Regulamenta e estabelece diretrizes e procedimentos para a conformidade com a Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), e institui o Comitê Gestor de Proteção de Dados Pessoais (CGPDP), no âmbito do Poder Executivo Municipal.
O PREFEITO DO MUNICÍPIO DE SALINAS, Estado de Minas Gerais, no uso das atribuições legais que lhe confere o art. 90, VI, da Lei Orgânica do Município de Salinas;
CONSIDERANDO o disposto na Lei Federal nº 13.709, de 14 de agosto de 2018, que institui a Lei Geral de Proteção de Dados Pessoais (LGPD);
CONSIDERANDO que a proteção dos dados pessoais constitui um direito fundamental, conforme previsto no inciso LXXIX, do artigo 5º da Constituição Federal, nos termos da Emenda Constitucional nº 115, de 10 de fevereiro de 2022;
CONSIDERANDO a necessidade de dotar o Poder Executivo Municipal de mecanismos eficazes de proteção de dados pessoais, garantindo o pleno cumprimento da legislação vigente;
CONSIDERANDO a crescente utilização da Internet e de modelos computacionais estruturados para acesso e processamento e informações;
CONSIDERANDO a importância de proteger da privacidade e dos dados pessoais no âmbito das atividades desempenhadas pela Prefeitura Municipal de Salinas/MG;
DECRETA:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Este decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal de Salinas/MG, estabelecendo competências, procedimentos e providências correlatas a serem observadas por seus órgãos e entidades, visando garantir a proteção de dados pessoais, estejam estes no meio analógico ou digital, e cria o Comitê Gestor de Proteção de Dados Pessoais.
Art. 2º Para fins deste decreto, considera-se:
I. Agentes de tratamento: o controlador e o operador;
II. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
III. Autoridade Nacional de Proteção de Dados (ANPD): órgão da Administração Pública Federal responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional.
IV. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V. Comitê Gestor de Proteção de Dados Pessoais: Representantes Setoriais de referência no estudo, aplicação, orientação e zelo a aplicação da LGPD no municipio de Salinas/MG;
VI. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
VII. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VIII. Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
IX. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
X. Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
XI. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
XII. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
XIII. Plano de adequação: documento reunindo um conjunto de normas, procedimentos, diretrizes e modelos de documentações específicas para guiar a adequação de órgãos e entidades municipais à Lei Geral de Proteção de Dados;
XIV. Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XV. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
XVI. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Art. 3º As atividades de tratamento de dados pessoais pelos órgãos e entidades municipais deverão observar a boa-fé e os princípios previstos no art. 6º da Lei 13.709/2018.
Art. 4º São diretrizes da proteção de dados pessoais no âmbito da administração direta e indireta do Poder Executivo:
I. o alinhamento às políticas de segurança da informação;
II. o atendimento simplificado e eletrônico de demandas do titular, garantida a proteção dos dados fornecidos;
III. o alinhamento e o equilíbrio com a promoção da transparência pública;
IV. a proporcionalidade entre medidas de proteção de dados, orçamento e eficiência dos processos de trabalho;
V. o desenvolvimento da cultura de proteção de dados pessoais;
VI. o aproveitamento de dados pessoais existentes em bases de dados do Poder Executivo;
VII. a manutenção da segurança jurídica dos instrumentos firmados;
VIII. A publicação e a atualização periódica das regras de boas práticas e governança, que levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
Art. 5º O tratamento de dados pessoais pelos Órgãos e Entidades Municipais deve:
I. objetivar o exercício de suas competências legais e o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;
II. observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, a finalidade, tempo de armazenamento e descarte e os procedimentos e as práticas utilizadas para a sua execução.
Art. 6º A Administração Pública Municipal Direta e Indireta, nos termos da Lei Federal nº 13.709, de 14 de agosto de 2018, deve realizar e manter continuamente atualizados:
I. o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
II. a análise de risco;
III. o plano de adequação, observadas as exigências constantes em norma específica;
IV. o relatório de impacto à proteção de dados pessoais, quando solicitado.
CAPÍTULO II
DOS SUJEITOS DO PROCEDIMENTO
Art. 7º São figuras de gestão e aplicação da Proteção de Dados pessoais:
I. Controlador;
II. Operador;
III. Encarregado geral;
IV. Comitê gestor.
Art. 8º No âmbito da administração pública direta, o Município de Salinas, pessoa jurídica de direito público interno, é o controlador dos dados.
