O Prefeito do Município do Salvador, Capital do Estado da Bahia, no uso de suas atribuições,

Considerando a promulgação da Lei Federal nº 13.709, de 14 de agosto de 2018, que estabeleceu a Lei Geral de Proteção de Dados Pessoais - LGPD;

Considerando que, nos termos do parágrafo único do art. 1º da Lei Geral de Proteção de Dados Pessoais, as normas de tratamento de dados pessoais devem ser observadas pela União, Estados, Distrito Federal e Municípios,

Decreta:

CAPÍTULO I - DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Este Decreto estabelece medidas para aplicação, no âmbito do Poder Executivo Municipal, das disposições da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), estabelecendo competências, procedimentos e providências correlatas a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais.

Art. 2º Para os fins deste Decreto, considera-se:

I - dado pessoal: informação relacionada à pessoa natural, identificada ou identificável;

II - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, com suporte eletrônico ou físico;

III - titular: pessoa natural a quem se referem os dados pessoais, que são objeto de tratamento;

IV - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

V - encarregado pelo Tratamento de Dados Pessoais: pessoa indicada pelo controlador e operador, como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

VI - tratamento: toda operação realizada com dados pessoais, como as quais se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

VII - consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

VIII - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais, por órgãos e entidades públicos, no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

IX - relatório de impacto à proteção de dados pessoais: documentação do controlador, que contém a descrição dos processos de tratamento de dados pessoais, os quais podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Art. 3º As atividades de tratamento de dados pessoais, realizadas pelos órgãos e entidades municipais, deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos do tratamento de dados;

IV - livre acesso: garantia aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes responsáveis, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de dados, em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

CAPÍTULO II - DAS RESPONSABILIDADES

Seção I - Do Controlador de Dados Pessoais

Art. 4º As decisões referentes ao tratamento de dados pessoais cabem ao Munícipio do Salvador, que, no âmbito da Administração Pública Direta, exercerá as atribuições de controlador por intermédio dos Secretários Municipais, respeitadas suas respectivas competências e campos funcionais, aos quais compete:

I - dar cumprimento às orientações e diretrizes emanadas recomendações emanadas da Autoridade Nacional de Proteção de Dados (ANPD), do Comitê Municipal de Tecnologia da Informação e Comunicação (CMTIC) ou da Controladoria Geral do Município (CGM);

II - acompanhar as atividades do servidor designado para exercer a ações de Encarregado pelo tratamento de dados pessoais, avaliando os encaminhamentos deste quanto ao cumprimento da Lei Federal nº 13.709, de 2018, e adotar as providências necessárias;

III - encaminhar ao órgão de que trata o art. 7º deste Decreto, para fins de cumprimento do disposto nos arts. 29, 31, 32 e 48 da Lei Federal nº 13.709, de 2018:

a) informações específicas que venham a ser solicitadas pela ANPD sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado;

b) esclarecimentos sobre as providências adotadas para fazer cessar a violação de dados pessoais contidas em informe da ANPD;

c) relatórios de impacto à proteção de dados pessoais ou informações necessárias à elaboração de tais relatórios;

d) informações sobre a implementação de sugestões da ANPD relativas à adoção de padrões e de boas práticas para os tratamentos de dados pessoais;

e) informações sobre quaisquer ocorrências de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados.

IV - elaborar, com base nas informações prestadas pelas unidades responsáveis, os relatórios de impacto à proteção de dados pessoais da Administração Direta, bem como os planos de adequação relativos à proteção de dados pessoais, submetendo-os ao órgão de que trata o art. 7º deste Decreto;

V - assegurar os recursos necessários ao desempenho das atividades relacionadas ao cumprimento da Lei Federal nº 13.709, de 2018, e deste Decreto.

Parágrafo único. No âmbito da Administração Indireta, a função de controlador compete aos dirigentes máximos das entidades, aplicando-se, no que couber, as responsabilidades previstas no caput deste artigo.

Art. 5º Os órgãos e entidades, nos termos da Lei Federal nº 13.709, de 2018, devem realizar e manter continuamente atualizados:

I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;

II - a análise de risco;

III - o plano de adequação;

IV - o relatório de impacto à proteção de dados pessoais, quando solicitado.

