Resolução GAB/SEMFAZ nº 5 DE 25/09/2023
Norma Municipal - Porto Velho - RO - Publicado no DOM em 04 out 2023
Dispõe sobre o Programa de Privacidade de Dados Pessoais (PPDP), e a definição das diretrizes de tratamento e publicização de dados pessoais pela Secretaria Municipal de Fazenda (SEMFAZ) e dá outras providências.
O SECRETÁRIO MUNICIPAL DE FAZENDA do Município de Porto Velho, no uso das atribuições que lhe são conferidas pelo artigo 338, da Lei Complementar n° 878, de 17 de dezembro de 2021, combinado com o Art. 6° do Decreto n° 15.035, de 26 de de janeiro de 2018,
CONSIDERANDO o disposto na Lei Nacional n° 13.709, de 14 de Agosto de 2018 (Lei de Proteção de Dados Pessoais – LGPD), a qual estabelece em seu Capítulo II os requisitos para o Tratamento de Dados Pessoais, bem como o Decreto n° 18.310, de 1° de Agosto de 2022, que dispõe sobre a adoção de medidas para aplicação da Lei Federal no âmbito da Administração Pública Municipal Direta do Município;
CONSIDERANDO a necessidade de definir diretrizes visando implementar plano de adequação à LGPD ou programa de governança em privacidade, atendendo-se os requisitos mínimos do inciso I do § 2° do Art. 50 da Lei Federal n° 13.709, de 2018 (LGPD), em obediência ao Art. 6° do Decreto n° 18.310, de 1° de Agosto de 2022;
CONSIDERANDO ainda a recomendação contida no Ofício Circular n° 005/2023/DITR/DGT/CGM (e-DOC D6D5C458-c), quanto o tratamento de dados pessoais e dados pessoais sensíveis;
RESOLVE:
CAPÍTULO I
DA POLÍTICA DE PRIVACIDADE DE DADOS PESSOAIS
Seção Única
Das Diretrizes Gerais
Art. 1° O Programa de Privacidade de Dados Pessoais (PPDP) estabelece princípios, normas, diretrizes e responsabilidades que regulam o tratamento de dados pessoais, em meios físicos e digitais, no âmbito da Subsecretária da Receita Municipal (SUREM) da Secretaria Municipal de Fazenda (SEMFAZ), visando à obtenção de conformidade com a Lei Federal n° 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais ou LGPD) e com o Decreto n° 18.310, de 1° de Agosto de 2022.
§ 1° As disposições da PPDP se referem a todos os dados detidos, usados ou transmitidos pela ou em nome da SUREM, em meio físico ou digital, em qualquer tipo de mídia, inclusive sistemas de computador e dispositivos portáteis.
§ 2° Aplica-se, no que couber, as disposições desta Resolução, aos atos e documentos que contenham dados pessoais e dados pessoais sensíveis da Subsecretaria de Finanças e Contabilidade, em especial aqueles disponíveis no Portal da Transparência do Município.
Art. 2° Esta PPDP é de adoção obrigatória aos servidores subordinados à SUREM, aplicando-se ainda:
I – aos demais servidores públicos municipais que acessem os dados administrados pela SUREM;
II – a todos os terceiros, sejam eles pessoas naturais ou jurídicas, que realizem operações de tratamento de dados pessoais relacionadas de alguma forma com a SUREM;
III – aos titulares de dados pessoais ou a seu(s) representante(s) legal(is) expressamente constituído(s), cujos dados são tratados pela SUREM.
Art. 3° São diretrizes ao tratamento e publicização de dados pessoais e dados pessoais sensíveis à proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, por meio do cuidado dos dados pessoais, em conformidade à LGPD,
bem como aqueles definidos no Art. 16 do Decreto n° 18.310, de 1° de Agosto de 2022.
Art. 4° O tratamento e a publicização de dados pessoais e dados pessoais sensíveis no Sistema de Gestão Tributária, Portal de Serviços eletrônico, publicações no Diário Oficial dos Municípios do Estado de Rondônia - DOMER e demais publicações de controle realizadas pelas unidades administrativas vinculadas à SUREM, deverão observar, em observância aos princípios da finalidade, necessidade, adequação, segurança, prestação de contas e prevenção, constantes da LGPD.
Art. 5° Quando da coleta e divulgação de dados pessoais pela SUREM, deve-se coletar apenas os dados minimamente necessários para o alcance de suas finalidades, observando os seguintes critérios:
I – dispensar da coleta ou de eliminação os dados pessoais não essenciais à identificação do contribuinte e sua relação tributária;
II – limitar a divulgação àqueles dados pessoais necessários para alcançar a finalidade pretendida, observados o contexto, a finalidade e as expectativas legítimas dos titulares;
III – aplicar medidas de prevenção e segurança, a exemplo de anonimização ou pseudonimização dos dados pessoais sempre que isso não comprometa o exercício do controle social;
IV – garantir a transparência do tratamento; e
VII – garantir os direitos dos titulares.
