A Prefeitura de Vitória da Conquista publicou, no Diário Oficial desta quinta-feira (16), o Decreto nº 23.197 que regulamenta a aplicação e implementação da Lei Federal nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito da Administração Direta e Indireta do Poder Executivo Municipal.

O decreto reconhece que a Lei Federal nº 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais, estabelece as normas gerais de interesse nacional a serem seguidas pela União, Estados, Distrito Federal e Municípios no que diz respeito à proteção de dados. Além disso, destaca a importância da regulamentação das normas específicas e dos procedimentos da LGPD, bem como a necessidade de estabelecer diretrizes para a proteção de dados no âmbito municipal.

Reconhece ainda que a proteção dos dados pessoais é um direito fundamental e ressalta a importância de fornecer ao Poder Executivo os instrumentos necessários para garantir a conformidade com a legislação vigente, especialmente diante do aumento do uso da internet e de modelos computacionais para o acesso e processamento de dados fornecidos pelos órgãos e entidades da Administração Direta e Indireta do município de Vitória da Conquista.

O decreto regulamenta a aplicação da LGPD, a fim de tutelar o direito fundamental à proteção dos dados pessoais no âmbito da Administração Pública, estabelecendo competências, diretrizes, procedimentos gerais e providências correlatas a serem observados por seus órgãos e entidades componentes, a fim de garantir a proteção de dados pessoais. Portanto, o decreto considera: dado pessoal, dado pessoal sensível, banco de dados, titular, Comissão Permanente de Monitoramento e Acompanhamento, controlador, operador, encarregado, agentes de tratamento, tratamento, consentimento, plano de adequação, anonimização e sigilo.

Desta forma, o Poder Executivo Municipal, por meio de suas secretarias, deve realizar e manter continuamente atualizados: o mapeamento de processos e dos fluxos de dados pessoais existentes em suas unidades organizacionais; a análise de risco e gestão de riscos no tratamento de dados pessoais; o plano de adequação, observadas as exigências do artigo 13 deste Decreto; o relatório de impacto à proteção de dados pessoais, quando solicitado.

Ao secretário Municipal de Transparência, Controle e Prevenção à Corrupção ficam estabelecidos as atribuições de controlador. O Ouvidor-Geral do Município fica designado como encarregado. A identidade e as informações de contato oficiais do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, no Portal da Transparência, em seção específica sobre tratamento de dados pessoais. O controlador e o encarregado estão vinculados à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a LGPD.

Cabe ao controlador editar diretrizes para a elaboração dos planos de adequação, determinar a órgãos da Administração Pública Direta a realização de estudos técnicos, submeter à Comissão Permanente de Monitoramento e Acompanhamento, sempre que julgar necessário. Também deve decidir sobre as sugestões formuladas pela autoridade nacional a respeito da adoção de padrões e de boas práticas para o tratamento de dados pessoais, providenciar a publicação dos relatórios de impacto à proteção de dados pessoais e recomendar a elaboração de planos de adequação relativos à proteção de dados pessoais ao encarregado das entidades integrantes da Administração indireta, informando eventual ausência à Secretaria responsável pelo controle da entidade, para as providências pertinentes.

O encarregado pelo tratamento e proteção dos dados pessoais é responsável por receber reclamações e comunicações dos titulares, prestar esclarecimentos e tomar medidas necessárias. Ele também recebe comunicações da Autoridade Nacional de Proteção de Dados e orienta os servidores sobre as práticas de proteção de dados. Em casos de violação da LGPD, ele encaminha as medidas cabíveis ao órgão municipal responsável, avalia as justificativas apresentadas e adota as providências determinadas pela autoridade nacional. Além disso, ele pode requisitar informações das Secretarias para compilar relatórios e executar outras atribuições definidas em normas complementares.

