DECRETO Nº 39, DE 13 DE JUlhO DE 2023

REGULAMENTA A APLICAÇÃO DA LEI FEDERAL Nº 13.709, DE 14 DE AGOSTO DE 2018 – LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) – NO ÂMBITO DA ADMINISTRAÇÃO PÚBLICA MUNICIPAL E DÁ OUTRAS PROVIDÊNCIAS.

O PREFEITO MUNICIPAL DE PRESIDENTE KENNEDY, ESTADO DO ESPÍRITO SANTO, usando das atribuições legais, que lhe são conferidas pelo disposto no inciso VI do artigo 67 da Lei Orgânica do Município;

CONSIDERANDO o advento e a entrada em vigor da Lei nº 13.709, de 14 de agosto de 2018, que passou a disciplinar a Lei Geral de Proteção de Dados Pessoais (LGPD);

CONSIDERANDO que o parágrafo único do art. 1º da Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece que as normas gerais de proteção contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios;

CONSIDERANDO que é assegurada a toda pessoa natural a titularidade de seus dados pessoais e garantidos os diretos fundamentais de liberdade, de intimidade e de privacidade, nos ternos do art. 17 da LGPD; Decreta

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Este Decreto regulamenta a Lei Federal n° 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito da Administração Pública Municipal direta e indireta, estabelecendo diretrizes, competências, providências e procedimentos a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais.

Art. 2º A Prefeitura Municipal de Presidente Kennedy, no âmbito de suas competências, exerce funções e obrigações típicas de controlador de dados pessoais, atuando como operador dos dados pessoais, diretamente ou mediante contratação de pessoa jurídica, nos termos do art. 5º, VI, VII e IX, da LGPD.

Art. 3° Para os fins deste decreto, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - controlador: pessoal natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVII - plano de adequação: plano multidisciplinar do Poder Executivo Municipal que visa garantir que a administração pública esteja em compliance com a LGPD, para que todos os dados pessoais sejam tratados com segurança e privacidade, impedindo sua alteração, perda, acesso ou exposição indevidas;

XVIII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

XX - colaborador: prestador de serviço terceirizado ou qualquer pessoa física ou jurídica com vínculo transitório com o TCEES e que tenha acesso, de forma autorizada, a seus bancos de dados ou às suas dependências;

XXI – análise de risco: consiste em aprofundar o nível de compreensão em relação à natureza dos riscos, bem como o nível do impacto, visando a adoção de medidas de mitigação de risco, que fortalecem e tornam mais segura a possibilidade de divulgação dos dados pessoais.

Art. 4° As atividades de tratamento de dados pessoais pelos órgãos e entidades municipais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

CAPÍTULO II

DAS RESPONSABILIDADES

Seção I

Da Responsabilidade da Administração Pública Direta

Art. 5° O Poder Executivo Municipal, por meio de suas Secretarias, nos termos da Lei Federal n° 13.709, de 2018, deve realizar e manter continuamente atualizados:

I - o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;

II - o plano de adequação, observadas as exigências do art.11 deste decreto;

III - o relatório de impacto à proteção de dados pessoais, quando solicitado.

Parágrafo único. Para fins do inciso Il do "caput" deste artigo, as Secretarias devem observar as diretrizes editadas pelo Encarregado de Proteção de Dados, após deliberação favorável da Comissão Municipal de Proteção de Dados (CMPD).

Seção II

Da Responsabilidade na Administração Púbica Municipal Indireta

Art. 6º Cabe ás entidades da Administração Indireta observar, no âmbito da sua respectiva autonomia, as exigências da Lei Federal n° 13.709, de 2018, observada, no mínimo:

I - a designação de um encarregado de proteção de dados pessoais, nos termos do art. 41 da Lei Federal n° 13.709, de 2018, cuja identidade e informações de contato devem ser divulgadas publicamente, de forma clara e objetiva;

II - a elaboração e manutenção de um plano de adequação, nos termos do art. 5°, inc. II, e parágrafo único deste decreto.

CAPÍTULO III

DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA MUNICIPAL

Art. 7º O tratamento de dados pessoais pelos órgãos e entidades da Administração Pública Municipal deve:

I - objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;

II - observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução, em consonância ao disposto no art. 11, inciso I.

