A MESA DIRETORA DA CÂMARA MUNICIPAL DE VILA VALÉRIO, DO ESTADO DO ESPÍRITO SANTO: Faço saber que a Câmara Municipal aprovou e a Mesa promulga a seguinte, resolução:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º A presente Resolução visa regulamentar a aplicação da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito da Câmara Municipal de Vila Valério-ES, estabelecendo competências, procedimentos e providências correlatas a serem observadas, visando garantir a proteção de dados pessoais.
§ 1º As disposições desta Resolução abrangem dados pessoais, em meios físicos e digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
§ 2º Todos os servidores e unidades organizacionais da Câmara Municipal de Vila Valério envolvidas com as manifestações dos usuários estão sujeitas às determinações aqui contidas.
§ 3º As disposições contidas nesta Resolução não se aplicam ao tratamento de dados pessoais realizados por gabinetes parlamentares, lideranças partidárias, frentes parlamentares e Comissões Temáticas, quando o tratamento não utilizar sistemas institucionais da Câmara Municipal de Vila Valério.
Art. 2º O tratamento de dados pessoais no âmbito da Câmara Municipal de Vila Valério-ES, realizado por servidores designados para atribuições preconizadas nesta Resolução e na LGPD, pela Presidência da Câmara, por colaboradores, dentre outros, observará o disposto na Constituição Federal, na Lei Federal 13.709/2018, nesta Resolução e em demais atos dela provenientes.
Art. 3º A observância à Lei Geral de Proteção de Dados Pessoais - LGPD se dará, sem prejuízo dos procedimentos de acesso à informação previstos na Constituição Federal e regulados por legislação específica.
Art. 4º A proteção aos dados pessoais tem como fundamentos o respeito à privacidade, à autodeterminação informativa, à liberdade de expressão, de informação, de comunicação e de opinião, à inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e à inovação, à livre iniciativa, à livre concorrência e à defesa do consumidor e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Art. 5º Para fins do disposto na LGPD e nesta Resolução, considera-se:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa física ou natural a quem se referem os dados pessoais que são objetos de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: servidor da CMVV-ES, formalmente designado pelo Presidente da Câmara Municipal de Vila Valério-ES, que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD;
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pela CMVV-ES, em ambiente controlado e seguro;
XIII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIV - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XVI - Relatório de Impacto à Proteção de Dados Pessoais – RIPD: documentação da CMVV-ES que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVII - Autoridade Nacional de Proteção de Dados – ANPD: órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, em todo o território nacional; e
XVIII - colaborador: prestador de serviço terceirizado ou qualquer pessoa física ou jurídica com vínculo transitório com a CMVV-ES e que tenha acesso, de forma autorizada, a seus bancos de dados ou às suas dependências.
Art. 6º As atividades de tratamento de dados pessoais pela CMVV-ES, nos termos da Lei Federal 13.709/2018, deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comerciais e industriais;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 7º A CMVV-ES, na medida de suas competências, exerce funções e obrigações típicas de Controlador de dados pessoais, com o auxílio do Comitê Gestor de Proteção de Dados e Informações, composto por servidores do Legislativo Municipal, designados pela Presidência da Câmara Municipal.
Art. 8º O Comitê Gestor de Proteção de Dados e Informações da Câmara Municipal, instituído mediante Portaria, é responsável por auxiliar o controlador no desempenho, dentre outras, as seguintes atividades:
I - monitoramento de dados pessoais e de fluxos das respectivas operações de tratamento;
II - análise de risco;
III – Relatório de Impacto de Proteção de Dados Pessoais, exceto quando determinado somente ao encarregado pela ANPD.
Art. 9º O Comitê Gestor de Proteção de Dados e Informações da Câmara Municipal será composto por 03 (três), servidores, com mandato de 02 (dois) anos, permitida a recondução, tendo como Presidente o Encarregado de Dados Pessoais.
Parágrafo único. Os membros do Comitê deverão possuir conhecimentos sobre tratamento de dados pessoais.
