O Prefeito do Município de João Pessoa - PB, Estado da Paraíba, no uso das atribuições que lhe são conferidas no art. 60, inciso V, da Lei Orgânica do Município de João Pessoa,

Considerando que a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados - Lei nº 13.709/2018 ) dispõe sobre o tratamento de dados pessoais, nas situações em que os dados pessoais são tratados por pessoa natural ou por pessoa jurídica de direito público ou privado;

Considerando que a Lei nº 13.709/2018 estabelece normas de interesse nacional que devem ser observadas pela União, Estados, Distrito Federal e Municípios;

Considerando que a Lei nº 13.709/2018 estabelece regras específicas sobre o tratamento de dados pessoais no âmbito do Poder Público;

Decreta:

CAPÍTULO I - DISPOSIÇÕES PRELIMINARES

Art. 1º Este Decreto dispõe sobre os procedimentos, atribuições, competências, responsabilidades e providências para adequação do Poder Executivo do Município de João Pessoa às regras e princípios previstos na Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural e a sua dignidade.

Art. 2º Para efeitos do presente Decreto, considera-se:

I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais objetos de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões essenciais referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado geral: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX - encarregado setorial: pessoa indicada nos termos do art. 13 deste Decreto, assim como ao encarregado geral, com a função de executar a Política Municipal de Proteção de Dados Pessoais;

X - encarregados: o encarregado geral e o encarregado setorial;

XI - agentes de tratamento: o controlador e o operador;

XII - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XIII - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XIV - consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XV - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XVI - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XVII - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVIII - plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidente de segurança e outros aspectos relacionados ao tratamento de dados pessoais;

XIX - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XX - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

XXI - autoridade nacional de proteção de dados pessoais: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709/2018 em todo o território nacional.

Art. 3º As operações de tratamento de dados pessoais realizadas por órgãos e entidades municipais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 4º O tratamento de dados pessoais realizado no âmbito municipal deve:

I - objetivar o exercício de suas competências legais e o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;

II - observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

Art. 5º É permitido o uso compartilhado de dados pessoais pelo Poder Público municipal, desde que para atender às finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 3º deste Decreto.

Parágrafo único. É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado;

II - nos casos em que os dados forem acessíveis publicamente;

III - quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres; ou

IV - na hipótese da transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

CAPÍTULO II - DA POLÍTICA MUNICIPAL DE PROTEÇÃO DE DADOS PESSOAIS

Art. 6º São diretrizes da Política Municipal de Proteção de Dados Pessoais:

I - a definição de objetivos e metas para as estratégias de adequação à Lei nº 13.709/2018 e para os programas de governança em privacidade e o monitoramento dos respectivos resultados;

II - o desenvolvimento contínuo do nível de maturidade dos tratamentos dos dados;

III - o alinhamento com as políticas de segurança da informação do Município de João Pessoa;

IV - o alinhamento com as boas práticas de transparência e as regras definidas na Lei Federal nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI);

V - a implementação de processos de gestão de risco pelos órgãos e entidades abrangidos por este Decreto para balizar a adoção de boas práticas e regras de governança associadas ao Programa de Governança em Privacidade;

VI - a manutenção da segurança jurídica dos instrumentos firmados;

VII - a proporcionalidade das medidas acerca de proteção de dados, privacidade e segurança da informação;

VIII - o atendimento tempestivo, simplificado e, preferencialmente, eletrônico às demandas do titular de dados pessoais;

IX - divulgação permanente e sensibilização dos gestores e servidores sobre a relevância da conformidade do tratamento de dados pessoais; e

X - outras diretrizes estabelecidas pelo Conselho Gestor de Proteção de Dados Pessoais - CGPDP de que trata o art. 8º deste Decreto.

CAPÍTULO III - DAS RESPONSABILIDADES

Art. 7º A Administração Pública Municipal Direta e Indireta, nos termos da Lei Federal nº 13.709, de 14 de agosto de 2018, deve realizar e manter continuamente atualizados:

I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;

II - a análise de risco;

III - o plano de adequação, observadas as exigências constantes em norma específica;

IV - o relatório de impacto à proteção de dados pessoais, quando solicitado.