Art. 8º Os órgãos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades especificas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no art. 6° da Lei Federal n° 13.709, de 2018.

Art. 9º É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim especifico e determinado, observado o disposto na Lei Federal n° 12.527, de 2011;

II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal n° 13.709, de 2018;

III - quando houver previsão legal ou a transferência for respaldada, por meio de cláusula especifica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao encarregado para comunicação autoridade nacional de proteção de dados;

IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

Parágrafo único. Em quaisquer das hipóteses previstas neste artigo, a transferência de dados dependerá de autorização especifica conferida pelo órgão municipal à entidade privada, bem como, as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão municipal.

Art. 10 Os órgãos da Administração Pública Municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:

I - o encarregado da proteção de dados informe a Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;

II - seja obtido o consentimento do titular, salvo:

a) nas hipóteses de dispensa de consentimento previstas na Lei Federal n° 13.709, de 2018;

b) nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do art. 7º, inciso II deste decreto;

c) nas hipóteses do art. 8º deste decreto.

Parágrafo único. Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e os órgãos e entidades municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.

Seção I

Dos Planos de Adequação

Art. 11 Os planos de adequação devem observar, no mínimo, o seguinte:

I - publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos na internet, bem como no Portal da Transparência;

II - atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23, § 10, e do art. 27, parágrafo único da Lei Federal n° 13.709, de 2018;

III - manutenção de dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas execução de políticas públicas, à prestação de serviços públicos, descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral

CAPÍTULO IV

DA ESTRUTURA

Art. 12 A estrutura necessária para a implantação e operacionalização da Lei Geral de Proteção de Dados no Município obrigatoriamente conterá indicação de:

I – Um Encarregado Geral de Proteção de Dados do Município, a ser indicado por ato do Chefe do Poder Executivo;

II – Encarregado Setoriais de Proteção de Dados que serão indicados formalmente pelas Secretarias Municipais;

III – Comissão Municipal de Proteção de Dados Pessoais (CMPD) composta por representares, titulares e suplentes, indicados formalmente pelo Chefe do Poder Executivo.

Parágrafo único. A indicação dos Encarregados Setoriais de Proteção de Dados será feita por meio de oficio encaminhado pelos titulares das Secretarias Municipais ao Encarregado Geral de Proteção de Dados do Município e a designação será efetivada por portaria assinada pelo Chefe do Poder Executivo.

Seção I

Do Encarregado pelo Tratamento de Dados Pessoais

Art. 13 O Encarregado Geral de Proteção de Dados Pessoais (Data Protection Officer - DPO), será designado pelo Chefe do Poder Executivo por meio de portaria, para os fins do art. 41 da Lei Federal n° 13.709, de 2018.

Parágrafo único. A identidade e as informações de contato do encarregado geral devem ser divulgadas publicamente, de forma clara e objetiva, no Portal da Transparência, em seção especifica sobre tratamento de dados pessoais.

Art. 14 São atribuições do Encarregado Geral de Proteção de Dados Pessoais:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os servidores e os contratados da Administração Pública Direta a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV - submeter à Comissão Municipal de Proteção de Dados (CMPD) sempre que julgar necessário, matérias atinentes a este decreto;

V - encaminhar as sugestões formuladas pela autoridade nacional a respeito da adoção de padrões e de boas práticas para o tratamento de dados pessoais, nos termos do art. 32 da Lei Federal n° 13.709, de 2018;

VI - providenciar a publicação dos relatórios de impacto à proteção de dados pessoais previstos pelo art. 32 da Lei Federal n° 13.709, de 2018;

VII - recomendar a elaboração de planos de adequação relativos à proteção de dados pessoais ao encarregado dos demais órgãos integrantes da Administração, informando eventual ausência à Secretaria responsável pelo controle, para as providências pertinentes;

VIII – comunicar a Autoridade Nacional de Proteção de Dados (ANPD) a transferência de dados pessoais a entidades privadas, sempre que informada pelos responsáveis de cada órgão ou entidade, desde que prevista em lei ou respaldada em contratos, convênios ou outros ajustes, observadas as condições previstas no artigo 10 deste decreto;

IX – informar a Autoridade Nacional de Proteção de Dados (ANPD) a comunicação ou uso compartilhado de dados pessoais de pessoas naturais ou jurídicas de direito privado;

