DECRETO Nº 012, DE 27 DE MAIO DE 2025

Regulamenta a Lei Federal Nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados, no âmbito do Município de Vila Flor/RN.

 

A PREFEITA CONSTITUCIONAL DO MUNICÍPIO DE VILA FLOR, ESTADO DO RIO GRANDE DO NORTE, no uso das atribuições legais definidas pela Lei Orgânica Municipal:

,

 

DECRETA:

 

CAPÍTULO I

 

DAS DISPOSIÇÕES PRELIMINARES

 

Art. 1º. – Este Decreto regulamenta a Lei Federal nº , de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências correlatas a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais.

Art. 2º. –Para os fins deste Decreto, considera-se:

 

-Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

 

-Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião

 

política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

-Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

-Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;

-Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;

 

-Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;

-Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

-Encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

-Agentes de tratamento: o controlador e o operador;

 

-Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

-Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

-Consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

-Plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas aos incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.

Art. 3º. – As atividades de tratamento de dados pessoais pelos órgãos e entidades municipais deverão observar a boa fé e os seguintes princípios:

-Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

-Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

-necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às

 

finalidades do tratamento de dados;

 

-livre acesso: garantia aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

-qualidade dos dados: garantia aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

-Transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos, comercial e industrial;

-segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

-prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais;

-Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

-Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

CAPÍTULO II

 

DAS RESPONSABILIDADES

 

Art. 4º. – O Poder Executivo Municipal, por meio de seus órgãos e entidades, nos termos da Lei Federal nº 13.709, deve realizar e manter continuamente atualizados:

-O mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;

 

-A análise e o relatório de risco e impacto à proteção de dados pessoais;

 

-O plano de adequação, observadas as exigências do art. 17 deste Decreto.

 

Art. 5º. –Os órgãos e entidades da Administração Pública Municipal ficam designados como controlador, devendo o Prefeito Municipal indicar o seu encarregado pelo tratamento de dados, para os fins doart. 41 da Lei Federal nº

Parágrafo único. A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, em algum dos meios oficiais de divulgação do Município de Vila Flor/RN, sendo preferencialmente no site oficial, em seção específica sobre tratamento de dados pessoais.

Art. 6º. – Compete à entidade ou ao órgão controlador:

 

–Aprovar, prover condições e promover ações para efetividade do Plano de Adequação de Proteção de Dados Pessoais do órgão e/ou entidade;

–Nomear encarregado para conduzir o Plano de Adequação e sua manutenção, através de ato próprio;

–elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade; e

–Fornecer aos operadores termos de uso, manuais de instruções e treinamento dos tratamentos sob sua responsabilidade.

§ 1º Os atos do controlador público são de responsabilidade do titular de mais alta hierarquia do órgão ou entidade.

§ 2º A nomeação do encarregado deverá atender prerrogativas e qualificações necessárias ao exercício dessa função.

Art. 7º. –Compete ao encarregado e sua equipe de apoio:

 

–Gerenciar o Plano de Adequação para:

 

inventariar os tratamentos do controlador, inclusive os eletrônicos;

 

analisar a maturidade dos tratamentos em face dos objetivos e metas estabelecidos e do consequente risco de incidentes de privacidade;

avaliar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

adotar as providências cabíveis para implementar as medidas de segurança avaliadas;

 

cumprir os objetivos e metas previstas no Plano de Adequação do seu órgão e/ou entidade.

 

–Receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, em articulação com a Ouvidoria da entidade;

–receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais – ANPD e adotar providências;

–Orientar os funcionários e os contratados no cumprimento das práticas necessárias à privacidade de dados pessoais;

–Quando provocado, entregar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade;

–Atender às normas complementares da Agência Nacional de Proteção de Dados Pessoais;

 

–informar à Agência Nacional de Proteção de Dados Pessoais e aos titulares dos dados pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um plano de respostas a incidentes.

Art. 8º. –Compete ao operador de dados pessoais e sua equipe de apoio:

 

–Manter registro das operações de tratamento de dados pessoais que forem realizadas;

 

–Realizar o tratamento de dados segundo as instruções fornecidas pelo controlador e de acordo com as normas aplicáveis;

–Adotar, em conformidade às instruções fornecidas pelo controlador, medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

–Subsidiar o controlador no intuito de dar cumprimento às solicitações, orientações e às recomendações do encarregado;

–Executar outras atribuições correlatas.