Parágrafo único. Os órgãos da administração direta que realizam tratamento de dados pessoais no âmbito de suas respectivas competências exercem atribuições e têm obrigações típicas de controlador.
Art. 9º No âmbito da administração indireta, a pessoa jurídica de direito público ou privado é o controlador, exceto quando realizar tratamento de dados pessoais, como operador, em nome do controlador.
Art. 10. O encarregado da proteção de dados está vinculado à obrigação de sigilo e de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 13.709 de 14 de agosto de 2018 e com a Lei Federal nº 12.527 de 18 de novembro de 2011.
Art. 11. Compete ao Encarregado Geral de Proteção de Dados do Município, além das atribuições ordinárias para o desempenho das funções previstas na Lei 13.709/2018, e demais dispositivos deste decreto:
I. aceitar reclamações e comunicações dos titulares, prestando esclarecimentos e adotando as devidas providências;
II. atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), III. cumprindo com atribuições que possam vir a ser estabelecidas pela ANPD;
IV. recomendar a elaboração de Planos de Adequação relativos à proteção de dados pessoais aos encarregados setoriais para guiar os órgãos e as entidades da Administração Direta e Indireta;
V. elaborar o Relatório de lmpacto à proteção de dados pessoais com a descrição dos processos de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como, as medidas e salvaguardas e mecanismos de mitigação de riscos;
VI. submeter ao Comitê Gestor de Proteção de Dados Pessoais, sempre que julgar necessário, matérias atinentes a este decreto;
comunicar a Autoridade Nacional de Proteção de Dados a transferência de dados pessoais a entidades privadas, sempre que informada pelos responsáveis de cada órgão ou entidade, desde que prevista em lei ou respaldada em contratos, convênios ou outros ajustes;
VII. informar a Autoridade Nacional de Proteção de Dados a comunicação ou o uso compartilhado de dados pessoais de pessoas naturais ou jurídicas de direito privado;
VIII. encaminhar ofícios e expedientes aos titulares das pastas dos Órgãos Municipais destinatários do presente decreto;
IX. encaminhar orientações e diretrizes acerca da matéria, que devem ser atendidas por todos os servidores e respectivos titulares das pastas nos prazos eventualmente por ele consignados, sob pena de responsabilização se do não atendimento resultar prejuízo ao Município;
X. providenciar, em caso de recebimento de informe da autoridade nacional com medidas cabíveis para fazer cessar uma afirmada violação da Lei Federal nº 13.709/2018, nos termos do art. 31 daquela lei, o encaminhamento ao órgão municipal responsável pelo tratamento de dados pessoais, fixando prazo para atendimento à solicitação ou apresentação das justificativas pertinentes.
Art. 12. Os planos de adequação devem observar, no mínimo, o seguinte:
I. publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet, bem como no Portal da Transparência, em seção específica;
II. atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23, §1º, e do art. 27, parágrafo único, da Lei Federal nº 13.709, de 2018;
III. manutenção de dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
CAPÍTULO III
DO TRATAMENTO DE DADOS PESSOAIS
Seção I
Das Bases Legais
Art. 13. O tratamento de dados pessoais pelos órgãos e entidades submetidos a este Decreto está condicionado à persecução do interesse público definido em lei e será restrito às hipóteses previstas na LGPD.
§1º O tratamento de dados pessoais sensíveis deverá observar o disposto nos artigos 11 a 13 da LGPD.
§2º O tratamento de dados pessoais de crianças e adolescentes deve ocorrer em seu melhor interesse e as respectivas informações devem ser fornecidas de forma simples, clara e acessível, consideradas as características do titular, de modo a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança e adolescente, observado, em todos os casos, o disposto no artigo 14 da LGPD.
§3º O tratamento de dados pessoais realizado por terceiros que, de alguma forma, se relacionem com a Administração Pública, deverá observar e evidenciar a adequação institucional às exigências previstas na LGPD, sem prejuízo de requisitos adicionais contemplados em regulamentação superveniente.