Parágrafo único. Na elaboração dos planos de adequação, os órgãos e entidades devem observar, no mínimo, o seguinte:

I - a publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet;

II - o atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23, § 1º, e do art. 27, parágrafo único, da Lei Federal nº 13.709, de 2018;

III - a manutenção de dados em formato interoperável e estruturado para o uso compartilhado com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

Seção II - Da atuação do Comitê Municipal de Tecnologia da Informação e Comunicação (CMTIC)

Art. 6º O Comitê Municipal de Tecnologia da Informação e Comunicação (CMTIC), criado pelo Decreto Municipal nº 33.599, de 01 de março de 2021, atuará como instância orientadora e deliberativa acerca de temáticas relacionadas à aplicação da Lei Federal nº 13.709, de 2018, no âmbito dos órgãos e entidades do Poder Executivo Municipal, competindo-lhe:

I - editar diretrizes gerais acerca da implementação da Lei Federal nº 13.709, de 2018;

II - deliberar sobre qualquer assunto relacionado à aplicação da Lei Federal nº 13.709, de 2018, e do presente Decreto;

III - submeter à aprovação do Prefeito a Política de Proteção de Dados Pessoais;

IV - orientar os órgãos e entidades sob aspectos relacionados ao desempenho das atividades previstas no art. 5º deste Decreto.

Parágrafo único. O CMTIC no exercício das competências previstas neste artigo, deverá ouvir previamente a Procuradoria Geral do Município e a Controladoria Geral do Município.

Seção III - Da atuação da Controladoria Geral do Município (CGM)

Art. 7º A Controladoria Geral do Município (CGM), no âmbito da Administração Direta, para fins de cumprimento do disposto nos arts. 29, 31, 32 e 48 da Lei Federal nº 13.709, de 2018, exercerá a função de interlocução do Município com a Autoridade Nacional de Proteção de Dados (ANPD), e prestará apoio ao CMTIC na realização das atividades previstas no art. 6º deste Decreto.

§ 1º No cumprimento da função e atividades previstas no caput, compete à CGM:

I - recepcionar as comunicações e orientações emanadas da Autoridade Nacional de Proteção de Dados (ANPD), adotando as providências cabíveis junto aos órgãos da Administração Direta, para, dentre outros aspectos:

a) analisar e encaminhar as informações prestadas pelos titulares máximos dos órgãos sobre o tratamento de dados pessoais que venham a ser solicitadas pela autoridade nacional;

b) promover a apuração das situações reportadas no informe da ANPD, ou apresentação das justificativas cabíveis;

c) consolidar, com base nas informações prestadas pelos órgãos responsáveis, os relatórios de impacto à proteção de dados pessoais da Administração Direta, bem como as ações adotadas para implementação das sugestões de boas práticas para os tratamentos de dados pessoais, encaminhadas pela ANPD;

d) promover a apuração e comunicar ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

II - requisitar aos órgãos da Administração Direta, sempre que necessário, informações quanto ao cumprimento do previsto na Lei Federal nº 13.709, de 2018, e neste Decreto;

III - recepcionar e consolidar os relatórios de impacto à proteção de dados pessoais, bem como os planos de adequação relativos à proteção de dados pessoais elaborados pelos órgãos da Administração Direta;

IV - submeter ao Comitê Municipal de Tecnologia da Informação e Comunicação (CMTIC) matérias atinentes a este Decreto;

V - recepcionar reclamações e comunicações dos titulares, adotando as providências cabíveis junto aos órgãos e entidades responsáveis;

VI - articular-se com os Secretários e servidores indicados para exercerem as atividades de Encarregados pelo Tratamento de Dados, com vista à orientação dos servidores e contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

VII - propor a edição de diretrizes gerais e orientações acerca da implementação da Lei Federal nº 13.709, de 2018, e do cumprimento dos aspectos relacionados ao desempenho das atividades previstas no art. 5º deste Decreto.

§ 2º Com vistas à eficiência dos recursos, a CGM poderá exercer, junto a órgãos da Administração Direta que não possuam condições objetivas, as atividades previstas no art. 8º deste Decreto.

§ 3º Serão garantidos os recursos operacionais e financeiros necessários ao desempenho das funções previstas neste artigo, bem como acesso motivado às informações sobre as operações de tratamento, observado o dever de sigilo ou de confidencialidade, à CGM.

§ 4º A Secretaria Municipal de Inovação e Tecnologia (SEMIT) prestará o apoio tecnológico necessário ao desempenho das funções previstas neste artigo.

