O Prefeito Municipal de Vitória, Capital do Estado do Espírito Santo, no uso da atribuição que lhe confere o art. 113 da Lei Orgânica do Município,

Considerando a promulgação da Lei Federal nº 13.709, de 14 de agosto de 2018, que estabeleceu a Lei Geral de Proteção de Dados Pessoais - LGPD, que disciplina as normas gerais de interesse nacional a serem observadas pela União, Estados, Distrito Federal e Municípios em matéria de proteção de dados;

Considerando que o parágrafo único do art. 1º da LGPD estabelece que as normas gerais de proteção contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios;

Considerando que é assegurada a toda pessoa natural à titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos do art. 17 da LGPD; e

Considerando a necessidade de regulamentação das normas específicas e procedimentos da Lei Federal nº 13.709, de 14 de agosto de 2018, e a necessidade de disciplinar os procedimentos de proteção de dados no âmbito do Município de Vitória,

Decreta:

Art. 1º Este Decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências correlatas a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais.

Art. 2º O presente Decreto e as normas técnicas dele decorrentes aplicam-se aos órgãos e entidades da Administração Direta e Indireta do Município de Vitória.

Art. 3º Considera-se para fins deste Decreto:

I - Encarregado Geral de Proteção de Dados do Município: pessoa indicada (um titular e um suplente) pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), cumprindo com atribuições constantes em Norma Técnica específica e com atribuições que possam vir a ser estabelecidas pela ANPD;

II - Encarregados Setoriais de Proteção de Dados: pessoas (titular e suplente) indicadas pelos órgãos e entidades municipais para realizar a adequação de seus órgãos e/ou entidades à LGPD, com base no Protocolo de Adequação elaborado pelo Encarregado Geral de Proteção de Dados do Município, observado o constante em Norma Técnica específica;

III - Comissão Permanente Municipal de Proteção de Dados (CPMPD): comissão formada por representantes de pastas distintas da Administração Municipal, com o objetivo de atuar de forma deliberativa e consultiva quanto a qualquer assunto relacionado à LGPD, demais leis que possam colidir com o tema proteção de dados e sobre este Decreto;

IV - Órgãos e Entidades Municipais: todos os Órgãos e Entidades da Administração Direta e Indireta do Município abrangidos por este decreto seja pela sua aplicabilidade compulsória ou facultativa.

Art. 4º A Administração Pública Municipal Direta e Indireta, nos termos da Lei Federal nº 13.709, de 14 de agosto de 2018, deve realizar e manter continuamente atualizados:

I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;

II - a análise e o relatório de risco e impacto à proteção de dados pessoais;

III - o plano de adequação, observadas as exigências constantes em norma específica;

a) para fins do inciso III do caput deste artigo, deverão ser observadas as regras editadas pelo Encarregado Geral de Proteção de Dados do Município, após deliberação favorável da Comissão Municipal de Proteção de Dados (CMPD).

IV - o relatório de impacto à proteção de dados pessoais, quando solicitado.

Art. 5º O tratamento de dados pessoais pelos Órgãos e Entidades Municipais deve:

I - objetivar o exercício de suas competências legais e o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;

II - observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a sua execução.

Art. 6º Os órgãos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no artigo 6º da Lei Federal nº 13.709, de 14 de agosto de 2018.

Parágrafo único. É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado;

II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709, de 14 de agosto de 2018;

III - quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Encarregado Geral do Município para comunicação à Autoridade Nacional de Proteção de Dados; ou

IV - na hipótese da transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

a) a transferência de dados dependerá de autorização específica conferida pelo Órgão ou Entidade Municipal à Entidade Privada;

b) as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo Órgão ou Entidade Municipal.

Art. 7º Os Órgãos e Entidades Municipais podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:

I - o Encarregado Geral de Proteção de Dados do Município informe a Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;

II - seja obtido o consentimento do titular, salvo:

a) nas hipóteses de dispensa de consentimento previstas na Lei Federal nº 13.709, de 14 de agosto de 2018;

b) nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do art. 23 , da Lei nº 13.709 , de 14 de agosto de 2018; ou

c) nas exceções constantes no § 1º do art. 26 , da Lei nº 13.709 , de 14 de agosto de 2018.

III - sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e o órgãos e entidades municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.