Art. 14. A base legal adotada para o tratamento de dados pessoais pela Administração Pública Municipal deve ser definida de acordo com as finalidades do tratamento à luz do caso concreto, respeitados, em todos os casos, os direitos do titular de dados, os fundamentos e os princípios que informam a LGPD.
§1º O consentimento somente poderá ser utilizado como base legal de forma excepcional, nos casos em que for possível a livre, informada e inequívoca manifestação de vontade do titular, devendo a justificativa pela sua adoção ser devidamente documentada.
§2º No caso de utilização da base do legítimo interesse, deverá o controlador:
I. identificar e articular o legítimo interesse municipal específico que ampara o tratamento dos dados pessoais no caso concreto;
II. comprovar que os dados coletados são apenas os necessários para o atingimento da finalidade pública pretendida;
III. demonstrar que o uso atribuído ao dado pessoal é compatível com a legítima expectativa do seu titular, à luz da boa-fé objetiva e da análise contextual do tratamento;
IV. esclarecer de que forma os titulares dos dados poderão ser impactados negativamente e quais medidas foram tomadas para mitigar os riscos associados ao tratamento; e
V. assegurar a transparência e o acesso à avaliação realizada pelo órgão ou entidade, bem como o direito de oposição do titular ao tratamento dos seus dados pessoais com base no legítimo interesse, caso demonstre o descumprimento dos termos da LGPD ou que o interesse municipal é incompatível com sua legítima expectativa, vedado o abuso de direito, a ser aferido no caso concreto.
§3º É vedado o uso do consentimento ou do legítimo interesse quando o tratamento de dados pessoais for realizado de forma compulsória ou quando for necessário para o cumprimento de obrigações e atribuições legais do Estado.
Seção II
Da Coleta
Art. 15. A coleta de dado pessoal poderá se dar por meio de sistemas de informação ligados a sites e aplicativos, pelo recebimento de arquivos, bem como em meio físico, mediante preenchimento de formulários, listas ou registro de interação presencial.
Art. 16. O titular deve ser informado a respeito da finalidade do tratamento no momento da coleta dos dados pessoais e, nos casos de impossibilidade imediata, tão logo seja possível.
Art. 17. Nos casos de coleta eletrônica de dados pessoais, a transparência será assegurada mediante disponibilização de “Aviso de Privacidade" e de “Aviso de Cookies" nas plataformas digitais mantidas pelos órgãos ou entidades municipais submetidas a este Decreto, e deverão ser de fácil visualização e compreensão pelos titulares de dados.
§1º A plataforma digital deverá solicitar o consentimento do usuário para a utilização de cookies que importem tratamento de dados pessoais, informando de forma clara e acessível a finalidade específica que legitima tratá-los.
§2º A manifestação do consentimento deverá permitir ao usuário ativar a utilização de cookies, parcial ou integralmente, sendo vedada a autorização automática ou opção previamente direcionada à autorização.
§3º O site deverá disponibilizar de modo acessível ao usuário a opção de desativação da autorização do uso de cookies a qualquer tempo, parcial ou integralmente.
Seção III
Do Armazenamento
Art. 18. O armazenamento físico ou digital dos dados pessoais deverá ser realizado:
I. de forma a garantir a sua confidencialidade, integridade e disponibilidade, preservando a sua segurança e qualidade, bem como sua autenticidade e atualidade, em conformidade com a finalidade do tratamento; e
II. em formato inter-operável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos e à descentralização da atividade pública.
Seção IV
Da Documentação Das Operações de Tratamento
Art. 19. As operações de tratamento de dados pessoais deverão ser documentadas, devendo os órgãos e entidades sujeitos a este Decreto manter um Inventário das Operações de Tratamento de Dados Pessoais, que deverá discriminar, no mínimo:
I. O fundamento legal para o tratamento;
II. A finalidade do tratamento;
III. A existência de compartilhamento e o respectivo instrumento; e
IV. O local de custódia ou armazenamento.
Parágrafo único. O tempo de guarda dos registros das operações será igual ao prazo de armazenamento dos dados pessoais, conforme as obrigações legais ou judiciais de mantê-los protegidos, observada a Tabela de Temporalidade de Documentos em vigor, quando aplicável, ou a regulamentação expedida pela Autoridade Nacional de Proteção de Dados.