 

Art. 9º. –Compete à Administração Municipal:

 

–Orientar a aplicação de soluções de TIC (Tecnologia da Informação e Comunicação) relacionadas à proteção de dados pessoais;

–Adequar as arquiteturas e as operações compartilhadas de TIC hospedadas no datacenter e na rede corporativa às exigências da Lei Federal nº 13.709 ;

–propor padrões de desenvolvimento de novas soluções de TIC, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução.

Parágrafo único. As arquiteturas e as operações de que trata o inciso II poderão ter seu escopo alterado por meio de acordo entre as partes responsáveis pelo compartilhamento.

Art. 10º. – Compete à Secretaria Municipal de Administração e Procuradoria Geral:

 

–Coordenar e orientar a rede de encarregados responsáveis pela implementação do Plano de Adequação;

–Consolidar os resultados e apoiar o monitoramento da Proteção de Dados Pessoais implementados no Município;

–disponibilizar canal de atendimento ao titular do dado, considerando as atividades desempenhadas pela Ouvidoria Geral do Município;

–Coordenar a qualidade do atendimento ao titular do dado;

 

–Estabelecer sistemática de auditoria interna com vistas a aumentar e proteger o valor organizacional do Município, fornecendo avaliação, assessoria e conhecimento objetivos baseados em riscos;

–Encaminhar o atendimento ao encarregado responsável pelos dados e acompanhar sua resolutividade, nos termos do art. 19 deste Decreto;

–produzir e manter atualizados manuais de implementação das Políticas de Proteção de Dados Pessoais Locais e modelos de documentos, bem como capacitações para os agentes públicos.

Art. 11 º.– Compete ao Departamento Jurídico do Município:

 

–Disponibilizar aos agentes de tratamento e ao encarregado consultoria jurídica para dirimir questões e emitir pareceres do significado e alcance da Lei Federal nº 13.709;

–Disponibilizar modelos de contratos, convênios e acordos aderentes à Lei Federal nº 13.709, a serem utilizados pelos agentes de tratamento;

–disponibilizar modelo de termo de uso de sistema de informação da Administração Pública;

 

–Adotar as medidas jurídicas necessárias à adequação dos instrumentos já firmados a LGPD.

 

CAPÍTULO III

 

DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA MUNICIPAL

 

Art. 12º. –O tratamento de dados pessoais pelos órgãos e entidades da Administração Pública Municipal deve:

–Objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;

–Observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.

Art. 13º. – O tratamento de dados pessoais deve ser restrito à sua finalidade, executado de forma adequada e pelo prazo necessário.

§ 1ºA adequação a que se refere ocaput deve obedecer à Política de Segurança da Informação adotada no Município.

§ 2ºA necessidade de armazenamento dos dados pessoais observará as obrigações legais ou judiciais de mantê-los protegidos.

§ 3ºOs responsáveis pelos tratamentos devem registrar as operações realizadas com dados pessoais.

 

§ 4ºO controlador deve adotar medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis no âmbito e nos limites técnicos de seus serviços, para não serem acessados por terceiros não autorizados e, sempre que possível, proceder à sua anonimização.

Art. 14º.– Os órgãos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei Federal nº13.709

§ 1ºO compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública poderá ser realizado nas seguintes hipóteses:

–Execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; e

 

–Cumprir obrigação legal ou judicial.

 

§ 2ºO controlador deve manter o registro do compartilhamento dos dados pessoais para efeito de comprovação prevista noinciso VII do art. 18 da Lei Federal nº13.709

Art. 15º. – É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

–Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº ;

–Nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº ;

–quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Controlador Geral do Município para comunicação à autoridade nacional de proteção de dados;

–Na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

Parágrafo único. Em quaisquer das hipóteses previstas neste artigo:

 

–A transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada;

–As entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.

Art. 16º. – Os órgãos e entidades da Administração Pública Municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:

–Os encarregados informem à Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;

–Seja obtido o consentimento do titular, salvo:

 

nas hipóteses de dispensa de consentimento previstas naLei Federal nº ;

 

nos casos de uso compartilhado de dados, em que será dada a devida publicidade;

 

nas hipóteses do art. 13 deste Decreto.

 

Parágrafo único – Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e o órgãos e entidades municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.

