Regulamenta a aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito da Câmara Municipal de São Paulo.
|
A Mesa da Câmara Municipal de São Paulo, usando de suas atribuições legais, RESOLVE:
Art. 1º Este Ato regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito da Câmara Municipal de São Paulo.
§1º Para os fins deste Ato, adotam-se as terminologias previstas no artigo 5º da Lei Federal nº 13.709, de 2018, bem como os princípios estabelecidos em seu artigo 6º.
§2º Considera-se plano de adequação o conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.
§3º Este Ato não se aplica ao tratamento de dados pessoais realizados pelos gabinetes dos membros da Mesa da Câmara Municipal de São Paulo, por gabinetes de Vereadores, das Lideranças de Governo, de Representações Partidárias e por quaisquer unidades cuja chefia seja exercida por parlamentares, quando o tratamento não utilizar sistemas institucionais da Câmara Municipal de São Paulo, caso em que caberá ao parlamentar responsável realizar o tratamento dos dados pessoais recebidos pelo gabinete ou unidade sob sua chefia, observados os termos da Lei Federal nº 13.709, de 2018.
Art. 2° Considera-se legítimo interesse da Câmara Municipal de São Paulo, de que trata o artigo 10 da Lei Federal nº 13.709, de 2018, sem prejuízo de outras hipóteses previstas em regulamento interno, a promoção da instituição, a aproximação com a sociedade, a pesquisa histórica, o exercício das atividades de representação do munícipe, de legislar sobre os assuntos de interesse local, de controle e fiscalização dos atos do poder executivo municipal e da aplicação dos recursos públicos, e o fortalecimento da democracia.
Art. 3° Os direitos do titular de dados pessoais, em qualquer caso, serão ponderados com o interesse público de conservação e pesquisa de dados históricos, preservação da transparência da instituição e das condutas de agentes públicos, no exercício de suas atribuições, e divulgação de informações relevantes à sociedade, no exercício da democracia.
Art. 4° O titular dos dados pessoais tem o direito de peticionar, em relação aos seus dados, indicando a unidade administrativa que realizou o tratamento, mediante requerimento endereçado à Ouvidoria, que atuará no âmbito da Câmara Municipal de São Paulo como Encarregado da Câmara Municipal de São Paulo, nos termos da Lei Federal nº 13.709, de 2018.
Art. 5° As informações e os dados poderão ser fornecidos, a critério do titular:
I - por meio eletrônico, seguro e idôneo para esse fim, sem custos;
II - sob forma impressa, com custos pagos pelo solicitante.
Art. 6° A Câmara Municipal de São Paulo, na condição de Controlador, manterá registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse.
Parágrafo único. O registro de que trata o caput também deverá ser realizado por qualquer empresa contratada pela Câmara Municipal de São Paulo que atue como Operadora de dados pessoais.
Art. 7° As empresas contratadas pela Câmara Municipal de São Paulo que atuem como operadoras de dados pessoais deverão, independentemente de expressa previsão no edital de licitação anterior, realizar o tratamento segundo as instruções fornecidas pela Câmara Municipal de São Paulo, que verificará a observância das próprias instruções e das normas de proteção de dados pessoais.
Parágrafo único. As minutas de contrato contidas nos editais de licitação deverão mencionar expressamente a possibilidade de a Câmara Municipal de São Paulo verificar e exigir a adoção das instruções e normas de proteção de dados pessoais pela contratada.
Art. 8º O Comitê Gestor de Proteção de Dados, instituído pelo Ato da Mesa nº 1.492, de 09 de novembro de 2020, é responsável por auxiliar o Controlador no desempenho das seguintes atividades:
I – formulação do plano de adequação à Lei Federal nº 13.709, de 2018, indicado no art. 1º, § 2º deste Ato;
II - análise de risco do tratamento de dados pessoais;
III - elaboração e atualização da Política de Privacidade e Proteção de Dados Pessoais;
IV - exame das propostas de adaptação à Política de Privacidade e Proteção de Dados Pessoais, elaboradas na forma prevista no artigo 10 deste Ato.