Os Secretários, Diretores e Coordenadores municipais devem cumprir as decisões e recomendações do Secretário Municipal de Transparência, Controle e Prevenção à Corrupção, agindo conforme as atribuições do controlador. Eles devem responder às solicitações do controlador e do encarregado, seja para resolver possíveis violações da LGPD ou para fornecer justificativas pertinentes. Também são responsáveis por repassar ao encarregado informações sobre o tratamento de dados pessoais solicitadas pela autoridade nacional, além de relatórios de impacto à proteção de dados ou informações necessárias para sua elaboração. É fundamental garantir que o controlador e o encarregado sejam informados de forma adequada e tempestiva sobre todas as questões relacionadas à proteção de dados pessoais dentro do âmbito do Poder Executivo Municipal.

A Secretaria Municipal de Gestão e Inovação (SEMGI), por meio de sua Coordenação de Tecnologia da Informação deve oferecer os subsídios técnicos necessários à edição das diretrizes pelo Secretário Municipal de Transparência, Controle e Prevenção à Corrupção para a elaboração dos planos de adequação. Também devem orientar, sob o ponto de vista tecnológico, as Secretarias na implantação dos respectivos planos de adequação. E elaborar diretrizes e procedimentos técnicos de segurança que visem ao armazenamento seguro e descentralizado dos dados e informações. Além disso, cabe a SEMGI, disseminar e prover conteúdos informativos que visem orientar os órgãos e entidades do Poder Executivo Municipal referente às técnicas necessárias a garantir a segurança e integridade dos dados coletados e informações geradas por meios físicos e tecnológicos.

A Comissão Municipal de Acesso à Informação (CMAI) é composta pelo Secretário Municipal de Transparência, Controle e Prevenção à Corrupção – que a presidirá, Chefe do Gabinete Civil e Procurador-Geral do Município. Compete à Comissão deliberar sobre proposta de diretrizes para elaboração dos planos de adequação e deliberar sobre qualquer assunto relacionado à aplicação da LGPD e do Decreto pelos órgãos do Poder Executivo.

Cabe às entidades da Administração indireta observar, no âmbito da sua respectiva autonomia, as exigências da LGPD, observando a designação de um encarregado de proteção de dados pessoais, cuja identidade e informações de contato devem ser divulgadas publicamente, de forma clara e objetiva. Como também, a elaboração e manutenção de um plano de adequação.

Os planos de adequação têm como objetivos desenvolver tecnologias e processos para garantir os direitos dos titulares de dados pessoais, além de promover capacitação sobre privacidade e proteção de dados pessoais para a equipe técnica do órgão. Também visam assegurar a segurança da informação dos dados pessoais tratados pelo município, incluindo a realização de inventário e a adoção de controles adequados. Além disso, buscam adequar os processos e serviços seguindo boas práticas de minimização da exposição de dados pessoais, privacidade por padrão e desde a concepção, bem como produzir relatórios de Impacto e Proteção de Dados Pessoais e estabelecer processos de comunicação de incidentes de segurança ou vazamentos de dados.

O atendimento ao titular do dado será formalizado nos canais eletrônicos e na Ouvidoria-Geral do Município, sendo direcionado a cada órgão competente. Os canais devem fornecer funções de registro e gerenciamento para acompanhar o atendimento. O atendimento presencial pode ser realizado na entidade onde os dados estão armazenados, desde que haja verificação de documentos oficiais e infraestrutura adequada. Em caso de titular incapaz, o atendente deve verificar a certidão de nascimento ou documento de identidade, além do documento de identidade de um dos pais ou responsável legal.

As secretarias devem comprovar ao secretário Municipal de Transparência, Controle e Prevenção à Corrupção, o cumprimento das exigências do controlador. As entidades da Administração Indireta devem apresentar seus planos de adequação à LGPD em até 180 dias após a publicação do decreto nº 23.197, podendo ser prorrogado mediante justificativa. O secretário pode definir normas complementares por meio de Portaria, e os casos omissos serão resolvidos conforme estabelecido na LGPD ou legislação similar.