Seção V
Da Segurança da Informação
Art. 20. O controlador deve implementar medidas técnicas e organizacionais de segurança que garantam a confidencialidade, integridade e disponibilidade dos dados pessoais sob a sua guarda, levando em conta o estado da arte, os custos, a natureza, o escopo, o contexto e as finalidades do tratamento.
Parágrafo único. As medidas de anonimização e de pseudoanonimização dos dados pessoais devem ser implementadas, sempre que possível, observadas as definições trazidas na legislação de proteção de dados pessoais.
Seção VI
Dos Incidentes de Segurança
Art. 21. Deverá ser criado, pelos agentes previstos no art. 7º, um Plano de Resposta a Incidentes que defina os procedimentos a serem adotados no caso de suspeita ou confirmação de incidente de segurança envolvendo dados pessoais, bem como os papéis e responsabilidades de cada um dos membros da equipe multidisciplinar.
Parágrafo único. Deverão integrar a equipe multidisciplinar, além dos agentes previstos no art. 7º:
I. O chefe do executivo;
II. Um procurador;
III. O controlador-geral do município;
IV. O servidor responsável pela unidade de Tecnologia de Informática ou afim.
Art. 22. Todo incidente de segurança com dados pessoais, confirmado ou sob suspeita, deve ser imediatamente comunicado pelos servidores do órgão ou entidade submetidos a este Decreto ao Secretário Municipal ao qual está subordinado, que, por sua vez, dará conhecimento ao chefe do executivo e ao encarregado geral.
Art. 23. Ao receber a comunicação sobre o possível incidente de segurança, o Encarregado Geral e o Chefe do Executivo deverão colocar em prática o Plano de Resposta a Incidentes, que será acompanhado pelo secretário da pasta ou órgão que gerou o incidente, para que este acompanhe as providências adotadas.
Parágrafo único. Caso seja constatado risco ou dano relevante aos titulares de dados, deverá o Encarregado responsável notificar, dentro dos prazos definidos em lei ou nos regulamentos da Autoridade Nacional de Proteção de Dados, os indivíduos afetados, os agentes públicos e as autoridades interessadas, de acordo com a gravidade e o impacto do incidente.
Seção VII
Das Finalidades do Tratamento
Art. 24. O tratamento dos dados pessoais somente poderá ser realizado para o atingimento das finalidades informadas ao titular por ocasião da respectiva coleta.
Parágrafo único. O tratamento de dados de acesso público ou tornados manifestamente públicos pelo titular, bem como o tratamento de dados pessoais para finalidade diversa daquela informada para o titular no momento da sua coleta, seja pela Administração Pública, seja por terceiros, somente será permitido se:
I. houver um interesse público que o justifique;
II. houver uma nova base legal que o autorize;
III. a finalidade do tratamento secundário for compatível com a finalidade que justificou a publicização ou a coleta do dado pessoal;
IV. o ato que determina a realização do tratamento secundário for devidamente motivado; e
V. forem respeitados os direitos do titular e os princípios gerais da proteção de dados pessoais.
Seção VIII
Da Eliminação
Art. 25. Após cumprida a finalidade do tratamento e findo o prazo de armazenamento autorizado em norma legal ou regulatória, os dados pessoais serão eliminados de modo seguro, independentemente se armazenados em meios físicos ou digitais.
§1º A solicitação do titular de eliminação poderá ser indeferida, motivadamente, quando houver fundamento legal para o tratamento do dado pessoal, independentemente de consentimento.
§2º Decorrido o período estabelecido no caput, os dados pessoais somente poderão ser mantidos na base de dados do órgão ou entidade municipal quando submetidos ao processo de anonimização.
§3º O processo de pseudoanonimização não afasta a necessidade de eliminação dos dados pessoais após o decurso do prazo estabelecido no caput.
§4º A eliminação de documentos ou de dados pessoais deverá seguir as regras de temporalidade e gestão documental específicas, observado o disposto no art. 16 da LGPD.