CAPÍTULO III
DO TRATAMENTO DE DADOS PESSOAIS
Art. 10 O tratamento de dados pessoais, no âmbito da CMVV-ES, será realizado para o atendimento de sua finalidade pública, na persecução do interesse público e no exercício do controle interno e de suas competências constitucionais, legais e regulamentares, bem como das atribuições administrativas, em especial para:
I - cumprimento de obrigação legal ou regulatória da CMVV-ES, como as funções legislativas e de fiscalização financeira e de controle, de julgamento político-administrativo, bem como a gestão dos assuntos de sua economia interna;
II - a gestão de seus recursos humanos pelas unidades competentes;
III - a gestão financeira, de pagamentos, de contratos, convênios, acordos e instrumentos congêneres firmados do qual seja parte;
IV – a realização de ações de capacitação para construção de conhecimento na área de controle externo e aprimoramento da Administração Pública;
V - o cadastramento de munícipes, partes, procuradores, responsáveis, agentes públicos e demais interessados para garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação em sistemas físicos ou eletrônicos, mediante aceite de termo de consentimento pelo titular;
VI - o cumprimento de dever legal ou regulatório;
VII - o exercício regular de direitos em processo judicial e administrativo, do qual o Município de Vila Valério-ES, na tutela dos interesses da CMVV-ES, seja parte;
VIII - o fornecimento de informações visando a realização de estudos e pesquisas, garantida, sempre que possível, a anonimização de dados pessoais e desde que previamente autorizado pelo Presidente da CMVV-ES;
IX - o uso compartilhado de dados necessários à fiscalização de políticas públicas e ao exercício das demais competências pela CMVV-ES;
X - outras hipóteses não previstas no caput e nos incisos anteriores, mediante o fornecimento de consentimento expresso pelo titular, quando cabível.
§ 1º O consentimento referido nos incisos V e X deste artigo é revogável e não autoriza a mudança de finalidade quando incompatível com a autorização original, a comunicação ou o compartilhamento dos dados pessoais a que se refere, exigindo-se, para tanto, novo consentimento ou o consentimento específico do titular, ressalvadas as hipóteses de dispensa do consentimento previstas na LGPD.
§ 2º A CMVV-ES adotará medidas para garantir a transparência do tratamento de dados pessoais baseado em seu legítimo interesse, inclusive por meio de Relatório de Impacto à Proteção de Dados Pessoais – RIPD, quando solicitado pela ANPD.
§ 3º O tratamento de dados pessoais nas hipóteses do art. 10, inciso IX e art. 11 fica condicionado, ainda que sujeito a grau de sigilo ou à pseudonimização, ao registro da situação concreta que se pretende tratar, à demonstração de sua finalidade lícita, da indicação da necessidade, da adequação e da proporção dos meios utilizados, bem como da adoção de medidas jurídicas e de mecanismos técnicos e administrativos de minimização de riscos, de proteção aos direitos do titular e de salvaguarda das informações, que serão conservadas na forma do art. 22 desta Resolução.
Art. 11 A Câmara Municipal de Vila Valério poderá, quando necessário, atender o legítimo interesse, exceto no caso de prevalecerem, conforme o caso, direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
§ 1º Para fins de eventual tratamento de dados pessoais realizado no âmbito da Câmara Municipal, todos de interesse público, considera-se legítimo interesse, de que trata o art. 10 da Lei nº 13.709, de 2018, sem prejuízo de outras hipóteses previstas no ordenamento jurídico, a promoção da instituição, a aproximação com a sociedade, a preservação histórica, o exercício das atividades de representação do povo, de legislar sobre os assuntos de interesse local, de controle e fiscalização dos atos do Poder Executivo Municipal e da aplicação dos recursos públicos, e o fortalecimento da democracia, assim como aquelas atividades decorrentes de suas autonomias financeira e administrativa.
§ 2º Os direitos do titular de dados pessoais, em qualquer caso, serão ponderados com o interesse público de conservação de dados históricos, preservação da transparência da instituição e das condutas de agentes públicos, no exercício de suas atribuições, e divulgação de informações relevantes à sociedade, no exercício da democracia.
