DECRETO Nº 29.075, DE 12 DE ABRIL DE 2024
(Institui a Política Geral de Proteção de Dados Pessoais no âmbito do Poder Executivo Municipal de Sorocaba).
RODRIGO MAGANHATO, Prefeito de Sorocaba, no uso das atribuições que lhe são conferidas pela Lei Orgânica do Município;
CONSIDERANDO o direito constitucional à proteção dos dados pessoais, as disposições da Lei Federal nº 13.709, de 14 de agosto de 2018 e a necessidade de aprimoramento das normas que regem o tratamento de dados pessoais realizados no âmbito municipal, DECRETA:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Fica instituída, no âmbito do Poder Executivo Municipal de Sorocaba, esta Política Geral de Proteção de Dados Pessoais, com o objetivo de definir e divulgar as regras de tratamento de dados pessoais, em consonância com a legislação aplicável.
Art. 2º Para efeitos desta Política, consideram-se:
I – dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – tratamento: toda operação realizada com dados pessoais;
IV – agentes de tratamento: o controlador e o operador;
V – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
VI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
VII – pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo Controlador em ambiente seguro;
VIII – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
IX – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
X – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
XI – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), na qualidade de encarregado central;
XII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
XIII – suboperador: aquele que, após autorização formal e específica do controlador, é contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador;
XIV – agente público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego, função ou estágio nos órgãos ou nas entidades da administração pública municipal;
XV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XVI – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional;
XVII – aviso de privacidade: documento que contém informações sobre coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos usuários;
XVIII – termos de uso: documento que contém informações sobre as regras para utilização de sistemas ou aplicativos; e
XIX – cookies: pequenos arquivos de texto depositados pelo site servidor no computador do usuário para memorizar informações relativas à navegação.
Art. 3º Compete a todas as unidades do Poder Executivo Municipal a adoção das medidas de proteção previstas neste Decreto.
Art. 4º Aplica-se também este Decreto, no que couber, aos fornecedores de produtos, prestadores de serviços e a quaisquer outros parceiros, que tratarem dados pessoais a eles confiados pelos órgãos e entidades da administração municipal.
CAPÍTULO II
DA PRIVACIDADE E PROTEÇÃO DE DADOS
Seção I
Dos Princípios e Das Diretrizes
Art. 5º A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º, da Lei nº 13.709, de 14 de agosto de 2018:
I – finalidade;
II – adequação;
III – necessidade;
IV – livre acesso;
V – qualidade dos dados;
VI – transparência;
VII – segurança;
VIII – prevenção;
IX – não discriminação;
X – responsabilização e prestação de contas.
Art. 6º Em atendimento a suas competências legais e institucionais, os órgãos e entidades da administração municipal poderão, no estrito limite de suas atividades, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares.
Art. 7º Sempre que possível, os dados pessoais devem ser mantidos em formato interoperável e estruturado para uso compartilhado.
Art. 8º Não são considerados dados pessoais os dados anonimizados, após a perda da possibilidade de sua associação à um indivíduo.
Seção II
Do Objeto e da Finalidade
Art. 9º O tratamento de dados pessoais, inclusive dados pessoais sensíveis, pelo Poder Executivo Municipal de Sorocaba é realizado para o atendimento de sua finalidade pública, e na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
Art. 10. Poderão ser tratados dados pessoais dos agentes públicos lotados ou em exercício nos órgãos que compõem a estrutura dos órgãos e entidades do Poder Executivo Municipal para fins de organização e funcionamento das equipes, e na busca de melhorias das atividades internas.
Parágrafo único. O tratamento a que se refere o caput se restringe aos dados estritamente necessários ao atendimento do interesse dos órgãos.
Art. 11. O tratamento de dados pessoais de interessados que atuem em processo administrativo observará as finalidades para qual foi realizado, visando à proteção dos direitos dos administrados e ao melhor cumprimento dos fins da Administração.
Art. 12. Esta Política se aplica a qualquer operação de tratamento de dados pessoais realizada pelos órgãos que integram os órgãos e entidades do Poder Executivo Municipal, nos termos do art. 3º, da Lei nº 13.709, de 14 de agosto de 2018.
Art. 13. O tratamento de informações e dados contidos na documentação histórica de guarda permanente do Arquivo Nacional, em qualquer suporte, será realizado com base no inciso II, do art. 7º e na alínea “a”, do inciso II, do art. 11, da Lei nº 13.709, de 14 de agosto de 2018, e observará as disposições da Lei nº 8.159, de 8 de janeiro de 1991.
Art. 14. O disposto nesta Política não se aplica às exceções previstas na Lei Federal nº 13.709, de 14 de agosto de 2018.
Seção III
Da Transparência
Art. 15. Serão publicados nos portais eletrônicos dos órgãos e entidades do Poder Executivo Municipal, na internet, as hipóteses em que, no exercício de suas competências, realiza o tratamento de dados pessoais, inclusive de dados pessoais sensíveis, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.