Art. 8º A estrutura necessária para a implantação e operacionalização da LGPD no Município obrigatoriamente conterá indicação de:

I - Um Encarregado Geral de Proteção de Dados do Município a ser designado por ato do Chefe do Poder Executivo, para os fins do art. 41, da Lei Federal nº 13.709/2018, sendo preferencialmente servidor público da Controladoria Geral do Município;

II - Encarregados Setoriais de Proteção de Dados que serão indicados formalmente pelas Secretarias Municipais;

III - Comissão Municipal de Proteção de Dados (CMPD) composta por representantes indicados pelos Secretários Municipais das seguintes pastas:

a) Secretaria de Gestão e Planejamento;

b) Procuradoria Geral do Município;

c) Secretaria de Governo;

d) Controladoria Geral do Município;

e) Secretaria de Fazenda.

IV - A indicação dos Encarregados Setoriais de Proteção de Dados e dos componentes da Comissão Municipal de Proteção de Dados (CMPD), será feita por meio de ofício-resposta encaminhado pelos titulares das Secretarias Municipais ao Encarregado Geral de Proteção de Dados do Município e a designação será efetivada por Decreto assinado pelo Chefe do Executivo Municipal.

Art. 9º A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, no Portal da Transparência, em seção específica sobre tratamento de dados pessoais.

Art. 10. O Encarregado de Proteção de Dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 3.709, de 2018 e com a Lei Federal nº 12.527, de 2011.

Art. 11. Compete ao Encarregado Geral de Proteção de Dados do Município, além das atribuições ordinárias para o desempenho das funções previstas na Lei nº 13.709/2018 e demais dispositivos deste Decreto:

I - aceitar reclamações e comunicações dos titulares, prestando esclarecimentos e adotando as devidas providências;

II - atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), cumprindo com atribuições que possam vir a ser estabelecidas pela ANPD;

III - recomendar a elaboração de Planos de Adequação relativos à proteção de dados pessoais aos encarregados setoriais para guiar os órgãos e as entidades da Administração Direta e Indireta;

IV - elaborar o Relatório de Impacto à proteção de dados pessoais com a descrição dos processos de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como, as medidas e salvaguardas e mecanismos de mitigação de riscos;

V - submeter à Comissão Municipal de Proteção de Dados (CMPD), sempre que julgar necessário, matérias atinentes a este Decreto;

VI - comunicar a Autoridade Nacional de Proteção de Dados a transferência de dados pessoais a entidades privadas, sempre que informada pelos responsáveis de cada órgão ou entidade, desde que prevista em lei ou respaldada em contratos, convênios ou outros ajustes, observadas as condições previstas no art. 7º deste Decreto;

VII - informar a Autoridade Nacional de Proteção de Dados a comunicação ou o uso compartilhado de dados pessoais de pessoas naturais ou jurídicas de direito privado;

VIII - encaminhar ao Chefe do Executivo as indicações dos Encarregados Setoriais de Proteção de Dados e dos membros da Comissão Municipal de Proteção de Dados (CMPD), recebidas na forma do artigo 8º deste Decreto;

IX - encaminhar ofícios e expedientes aos titulares das pastas dos Órgãos Municipais destinatários do presente Decreto;

X - encaminhar orientações e diretrizes acerca da matéria, que devem ser atendidas por todos os servidores e respectivos titulares das pastas nos prazos eventualmente por ele consignados, sob pena de responsabilização se do não atendimento resultar prejuízo ao Município;

XI - providenciar, em caso de recebimento de informe da autoridade nacional com medidas cabíveis para fazer cessar uma afirmada violação da Lei Federal nº 13.709, de 2018, nos termos do art. 31 daquela Lei, o encaminhamento ao órgão municipal responsável pelo tratamento de dados pessoais, fixando prazo para atendimento à solicitação ou apresentação das justificativas pertinentes.

Art. 12. Os planos de adequação que se refere o inciso III, do art. 11, deste Decreto, devem observar, no mínimo, o seguinte:

I - publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet, bem como no Portal da Transparência, em seção específica a que se refere o art. 8º deste Decreto;

II - atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23, § 1º, e do art. 27, parágrafo único, da Lei Federal nº 13.709, de 2018;

III - manutenção de dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

Art. 13. Compete aos Encarregados Setoriais:

I - elaborar o Plano de Adequação com o descritivo dos procedimentos, processos e modelos de documentação específicas e medidas que serão realizadas para adequar o órgão ou entidade por ele representado à Lei Geral de Proteção de Dados;

II - implementar a adequação de seus órgãos e/ou entidades à LGPD, com base no Plano de Adequação elaborado na forma do inciso I do caput deste artigo;

III - dar cumprimento, no âmbito dos respectivos órgãos, às ordens e recomendações do Encarregado de Proteção de Dados Pessoais;

IV - atender às solicitações encaminhadas pelo Encarregado de Proteção de Dados no sentido de fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 2018, ou apresentar as justificativas pertinentes;

V - encaminhar ao Encarregado, no prazo por este fixado:

a) informações sobre o tratamento de dados pessoais que venham a ser solicitadas pela Autoridade Nacional, nos termos do art. 29 da Lei Federal nº 13.709, de 2018;

b) relatórios de impacto de proteção de dados pessoais, ou informações necessárias à elaboração de tais relatórios, nos termos do art. 32 da Lei Federal nº 13.709, de 2018.