Seção IV - Dos Encarregados Pelo Tratamento de Dados Pessoais

Art. 8º Em cada órgão ou entidade da Administração Municipal será designado um servidor que exercerá as atividades de Encarregado de Dados Pessoais, ao qual caberá, dentro de sua respectiva unidade:

I - promover junto as unidades responsáveis a elaboração dos relatórios de impacto à proteção de dados pessoais previstos no art. 32 da Lei Federal nº 13.709, de 2018, e dos planos de adequação relativos à proteção de dados pessoais, a serem submetidos à autoridade de que trata o art. 4º deste Decreto;

II - observar as orientações emanadas da Autoridade Nacional de Proteção de Dados (ANPD), do Comitê Municipal de Tecnologia da Informação e Comunicação (CMTIC) e da Controladoria Geral do Município (CGM), e adotar providências;

III - submeter ao Comitê Municipal de Tecnologia da Informação e Comunicação (CMTIC) ou, conforme o caso, à Controladoria Geral do Município (CGM), sempre que julgar necessário, matérias atinentes a este Decreto;

IV - orientar os funcionários e os contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

V - apreciar as sugestões direcionadas ao órgão ou entidade a respeito da adoção de padrões e de boas práticas para o tratamento de dados pessoais de que trata o art. 32 da Lei Federal nº 13.709, de 2018;

VI - providenciar junto às instâncias competentes, em caso de recebimento de informe de que trata o artigo 31 da Lei Federal nº 13.709, de 2018, o atendimento à solicitação ou apresentação das justificativas cabíveis;

VII - recepcionar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

VIII - dar conhecimento ao órgão de que trata o art. 7º das ocorrências de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, para fins do atendimento ao disposto no art. 48, da Lei Federal nº 13.709, de 2018;

IX - executar as demais atribuições estabelecidas em normas complementares.

§ 1º O servidor designado para exercer as atividades de Encarregado pelo Tratamento de Dados Pessoais terá acesso motivado às informações acerca das operações de tratamento, observada a obrigação de sigilo ou de confidencialidade.

§ 2º As reclamações e comunicações dos titulares de dados, as solicitações oriundas dos órgãos de controle externo que tiverem recepcionado diretamente pelos órgãos ou entidades, bem como o resultado das providências adotadas, serão imediatamente comunicados ao órgão de que trata o art. 7º deste Decreto.

§ 3º A identidade e as informações de contato do Encarregado devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico oficial do órgão ou entidade.

§ 4º Os pedidos dos titulares de que trata o art. 18 da LGPD serão tramitados, preferencialmente, pela Plataforma Fala Salvador, observadas as disposições estabelecidas pelo CMTIC.

CAPÍTULO III - DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA MUNICIPAL

Art. 9º O tratamento de dados pessoais pelos órgãos e entidades da Administração Pública Municipal deve:

I - objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;

II - observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.

Art. 10. Os órgãos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas municipais, para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no art. 6º, da Lei Federal nº 13.709, de 2018, e outras hipóteses de restrições legais ou requisitos de segurança da informação e comunicações aplicáveis, especialmente o artigo 198 do Código Tributário Nacional (Lei Federal 5.172, de 1966), e o artigo 260 da Lei Municipal 7.186, de 2006.

§ 1º Para facilitar a execução de políticas públicas, poderão ser implementados mecanismos de compartilhamento e interoperabilidade de dados, de forma a atender às necessidades de negócio dos órgãos e entidades públicos municipais, observados os requisitos de sigilo, confidencialidade, gestão, auditabilidade e segurança da informação necessários ao compartilhamento de dados.

§ 2º Fica dispensada a celebração de convênio, acordo de cooperação técnica ou instrumentos congêneres para a efetivação do compartilhamento de dados entre os órgãos e as entidades municipais de que trata o caput deste artigo, observadas as disposições da Lei Federal nº 13.709, de 2018.

§ 3º Os órgãos ou entidades municipais, para terem acesso a dados por compartilhamento, se responsabilizarão por implementar e seguir as regras de sigilo e de segurança da informação.

§ 4º O órgão central de controle interno terá acesso aos dados na forma do parágrafo único do art. 3º da Lei Complementar nº 72, de 08 de outubro de 2019.