Art. 9º A Política de Privacidade e Proteção de Dados Pessoais, a que alude o inciso III do artigo 8º deste Ato, corresponde à compilação de regras de boas práticas e de governança para tratamento de dados pessoais, de observância obrigatória por todas as unidades da Câmara Municipal de São Paulo, devendo conter, no mínimo:
I - descrição das condições de organização, de funcionamento e dos procedimentos de tratamento, abrangendo normas de segurança, padrões técnicos, mecanismos internos de supervisão e de mitigação de riscos, plano de resposta a incidentes de segurança, bem como obrigações específicas para os agentes envolvidos no tratamento e ações educativas aplicáveis;
II - indicação da forma de publicidade das operações de tratamento, preferencialmente em espaço específico nos respectivos sítios eletrônicos oficiais, respeitadas as recomendações da Autoridade Nacional de Proteção de Dados (ANPD);
III - enumeração dos meios de manutenção de dados em formato interoperável e estruturado, para seu uso compartilhado e acesso das informações pelo público em geral, nos termos das Leis Federais nº 12.527, de 18 de novembro de 2011, e nº 13.709, de 2018.
Art. 10. As unidades da Câmara Municipal de São Paulo poderão, motivadamente, propor adaptações à Política de Privacidade e Proteção de Dados Pessoais, conforme as respectivas especificidades.
Parágrafo único. As propostas de adaptação elaboradas nos termos do caput deste artigo deverão ser submetidas à análise do Comitê Gestor de Proteção de Dados.
Artigo 11. A Ouvidoria fica designada para exercer as atividades de Encarregado pelo tratamento de dados pessoais (artigo 41 da Lei Federal nº 13.709, de 2018) no âmbito da Câmara Municipal de São Paulo.
§1º O Encarregado atuará como canal de comunicação entre a Câmara Municipal de São Paulo, os titulares dos dados e a ANPD, bem como com outras entidades de proteção de dados pessoais com as quais a Câmara Municipal de São Paulo estabeleça acordo de serviço ou de cooperação técnica.
§ 2º A identidade e as informações de contato do Encarregado serão divulgadas no portal da Câmara Municipal de São Paulo.
§ 3º Na qualidade de Encarregado pelo tratamento de dados pessoais, a Ouvidoria está vinculada à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 13.709, de 2018, e com a Lei Federal nº 12.527, de 2011.
§ 4º O disposto no caput deste artigo não impede que as unidades da Câmara Municipal de São Paulo indiquem servidor(es), em seus respectivos âmbitos, para desempenhar, em interlocução com o Encarregado, as atividades a que aludem os incisos I e III do § 2º do artigo 41 da Lei Federal nº 13.709, de 2018.
Art. 12. O Encarregado deverá receber o apoio necessário para o desempenho de suas funções, bem como ter acesso motivado a todas as operações de tratamento de dados pessoais no âmbito da Câmara Municipal de São Paulo.
Art. 13. Além das atribuições de que trata o § 2º do artigo 41 da Lei Federal nº 13.709, de 2018, cabe ao Encarregado:
I - receber reclamações e comunicação dos titulares dos dados, prestar esclarecimentos e adotar providências, observado o disposto no artigo 4° deste Ato;
II - receber comunicações da ANPD e adotar providências;
III - orientar os servidores e demais colaboradores da Câmara Municipal de São Paulo a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;
IV - executar as demais atribuições determinadas pela Câmara Municipal de São Paulo ou estabelecidas em normas complementares.
Art. 14. Mediante requisição do Encarregado, as unidades da Câmara Municipal de São Paulo deverão encaminhar, no prazo assinalado, as informações eventualmente necessárias para atender solicitação da ANPD, bem como de titulares de dados.