Art. 17º. – Os planos de adequação devem observar, no mínimo, o seguinte:

 

–Publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet;

 

–atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos doart. 23, § 1º, e doart. 27, parágrafo único, da Lei Federal nº ;

–manutenção de dados para o uso compartilhado com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral;

–Elaboração de inventário de dados, assim entendido o registro de operações de tratamento de dados pessoais, realizados pelo órgão ou entidade;

–Elaboração do Relatório de Impacto de Proteção de Dados Pessoais, assim entendida a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos;

–Elaboração de Plano de Resposta a Incidentes, assim entendido o plano de resposta para tratar ocorrências de situações que venham a lesar a segurança de dados pessoais mantidos sob a responsabilidade do órgão ou entidade;

– instrumentalização da adequação de Contratos, conforme orientações expedidas pelo Departamento Jurídico;

– implementação da utilização de Termos de Uso conforme orientações expedidas pelo Departamento Jurídico;

Art. 18º. – As entidades integrantes da Administração Municipal indireta que atuarem em regime de concorrência, sujeitas ao disposto noart. 173 da Constituição Federal, deverão observar o regime relativo às pessoas jurídicas de direito privado particulares, exceto quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, nos termos doart. 24 da Lei nº

 

CAPÍTULO IV

 

DO ATENDIMENTO AO TITULAR DO DADO

 

Art. 19º. – O atendimento ao titular do dado será formalizado nos canais eletrônicos de atendimento da Ouvidoria do Município e direcionado a cada órgão ou entidade competente, nos termos do inciso II do art. 7º deste Decreto.

§ 1º A identificação do titular ou procurador deverá ser idônea, emitida por autoridade certificadora.

 

§ 2º O canal de atendimento deve prover funções de registro e gerenciamento para servir ao acompanhamento dessa forma de atendimento.

Art. 20º. – O atendimento ao titular poderá ser prestado de forma presencial na entidade em que os dados são encontrados, desde que haja a conferência de documento oficial e infraestrutura adequada.

§ 1º Quando o titular for incapaz, o atendente deve conferir a certidão de nascimento do titular e o documento de identidade de um dos pais ou responsáveis legais.

 

§ 2º Atestada a legitimidade do titular ou de seu procurador, o atendente coletará dados de identificação e de contato do solicitante, protocolará e transcreverá a solicitação através dos canais de atendimento da Ouvidoria do Município.

§ 3º O atendimento presencial ao procurador ou curador somente será aceito através do instrumento de outorga.

Art. 21º. – A Ouvidoria do Município encaminhará o atendimento ao encarregado responsável pelos dados e acompanhará sua resolutividade.

§ 1º O encarregado deverá adotar as providências para apensar os dados solicitados ao atendimento.

 

§ 2º Os dados pessoais solicitados no atendimento deverão ser entregues ao titular ou seu representante legal, através de meio eletrônico protegido ou pessoalmente.

Art. 22º. – Em qualquer forma de atendimento, o encarregado observará que as informações pessoais produzidas pelo órgão ou entidade não devem ser providas quando estiverem vinculadas a tratamento sigiloso nos termos da legislação vigente.

Parágrafo único – O encarregado informará o fundamento legal que fundamenta o indeferimento de entrega da informação sigilosa solicitada.

 

CAPÍTULO V DISPOSIÇÕES FINAIS

 

Art. 23º. – Os órgãos e entidades da Administração Pública Municipal deverão estar em conformidade com o disposto no art. 4º deste Decreto até o dia 31 de dezembro de 2025.

Art. 24º. – Poderão ser expedidas normas complementares a este Decreto, conjuntamente, pela Secretaria Municipal de Administração e pela Procuradoria Geral do Município, aos quais compete também, em conjunto, dirimir os casos omissos.

Art. 25º. – Este Decreto entra em vigor na data de sua publicação revogando disposições em sentido contrário.

 

Registre. Publique-se e cumpra-se.

 

Vila Flor/RN 27 de Maio de 2025.

 

 

THUANNE KARLA CARVALHO DE SOUZA

 

Prefeita Municipal

 

---

Matéria publicada no Diário Oficial dos Municípios do Estado do Rio Grande do Norte no dia 28/05/2025. Edição 3546
A verificação de autenticidade da matéria pode ser feita informando o código identificador no site:
https://www.diariomunicipal.com.br/femurn/