Art. 16. Cada sistema e aplicativo da Prefeitura Municipal de Sorocaba que realize o tratamento de dados pessoais, inclusive de dados pessoais sensíveis, manterá aviso de privacidade próprio e termos de uso, de forma complementar à presente Política Geral.
§ 1º A conformidade dos avisos e termos poderão ser objeto de avaliação pela Coordenadoria Geral de Tratamento e Proteção de Dados Pessoais a qualquer tempo.
§ 2º Os avisos de privacidade e os termos de uso próprios de cada sistema ou aplicativo a que se refere o caput serão mantidos atualizados nos sítios oficiais na internet, em local de fácil acesso, sob responsabilidade de cada área competente.
Art. 17. Os portais dos órgãos e entidades do poder executivo municipal na internet poderão utilizar cookies para registrar e gravar, no computador do usuário, as preferências e navegações realizadas nas respectivas páginas, respeitadas as normas de proteção de dados pessoais.
Parágrafo único. Todas os portais que utilizem cookies deverão exibir mensagem de cookies, em conformidade com os padrões estabelecidos pela autoridade nacional.
Art. 18. Em observância ao princípio da transparência, quando não prejudicial à atividade do órgão, ou não oferecer riscos à integridade dos titulares dos dados, poderão ser divulgadas informações relativas ao vínculo dos agentes públicos com os órgãos e entidades da administração municipal, tais como nome completo, matrícula, cargo ou atividade exercida, lotação e local de exercício.
Seção IV
Do Tratamento de Informações Pessoais em Publicações, Contratos, Termos, Convênios e Outros Documentos
Art. 19. Todas as publicações de documentos ou informações que sejam realizadas pela administração municipal devem ser feitas mediante a pseudonimização do número do Cadastro de Pessoa Física (CPF).
Parágrafo único. A pseudonimização se dará com o mascaramento (ocultação) dos 3 (três) dígitos iniciais e os 2 (dois) dígitos finais do número do CPF.
Art. 20. Salvo exigência legal ou necessidade devidamente fundamentada, a qualificação das partes em contratos, termos, convênios, acordos, ajustes, parcerias ou documentos similares, deverá ser composta apenas pelo nome das partes e seu respectivo número do CPF, ficando a respectiva qualificação completa presentes apenas nos autos do processo administrativo.
Art. 21. Nos documentos elaborados pela administração municipal que contenham a qualificação dos agentes públicos, esta deverá ser feita mediante a substituição do número do CPF pelo número de matrícula funcional do respectivo agente.
Parágrafo único. A matrícula funcional poderá ser publicada integralmente.
Art. 22. Todos os contratos, termos, convênios, acordos, ajustes, parcerias ou documentos semelhantes, que envolvam qualquer tipo de tratamento de dado pessoal na execução de seu objeto, devem conter, no mínimo, uma cláusula específica de observância à Lei Geral de Proteção de Dados Pessoais pelas partes.
CAPÍTULO III
DOS TITULARES DE DADOS
Seção I
Dos Direitos Dos Titulares
Art. 23. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da Constituição Federal, da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI).
Seção II
Dos Requerimentos
Art. 24. As manifestações decorrentes do exercício dos direitos dos titulares de dados pessoais a que se refere a Lei nº 13.709, de 14 de agosto de 2018, serão apresentadas junto à Ouvidoria-Geral do Município.
§ 1º Os requerimentos de titulares previstos nos incisos I, II, VII e VIII, do art. 18, da Lei nº 13.709, de 14 de agosto de 2018, serão tratados nos procedimentos e prazos da Lei nº 12.527, de 18 de novembro de 2011.
§ 2º Os requerimentos de titulares previstos nos incisos III, IV, V, VI e IX, do art. 18, da Lei nº 13.709, de 14 de agosto de 2018, serão tratados nos procedimentos e prazos da Lei nº 13.460, de 26 de junho de 2017.
§ 3º A Controladoria-Geral do Município poderá estabelecer, por ato próprio, outro canal para apresentação dos requerimentos de que trata este artigo.
Art. 25. O requerimento deverá apresentar elementos capazes de identificar a pessoa do interessado ou de quem o represente, conforme disposto na normatização vigente, e exigirá a certificação de identidade, que ocorrerá:
I – virtualmente, caso por meio da apresentação de documento contendo assinatura avançada, no mínimo; ou
II – presencialmente, por meio de conferência de documento físico apresentado pelo manifestante junto à unidade de ouvidoria.
Parágrafo único. A Coordenadoria Geral de Tratamento e Proteção de Dados Pessoais definirá os procedimentos para certificação de identidade prevista no inciso I deste artigo.
Art. 26. Excepcionalmente, poderão ser adotados meios alternativos de certificação de identidade via cotejamento das informações inseridas em seu cadastro com informações disponíveis em outras fontes constantes de bases públicas.
