A Prefeita de Palmas, no uso das atribuições que lhe confere o art. 71, inciso III, da Lei Orgânica do Município,

Decreta:

Art. 1º Este Decreto regulamenta a Lei nº 13.709 , de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo do Município de Palmas, para estabelecer competências, procedimentos e providências correlatas a serem observadas por seus órgãos e entidades, com intuito de garantir a proteção de dados pessoais.

Art. 2º Nos termos da Lei nº 13.709, de 2018, e deste Decreto, devem ser observados:

I - os seguintes princípios:

a) respeito à privacidade;

b) autodeterminação informativa;

c) liberdade de expressão, informação, comunicação e opinião;

d) inviolabilidade da intimidade, da honra e da imagem;

e) desenvolvimento econômico e tecnológico e a inovação;

f) livre iniciativa, livre concorrência e defesa do consumidor;

g) respeito dos direitos humanos, do livre desenvolvimento da personalidade, da dignidade e do exercício da cidadania pelas pessoas naturais;

h) interesse público;

i) transparência de atuação no âmbito de suas competências.

II - as seguintes definições:

a) dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

b) dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

c) dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

d) banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

e) titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

f) tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

g) anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

h) consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

i) controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;

j) operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

k) operador interno: servidor responsável por bancos de dados, tecnologia da informação e sistemas, de cada unidade gestora;

l) operador externo: pessoa física ou jurídica prestadora de serviço de banco de dados, tecnologia da informação e sistemas, que atua fora da estrutura organizacional da unidade gestora;

m) agentes de tratamento: o controlador e o operador;

n) encarregado geral de proteção de dados: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

o) encarregado gerencial de proteção de dados: o dirigente máximo de cada unidade gestora, a quem compete controlar e gerir a atividade de tratamento de dados pessoais no órgão ou entidade da administração municipal a que responde;

p) encarregado setorial de proteção de dados: pessoa indicada pelo dirigente máximo de cada órgão ou entidade, a quem compete atuar como canal de comunicação entre o encarregado geral e o encarregado gerencial dentro de sua unidade gestora de lotação.

Parágrafo único. Para fins do disposto na alínea "i" do inciso II do caput deste artigo, o Município de Palmas fica definido como controlador.

Art. 3º Compete aos órgãos e entidades da Administração Pública do Município de Palmas as decisões referentes ao tratamento de dados pessoais, nos limites das competências atribuídas em lei para cada unidade orçamentária.

Art. 4º Compete ao Operador:

I - realizar o tratamento de dados pessoais segundo as normas legais;

II - manter os dados pessoais protegidos de acesso não autorizado, divulgação, destruição, perda acidental ou qualquer tipo de violação de dados pessoais;

III - manter registros das operações de tratamentos de dados pessoais que realizar;

IV - observar as boas práticas e padrões de governança previstos na Lei nº 13.709, de 2018;

V - comunicar ao encarregado geral, nos termos da Lei nº 13.709, de 2018, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;

VI - modificar, desde que autorizado pelo controlador:

a) sistema, método ou ferramentas utilizadas para coletar os dados pessoais;

b) meios utilizados para transferir os dados pessoais de uma organização para outra;

c) métodos utilizados para recuperar dados pessoais de determinados indivíduos;

d) maneira de garantir que o método por trás do cronograma de retenção seja respeitado;

e) meio de garantir a segurança dos dados;

f) método de armazenamento de dados pessoais.

Art. 5º O encarregado geral de proteção de dados é o Ouvidor-Geral do Município, lotado no órgão central do sistema de controle interno, o qual atuará como canal de comunicação entre o controlador, os titulares dos dados, os encarregados setoriais, os encarregados gerenciais e a Autoridade Nacional de Proteção de Dados (ANPD).

Parágrafo único. O titular do órgão central de controle interno indicará, por ato próprio, suplente para o encarregado geral de proteção de dados.

Art. 6º Compete ao encarregado geral de proteção de dados:

I - atualizar e enviar as diretrizes de tratamento de dados a serem adotados pela administração pública direta e indireta do Município de Palmas;

II - orientar encarregados gerenciais e encarregados setoriais a respeito das boas práticas e padrões de governança de dados e segurança da informação, a serem tomadas em relação à proteção de dados pessoais, conforme disposto na Lei nº 13.709, de 2018;

III - elaborar e disponibilizar material de divulgação e capacitação a respeito das boas práticas e padrões de governança de dados e segurança da informação, a serem tomadas em relação à proteção de dados pessoais no Município de Palmas, conforme disposto na Lei nº 13.709, de 2018;

IV - receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;

V - disponibilizar e manter atualizado o Portal da Transparência do Munícipio;

VI - instrumentalizar e garantir a transparência dos dados, nos termos da LGPD;

VII - consolidar os relatórios recebidos pelos encarregados setoriais;

VIII - prestar informações a respeito da aplicação da LGPD na Administração Pública Municipal;

IX - elaborar material de divulgação e capacitação da LGPD, em 20 (vinte) dias, a contar da publicação deste Decreto;

X - dirimir dúvidas, no âmbito de suas competências, acerca da aplicação deste Decreto, bem como dispor, em ato próprio, sobre os casos omissos.

