O SECRETÁRIO MUNICIPAL DE FAZENDA do Município de Porto Velho, no uso das atribuições que lhe são conferidas pelo artigo 338, da Lei Complementar n° 878, de 17 de dezembro de 2021, combinado com o Art. 6° do Decreto n° 15.035, de 26 de de janeiro de 2018,

CONSIDERANDO o disposto na Lei Nacional n° 13.709, de 14 de Agosto de 2018 (Lei de Proteção de Dados Pessoais – LGPD), a qual estabelece em seu Capítulo II os requisitos para o Tratamento de Dados Pessoais, bem como o Decreto n° 18.310, de 1° de Agosto de 2022, que dispõe sobre a adoção de medidas para aplicação da Lei Federal no âmbito da Administração Pública Municipal Direta do  Município;

CONSIDERANDO a necessidade de definir diretrizes visando implementar plano de adequação à LGPD ou programa de governança em privacidade, atendendo-se os requisitos mínimos do inciso I do § 2° do Art. 50 da Lei Federal n° 13.709, de 2018 (LGPD), em obediência ao Art. 6° do Decreto n° 18.310, de 1° de Agosto de 2022;

CONSIDERANDO ainda a recomendação contida no Ofício Circular n° 005/2023/DITR/DGT/CGM (e-DOC D6D5C458-c), quanto o tratamento de dados pessoais e dados pessoais sensíveis;

RESOLVE:

CAPÍTULO I

DA POLÍTICA DE PRIVACIDADE DE DADOS PESSOAIS

Seção Única

Das Diretrizes Gerais

Art. 1° O Programa de Privacidade de Dados Pessoais (PPDP) estabelece princípios, normas, diretrizes e responsabilidades que regulam o tratamento de dados pessoais, em meios físicos e digitais, no âmbito da Subsecretária da Receita Municipal (SUREM) da Secretaria Municipal de Fazenda (SEMFAZ), visando à obtenção de conformidade com a Lei Federal n° 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais ou LGPD) e com o Decreto n° 18.310, de 1° de Agosto de 2022.

§ 1° As disposições da PPDP se referem a todos os dados detidos, usados ou transmitidos pela ou em nome da SUREM, em meio físico ou digital, em qualquer tipo de mídia, inclusive sistemas de computador e dispositivos portáteis.

§ 2° Aplica-se, no que couber, as disposições desta Resolução, aos atos e documentos que contenham dados pessoais e dados pessoais sensíveis da Subsecretaria de Finanças e Contabilidade, em especial aqueles disponíveis no Portal da Transparência do Município.

Art. 2° Esta PPDP é de adoção obrigatória aos servidores subordinados à SUREM, aplicando-se ainda:

I – aos demais servidores públicos municipais que acessem os dados administrados pela SUREM;

II – a todos os terceiros, sejam eles pessoas naturais ou jurídicas, que realizem operações de tratamento de dados pessoais relacionadas de alguma forma com a SUREM;

III – aos titulares de dados pessoais ou a seu(s) representante(s) legal(is) expressamente constituído(s), cujos dados são tratados pela SUREM.

Art. 3° São diretrizes ao tratamento e publicização de dados pessoais e dados pessoais sensíveis à proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, por meio do cuidado dos dados pessoais, em conformidade à LGPD,
bem como aqueles definidos no Art. 16 do Decreto n° 18.310, de 1° de Agosto de 2022.

Art. 4° O tratamento e a publicização de dados pessoais e dados pessoais sensíveis no Sistema de Gestão Tributária, Portal de Serviços eletrônico, publicações no Diário Oficial dos Municípios do Estado de Rondônia - DOMER e demais publicações de controle realizadas pelas unidades administrativas vinculadas à SUREM, deverão observar, em observância aos princípios da finalidade, necessidade, adequação, segurança, prestação de contas e prevenção, constantes da LGPD.

Art. 5° Quando da coleta e divulgação de dados pessoais pela SUREM, deve-se coletar apenas os dados minimamente necessários para o alcance de suas finalidades, observando os seguintes critérios:

I – dispensar da coleta ou de eliminação os dados pessoais não essenciais à identificação do contribuinte e sua relação tributária;

II – limitar a divulgação àqueles dados pessoais necessários para alcançar a finalidade pretendida, observados o contexto, a finalidade e as expectativas legítimas dos titulares;

III – aplicar medidas de prevenção e segurança, a exemplo de anonimização ou pseudonimização dos dados pessoais sempre que isso não comprometa o exercício do controle social;

IV – garantir a transparência do tratamento; e

VII – garantir os direitos dos titulares.