Seção III
Da Revogação do Consentimento e Término do Tratamento Dos Dados
Art. 27. Havendo a revogação do consentimento ou o término do tratamento dos dados pessoais, estes serão mantidos armazenados nas bases e sistemas dos órgãos e entidades do poder executivo municipal pelos prazos estabelecidos nas normas que regem os arquivos públicos.
Parágrafo único. Não serão eliminados os dados pessoais presentes em sistemas eletrônicos que, por razões técnicas ou tecnológicas, não permitam a dissociação dos registros necessários à execução de políticas públicas dos dados pessoais ali armazenados.
Art. 28. Não haverá revogação do consentimento ou o término do tratamento de dados pessoais quando estes forem tratados pelo poder público municipal para execução de suas atividades e prerrogativas estatais típicas.
CAPÍTULO IV
DOS DEVERES E RESPONSABILIDADES
Seção I
Dos Agentes Públicos Municipais
Art. 29. É dever dos agentes públicos municipais de todos os órgãos da administração direta e indireta do poder executivo municipal:
I – cumprir integralmente os termos da legislação vigente, desta política e todas as normas e procedimentos que regem a proteção de dados pessoais;
II – realizar o tratamento de dados pessoais em nome do controlador utilizando o mínimo de informações para o cumprimento da finalidade pretendida;
III – manter o sigilo de todas as informações pessoais a que tenha acesso em decorrência do desempenho de sua função, observando sempre a confidencialidade, a segurança e o cuidado com os dados pessoais custodiados pelos órgãos e entidades da administração municipal;
IV – comunicar ao encarregado ou responsável, qualquer evento que viole ou coloque em risco as normas e procedimentos de proteção de dados pessoais;
V – não compartilhar informações e acessos de natureza individual com outras pessoas, tais como usuário e senha de sistemas;
VI – realizar o bloqueio de quaisquer dispositivos eletrônicos quando ausentar-se do ambiente de trabalho;
VII – não deixar disponível ou visível à terceiros, qualquer tipo de anotação, papel, lembrete ou documento que contenham dados pessoais, logins e senhas;
VIII – armazenar processos ou outros documentos institucionais que contenham dados pessoais em locais seguros que restrinjam ou limitem o risco de acesso por terceiros;
IX – abster-se de usufruir do acesso privilegiado a quaisquer dados pessoais para alcançar objetivos de ganho pessoal ou vantagens próprias;
X – responder pela inobservância das disposições deste Decreto, bem como de todas as normas e procedimentos de proteção e tratamento de dados pessoais.
Seção II
Dos Agentes de Tratamento de Dados Pessoais
Art. 30. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.
Parágrafo único. As medidas relacionadas à segurança da informação deverão atender à Política de Segurança da Informação.
Art. 31. Os Operadores deverão realizar o tratamento de dados para a finalidade previamente estabelecida e segundo as instruções fornecidas pelo Controlador.
Parágrafo único. As unidades manterão relação atualizada de Operadores e Suboperadores junto ao respectivo Ponto Focal.
Art. 32. Os órgãos e entidades da administração pública municipal poderão requisitar informações acerca dos dados pessoais confiados a seus fornecedores e prestadores de serviços terceirizados.
Seção III
Das Sanções
Art. 33. Os agentes de tratamento de dados, os agentes públicos e as pessoas dispostas no art. 4º, em razão das infrações cometidas às disposições previstas nesta Política, ficam sujeitos às sanções administrativas previstas pelo art. 52 da Lei Geral de Proteção de Dados e aplicáveis pela Autoridade Nacional de Proteção de Dados, sem prejuízo do disposto na Lei Municipal nº 3.800, de 2 de dezembro de 1991, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011 ou em demais normas nas esferas cível, administrativa ou criminal.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Art. 34. A Prefeitura Municipal de Sorocaba e as entidades da administração indireta municipal são controladores de dados pessoais, para os fins da Lei Federal nº 13.709, de 14 de agosto de 2018.
Parágrafo único. Por força de desconcentração administrativa, as Secretarias Municipais ou órgãos equiparados exercerão a função típica de controlador dos dados pessoais, inclusive dados pessoais sensíveis, tratados nos termos das suas competências legal e institucional.
Art. 35. Em caso de alteração de nomenclatura, criação ou extinção de órgão ou entidade da administração pública municipal, ficam mantidas as atribuições por aqueles órgãos e entidades que absorveram as respectivas atividades.
Art. 36. As despesas decorrentes da execução do presente Decreto correrão por conta de verba orçamentária própria.
Art. 37. Este Decreto entra em vigor na data de sua publicação.
Palácio dos Tropeiros “Dr. José Theodoro Mendes”, em 12 de abril de 2 024, 369º da Fundação de Sorocaba.
RODRIGO MAGANHATO
Prefeito de Sorocaba42