X – encaminhar ao Chefe do Poder Executivo as indicações dos Encarregados Setoriais de Proteção de Dados, recebidas na forma do artigo 5º deste decreto;

XI - providenciar, em caso de recebimento de informe da autoridade nacional com medidas cabíveis para fazer cessar uma afirmada violação à Lei Federal n° 13.709, de 2018, nos termos do art. 31 daquela lei, o encaminhamento ao órgão municipal responsável pelo tratamento de dados pessoais, fixando prazo para atendimento à solicitação ou apresentação das justificativas pertinentes;

XII - avaliar as justificativas apresentadas nos termos do inciso XI deste artigo, para o fim de:

a) caso avalie ter havido a violação, determinar a adoção das medidas solicitadas pela autoridade nacional;

b) caso avalie não ter havido a violação, apresentar as justificativas pertinentes à autoridade nacional, segundo o procedimento cabível;

XIII - executar as demais atribuições estabelecidas em normas complementares.

§ 1° O Encarregado Geral de Proteção de Dados Pessoais terá os recursos operacionais e financeiros necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como, acesso motivado a todas as operações de tratamento.

§ 2° O Encarregado Geral de Proteção de Dados Pessoais está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal n° 13.709, de 2018, com a Lei Federal n°12.527 de 2011, e com a Lei Municipal n° 1.082, de 2013.

§ 3º Quando em atendimento ao disposto no inciso VI deste artigo, o encarregado deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Seção II

Dos Encarregados Setoriais

Art. 15 Compete aos Encarregados Setoriais:

I – elaborar o Plano de Adequação com o descritivo dos procedimentos, processos e modelos de documentação específicas e medidas que serão realizadas para adequar o órgão ou entidade por ele representado à Lei Geral de Proteção de Dados;

II – implementar a adequação de seus órgãos e/ou entidades à LDPG, com base no Plano de Adequação elaborado na forma do inciso I do caput deste artigo;

III - dar cumprimento, no âmbito dos respectivos órgãos, às ordens e recomendações do encarregado de proteção de dados pessoais;

IV - atender às solicitações encaminhadas pelo encarregado geral da proteção de dados no sentido de fazer cessar uma afirmada violação à Lei Federal n° 13.709, de 2018, ou apresentar as justificativas pertinentes;

V - encaminhar ao encarregado geral, no prazo por este fixado:

a) informações sobre o tratamento de dados pessoais que venham a ser solicitadas pela autoridade nacional, nos termos do art. 29 da Lei Federal n° 13.709, de 2018;

b) relatórios de impacto à proteção de dados pessoais, ou informações necessárias à elaboração de tais relatórios, nos termos do art. 32 da Lei Federal n° 13.709, de 2018.

VI - assegurar que o encarregado geral da proteção de dados seja informado, de forma adequada e em tempo útil, de todas as questões relacionadas com a proteção de dados pessoais no âmbito do Poder Executivo Municipal.

Seção III

Da Comissão Municipal de Proteção de Dados

Art. 16 Cabe à Comissão Municipal de Proteção de Dados (CMPD), por solicitação do encarregado da proteção de dados:

I – oferecer subsídios necessários, e deliberar sobre proposta de diretrizes para elaboração dos planos de adequação, nos termos do art. 4°, parágrafo único deste decreto;

II – orientar as Secretarias e seus Encarregados Setoriais na implantação dos respectivos planos de adequação;

III - deliberar sobre qualquer assunto relacionado à aplicação da Lei Federal n° 13.709, de 2018, e do presente decreto pelos órgãos do Poder Executivo.

Seção IV

Da Divisão de Tecnologia da Informação

Art. 17 Cabe a Divisão de Tecnologia da Informação:

I - oferecer os subsídios técnicos necessários à edição das diretrizes pelo encarregado da proteção de dados, para a elaboração dos planos de adequação;

II - orientar, sob o ponto de vista tecnológico, as Secretarias na implantação dos respectivos planos de adequação.

CAPÍTULO V

DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS

Seção I

Do Controlador e do Operador

Art. 18 O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legitimo interesse.