Parágrafo único. Para fins do inciso III, deste artigo, as unidades da Administração Pública Direta e Indireta do Município devem observar as diretrizes editadas pelo encarregado geral, após aprovação do Conselho Gestor de Proteção de Dados Pessoais - CGPDP de que trata o art. 8º deste Decreto.

Art. 8º Fica criado o Conselho Gestor de Proteção de Dados Pessoais - CGPDP, que será composto pelos Titulares dos seguintes órgãos:

I - Secretaria de Gestão Governamental, que o presidirá;

II - Procuradoria-Geral do Município de João Pessoa;

III - Controladoria-Geral do Município de João Pessoa;

IV - Secretaria de Transparência Pública do Município de João Pessoa;

V - Secretaria de Planejamento do Município de João Pessoa;

VI - Secretaria de Fazenda do Município de João Pessoa;

VII - Secretaria de Administração do Município de João Pessoa.

Parágrafo único. Compete ao Conselho Gestor de Proteção de Dados Pessoais - CGPDP, com base nos princípios e disposições contidos na Lei nº 13.709/2018 e em regulamentações complementares emitidas pela Autoridade Nacional de Proteção de Dados - ANPD, estabelecer diretrizes, definir normas, atribuir competências e deliberar sobre a Política Municipal de Proteção de Dados Pessoais, estratégias de adequação, objetivos, metas, prazos e os programas de governança em privacidade.

Art. 9º Fica instituído o Comitê Executivo de Proteção de Dados Pessoais - CEPDP, coordenado pela Secretaria Executiva de Integridade, Governança e Prevenção à Corrupção - SEIG, com a seguinte composição:

I - um representante da Secretaria Executiva de Integridade, Governança e Prevenção à Corrupção, que o presidirá;

II - um representante da Procuradoria-Geral do Município;

III - um representante da Coordenadoria Geral da Unidade Executora do Programa João Pessoa Sustentável;

IV - um representante da Secretaria Executiva da Transparência Pública do Município de João Pessoa;

V - um representante da Secretaria de Planejamento do Município de João Pessoa;

VI - um representante da Secretaria de Administração do Município de João Pessoa.

§ 1º Os membros do Comitê Executivo de Proteção de Dados Pessoais - CEPDP serão indicados pela autoridade máxima de cada órgão ou entidade descrita no caput deste artigo, em até 30 (trinta) dias da publicação deste Decreto, e nomeados por meio de portaria publicada no Semanário Oficial do Município.

§ 2º Os membros indicados para o Comitê Executivo de Proteção de Dados Pessoais - CEPDP devem possuir notórios e comprovados conhecimentos em proteção de dados pessoais, gestão de projetos, gestão de risco e/ou segurança da informação.

§ 3º O representante da Procuradoria Geral do Município - PGM orientará o Comitê Executivo de Proteção de Dados Pessoais - CEPDP acerca dos aspectos jurídicos que devem ser observados, propondo a formulação de consulta jurídica, quando necessário.

§ 4º Os representantes da Secretaria Executiva de Integridade, Governança e Prevenção à Corrupção - SEIG e Secretaria Executiva da Transparência, orientarão o Comitê Executivo de Proteção de Dados Pessoais - CEPDP acerca dos aspectos relacionados à gestão de riscos e à conformidade legal com os requisitos da Lei de Acesso à Informação - LAI, que devem ser observados, propondo a formulação de consulta jurídica, quando necessário.

§ 5º Os representantes da Unidade Executora do Programa João Pessoa Sustentável - UEP, a Unidade Municipal de Tecnologia da Informação - UMTI e a Secretaria de Ciência e Tecnologia - SECITEC orientarão o Comitê Executivo de Proteção de Dados Pessoais - CEPDP acerca dos aspectos relacionados à gestão da Segurança da Tecnologia da Informação que devem ser observados.