CAPÍTULO II
DO TRATAMENTO DOS DADOS PESSOAIS
Seção I
Das Disposições Gerais
Art. 6° A coleta, tratamento e divulgação de dados pessoais no âmbito da SUREM deve observar o exercício de suas competências e atribuições legais, fornecendo ao titular informações claras e precisas sobre a finalidade, a previsão legal, as formas de execução e o prazo de armazenamento.
Parágrafo único. Será dispensado o consentimento do titular para o atendimento às finalidades previstas no caput, observado o disposto no inciso II do artigo 11 da Lei Federal n° 13.709, de 2018.
Art. 7° Os dados pessoais e dados pessoais sensíveis constantes em atos ou publicações oficiais, quando, por sua natureza, necessitem de divulgação, deverão ser publicizados, observada a seguinte forma:
I – informações pessoais devem ficar descaracterizadas, conforme detalhamento a seguir:
a) CPF: (***.000-**); e
b) título eleitoral: (****.0000.0000).
c) endereço residencial da pessoa física: (Logradouro, no****** e Bairro **************, Cidade XXXXXXX, Estado XX);
d) dado anonimizado: (***************), inclusive informação acobertada por sigilo fiscal nos termos do Art. 97 do CTN;
II – documentos físicos ou eletrônicos que necessitem da menção integral de dados pessoais ou dados pessoais sensíveis ou que não tenha sido aplicado o tratamento contido no inciso I deste Artigo, deverão ter acesso limitado, cuja visibilidade na inserção no Sistema Eletrônico de Controle das Transações Vinculadas a Processos e Documentos (e-TCDF - e-PMPV) deverá ser em modo “Restrito”;
III – a utilização de dados pessoais somente será adotada mediante fornecimento de consentimento pelo titular, por escrito ou outro que demonstre a manifestação da sua vontade, com cláusula destacada e finalidade determinada e sem vícios de consentimento, quando do uso consentido de dados por terceiros, salvo nos casos em que pela atribuição legal, seja utilizado em documento em modo “Restrito”, nos termos do Parágrafo único do Art. 6° desta Resolução.
Parágrafo único. Os atos ou documentos em que não tenham sido aplicada a descaracterização de que trata o inciso I do caput deste Artigo, deverão ser tratados para fins de publicação, visando sua conformidade com o disposto nesta Resolução.
Art. 8° Os dados pessoais tratados pela SUREM devem ser:
I – protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações, bem como definição de permissões de acesso aos dados pessoais por competência legal do servidor com login aos sistemas, portais ou publicações oficiais geridos pela SUREM;
II – mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva ou, quando coletado mediante consentimento do titular, pela solicitação de remoção;
III – compartilhados somente para o exercício das competências e atribuições legais ou para atendimento de políticas públicas aplicáveis;
IV – eliminados quando não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.
Art. 9° Os servidores da SUREM, incluindo os comissionados e estagiários, poderão ter acesso a dados pessoais, respeitadas as suas atribuições legais e regulamentares e a finalidade para a qual o dado foi colhido.
Art. 10. A unidade Setorial que inserir documentos que contenham dados pessoais e dados pessoais sensíveis no Sistema Eletrônico de Controle das Transações Vinculadas a Processos e Documentos (e-TCDF - e-PMPV), fica responsável por promover a referida restrição.
Parágrafo único. Quando verificada a ausência de restrição em documento que contenha dados pessoais e dados pessoais sensíveis conforme inciso II do Art. 7° desta Resolução, a unidade que identificar fica obrigada a noticiar ao setor de origem para que promova o devido saneamento.
Seção II
Dos Deveres para uso Adequado de Dados Pessoais
Art. 11. São deveres dos agentes de que trata o Art. 2° desta Resolução:
I – não disponibilizar nem garantir acesso aos dados pessoais mantidos SUREM para quaisquer pessoas não autorizadas ou competentes de acordo com as normas legais, regulamentares e internas da SEMFAZ;
II – cumprir as normas, recomendações, orientações de segurança da informação e prevenção de incidentes de segurança da informação publicadas pela SUREM.
Art. 12. São práticas vedadas aos agentes de que trata este Capítulo:
I – operação de tratamento de dados pessoais realizada sem base legal que a justifique;
II – operação de tratamento de dados pessoais que ultrapasse as atribuições regulamentares ou contratuais do agente de tratamento;
III – operação de tratamento de dados pessoais que seja realizada em desconformidade com orientações de segurança da informação da SUREM;
IV – eliminação ou destruição não autorizada pela SUREM de dados pessoais de plataformas digitais ou acervos físicos em todas as instalações da Instituição ou por ela utilizadas;
V – qualquer outra violação desta Política ou de qualquer um dos princípios de proteção de dados dispostos no art. 6° da LGPD.
Seção III
Dos Prazos de Conservação dos Dados Pessoais
Art. 13. Sem prejuízo de disposições legais em contrário, os dados pessoais serão conservados pelo período mínimo necessário para alcançar a finalidade que motivou o seu tratamento em cada caso.