Art. 7º Cada órgão ou entidade da Administração Pública do Município de Palmas será representado pelo encarregado gerencial de proteção de dados, a quem compete:

I - controlar e gerir a atividade de tratamento de dados;

II - instruir os operadores sobre a realização do tratamento de dados;

III - fiscalizar a observância pelos operadores das instruções e das normas sobre a matéria;

IV - designar o encarregado setorial de proteção de dados e seu suplente no âmbito da sua unidade gestora, no prazo de até 10 (dez) dias, a contar da publicação deste Decreto, em ato próprio publicado no Diário Oficial do município de Palmas;

V - elaborar e manter atualizado o relatório de impacto à proteção de dados pessoais (RIPD);

VI - informar ao encarregado geral de proteção de dados, no prazo de 15 (quinze) dias, a contar da publicação deste Decreto, o nome do encarregado setorial;

VII - informar e prestar contas das demandas solicitadas naquela unidade ao encarregado governamental.

Parágrafo único. Os encarregados gerenciais, titulares de cada órgão ou entidade, serão substituídos por seus sucessores hierárquicos, conforme estrutura da Administração Pública, ou por quem for designado pelo Chefe do Poder Executivo.

Art. 8º Compete ao encarregado setorial de proteção de dados:

I - orientar operadores internos e externos a respeito das boas práticas e padrões de governança de dados e segurança da informação a serem tomadas em relação à proteção de dados pessoais, conforme disposto na LGPD;

II - executar as demais atribuições determinadas pelo encarregado geral ou estabelecidas em normas complementares;

III - receber as comunicações do encarregado governamental e adotar providências;

IV - reportar-se ao encarregado gerencial de dados de seu órgão ou entidade.

Art. 9º O encarregado setorial deve, preferencialmente, possuir capacidade de articulação institucional dentro da unidade gestora, e deter, entre outros, os seguintes conhecimentos multidisciplinares, essenciais a sua atribuição, quanto:

I - à privacidade e proteção de dados pessoais;

II - à gestão de riscos;

III - à governança de dados;

IV - ao acesso à informação no setor público;

V - à legislação pertinente ao tema.

Art. 10. O encarregado setorial não deve ser lotado juntamente com os operadores internos nas unidades de tecnologia da informação e comunicação, bem como não ser gestor de contratos relacionados às referidas unidades ou gestor responsável por sistemas de informação em geral.

Art. 11. As informações de contato do encarregado setorial devem ser disponibilizadas de forma clara e objetiva pelos encarregados gerenciais no sítio eletrônico e portal de comunicação da sua unidade gestora.

Art. 12. O Poder Executivo Municipal, por meio de seus órgãos e entidades, nos termos da LGPD, deve realizar e manter continuamente atualizados:

I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;

II - a análise de risco;

III - o plano de adequação;

IV - o relatório de impacto à proteção de dados pessoais, quando solicitado.

Parágrafo único. Para fins do inciso III do caput deste artigo, os órgãos e entidades devem observar as diretrizes editadas pelo encarregado geral de proteção de dados.

Art. 13. As atividades de tratamento de dados pessoais devem observar as boas práticas e padrões de governança de dados e segurança da informação, além do disposto nos arts. 6º e 50 da LGPD, que tratam sobre os princípios, as regras de tais práticas e, respectivamente, de governança.

Art. 14. Todos os servidores do Município devem aplicar as normas de boas práticas de tratamento de dados editadas pela Autoridade Nacional de Proteção de Dados (ANPD), sob pena de responsabilização civil, penal e/ou administrativa.

Art. 15. Os agentes de tratamento ficam sujeitos às sanções previstas na Lei nº 13.709, de 2018.

Art. 16. A contar da publicação deste Decreto:

I - no prazo de 15 (quinze) dias, os encarregados gerenciais devem comprovar ao encarregado geral de proteção de dados estarem em conformidade com o disposto no art. 12;

II - no prazo máximo de 45 (quarenta e cinco) dias, o encarregado geral de proteção de dados deve apresentar propostas de regulamentação dos demais dispositivos da Lei nº 13.709, de 2018.

Art. 17. Pode haver a designação de mais de um encarregado setorial de proteção de dados em cada órgão ou entidade, conforme a complexidade da Pasta.

Art. 18. Os suplentes se submetem às mesmas regras e vedações estabelecidas neste Decreto para os titulares.

Art. 19. Este Decreto entra em vigor na data da publicação.

Palmas, 22 de junho de 2022.

CINTHIA ALVES CAETANO RIBEIRO MANTOAN

Prefeita de Palmas

Edmilson Vieira das Virgens

Secretário da Casa Civil do Município de Palmas

Eliezer Moreira de Barros

Secretário Municipal de Transparência e Controle Interno