§ 6º A Secretaria de Administração - SEAD prestará apoio administrativo e material para desempenho das atividades do Comitê Executivo de Proteção de Dados Pessoais - CEPDP.

Art. 10. O Comitê Executivo de Proteção de Dados Pessoais - CEPDP, com atuação permanente, terá as seguintes competências:

I - elaborar e submeter à aprovação pelo Conselho Gestor de Proteção de Dados Pessoais - CGPDP diretrizes, estratégias, ações e metas para gradual adequação do Poder Executivo Municipal à Lei nº 13.709/2018 e a implementação da Política Municipal de Proteção de Dados Pessoais;

II - elaborar e submeter à aprovação pelo Conselho Gestor de Proteção de Dados Pessoais CGPDP normas relacionadas à proteção de dados pessoais no âmbito do Poder Executivo Municipal com base na Lei nº 13.709/2018 e regulamentos da Autoridade Nacional de Proteção de Dados - ANPD;

III - auxiliar os encarregados na identificação e avaliação dos processos de tratamento e proteção de dados pessoais existentes no âmbito da administração pública municipal direta e indireta;

IV - apresentar estudos e relatórios, com o apoio dos encarregados, que subsidiem as decisões do Conselho Gestor de Proteção de Dados Pessoais - CGPDP relacionadas à implementação da Política Municipal de Proteção de Dados Pessoais e ao Programa de Governança em Privacidade;

V - monitorar a execução e desempenho das estratégias e ações aprovadas pelo Conselho Gestor de Proteção de Dados Pessoais - CGPDP, o cumprimento de prazos, objetivos e metas para adequação do Poder Executivo Municipal à Lei nº 13.709/2018 e a implementação da Política Municipal de Proteção de Dados Pessoais;

VI - monitorar a adoção de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

VII - acompanhar permanentemente a evolução de maturidade, a gestão de riscos e os indicadores associados aos programas de governança em privacidade implementados no Poder Executivo Municipal;

VIII - coordenar e orientar a rede de encarregados nos órgãos e entidades do Poder Executivo Municipal;

IX - deliberar e incentivar a adoção de padrões para procedimentos, serviços e produtos que facilitem aos titulares de dados pessoais o exercício de seus direitos;

X - estimular a integração e articulação entre os diversos órgãos e entidades do Poder Executivo Municipal para o desenvolvimento e operacionalização das ações de adequação à Lei nº 13.709/2018 ;

XI - promover a governança em privacidade e a proteção dos dados pessoais através da coordenação e realização de ações de capacitação, da elaboração de manuais e cartilhas e da divulgação de boas práticas, ações relevantes e resultados entre os órgãos e entidades do Poder Executivo Municipal;

XII - realizar outras atribuições correlatas.

Parágrafo único. Os órgãos e entidades do Poder Executivo Municipal devem disponibilizar para o Comitê Executivo de Proteção de Dados Pessoais - CEPDP as informações necessárias para o exercício de suas competências relacionadas aos processos de tratamento e compartilhamento de dados pessoais e à implementação das ações de adequação à Lei nº 13.709/2018 , resguardado, conforme cada caso, os sigilos fiscais e legais previstos nas respectivas legislações.

Art. 11. O Comitê Executivo de Proteção de Dados Pessoais - CEPDP poderá convidar representantes de órgãos e entidades públicas e privadas, além de pesquisadores e especialistas, para participar de suas atividades, quando suas experiências ou expertises forem relevantes.

§ 1º A participação dos convidados de que trata o caput deste artigo ficará restrita ao tempo necessário para prestar os esclarecimentos a eles solicitados.

§ 2º O funcionamento do Comitê Executivo de Proteção de Dados Pessoais - CEPDP será disciplinado por Resolução própria.

Art. 12. O dirigente máximo de cada órgão ou entidade do Poder Executivo Municipal deve indicar, preferencialmente, servidor efetivo para ser o encarregado setorial pelo tratamento dos dados pessoais, nos termos do inciso III do art. 23 e do art. 41 da Lei nº 13.709/2018 , mediante publicação no Semanário Oficial do Município, nos termos e prazos estipulados pelo Conselho Gestor de Proteção de Dados Pessoais - CGPDP.

§ 1º O Conselho Gestor de Proteção de Dados Pessoais - CGPDP poderá dispor sobre as hipóteses em que o dirigente máximo do órgão ou entidade será dispensado da indicação do encarregado setorial.

§ 2º O encarregado setorial, designado na forma do caput deste artigo, deverá:

I - ter experiência e conhecimentos multidisciplinares, preferencialmente em proteção de dados pessoais, gestão de projetos e processos, tecnologia e segurança da informação, gestão de riscos, dentre outras matérias correlatas;

II - estar subordinado diretamente ao dirigente máximo do órgão ou entidade;

III - não estar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação de órgão ou entidade do Poder Executivo Municipal.

§ 3º Para fins de atendimento ao inciso I do § 2º, o encarregado setorial deverá participar das capacitações, seminários e treinamentos disponibilizados pelo órgão ou entidade ao qual está vinculado, bem como das atividades de capacitação disponibilizadas por outros órgão, pelo Comitê Executivo de Proteção de Dados Pessoais - CEPDP e pela Controladoria Geral do Município - CGM.

Art. 13. Compete ao encarregado geral coordenar e aos encarregados setoriais executar as seguintes atividades:

I - aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar providências;

II - receber comunicações da Autoridade Nacional de Proteção de Dados - ANPD e adotar providências;

III - orientar os servidores, funcionários e os contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV - realizar, com apoio do Comitê Executivo de Proteção de Dados Pessoais - CEPDP, o inventário dos processos de tratamento de dados pessoais realizados no âmbito do órgão ou da entidade municipal, inclusive dos compartilhamentos com entidades públicas ou privadas, propondo adequações à luz da Lei nº 13.709/2018 ;

V - executar outras atribuições normatizadas pelo Conselho Gestor de Proteção de Dados Pessoais - CGPDP;

VI - seguir as orientações do Comitê Executivo de Proteção de Dados Pessoais - CEPDP, bem como apoiá-lo, repassando todas as informações necessárias para o cumprimento de suas atribuições;

VII - atender às normas complementares da Autoridade Nacional de Proteção de Dados - ANPD.

Parágrafo único. A identidade e as informações de contato dos encarregados deverão ser divulgadas publicamente, de forma clara e objetiva, no site de cada órgão ou entidade do Poder Executivo Municipal, nos termos do § 1º do art. 41 da Lei nº 13.709/2018 .

Art. 14. Os encarregados deverão ter garantidos pela autoridade máxima do órgão ou entidade ao qual estão vinculados:

I - acesso direto aos dirigentes do órgão ou entidade a que está vinculado;

II - apoio dos setores jurídico, tecnológico, de controle interno do órgão ou entidade e da ouvidoria para o desempenho de suas funções;

III - acesso motivado a todas as operações de tratamento de dados pessoais no âmbito do órgão ou entidade;

IV - capacitação permanente em temas relevantes para o desempenho de suas competências;

V - independência no exercício de suas funções, sem ingerências indevidas.

Parágrafo único. É vedado aos encarregados exercer quaisquer atribuições que possam configurar conflito de interesses no exercício de suas funções.

Art. 15. Compete aos dirigentes máximos dos órgãos e entidades do Poder Executivo Municipal:

I - prover condições e promover ações para adequação dos processos e tratamentos de dados pessoais do órgão ou entidade à Lei nº 13.709/2018 , às normas definidas pela Autoridade Nacional de Proteção de Dados - ANPD e às determinações do Conselho Gestor de Proteção de Dados Pessoais - CGPDP e do Comitê Executivo de Proteção de Dados Pessoais - CEPDP;

II - adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

III - comunicar, por meio do encarregado geral, à Autoridade Nacional de Proteção de Dados - ANPD e aos titulares dos dados pessoais, a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares;

IV - implementar o Programa de Governança em Privacidade, com base nos requisitos mínimos do art. 50 , § 2º, da Lei nº 13.709/2018 ;

V - fornecer aos operadores, através dos encarregados, termos de uso, políticas de privacidade, manuais orientativos e capacitação relacionados aos tratamentos sob sua responsabilidade; e

VI - elaborar o Relatório de Impacto à Proteção de Dados Pessoais, na forma e condições previstas na Lei nº 13.709/2018 , com o apoio do encarregado setorial, dos responsáveis pelo Programa de Integridade, do setor jurídico e, quando houver, do setor de informática do órgão ou entidade.

Art. 16. Compete à Procuradoria Geral do Município - PGM prestar consultoria jurídica ao Conselho Gestor de Proteção de Dados Pessoais - CGPDP, ao Comitê Executivo de Proteção de Dados Pessoais - CEPDP e aos órgãos e entidades da administração pública municipal direta e indireta, mediante a emissão de pareceres ou outras manifestações oficiais para dirimir dúvidas e fixar a interpretação da Lei nº 13.709/2018 , bem como para a elaboração dos atos normativos, modelos de contratos, de convênios e de acordos de cooperação aderentes à Lei nº 13.709/2018 .

Parágrafo único. As consultas dos órgãos e entidades da administração pública municipal direta e indireta deverão ser direcionadas ao Comitê Executivo de Proteção de Dados Pessoais - CEPDP, observada as disposições da Lei Complementar Municipal nº 61/2010, que encaminhará à Procuradoria Geral do Município - PGM, caso entenda necessário.

Art. 17. Compete à Controladoria Geral do Município - CGM, através de ação conjunta com as Secretarias Executivas a ela vinculadas:

I - auxiliar os órgãos e entidades na implementação de processos de gestão de riscos e avaliação de maturidade dos programas de governança em privacidade;

II - realizar consultorias, capacitações e outras ações de assessoria para apoiar os órgãos e entidades na adequação à Lei nº 13.709/2018 e implementação das políticas e programas de governança em privacidade; e

III - estabelecer e implementar sistemática de auditoria interna baseada em riscos para avaliar a adequação à Lei nº 13.709/2018 , a implementação da Política Municipal de Proteção de Dados Pessoais e a operacionalização dos programas de governança em privacidade.

Parágrafo único. As atividades previstas nos incisos I e II deverão ser realizadas pela Controladoria Geral do Município - CGM de maneira que fiquem resguardadas a sua independência organizacional, bem como a objetividade de seu corpo técnico, para que possa atuar de forma isenta na atividade prevista no inciso III.

CAPÍTULO IV - DA CAPACITAÇÃO E DIVULGAÇÃO

Art. 18. O Comitê Executivo de Proteção de Dados Pessoais - CEPDP deverá capacitar e sensibilizar os encarregados, os agentes de tratamento, os dirigentes dos órgãos e entidades do Poder Executivo Municipal e demais envolvidos nas normas, políticas, e procedimentos associados à proteção de dados pessoais e nas ações necessárias para adequação à Lei nº 13.709/2018 .

§ 1º O Conselho Gestor de Proteção de Dados Pessoais - CGPDP definirá prazo para a conclusão das capacitações e demais ações previstas no caput deste artigo.

§ 2º O Comitê Executivo de Proteção de Dados Pessoais - CEPDP, conforme diretrizes e prazos estabelecidos pelo Conselho Gestor de Proteção de Dados Pessoais - CGPDP e em articulação com outros órgãos, elaborará e dará publicidade a manuais, cartilhas e material eletrônico de divulgação relacionados à Lei nº 13.709/2018 , medidas de segurança e ações de proteção a dados pessoais.

CAPÍTULO V - DAS DISPOSIÇÕES FINAIS

Art. 19. Os órgãos e as entidades do Poder Executivo Municipal deverão informar, nos seus sítios eletrônicos, as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.

Art. 20. Este Decreto entra em vigor na data da sua publicação.

João Pessoa, 30 de agosto de 2021.

CÍCERO DE LUCENA FILHO

Prefeito