Art. 11. É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 2011;

II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709, de 2018;

III - quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Encarregado de proteção de dados pessoais para comunicação à Autoridade Nacional de Proteção de Dados, em atendimento ao disposto no § 2º do art. 26, da Lei Federal nº 13.709, de 2018;

IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

Parágrafo único. Em quaisquer das hipóteses previstas neste artigo:

I - a transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada;

II - as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.

Art. 12. Nas hipóteses em que os órgãos e entidades da Administração Pública Municipal efetuem a comunicação ou o uso compartilhado de dados pessoais com pessoa de direito privado, as autoridades de que trata o art. 4º deste Decreto deverão comunicar à Controladoria Geral do Município, para que esta, nos casos previstos no art. 27 da Lei Federal nº 13.709, de 2018, e na forma do regulamento federal correspondente, informe a Autoridade Nacional de Proteção de Dados.

CAPÍTULO IV - DAS DISPOSIÇÕES FINAIS

Art. 13. Os órgãos e entidades da Administração Pública Municipal deverão encaminhar à CGM relatório abordando as providências adotadas para cumprimento do disposto no art. 5º deste Decreto, no prazo de até 180 (cento e oitenta) dias a contar da sua publicação.

Art. 14. Os órgãos e entidades da Administração Pública Municipal deverão designar, no prazo de até 30 (trinta) dias, o servidor que exercerá as atividades de Encarregado pelo tratamento de dados pessoais, de que trata o art. 8º deste Decreto, observadas as orientações expedidas pelo Comitê Municipal de Tecnologia da Informação e Comunicação.

Art. 15. O artigo 1º do Decreto Municipal nº 33.599, de 2021, passa a vigorar com a seguinte alteração:

"Art. 1º .....

VIII - aprovar os planos anuais de aquisições dos Órgãos e Entidades da PMS;

IX - deliberar sobre qualquer assunto relacionado à aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018;

X - editar diretrizes gerais acerca da implementação da Lei Federal nº 13.709, de 2018;

XI - submeter à aprovação do Chefe do Poder Executivo a Política de Proteção de Dados Pessoais." (NR)

Parágrafo único. O CMTIC no exercício das competências previstas nos incisos IX e X deste artigo, deverá ouvir previamente a Procuradoria Geral do Município e a Controladoria Geral do Município.

Art. 16. Este Decreto entra em vigor na data de sua publicação.

GABINETE DO PREFEITO DO MUNICÍPIO DO SALVADOR, em 28 de março de 2022.

BRUNO SOARES REIS

Prefeito

ANA PAULA ANDRADE MATOS MOREIRA

Secretária de Governo em exercício

LUIZ ANTÔNIO VASCONCELLOS CARREIRA

Chefe da Casa Civil

THIAGO MARTINS DANTAS

Secretário Municipal de Gestão

GIOVANNA GUIOTTI TESTA VICTER

Secretária Municipal da Fazenda

MARISE PRADO DE OLIVEIRA CHASTINET

Secretária Municipal de Ordem Pública

OTÁVIO MARCELO MATOS DE OLIVEIRA

Secretário Municipal da Educação

LEONARDO SILVA PRATES

Secretário Municipal da Saúde

EDNA DE FRANÇA FERREIRA

Secretária Municipal de Sustentabilidade e Resiliência

FABRIZZIO MULLER MARTINEZ

Secretário Municipal de Mobilidade

CLISTENES BISPO

Secretário Municipal de Promoção Social, Combate à Pobreza, Esportes e Lazer

LUCIANO RICARDO GOMES SANDES

Secretário Municipal de Manutenção da Cidade

JOÃO XAVIER NUNES FILHO

Secretário Municipal de Desenvolvimento Urbano

FÁBIO RIOS MOTA

Secretário Municipal de Cultura e Turismo

LUIZ CARLOS DE SOUZA

Secretário Municipal de Infraestrutura e Obras Públicas

MILA CORREIA GONÇALVES PAES SCARTON

Secretária Municipal de Desenvolvimento Econômico, Emprego e Renda

RENATA GENDIROBA VIDAL

Secretária Municipal de Comunicação

IVETE ALVES DO SACRAMENTO

Secretária Municipal da Reparação

MARIA RITA GÓES GARRIDO

Controladora Geral do Município

FERNANDA SILVA LORDELO

Secretária Municipal de Políticas para As Mulheres, Infância e Juventude

SAMUEL PEREIRA ARAÚJO

Secretário Municipal de Inovação e Tecnologia