VI - assegurar que o Encarregado de Proteção de Dados seja informado, de forma adequada e em tempo útil, de todas as questões relacionadas com a proteção de dados pessoais no âmbito do Poder Executivo Municipal.

Art. 14. Compete à Comissão Municipal:

I - analisar e aprovar os procedimentos para a proteção e tratamento de dados no âmbito do Município de Vitória, elaborada e encaminhada pelo Encarregado Geral Municipal;

II - atuar de forma deliberativa e consultiva quanto a qualquer assunto relacionado à LGPD, demais leis que possam colidir com o tema proteção de dados e sobre este Decreto.

Art. 15. Cabe a Subsecretaria de Tecnologia da Informação:

I - oferecer os subsídios técnicos necessários à edição das diretrizes pelo Encarregado de Proteção de Dados, para a elaboração dos planos de adequação;

II - orientar, sob o ponto de vista tecnológico, as Secretarias na implantação dos respectivos planos de adequação.

Art. 16. Cabe às entidades da Administração Indireta observar, no âmbito da sua respectiva autonomia, as exigências da Lei Federal nº 13.709, de 2018, observada, no mínimo:

I - a designação de um Encarregado de Proteção de Dados Pessoais, nos termos do art. 41 da Lei Federal nº 13.709, de 2018, cuja identidade e informações de contato devem ser divulgadas publicamente, de forma clara e objetiva;

II - a elaboração e manutenção de um plano de adequação, nos termos do art. 4º, inciso III e parágrafo único deste Decreto.

Art. 17. A não observância das normas e procedimentos constantes do presente Decreto ensejará a aplicação das normas disciplinares previstas na legislação municipal, além de outras previstas em leis específicas.

Art. 18. A indicação do Encarregado Geral de Proteção de Dados do Município referida no inciso I do caput do artigo 8º deste decreto será feita em até 30 (trinta) dias contados da sua publicação.

Parágrafo único. A função de titular de Encarregado Geral de Proteção de Dados, deverá ser ocupada exclusivamente por servidor de carreira, com função compatível com a função gratificada.

Art. 19. As entidades da Administração Indireta deverão apresentar ao Encarregado de Proteção de Dados, no prazo de 90 (noventa) dias, o respectivo plano de adequação às exigências da Lei Federal nº 13.709, de 2018.

Art. 20. Os casos omissos deverão ser dirimidos considerando-se o previsto no artigo 5º, inciso LXXIX, da Constituição Federal , na Lei Federal nº 13.709, de 14 de agosto de 2018 e os Decretos Federais que a regulamentem, além dos atos normativos da ANPD - Autoridade Nacional de Proteção de Dados.

Art. 21. A regulamentação das normas específicas, bem como os procedimentos para a proteção e tratamento de dados no âmbito do Município de Vitória serão detalhadas por Norma Técnica a ser elaborada pelo Encarregado Geral de Proteção de Dados e publicada após análise e aprovação da Comissão Permanente Municipal de Proteção de Dados (CPMPD).

Art. 22. Constarão nas Normas Técnicas as regras específicas para a realização do tratamento e proteção de dados, e seus procedimentos operacionais no Município de Vitória.

Art. 23. As entidades que compõem a Administração Pública Indireta do Município de Vitória poderão optar pela adoção de regulamento próprio para atendimento à Lei Federal nº 13.709, de 14 de agosto de 2018, devendo formalizar tal propósito ao Encarregado Geral de Proteção de Dados do Município.

Parágrafo único. Ao adotar regulamento próprio, todas as responsabilidades advindas da aplicação da Lei serão exclusivas da entidade optante, eximindo o Encarregado Geral de Proteção de Dados do Município ou qualquer outra estrutura do Município de responsabilidade.

Art. 24. Este Decreto entra em vigor na data de sua publicação.

Palácio Jerônimo Monteiro, 07 de abril de 2022

Lorenzo Pazolini

Prefeito Municipal