Art. 12 O tratamento de dados pessoais no âmbito da CMVV-ES deve ocorrer em estrita observância às hipóteses legais autorizativas, não se justificando exclusivamente pela mera disponibilidade de banco de dados previamente estabelecido.
Art. 13 Respeitados os casos e graus de sigilo regulados pela legislação pertinente, o titular tem direito ao acesso às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca:
I - da finalidade específica do tratamento;
II - da forma e duração do tratamento;
III - das informações de contato da CMVV-ES;
IV - das informações acerca do uso compartilhado de dados pela CMVV-ES e a finalidade;
V - das responsabilidades dos agentes que realizarão o tratamento; e
VI - dos direitos do titular.
Art. 14 O tratamento de dados pessoais sensíveis realizados pela CMVV-ES observará, no que couber, o disposto no art. 11 da LGPD.
Art. 15 O tratamento de dados pessoais de crianças e de adolescentes, nas hipóteses reguladas por esta Resolução, além de observar o disposto no art. 10, deverá visar ao melhor interesse do menor, nos termos da LGPD e da legislação pertinente.
Art. 16 Observado o disposto nos artigos 12 e 13 da LGPD, a CMVV-ES poderá adotar processo de anonimização de dados pessoais ou, quando reversível ou passível de reversão, de pseudonimização, sempre que a medida se mostrar recomendável diante da natureza e dos objetivos do tratamento de dados.
Parágrafo único. Para fins do disposto neste artigo, são medidas que impedem a identificação do titular dos dados pessoais, dentre outras que atinjam a mesma finalidade:
I - a supressão parcial do número de inscrição no Cadastro de Pessoas Físicas – CPF e outros documentos de identificação, bem como do endereço eletrônico;
II - a ocultação dos primeiros dígitos do Código de Endereçamento Postal – CEP e outros elementos passíveis de identificação, visando à supressão da localização geográfica;
III - a generalização do nome, excluindo-se os sobrenomes;
IV - ocultação dos primeiros dígitos do número de telefone fixo ou móvel; e
V – a generalização da idade, procedendo-se à segmentação por faixas etárias.
Art. 17 A CMVV-ES observará os processos de anonimização e de pseudonimização segundo padrões e técnicas definidas pela ANPD.
Art. 18 O tratamento de dados pessoais a partir de banco de dados próprio ou de bases custodiadas e acessíveis na forma desta Resolução, atenderão aos princípios de que trata o art. 6º da LGPD e observarão às regras de competência dos departamentos da CMVV-ES e às atribuições dos respectivos agentes e, quando cabível, serão gravadas com sigilo ou pseudonimizadas.
Art. 19 Os dados pessoais obtidos pela CMVV-ES, exclusivamente mediante consentimento do titular, não poderão ser objeto de comunicação ou compartilhamento, exceto quando houver consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na LGPD.
Art. 20 O compartilhamento de dados pessoais a partir de bases próprias da CMVV-ES com outros órgãos e entidades públicas deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, ficando condicionando à declaração do destinatário dos dados de que o tratamento pretendido atende aos princípios de proteção de dados elencados no art. 6º desta Resolução e depende da prévia celebração de acordo que contenha cláusula:
I - que demonstre a legitimidade do interessado para tratar os dados, bem como a necessidade, a adequação e a finalidade lícita e específica do tratamento; e
II - contendo a obrigação do interessado de adotar medidas de salvaguarda das informações, mesmo após o término do tratamento.
Parágrafo Único. O compartilhamento de dados pessoais pela CMVV-ES deve ser feito unicamente por meio de comunicações formais, com certificação do destinatário e estabelecimento de instrumentos efetivos de apuração e correção de eventuais desvios.
Art. 21 É vedado à Câmara Municipal de Vila Valério transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da LGPD e desta Resolução;
III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres, observadas outras disposições da LGPD;
IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo único. Caberá ao departamento responsável pela gestão e acompanhamento do instrumento de que trata o inciso III deste artigo dar ciência ao encarregado, designado na forma do art. 33 desta Resolução, para fins de comunicação à ANPD, na forma do art. 27 da LGPD.
Art. 22 Em regra, os dados pessoais serão conservados pela CMVV-ES, mesmo após o término do tratamento, constituindo arquivo público, nos termos da Lei Nacional nº 8.159/1991 e da regulamentação em vigor, e serão eliminados de acordo com a classificação arquivística de cada documento, definida na política interna de gestão documental, obedecendo-se aos prazos da tabela de temporalidade de documentos, conforme regulado em ato normativo próprio.
Parágrafo único. Não se aplica o disposto neste artigo quando houver:
I - comunicação do titular dos dados ou de seu responsável legal, no exercício de direito de revogação do consentimento, quando o tratamento tiver decorrido exclusivamente de seu consentimento prévio; e
II - determinação da ANPD, se identificada violação pela CMVV-ES de dispositivos da LGPD.
Art. 23 Em suas rotinas, os servidores, membros e os departamentos da CMVV-ES avaliarão se o tratamento está sendo feito de modo a utilizar os dados pessoais estritamente necessários à consecução de finalidade legalmente autorizada, cabendo-lhes dar ciência ao encarregado quando necessária a adoção de providências.
Art. 24 Qualquer empresa contratada pela Câmara Municipal que atue como operadora de dados pessoais deverá realizar o devido tratamento conforme a Lei nº 13.709, de 2018 - Lei Geral de Proteção de dados Pessoais (LGPD), devendo a Comissão de Licitações e Contratos, assim como os demais servidores que atuarem no procedimento de contratações públicas orientar a observância dos preceitos, instruções e das normas sobre a matéria.
Parágrafo único. Os editais de Licitações, os chamamentos públicos, as dispensas de licitação, as inexigibilidades de licitação, assim como os instrumentos contratuais utilizados para estabelecer as relações de serviço com a Câmara Municipal, deverão mencionar expressamente a possibilidade de verificação da adoção das instruções e normas pela contratada no que se refere a Lei nº 13.709/2018 - Lei Geral de Proteção de dados Pessoais (LGPD), estando sujeitos a penalidades administrativas decorrentes da Lei de Licitações.
CAPÍTULO IV
DOS DIREITOS DO TITULAR
Art. 25 Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da LGPD.
Art. 26 O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
V - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
VI - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
VIII - revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.
§ 1º Os direitos previstos neste artigo serão exercidos, no que couber, mediante requerimento expresso do titular, devidamente identificado, ou de representante regularmente constituído e habilitado perante os canais oficiais de atendimento da Câmara Municipal e serão processados como solicitação, endereçada ao Comitê Gestor de Proteção de Dados e Informações, que terá o prazo de 15 dias para resposta.
§ 2º Será liminarmente indeferida a solicitação de qualquer dos direitos previstos neste artigo, quando feita de maneira anônima ou quando não atender ao disposto no parágrafo anterior.
Art. 27 Sempre que o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos, bem como sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
Art. 28 Quando a CMVV-ES atuar como mera custodiante de dados pessoais que estejam contidos em bases de dados custodiadas, os direitos previstos na LGPD devem ser exercidos pelo titular diretamente perante a organização pública ou privada responsável pelas informações.
Parágrafo único. Para fins do disposto neste artigo, a CMVV-ES manterá relação atualizada no seu sítio eletrônico com indicação precisa das bases de dados custodiadas e da respectiva organização responsável pela informação, perante as quais o titular dos dados pessoais poderá exercer os direitos de que trata o art. 18 da LGPD.
Art. 29 Os direitos de que trata este capítulo não excluem outros previstos em legislação específica e em ato normativo próprio, inclusive:
I - o não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
II - a obtenção de informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados na forma desta resolução e da legislação em vigor;
III - o consentimento expresso, quando aplicável, sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada;
IV - a exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas em lei;
V - a publicidade e a clareza de eventuais políticas de uso de aplicações de internet.
Parágrafo único. O disposto no inciso I do caput deste artigo não se aplica ao monitoramento de infraestrutura fornecida pela CMVV-ES para fins de controle de acesso a redes, sites, sistemas e bases de dados pelos agentes de que trata o art. 2º desta Resolução, observadas, em qualquer caso, a finalidade e a necessidade do tratamento, além do adequado uso da informação.
CAPÍTULO V
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Seção I
Do Controlador e do Operador
Art. 30 O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Art. 31 O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
Art. 32 Compete ao operador de dados pessoais:
I - manter registro das operações de tratamento de dados pessoais que forem realizadas;
II - realizar o tratamento de dados segundo as instruções fornecidas pelo controlador e de acordo com as normas aplicáveis;
III - adotar, em conformidade com as instruções fornecidas pelo controlador, medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição;
IV - perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
V - subsidiar o controlador no intuito de dar cumprimento às solicitações, orientações e às recomendações do encarregado;
VI - cumprir com as obrigações de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 13.709/2018;
V - executar outras atribuições correlatas.
Seção II
Do Encarregado pelo Tratamento de Dados Pessoais
Art. 33 O encarregado pelo tratamento de dados, no âmbito da CMVV-ES, será indicado por ato do Presidente da CMVV-ES, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir atribuições legais do serviço público, nos termos do art. 23 da Lei nº 13.709, de 14 de agosto de 2018, e sua identidade e as informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico da Câmara Municipal.
Art. 34 O encarregado pelo tratamento de dados pessoais atuará como canal de comunicação entre a Câmara Municipal, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), bem como com outras entidades de proteção de dados pessoais, devendo obedecer ao seguinte:
I - possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente conhecimentos relativos à privacidade e à proteção de dados pessoais, à gestão de riscos, à governança de dados e ao acesso à informação no setor público;
II - receber contínuo aperfeiçoamento relacionado aos conhecimentos de que trata o inciso I do caput deste artigo;
III - ser nomeado, por meio de Portaria, no prazo de 30 (trinta) dias, a contar da publicação desta Resolução;
IV - não poderá desenvolver atividades de gestão financeira, de pessoas ou de tecnologia da informação, ou em outra área da qual possa resultar conflito de interesses.
Art. 35 São atribuições do encarregado da proteção de dados pessoais:
I - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da ANPD e adotar providências;
III – requisitar aos responsáveis pelas unidades administrativas da CMVV-ES, as informações que se fizerem necessárias para atendimento às solicitações da autoridade nacional ou dos titulares de direitos, a serem cumpridas no prazo assinalado, os quais deverão comunicar:
a) a existência de qualquer tipo de tratamento de dados pessoais;
b) contratos que envolvam dados pessoais;
c) situações de conflito entre a proteção de dados pessoais, o princípio da transparência ou algum outro tema de interesse público;
d) qualquer outra situação que necessite de análise e de encaminhamento, pertinente ao assunto.
IV - orientar os agentes políticos, os servidores e os colaboradores a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
V - comunicar à ANPD e ao titular dos dados pessoais a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, no prazo definido pela ANPD;
VI - receber e encaminhar às autoridades superiores da Câmara Municipal de Vila Valério, para adoção das providências pertinentes:
a) as sugestões direcionadas, nos termos do artigo 32 da Lei Federal nº 13.709, de 14 de agosto de 2018;
b) o informe de que trata o artigo 31 da Lei Federal nº 13.709, de 14 de agosto de 2018.
VII – adotar as medidas necessárias à publicação dos relatórios de impacto à proteção de dados pessoais, quando necessário.
VIII - executar as demais atribuições estabelecidas em normas complementares e na LGPD.
§ 1° Quando em atendimento ao disposto no inciso V deste artigo, o encarregado deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2° O encarregado da proteção de dados está vinculado às obrigações de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 13.709/2018 e com a Lei Federal nº 12.527, de 18 de novembro de 2011.