CAPÍTULO IV
DO COMPARTILHAMENTO DE DADOS
Art. 26. A transferência, o uso compartilhado e o compartilhamento de dados pessoais pelos órgãos e entidades sujeitos a este Decreto com outros entes públicos atenderão às finalidades específicas de execução de políticas públicas e de exercício das suas atribuições legais e deverão respeitar os direitos dos titulares e os princípios de proteção de dados pessoais previstos na LGPD.
Art. 27. É vedado aos órgãos e entidades municipais sujeitos a este Decreto a transferência, o uso compartilhado ou o compartilhamento de dados pessoais constantes de bases de dados a que tenha acesso para entidades privadas, exceto:
I. nos casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 18 de novembro de 2011 (LAI);
II. nos casos em que os dados pessoais forem acessíveis publicamente, observadas as disposições da LGPD;
III. quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável à Autoridade Nacional de Proteção de Dados; e
IV. na hipótese de a transferência dos dados pessoais objetivar exclusivamente a prevenção de fraudes e irregularidades ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
§1º A comunicação ou o uso compartilhado de dados pessoais por pessoa jurídica de direito público a pessoa jurídica de direito privado será informada à Autoridade Nacional de Proteção de Dados (ANPD) e dependerá de consentimento do titular, exceto:
I. nas hipóteses de dispensa de consentimento previstas na LGPD;
II. nos casos de uso compartilhado de dados pessoais, em que será dada publicidade, nos termos do inciso I do caput do art. 23 da LGPD; e
III. nas exceções constantes dos incisos I a IV do caput.
§2º Em quaisquer das hipóteses previstas neste artigo:
I. a transferência de dados pessoais dependerá de autorização específica conferida pelo órgão ou entidade municipal à entidade privada;
II. as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados pessoais garantido pelo órgão ou pela entidade municipal.
§3º Compete ao Chefe do executivo municipal a adoção de providências que assegurem a efetiva proteção dos dados pessoais sujeitos a operações que envolvam terceiros, externos à Administração Pública, visando atenuar vulnerabilidades técnicas, administrativas e jurídicas, bem como inibir impactos que gerem a responsabilização do Poder Público.
Art. 28. A transferência, o uso compartilhado e o compartilhamento de dados pessoais somente poderão ser realizados por servidor previamente autorizado pelo responsável do órgão ou entidade e deverão ser previamente documentados por meio de instrumento firmado por ambas as partes que discipline o uso dos dados pessoais cedidos e de que conste, pelo menos:
I. um relatório dos dados pessoais cedidos, com a indicação da sua natureza;
II. a finalidade da cessão;
III. a base legal da cessão;
IV. a identificação do servidor que autorizou a cessão, bem como do terceiro responsável pelo seu recebimento;
V. as medidas de segurança e de mitigação de risco a serem adotadas na gestão desses dados pessoais;
VI. as regras para a eliminação dos dados pessoais cedidos, e
VII. o compromisso do recipiente de informar imediatamente ao cedente sobre qualquer incidente envolvendo os dados pessoais cedidos.
Seção I
Das Transferências Internacionais
Art. 29. A transferência internacional de dados pessoais independe de volumetria, frequência ou meio, sendo realizada em conformidade com o disposto nos artigos 33 a 36 da LGPD.
CAPÍTULO V
DO COMITÊ GESTOR DA PROTEÇÃO DE DADOS PESSOAIS
Art. 30. Fica criado Comitê Gestor de Proteção de Dados Pessoais – CGPDP, que será composto por servidores dos seguintes órgãos:
I. Assessoria de Comunicação;
II. Divisão de Processamento de Dados;
III. Controladoria-Geral;
IV. Gerência Geral de Recursos Humanos;
V. Secretaria Municipal de Desenvolvimento Social e Políticas Públicas;
VI. Secretaria Municipal de Educação;
VII. Secretaria Municipal de Governo;
VIII. Secretária Municipal de Planejamento e Gestão Fazendária;
IX. Secretaria Municipal de Saúde;
X. Procuradoria Jurídica.
§1º O representante da Procuradoria Geral do Municipio - PGM orientará o CGPDP acerca dos aspectos jurídicos que devem ser observados, propondo a formulação de consulta jurídica, quando necessário.