Art. 19 A Autoridade Nacional de Proteção de Dados (ANPD) poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Art. 20 O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

CAPÍTULO VI

DO DIREITO DO TITULAR PERANTE A ADMINISTRAÇÃO PÚBLICA MUNICIPAL

Art. 21 Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da Lei nº 13.709, de 2018.

Art. 22 O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX - revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.

CAPÍTULO VII

DO RELATÓRIO DE IMPACTO DE PROTEÇÃO DE DADOS PESSOAIS

Art. 23 O Relatório de Impacto de Proteção de Dados Pessoais conterá, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise das medidas, salvaguardas e mecanismos de mitigação de riscos adotados e será elaborado:

I – preliminarmente, pela Comissão Municipal de Proteção de Dados (CMPD), em prazo a ser definido em ato do Chefe do Poder Executivo;

II – pelos Encarregados Setoriais, em prazo fixado pelo Encarregado Geral, nos termos do art. 15, inciso V, alínea b;

III – pelo Controlador, quando determinado pela ANPD, nos termos do art. 19 deste Regulamento.

Art. 24 Além do disposto no artigo anterior, o Relatório de Impacto de Proteção de Dados Pessoais poderá ser atualizado sempre que se identificar a possibilidade de ocorrência de impacto na privacidade dos dados pessoais, em especial, quando resultante de:

I - nova tecnologia, serviço ou outra iniciativa em que os dados pessoais sejam ou devam ser tratados;

II - processamento de dados pessoais para tomada de decisões automatizadas que surtam efeitos legais, incluídas decisões destinadas a definir perfil, pessoal ou profissional, e aspectos da personalidade;

III - tratamento de dados pessoais de crianças e adolescentes e dados sensíveis;

IV - tratamento de dados pessoais de que possa resultar dano patrimonial, moral, individual ou coletivo aos titulares, se houver vazamento;

V - nova forma de tratamento de dados pessoais por interesse legítimo;

VI - alterações em leis e regulamentos aplicáveis à privacidade, política e normas, em operações de sistema de informações, propósitos e meios de tratamento de dados pessoais e em fluxos de dados; e

VII - reformas administrativas que impliquem nova estrutura organizacional resultante da incorporação, fusão ou cisão de unidades e que tenham impacto potencial na proteção de dados.

Art. 25 Deverão constar do Relatório de Impacto de Proteção de Dados Pessoais:

I - identificação do encarregado, registrando os canais de comunicação;

II - indicação da necessidade de elaboração do relatório;

III - descrição do(s) tratamento(s) de dados pessoais, contendo:

a) natureza, com indicação de como o tratamento é ou será realizado, da fonte, fases, tecnologia ou método de tratamento aplicado e medidas de segurança adotadas;

b) escopo, indicando-se o(s) tipo(s) de dados pessoais tratados e a abrangência do tratamento (volume de dados, número de titulares, extensão, frequência, período de retenção e área geográfica);

c) contexto, incluindo fatores internos e externos que podem impactar no tratamento e afetar as expectativas dos titulares e parâmetros que demonstrem o equilíbrio entre o interesse e a necessidade da Administração Pública Municipal em tratar os dados pessoais e os direitos dos titulares;

d) finalidade, entendida como razão ou motivo pelo qual o tratamento é realizado; e

e) ciclo de vida do tratamento (coleta, retenção, processamento, compartilhamento e eliminação).

IV - identificação das partes interessadas consultadas, como gestores, especialistas e consultores, ou descrição do motivo pelo qual não é feito esse registro;

V - descrição da necessidade e proporcionalidade do tratamento dos dados pessoais, indicando a fundamentação legal autorizativa, garantias da qualidade (exatidão, clareza, relevância e atualização dos dados) e da proteção dos dados e medidas assecuratórias dos direitos dos titulares;

VI - identificação dos riscos;

VII - indicação de medidas para tratamento de risco; e

VIII - aprovação do relatório mediante a assinatura do(s) responsável(is) pela elaboração, pelo encarregado e pelo Chefe do Poder Executivo.

Art. 26 Conforme o caso, o RIPD poderá ser elaborado em documento único, abrangendo todas as operações de tratamento de dados pessoais envolvidas no escopo, ou de maneira segregada, para cada projeto, sistema ou serviço, de acordo com os processos internos de trabalho.