CAPÍTULO VI
RELATÓRIO DE IMPACTO DE PROTEÇÃO DE DADOS PESSOAIS – RIPD
Art. 36 O Relatório de Impacto de Proteção de Dados Pessoais – RIPD será elaborado pelo Comitê Gestor de Proteção de Dados e Informações, e poderá ser atualizado, sempre que se identificar a possibilidade de ocorrência de impacto na privacidade dos dados pessoais, em especial, quando resultante de:
I - nova tecnologia, serviço ou outra iniciativa em que os dados pessoais sejam ou devam ser tratados;
II - processamento de dados pessoais para tomada de decisões automatizadas que surtam efeitos legais, incluídas decisões destinadas a definir perfil, pessoal ou profissional, e aspectos da personalidade;
III - tratamento de dados pessoais de crianças e adolescentes e dados sensíveis;
IV - tratamento de dados pessoais de que possa resultar dano patrimonial, moral, individual ou coletivo aos titulares, se houver vazamento;
V - nova forma de tratamento de dados pessoais por interesse legítimo da CMVV-ES;
VI - alterações em leis e regulamentos aplicáveis à privacidade, política e normas, em operações de sistema de informações, propósitos e meios de tratamento de dados pessoais e em fluxos de dados; e
VII - reformas administrativas que impliquem nova estrutura organizacional resultante da incorporação, fusão ou cisão de unidades e que tenham impacto potencial na proteção de dados.
Art. 37 Deverão constar do RIPD:
I - identificação do encarregado;
II - indicação da necessidade de elaboração do relatório;
III - descrição do(s) tratamento(s) de dados pessoais, contendo:
a) natureza, com indicação de como o tratamento é ou será realizado, da fonte, fases, tecnologia e medidas de segurança adotadas;
b) escopo, indicando-se o(s) tipo(s) de dados pessoais tratados e a abrangência do tratamento (volume de dados, número de titulares, extensão, frequência, período de retenção e área geográfica);
c) contexto, incluindo fatores internos e externos que podem impactar no tratamento e afetar as expectativas dos titulares e parâmetros que demonstrem o equilíbrio entre o interesse e a necessidade da CMVV-ES em tratar os dados pessoais e os direitos dos titulares;
d) finalidade, entendida como razão ou motivo pelo qual o tratamento é realizado; e
e) ciclo de vida do tratamento (coleta, retenção, processamento, compartilhamento e eliminação).
IV - identificação das partes interessadas consultadas, como gestores, especialistas e consultores, ou descrição do motivo pelo qual não é feito esse registro;
V - descrição da necessidade e proporcionalidade do tratamento dos dados pessoais, indicando a fundamentação legal autorizativa, garantias da qualidade (exatidão, clareza, relevância e atualização dos dados) e da proteção dos dados e medidas assecuratórias dos direitos dos titulares;
VI - identificação dos riscos;
VII - indicação de medidas para tratamento de risco; e
VIII - aprovação do relatório mediante a assinatura do(s) responsável(is) pela elaboração, pelo encarregado e Presidente da CMVV-ES.
Art. 38 Conforme o caso, o RIPD poderá ser elaborado em documento único, abrangendo todas as operações de tratamento de dados pessoais envolvidas no escopo, ou de maneira segregada, para cada projeto, sistema ou serviço, de acordo com os processos internos de trabalho.
CAPÍTULO VII
BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO
Art. 39 Os sistemas desenvolvidos e utilizados pela CMVV-ES para o tratamento de dados pessoais serão estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas diretrizes fixadas pela ANPD e serão concebidos segundo a abordagem de privacidade desde a concepção e como padrão de sistemas e práticas de negócios.
Parágrafo único. O servidor encarregado pela área de tecnologia da informação, adotará e proporá a adoção de medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, observando padrões técnicos mínimos definidos pela ANPD.
Art. 40 As unidades da CMVV-ES, o encarregado, o operador e o comitê, no âmbito de suas competências, poderão propor à Controladoria da Câmara Municipal, a edição de Norma de Procedimento Interno - NIP, na forma de legislação específica, a fim de estabelecer regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais, observado o disposto no art. 50 da LGPD.
Art. 41 As unidades da CMVV-ES deverão comunicar imediatamente ao encarregado a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do disposto na presente Resolução.