§2º O representante da Controladoria Geral do Município orientará o CGPDP acerca dos aspectos relacionados à gestão de riscos e à conformidade legal com os requisitos da Lei de Acesso à Informação - LAI, que devem ser observados, propondo a formulação de consulta jurídica, quando necessário.
§3º O representante da Divisão de Processamento de Dados orientará o CGPDP acerca dos aspectos relacionados à gestão da Segurança da Tecnologia da Informação que devem ser observados.
§4º O representante da Secretaria de Governo prestará apoio administrativo e material para desempenho das atividades do CGPDP.
§5º As funções previstas nos §§ 2º a 4º, não limitam nem restrigem a participação destes servidores das demais obrigações e funções do CGPDP.
Art. 31. O CGPDP coordenará a implementação da LGPD no âmbito da administração pública municipal direta, autárquica e fundacional e atuará estrategicamente na avaliação da conformidade com a LGPD dos mecanismos de tratamento de dados pessoais existentes na administração pública municipal direta, autárquica e fundacional e na proposição de ações gerais e estratégicas à proteção dos dados pessoais.
Parágrafo único. A coordenação mencionada no caput deste artigo, enquanto inexistente a função de Encarregado-Geral pelo Tratamento de Dados Pessoais, será feita pelo Controlador-Geral ou por outro servidor a ser designado pelo chefe do executivo.
Art. 32. Compete ao Comitê Gestor de Proteção de Dados Pessoais:
I. analisar e aprovar os procedimentos para a proteção e tratamento de dados no âmbito do Município de Salinas/MG;
II. atuar de forma deliberativa e consultiva quanto a qualquer assunto relacionado à LGPD, demais leis que possam colidir com o tema proteção de dados e sobre este decreto;
III. zelar pela proteção de dados pessoais, sendo uma referência para os órgãos e entidades no âmbito do município e da legislação;
IV. orientar a elaboração de Plano, com ações de curto, médio e longo prazo para a adequação à Lei Geral de Proteção de Dados no âmbito da Prefeitura de Salinas, de acordo com as orientações básicas previstas em regimento interno;
V. promover, entre os agentes públicos municipais, a difusão do conhecimento das normas e medidas de segurança sobre proteção de dados pessoais;
VI. promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados e privacidade;
VII. supervisionar a execução dos planos, dos projetos e das ações aprovados para viabilizar a implantação das diretrizes previstas na LGPD;
VIII. atuar de forma deliberativa e consultiva quanto a qualquer assunto relacionado à LGPD e demais leis que possam colidir com o tema de proteção de dados;
IX. estar à frente na organização das reuniões e estruturação dos projetos;
X. elaborar guia ou manual orientativo em relação ao procedimento dos servidores diante das inovações abarcadas pela LGPD, o qual XI. deverá ter ampla publicidade tornando-o conhecido de todos os servidores da Administração Direta e Indireta;
XII. propor a edição de normas gerais sobre tratamento e proteção de dados pessoais no âmbito da administração pública municipal, a serem encaminhadas para deliberação final do Chefe do Executivo;
XIII. propor a adoção de medidas de segurança técnicas e administrativas gerais aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
XIV. auxiliar o encarregado na indentificação e avaliação dos processos de tratamento e proteção de dados pessoais existentes no âmbito da Administração Pública Municipal;
XV. identificar o nível de percepção dos servidores em relação à LGPD;
XVI. fomentar a transformação cultural sobre privacidade dos dados pessoais do cidadão em todas as fases que envolvem o tratamento, alcançando os níveis estratégico, tático e operacional da Administração;
XVII. promover ações de conscientização de todo corpo funcional no sentido de incorporar o respeito à privacidade dos dados pessoais nas atividades institucionais cotidianas;
XVIII. auxiliar na promoção do melhoramentos em relação ao tratamento de dados.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Art. 33. Os casos omissos deverão ser dirimidos tendo em vista o contido na Lei Federal nº 13.709, de 14 de agosto de 2018, ou outra que vier a substitui-la, sendo tal norma legal fundamento de validade geral do presente decreto.
Art. 34. Este Decreto entra em vigor na data de sua publicação, revogadas as disposições em contrário.
Salinas/MG, 10 de setembro de 2024.
JOAQUIM NERES XAVIER DIAS
Prefeito do Município de Salinas/MG