CAPÍTULO II
DO TRATAMENTO DOS DADOS PESSOAIS

Seção I
Das Disposições Gerais

Art. 6° A coleta, tratamento e divulgação de dados pessoais no âmbito da SUREM deve observar o exercício de suas competências e atribuições legais, fornecendo ao titular informações claras e precisas sobre a finalidade, a previsão legal, as formas de execução e o prazo de armazenamento.

Parágrafo único. Será dispensado o consentimento do titular para o atendimento às finalidades previstas no caput, observado o disposto no inciso II do artigo 11 da Lei Federal n° 13.709, de 2018.

Art. 7° Os dados pessoais e dados pessoais sensíveis constantes em atos ou publicações oficiais, quando, por sua natureza, necessitem de divulgação, deverão ser publicizados, observada a seguinte forma:

I – informações pessoais devem ficar descaracterizadas, conforme detalhamento a seguir:

a) CPF: (***.000-**); e

b) título eleitoral: (****.0000.0000).

c) endereço residencial da pessoa física: (Logradouro, no****** e Bairro **************, Cidade XXXXXXX, Estado XX);

d) dado anonimizado: (***************), inclusive informação acobertada por sigilo fiscal nos termos do Art. 97 do CTN;

II – documentos físicos ou eletrônicos que necessitem da menção integral de dados pessoais ou dados pessoais sensíveis ou que não tenha sido aplicado o tratamento contido no inciso I deste Artigo, deverão ter acesso limitado, cuja visibilidade na inserção no Sistema Eletrônico de Controle das Transações Vinculadas a Processos e Documentos (e-TCDF - e-PMPV) deverá ser em modo “Restrito”;

III – a utilização de dados pessoais somente será adotada mediante fornecimento de consentimento pelo titular, por escrito ou outro que demonstre a manifestação da sua vontade, com cláusula destacada e finalidade determinada e sem vícios de consentimento, quando do uso consentido de dados por terceiros, salvo nos casos em que pela atribuição legal, seja utilizado em documento em modo “Restrito”, nos termos do Parágrafo único do Art. 6° desta Resolução.

Parágrafo único. Os atos ou documentos em que não tenham sido aplicada a descaracterização de que trata o inciso I do caput deste Artigo, deverão ser tratados para fins de publicação, visando sua conformidade com o disposto nesta Resolução.

Art. 8° Os dados pessoais tratados pela SUREM devem ser:

I – protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações, bem como definição de permissões de acesso aos dados pessoais por competência legal do servidor com login aos sistemas, portais ou publicações oficiais geridos pela SUREM;

II – mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva ou, quando coletado mediante consentimento do titular, pela solicitação de remoção;

III – compartilhados somente para o exercício das competências e atribuições legais ou para atendimento de políticas públicas aplicáveis;

IV – eliminados quando não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.

Art. 9° Os servidores da SUREM, incluindo os comissionados e estagiários, poderão ter acesso a dados pessoais, respeitadas as suas atribuições legais e regulamentares e a finalidade para a qual o dado foi colhido.

Art. 10. A unidade Setorial que inserir documentos que contenham dados pessoais e dados pessoais sensíveis no Sistema Eletrônico de Controle das Transações Vinculadas a Processos e Documentos (e-TCDF - e-PMPV), fica responsável por promover a referida restrição.

Parágrafo único. Quando verificada a ausência de restrição em documento que contenha dados pessoais e dados pessoais sensíveis conforme inciso II do Art. 7° desta Resolução, a unidade que identificar fica obrigada a noticiar ao setor de origem para que promova o devido saneamento.

Seção II

Dos Deveres para uso Adequado de Dados Pessoais

Art. 11. São deveres dos agentes de que trata o Art. 2° desta Resolução:

I – não disponibilizar nem garantir acesso aos dados pessoais mantidos SUREM para quaisquer pessoas não autorizadas ou competentes de acordo com as normas legais, regulamentares e internas da SEMFAZ;

II – cumprir as normas, recomendações, orientações de segurança da informação e prevenção de incidentes de segurança da informação publicadas pela SUREM.

