientar os servidores, estagiários e os contratados no cumprimento das práticas necessárias à privacidade de dados pessoais;

V - quando provocado, entregar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico da Assessoria Jurídica - ASJUR e da Coordenadoria da Gestão Estratégica da Tecnologia da Informação - COGETI;

VI - aten;/.der às normas complementares da Agência Nacional de Proteção de Dados Pessoais; e

VII - informar à Agência Nacional de Proteção de Dados Pessoais e aos titulares dos dados pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um plano de respostas a incidentes a ser elaborado.

CAPÍTULO IV - DO ATENDIMENTO AO TITULAR DOS DADOS

Art. 11. O atendimento ao titular dos dados pessoais será prestado de forma eletrônica nos canais eletrônicos do site www.sefin.fortaleza.ce.gov.br.

§ 1º A identificação do titular ou procurador deverá ser idônea, emitida por autoridade certificadora.

§ 2º O canal de atendimento deve prover funções de registro e gerenciamento para servir ao acompanhamento dessa forma de atendimento.

Art. 12. O atendimento ao titular poderá ser prestado de forma presencial na SEFIN onde os dados se encontram, desde que haja a conferência de documento oficial e infraestrutura adequada.

§ 1º Quando o titular for incapaz, o atendente deve conferir a certidão de nascimento do titular e o documento de identidade de um dos pais ou responsáveis legais.

§ 2º Atestada a legitimidade do titular ou de seu procurador, o atendente protocolará e transcreverá a solicitação através dos canais de atendimento.

§ 3º O atendimento presencial ao procurador ou curador somente será aceito por meio do instrumento de outorga.

Art. 13. O setor onde foi efetuado o protocolo encaminhará o atendimento ao servidor encarregado responsável pelos dados.

§ 1º O servidor encarregado deverá adotar as providências para apensar os dados solicitados ao atendimento.

§ 2º Os dados pessoais solicitados no atendimento deverão ser entregues ao seu titular ou seu representante legal, por meio eletrônico protegido ou pessoalmente em meio físico.

Art. 14. Em qualquer forma de atendimento, o servidor encarregado observará que as informações pessoais produzidas ou custodiadas pela SEFIN não devem ser fornecidas quando estiverem vinculadas a tratamento sigiloso, nos termos da legislação vigente.

Parágrafo único. O servidor encarregado informará o fundamento legal que fundamenta o indeferimento de entrega da informação sigilosa solicitada.

CAPÍTULO V - DO TRATAMENTO DE DADOS PESSOAIS

Art. 15. O tratamento de dados pessoais deve ser restrito à sua finalidade legal, executado de forma adequada e pelo prazo necessário.

§ 1º A finalidade do tratamento de dados prevista no caput deste artigo não exige consentimento ou autorização prévia do seu titular, exceto quando se tratar de pessoa incapaz.

§ 2º A adequação a que se refere o caput deste artigo deve atender à Política de Segurança da Informação.

§ 3º A necessidade de armazenamento dos dados pessoais observará as prescrições legais ou as decisões do Poder Judiciário de mantê-los protegidos.

§ 4º Os responsáveis pelos tratamentos devem registrar as operações realizadas com dados pessoais.

Art. 16. O controlador deve adotar medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis no âmbito e nos limites técnicos de seus serviços, para não serem acessados por terceiros não autorizados e, sempre que possível, proceder à sua anonimização.

CAPÍTULO VI - DO COMPARTILHAMENTO DE DADOS PESSOAIS

Art. 17. O compartilhamento de dados pessoais poderá ser realizado nas seguintes hipóteses:

I - execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; e

II - cumprir obrigação legal ou decisão judicial.

§ 1º O controlador deve manter o registro do compartilhamento dos dados pessoais para efeito de comprovação prevista no inciso VII do art. 18 da Lei Federal nº 13.709, de 2018.

§ 2º Os dados deverão ser mantidos em formato interoperável e estruturado.

Art. 18. O Secretário Municipal das Finanças, mediante portaria, editará normas complementares para o fiel cumprimento das metas e diretrizes estabelecidas na Política de Privacidade e Proteção de Dados Pessoais - PPPDP no âmbito da SEFIN.

Art. 19. Esta Portaria entra em vigor na data de sua publicação.

SECRETARIA MUNICIPAL DAS FINANÇAS, em Fortaleza- CE, aos 17 de novembro de 2020.

Jurandir Gurgel Gondim Filho

SECRETÁRIO MUNICIPAL DAS FINANÇAS.