Art. 15. Caberá às Chefias das unidades diretamente ligadas à Mesa da Câmara Municipal de São Paulo, dentro de suas competências:
I - observar as recomendações e atender as requisições encaminhadas pelo Encarregado;
II - assegurar que o Encarregado seja informado, de forma adequada e em tempo hábil, sobre:
a) a existência de qualquer tipo de tratamento de dados pessoais;
b) contratos que envolvam dados pessoais;
c) situações de conflito entre a proteção de dados pessoais, o princípio da transparência ou algum outro interesse público;
d) qualquer outra situação que precise de análise e encaminhamento.
III - encaminhar ao Encarregado no prazo assinalado as informações solicitadas pela ANPD, nos termos do artigo 29 da Lei Federal nº 13.709, de 2018.
Art. 16. Os requerimentos do titular de dados, formulados nos termos do artigo 18 da Lei Federal nº 13.709, de 2018, serão respondidos pelo Encarregado com o apoio técnico necessário do Comitê Gestor de Proteção de Dados e das demais unidades da Casa envolvidas.
Art. 17. Caberá ao Centro de Tecnologia da Informação (CTI), no âmbito de suas atribuições legais:
I – oferecer subsídios técnicos necessários à edição das diretrizes para a elaboração dos planos de adequação;
II – orientar, sob o ponto de vista tecnológico, o Comitê Gestor de Proteção de Dados e as Unidades Administrativas na implantação dos respectivos planos de adequação.
Art. 18. A Câmara Municipal de São Paulo, na qualidade de Controlador, nos casos em que a Lei Federal nº 13.709, de 2018 ou a ANPD exigirem, elaborará relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados.
Art. 19. O Encarregado comunicará à Mesa da Câmara Municipal de São Paulo e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata;
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º A Câmara Municipal de São Paulo, na qualidade de Controlador, deverá comunicar à ANPD e aos titulares dos dados pessoais afetados a ocorrência do incidente de segurança.
§3º A Mesa da Câmara, com o auxílio da Secretaria Geral Administrativa, verificará a gravidade do incidente e poderá, ouvidas as unidades técnicas, caso necessário para a salvaguarda dos direitos dos titulares, determinar à unidade administrativa responsável pelo tratamento dos dados a adoção de providências, tais como:
I - divulgação ampla do fato em meios de comunicação, especialmente no portal da Câmara Municipal de São Paulo;
II - medidas para reverter ou mitigar os efeitos do incidente.
§ 4º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, para terceiros não autorizados a acessá-los.
Art. 20. Os padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência serão regulamentados mediante sugestão do Comitê Gestor de Proteção de Dados.
Art. 21. O pedido sobre dados pessoais solicitados pelo titular não se confunde com o pedido realizado com fundamento na Lei Federal nº 12.527, de 2011 e no Ato da Mesa nº 1.231, de 2013, mantendo-se válidos os dispositivos que restringem o acesso a informações pessoais por terceiros neles previstos.
Parágrafo único. Deverão constar da Política de Privacidade e Proteção de Dados Pessoais as informações pessoais tratadas pela Câmara Municipal de São Paulo que puderem ser fornecidas por meio de solicitação fundamentada na Lei Federal nº 12.527, de 2011 e no Ato da Mesa da Câmara nº 1231, de 2013.
Art. 22. A adequação progressiva de bancos de dados e sistemas constituídos e utilizados pela Câmara Municipal de São Paulo será objeto de análise e manifestações do Comitê Gestor de Proteção de Dados (CGPD) e do Comitê Gestor de Segurança da Informação (CGSI), as quais constituirão propostas de soluções a serem apresentadas pela Secretaria Geral Administrativa à Mesa, consideradas a complexidade das operações de tratamento e a natureza dos dados.
Art. 23. Este Ato entra em vigor na data de sua publicação.
São Paulo, 19 de maio de 2021.