Art. 12. São práticas vedadas aos agentes de que trata este Capítulo:

I – operação de tratamento de dados pessoais realizada sem base legal que a justifique;

II – operação de tratamento de dados pessoais que ultrapasse as atribuições regulamentares ou contratuais do agente de tratamento;

III – operação de tratamento de dados pessoais que seja realizada em desconformidade com orientações de segurança da informação da SUREM;

IV – eliminação ou destruição não autorizada pela SUREM de dados pessoais de plataformas digitais ou acervos físicos em todas as instalações da Instituição ou por ela utilizadas;

V – qualquer outra violação desta Política ou de qualquer um dos princípios de proteção de dados dispostos no art. 6° da LGPD.

Seção III

Dos Prazos de Conservação dos Dados Pessoais

Art. 13. Sem prejuízo de disposições legais em contrário, os dados pessoais serão conservados pelo período mínimo necessário para alcançar a finalidade que motivou o seu tratamento em cada caso.

Art. 14. Nas hipóteses em que o tratamento de dados for efetivado com base em um pedido de consentimento, os dados serão mantidos de acordo com as condições nele especificadas.

Art. 15. Os prazos de manutenção dos dados pessoais relativos aos Cadastros Fiscais e à dívida ativa deverão estar alinhados àqueles que forem definidos ou praticados pela Secretaria de Municipal de Fazenda e a Procuradoria Geral do Município, dentro do âmbito de suas atribuições.

Art. 16. Os prazos de manutenção dos dados pessoais relativos a processos judiciais observarão àqueles definidos ou praticados pelo Poder Judiciário.

Seção IV

Do Uso e Trânsito de Documentos Físicos

Art. 17. Os documentos físicos que contenham dados pessoais e que estiverem dentro das sedes da SUREM deverão ser armazenados em um local com segurança física de acesso.

Parágrafo único. Os documentos físicos serão deslocados com a devida segurança, atendendo aos objetivos finalísticos dos órgãos.

Seção V

Do Uso de Mídias, Dispositivos Móveis e Aplicativos

Art. 18. O uso de mídias ou dispositivos móveis por servidores para armazenamento de documentos ou arquivos com dados pessoais deverá ser acompanhado das medidas de segurança previstas em norma complementar específica, devendo-se evitar, quando possível, a utilização deste meio, por meio de vedação permissões de acesso para a geração de arquivos digitais que contenha dados pessoais quando o servidor não possua competência legal para utilização dos respectivos dados.

Art. 19. Os recursos de tecnologia disponibilizados pela SUREM para o exercício de atividades profissionais, como e-mail corporativo, ambiente de servidores, aplicações, acesso à internet, recursos de impressão, devem ser utilizados única e exclusivamente para os fins do serviço público, sendo que qualquer uso fora deste escopo, inclusive para fins pessoais, é de exclusiva responsabilidade do usuário, desobrigando a SUREM de qualquer ônus referente à proteção ou privacidade destes dados.

Seção VI

Do Compartilhamento de Dados

Art. 20. É permitido o compartilhamento de dados pessoais entre órgãos e entidades do Município, desde que atenda a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6° da Lei n° 13.709/2018.

Art. 21. Excepcionalmente, poderão ter acesso aos dados pessoais controlados pela SUREM:

I – autoridades de fiscalização e investigação;

II – autoridades judiciais.

CAPÍTULO III

DAS DISPOSIÇÕES FINAIS

Art. 22. Na coleta, tratamento e divulgação de dados pessoais no âmbito da SUREM deverão ser observados ainda às normas de adequação expedidas pela Autoridade Nacional de Proteção de Dados (ANPD).

Art. 23. Os dados pessoais a serem descaracterizados seguiram o contido no Detalhamento de  Conformidade de Dados Pessoais contidos no Anexo Único desta Resolução.

Art. 24. Esta Resolução entra em vigor na data de sua publicação, revogando-se as disposições em contrário.

JOÃO ALTAIR CAETANO DOS SANTOS

Secretário Municipal de Fazenda

MARIA SANDRA BANDEIRA

Subsecretária da Receita Municipal

ANEXO ÚNICO

DETALHAMENTO DE CONFORMIDADE DE DADOS PESSOAIS

*Visibilidade “Restrito” nos casos do inciso II do Art. 7° desta Resolução.

**Quando a intimação for realizada em publicação na imprensa oficial.