Art. 14. Nas hipóteses em que o tratamento de dados for efetivado com base em um pedido de consentimento, os dados serão mantidos de acordo com as condições nele especificadas.
Art. 15. Os prazos de manutenção dos dados pessoais relativos aos Cadastros Fiscais e à dívida ativa deverão estar alinhados àqueles que forem definidos ou praticados pela Secretaria de Municipal de Fazenda e a Procuradoria Geral do Município, dentro do âmbito de suas atribuições.
Art. 16. Os prazos de manutenção dos dados pessoais relativos a processos judiciais observarão àqueles definidos ou praticados pelo Poder Judiciário.
Seção IV
Do Uso e Trânsito de Documentos Físicos
Art. 17. Os documentos físicos que contenham dados pessoais e que estiverem dentro das sedes da SUREM deverão ser armazenados em um local com segurança física de acesso.
Parágrafo único. Os documentos físicos serão deslocados com a devida segurança, atendendo aos objetivos finalísticos dos órgãos.
Seção V
Do Uso de Mídias, Dispositivos Móveis e Aplicativos
Art. 18. O uso de mídias ou dispositivos móveis por servidores para armazenamento de documentos ou arquivos com dados pessoais deverá ser acompanhado das medidas de segurança previstas em norma complementar específica, devendo-se evitar, quando possível, a utilização deste meio, por meio de vedação permissões de acesso para a geração de arquivos digitais que contenha dados pessoais quando o servidor não possua competência legal para utilização dos respectivos dados.
Art. 19. Os recursos de tecnologia disponibilizados pela SUREM para o exercício de atividades profissionais, como e-mail corporativo, ambiente de servidores, aplicações, acesso à internet, recursos de impressão, devem ser utilizados única e exclusivamente para os fins do serviço público, sendo que qualquer uso fora deste escopo, inclusive para fins pessoais, é de exclusiva responsabilidade do usuário, desobrigando a SUREM de qualquer ônus referente à proteção ou privacidade destes dados.
Seção VI
Do Compartilhamento de Dados
Art. 20. É permitido o compartilhamento de dados pessoais entre órgãos e entidades do Município, desde que atenda a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6° da Lei n° 13.709/2018.
Art. 21. Excepcionalmente, poderão ter acesso aos dados pessoais controlados pela SUREM:
I – autoridades de fiscalização e investigação;
II – autoridades judiciais.
CAPÍTULO III
DAS DISPOSIÇÕES FINAIS
Art. 22. Na coleta, tratamento e divulgação de dados pessoais no âmbito da SUREM deverão ser observados ainda às normas de adequação expedidas pela Autoridade Nacional de Proteção de Dados (ANPD).
Art. 23. Os dados pessoais a serem descaracterizados seguiram o contido no Detalhamento de Conformidade de Dados Pessoais contidos no Anexo Único desta Resolução.
Art. 24. Esta Resolução entra em vigor na data de sua publicação, revogando-se as disposições em contrário.
JOÃO ALTAIR CAETANO DOS SANTOS
Secretário Municipal de Fazenda
MARIA SANDRA BANDEIRA
Subsecretária da Receita Municipal
ANEXO ÚNICO
DETALHAMENTO DE CONFORMIDADE DE DADOS PESSOAIS
ATOS E DOCUMENTOS COM DADOS PESSOAIS | ||
DESCRIÇÃO | DADOS DIVULGADOS EM CONFORMIDADE À LGPD | VISIBILIDADE* |
PARECER TÉCNICO/FISCAL | ||
Isenção Tributária | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX) | Restrito |
Restituição de Tributos | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX) | Restrito |
Consulta Fiscal | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX) | Restrito |
Demais Manifestações Fiscais com dados pessoais | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX) | Restrito |
DEMAIS ATOS FISCAIS | ||
Réplica Fiscal/Contestação | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX | Restrito |
Relatório Fiscal | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX | Restrito |
Auto de Infração** | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX | Restrito |
Notificação/Intimação** | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX | Restrito |
CERTIFICADOS/CERTIDÕES/DOCUMENTOS | ||
Certificado Declaratório de Reconhecimento da Não Incidência/Isenção de Taxas do Poder de Polícia | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX | Restrito |
Certidão Negativa de Débitos (CND) | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX | Público |
Demais Certidões Informativas/Cadastrais, inclusive de Cadastro Autônomo* | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX | Público |
Nota Fiscal de Serviços emitida por Autônomo | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX | Público |
Alvará de Licença de Localização e do Funcionamento Regular de Autônomo | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX | Público |
Dados de Pessoas Físicas em Documentos Fiscais | Nome, CPF (***.000.000-**), Endereço (Logradouro, no*** e Bairro ***********, Cidade XXXXXXX, Estado XX | Público |
*Visibilidade “Restrito” nos casos do inciso II do Art. 7° desta Resolução.
**Quando a intimação for realizada em publicação na imprensa oficial.