CAPÍTULO VIII
TERMO DE COMPROMISSO DE CONFIDENCIALIDADE E PROTEÇÃO DE DADOS PESSOAIS
Art. 42 Os agentes de que tratam o art. 2º desta Resolução firmarão Termo de Compromisso de Confidencialidade e Proteção de Dados Pessoais, declarando expressamente:
I - reconhecer, em razão da utilização de ferramentas tecnológicas disponibilizadas pela CMVV-ES, a possibilidade de acesso a dados pessoais, inclusive sensíveis e de crianças e adolescentes, confidenciais ou não, armazenados nos sistemas informatizados sob a responsabilidade da CMVV-ES;
II - ter ciência de que as credenciais de acesso (login e senha) são de uso pessoal e intransferível e de conhecimento exclusivo, assumindo a inteira responsabilidade por todo e qualquer prejuízo causado pelo fornecimento da senha pessoal a terceiros, independentemente do motivo;
III - reconhecer que serão consideradas confidenciais todas as informações, transmitidas por meios escritos, eletrônicos, verbais ou quaisquer outros e de qualquer natureza, incluindo dados pessoais, os quais devem ser tratados nos termos da LGPD e desta Resolução;
IV - assumir o compromisso de não utilizar os dados pessoais a que tenha acesso, classificado como confidencial ou não, para fins diversos daqueles para os quais esteja autorizado;
V - estar ciente de que é proibida a reprodução de qualquer informação que contenha dados pessoais para sua utilização fora do âmbito das competências da CMVV-ES e das hipóteses legais autorizativas, bem como sua divulgação e compartilhamento;
VI - reconhecer que eventuais danos causados em razão da quebra de confidencialidade, disponibilidade ou integridade de dados pessoais poderão caracterizar infração administrativa disciplinar, sem prejuízo de eventual responsabilização nas demais esferas competentes;
VII - ter ciência de que seus dados pessoais utilizados para acesso aos sistemas disponibilizados pela CMVV-ES serão conservados durante o tempo em que estiver vigente o vínculo administrativo ou a relação contratual com a CMVV-ES e, ainda, durante os períodos de retenção de dados legalmente exigíveis;
VIII - ter lido, compreendido e sanado todas as dúvidas sobre o Termo de Compromisso de Confidencialidade e Proteção de Dados Pessoais.
Parágrafo único. O termo de Compromisso de que trata este artigo será firmado, conforme o caso, no ato da posse no cargo ou no momento da celebração de contrato administrativo, cujo objeto envolva o tratamento de dados pessoais.
CAPÍTULO IX
DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 43 A CMVV-ES manterá registro das operações de tratamento de dados pessoais que realizar, inclusive quanto à demonstração das razões e fundamentos para o tratamento quando embasado no legítimo interesse.
Art. 44 A CMVV-ES promoverá ações de capacitação sobre a LGPD e sobre normas, diretrizes e padrões pertinentes à sua observância voltadas para os agentes de que trata o art. 2º desta Resolução.
Art. 45 O descumprimento do disposto na LGPD e nesta Resolução, assim como a violação de normas jurídicas ou técnicas pelos agentes de que trata o art. 2º desta Resolução poderá configurar a prática de infração administrativa, ética ou disciplinar, e ensejar a aplicação de penalidade, na forma da legislação pertinente, sem prejuízo da apuração de eventual responsabilidade civil ou criminal, nas esferas competentes.
Art. 46 A Câmara Municipal de Vila Valério poderá disciplinar outras questões relativas ao assunto por meio de Ato da Mesa Diretora.
Art. 47 Esta Resolução entra em vigor na data de sua publicação.
Gabinete do Presidente da Câmara Municipal de Vila Valério-ES, em 16 de outubro de 2025.
Adilson rodrigues pereira
Presidente
Registrada e publicada nesta secretaria na data supra:
KILDREM CAO
1º SECRETÁRIO
Este texto não substitui o original publicado e arquivado na Câmara Municipal de Vila Valério.