CAPÍTULO VIII

DAS DISPOSIÇÕES FINAIS

Art. 27 As Secretarias, através de seus Encarregados Setoriais, deverão comprovar ao encarregado geral de proteção de dados estar em conformidade com o disposto no art. 4° deste decreto no prazo de 120 (cento e vinte dias) dias a contar da sua publicação.

Art. 28 As entidades da Administração Indireta deverão apresentar ao encarregado geral da proteção de dados, no prazo de 90 (noventa) dias, o respectivo plano de adequação às exigências da Lei Federal n° 13.709, de 2018.

Art. 29Este Decreto entrará em vigor na data de sua publicação.

Presidente Kennedy, em 13 de julho de 2023.

DORLEI FONTÃO DA CRUZ

PREFEITO MUNICIPAL

Este texto não substitui o original publicado e arquivado na Prefeitura Municipal de Presidente Kennedy.

ANEXO I

Modelo de Termo de Consentimento para Tratamento de Dados Pessoais

Através do presente instrumento, eu ___________________________________, inscrito (a) no CPF nº _______________, aqui denominado(a) como TITULAR, venho por meio deste, autorizar que a Prefeitura Municipal de Presidente Kennedy/ES, aqui denominada CONTROLADORA, inscrita no CNPJ nº _____________________, em razão de _________________________________ (descrever a finalidade de forma detalhada, em observância ao § 4º, art. 8º, da Lei), disponha dos meus dados pessoais e dados pessoais sensíveis, de acordo com os artigos 7º, inciso I, e , inciso I, da Lei nº 13.709/2018, sendo o referido consentimento dispensável nas outras hipóteses previstas na Lei Geral de Proteção de Dados (LGPD).

Presidente Kennedy/ES, ___, ________________ de ____.

___________________________________________

Assinatura do Titular dos Dados

ANEXO II

Modelo de Revogação do Consentimento do Titular de Dados

Através do presente instrumento, eu ___________________________________, inscrito (a) no CPF nº _______________, aqui denominado(a) como TITULAR, venho por meio deste, solicitar a revogação do consentimento que autorizada a Prefeitura Municipal de Presidente Kennedy/ES, denominada CONTROLADORA, a dispor dos meus dados pessoais e dados pessoais sensíveis.

Presidente Kennedy/ES, ___, ________________ de ____.

___________________________________________

Assinatura do Titular dos Dados

ANEXO III

Modelo de Consentimento para Comunicação ou o Uso Compartilhado de Dados Pessoais à Pessoa de Direito Privado

Através do presente instrumento, eu ___________________________________, inscrito (a) no CPF nº _______________, aqui denominado(a) como TITULAR, venho por meio deste, autorizar que a Prefeitura Municipal de Presidente Kennedy/ES, aqui denominada CONTROLADORA, compartilhe meus dados pessoas à Pessoa de Direito Privado, para a finalidade específica de ___________________________________________________________________________________________________________________________________________________________________________________________________.

Presidente Kennedy/ES, ___, ________________ de ____.

___________________________________________

Assinatura do Titular dos Dados

ANEXO IV

Modelo de Portaria para Designação do Encarregado

Portaria nº XX, de XX de XXXXXXXXXX de 20XX.

Designar o Encarregado Geral para Proteção de Dados Pessoais no Município de Presidente Kennedy/ES.

O PREFEITO MUNICIPAL DE PRESIDENTE KENNEDY, no uso de suas atribuições legais e regulamentares e,

CONSIDERANDO a Lei Federal nº 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD), alterada pela Lei Federal nº 13.853, de 08 de julho de 2019, e demais legislações pertinentes e complementares;

CONSIDERANDO o Decreto nº XX, de XX de XXXXXX de 20XX, que dispõe sobre a designação de encarregado geral para proteção de dados pessoais no Município de Presidente Kennedy; Resolve:

Art. 1º Designar o servidor, XXXXXXXXXXXXXXXXXXXXXX, ocupante do cargo de XXXXXX, para atuar como Encarregado Geral de Proteção de Dados Pessoais, no Município de Presidente Kennedy/ES.

Art. 2° O Encarregado Geral de Proteção de Dados Pessoais desempenhará suas atividades sem prejuízo das atribuições pertinente ao seu cargo e função.

Art. 3° Compete ao Encarregado Geral de Proteção de Dados Pessoais: