PORTARIA Nº 2.718, DE 09 DE DEZEMBRO DE 2022

 

APROVA O PLANO DE ADEQUAÇÃO E IMPLEMENTAÇÃO DA LEI Nº 13.709/2018 (LEI GERAL DE PROTEÇÃO DE DADOS - LGPD) NA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES, VERSÃO 3.

 

O PRESIDENTE DA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES, no âmbito de sua competência regimental conferida pelo art. 39, especialmente os incisos II e XIII, da Resolução nº 264/1990 – Regimento Interno da Câmara Municipal; resolve:

 

Art. 1º Aprovar, no texto do anexo, o Plano de Adequação e Implementação da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD) na Câmara municipal de Nova Venécia-ES, versão 3.

 

Art. 2º Esta portaria entra em vigor na data de sua publicação.

 

Publique-se, cumpra-se.

 

Câmara Municipal de Nova Venécia, Estado do Espírito Santo, em 09 de dezembro de 2022; 68º de Emancipação Política; 17ª Legislatura.

 

VANDERLEI BASTOS GONÇALVES

 

Presidente

Vereador pelo Solidariedade

 

Este texto não substitui o original publicado e arquivado na Câmara de Nova Venécia.

 

PLANO DE ADEQUAÇÃO E IMPLEMENTAÇÃO DA LEI Nº 13.709/2018 (LEI GERAL DE PROTEÇÃO DE DADOS - LGPD) NA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES

 

 

SUMÁRIO

 

PLANO DE ADEQUAÇÃO E IMPLEMENTAÇÃO DA LEI Nº 13.709/2018 (LEI GERAL DE PROTEÇÃO DE DADOS - LGPD) NA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES  5

 

Histórico de Revisões e Alterações 5

 

Apresentação  5

 

Introdução  6

 

Aplicabilidade da LGPD pelas Pessoas Jurídicas de Direito Público  7

 

Sanções Administrativas na Administração Pública  10

 

Adequação da Câmara Municipal de Nova Venécia à Lei Geral de Proteção de Dados – LGPD  11

 

Etapas do Plano de Adequação e Implementação  12

 

1 - Regulamentação da LGPD, via resolução  13

 

2 - Nomeação do encarregado  14

 

3 - Matriz de responsabilidade  14

 

4 - Mobilização das equipes e conscientização dos servidores e membros da CMNV  17

 

5 - Adequação do sítio eletrônico da CMNV e elaboração da política de privacidade  18

 

6 - Inventário de dados, mapeamento de dados, fluxo de dados e análises de riscos 19

 

7 - Relatório de impacto à proteção de dados pessoais 25

 

CONCLUSÃO  29

 

BIBLIOGRAFIA  30

 

ANEXO I REGULAMENTAÇAO DA LGPD, VIA RESOLUÇÃO  31

 

Resolução nº 424, de 23 de setembro de 2022  31

 

ANEXO II - NOMEAÇÃO DO ENCARREGADO  49

 

Resolução nº 423, de 28 de junho de 2022  49

 

Portaria nº 2.605, de 15 de julho de 2022  52

 

ANEXO III - MATRIZ DE RESPONSABILIDADE DO PLANO DE ADEQUAÇÃO E IMPLEMENTAÇÃO DA LEI Nº 13.709/2018 (LEI GERAL DE PROTEÇÃO DE DADOS - LGPD) NA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES  53

 

Introdução  53

 

ANEXO IV - MOBILIZAÇÃO DAS EQUIPES E CONSCIENTIZAÇÃO DOS SERVIDORES E MEMBROS DA CMNV  65

 

Apresentação Projeto de Mobilização Praticando a LGPD  65

 

Justificativa  66

 

Objetivos 67

 

Metodologia  68

 

Recursos Necessários 69

 

Público Alvo  69

 

Ações a Serem Desenvolvidas 70

 

Resultados Esperados 70

 

Avaliação dos Resultados 70

 

Considerações Finais 71

 

ANEXO V - ADEQUAÇÃO DO SÍTIO ELETRÔNICO DA CÂMARA MUNICPAL E ELEBORAÇÃO DA POLÍTICA DE PRIVACIDADE  72

 

ANEXO VI - INVENTÁRIO DE DADOS, MAPEAMENTO DE DADOS, FLUXO DE DADOS E ANÁLISE DE RISCOS  74

 

6.1 Política de Cookies 74

 

6.2 Política de Privacidade  76

 

Aceitação do termo de uso  77

 

Definições 77

 

Dados pessoais tratados 79

 

Forma de coleta dos dados 79

 

Finalidade da utilização dos dados 79

 

Compartilhamento dos dados 80

 

Segurança no tratamento dos dados pessoais do usuário  80

 

Direitos do Titular 80

 

Atualização desta Política de Privacidade  82

 

Direito aplicável e do foro  82

 

PLANO DE ADEQUAÇÃO E IMPLEMENTAÇÃO DA LEI Nº 13.709/2018 (LEI GERAL DE PROTEÇÃO DE DADOS - LGPD) NA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES

 

Histórico de Revisões e Alterações

 

 

Apresentação

 

O presente Plano de Adequação e Implementação à Lei Geral de Proteção de Dados – LGPD, foi estruturado pelo Comitê para Estudos e Regulamentação da LGPD, criado pela Portaria nº 2.533, de 4 de março de 2022, no âmbito da Câmara Municipal de Nova Venécia para orientar a Mesa Diretora, Vereadores e servidores quanto as ações de adequação à Lei Geral de Proteção de Dados, principalmente no que se refere à segurança, a privacidade dos dados e ao adequado tratamento, no âmbito das suas competências.

A Câmara Municipal de Nova Venécia possui a tutela de dados tanto de munícipes, servidores e membros do Poder Legislativo, devendo, assim, garantir a segurança na proteção desses dados. Para alcançar, ao menos, um nível mínimo aceitável de segurança, o Comitê RECOMENDA que este Poder Legislativo adote o Plano de Adequação para atender ao disposto na LGPD, o qual deverá passar pelo crivo da Presidência desta Casa de Leis.

Assim, o Plano apresenta as etapas de adequação e implementação que deverão ser adotadas pela CMNV, conforme o tipo de dado e o tratamento que realiza.

O Plano de Adequação demonstra forte empenho quanto às Regras Boas Práticas e Governança de Dados Pessoais (art. 50 da Lei nº 13.709/2018), a partir da apresentação e organização detalhada de cada etapa, bem como, da forma em que esta Administração desenvolve os mecanismos de comunicação para aperfeiçoamento dos servidores e seus membros, bem como conhecimento aos titulares dos dados, dando transparência às ações de tratamento.

Destaca-se que o Plano de Adequação e Implementação deve ser entendido como documento colaborativo, aberto às sugestões dos operadores, controladores e titulares de dados, com isso, estará em constante mudança em razão das alterações/atualizações. Isto posto, visando a participação de todos os interessados o presente documento não é estático, sendo que será constantemente atualizado.

Introdução

A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709), aprovada em 14.08.2018, possui três momentos distintos quanto a data em que entrou em vigor: a) 28/12/2018 quantos aos artigos 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; b) 18/09/2020 quanto aos demais artigos, com exceção dos artigos 52, 53 e 54; c) 01/08/2021 quanto aos artigos 52,53 e 54 que se referem às Sanções Administrativas.

O seu texto foi fortemente inspirado na GDPR (General Data Protection Regulation – Regulamento Geral de Proteção de Dados [tradução livre]), lei que regulamenta a proteção dos dados pessoais na União Europeia que entrou em vigência em 2018 na União Europeia.

Diante do notório cenário de aumento dos casos de uso indevido, comercialização e vazamento de dados pessoais, as novas regras garantem a eficácia dos direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural, estabelecendo sanções administrativas em caso descumprimento da legislação.

Via de regra, os tratamentos de dados pessoais somente podem ser realizados por pessoas jurídicas de direito público ou privado com o consentimento de seu titular, ou seja, após sua manifestação livre, informada e inequívoca, concordando com o tratamento para uma finalidade determinada, visando resguardar a sua privacidade e liberdade, bem como limites ao acesso de terceiros às suas informações particulares.

 

Aplicabilidade da LGPD pelas Pessoas Jurídicas de Direito Público

 

A Lei Geral de Proteção de Dados disciplina as regras para o tratamento de dados pessoais a serem realizados pelas pessoas jurídicas de direito privado e público (art. 1º). Logo, toda a Administração Pública está adstrita ao cumprimento deste instrumento legal.

A Administração Pública produz, coleta, armazena dados, porém, nem todos os dados são protegidos pela LGPD. Isso porque a Lei objetivou proteger especificamente os dados classificados como pessoais, ou seja, aqueles capazes de identificar a pessoa natural, não sendo destinatários de tal proteção as pessoas jurídicas.

De acordo com os conceitos apresentados na LGPD (art. 5º, I), dado pessoal é toda informação inerente à pessoa natural identificada ou identificável (como CPF, RG, telefone, endereço, entre outros), e dado pessoal sensível (art. 5º, I) é aquele vinculado à pessoa natural, relativo à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, os dados referentes à saúde ou a vida sexual, dados genético ou biométrico.

A lei estabelece regras quanto a coleta e tratamento dos dados pessoais, explicando os direitos dos titulares, bem como, as estipulando as obrigações legas e atribuições dos controladores, encarregados e operadores de dados.

No âmbito da Câmara Municipal de Nova Venécia, pela teoria da descentralização administrativa ou teoria do órgão, é realizado o tratamento de dados pessoais e dados pessoais sensíveis no exercício de suas atribuições, conforme previsão constante no art. 7º e no art. 11 da LGPD:

 

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

 

...............................................................................................................................

 

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

 

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta lei;

 

...............................................................................................................................

 

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

 

...............................................................................................................................

 

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

 

...............................................................................................................................

 

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

 

...............................................................................................................................

 

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

 

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

d) proteção da vida ou da incolumidade física do titular ou de terceiro;

...............................................................................................................................

 

No que se refere ao tratamento de dados e a garantia do acesso à informação, em consonância com a LGPD (art. 23), o Poder Público deve:

 

1) Realizar o tratamento para atendimento de sua finalidade pública, com objetivo de executar competências legais ou cumprir atribuições do serviço público, informando ao titular:

 

a) as hipóteses em que realizam o tratamento de dados pessoais;

b) a previsão legal;

c) a finalidade;

d) os procedimentos e as práticas para a execução dessas atividades.

 

2) Indicar o encarregado quando realizarem tratamento de dados pessoais.

3) Manter os dados em formato interoperável[1] e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral;

4) Não transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto nas hipóteses do art. 26, § 1º, hipótese em que deverá comunicar à Autoridade Nacional de Proteção de Dados - ANPD, os casos de transferências por convênio ou o uso compartilhado de dados com pessoa jurídica de direito privado.

 

Nesta medida, cumprir as condições impostas pela LGPD no tratamento dos dados é requisito de licitude, visando o atendimento do princípio da legalidade. Isso significa que havendo tratamento fora das bases legais, o operador ou controlador poderão responder administrativamente ou judicialmente pelo ato, e a instituição pública sofrer sanções impostas pela lei.

 

Além do consentimento, a lei traz um rol permissivo ao tratamento dos dados pessoais, conforme quadro:

Tabela 1 - Hipóteses de tratamento de dados pessoais

Fonte: Guia de Boas Práticas: Lei Geral de Proteção de Dados. Disponível em <https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf>

 

Sanções Administrativas na Administração Pública

 

A Lei Geral de Proteção de Dados, em seus artigos 52 a 54 preveem aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados, em caso de descumprimento das regras de proteção de dados. As penalidades aplicadas à Administração Pública estão previstas nos incisos I, IV, V, VI, X, XI e XII do artigo 52, sem prejuízo das demais penalidades previstas nas leis no 8.112/1990, no 8.429/1992 e no 12.527/2011 (art. 52, § 3º). Assim, aplica-se à Administração Pública as seguintes sanções:

 

Art. 52. ..................................................................................................................

 

I - advertência, com indicação de prazo para adoção de medidas corretivas;

 

...............................................................................................................................

 

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

 

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

 

VI - eliminação dos dados pessoais a que se refere a infração;

 

...............................................................................................................................

 

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

 

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

 

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

As sanções de suspensão parcial, suspensão do exercício e proibição parcial ou total previstas nos incisos X, XI e XII do art. 52 somente serão aplicadas após ter sido imposta ao menos uma das sanções previstas nos incisos IV, V e VI do art. 52, para o mesmo caso concreto, e em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, após ouvidos esses órgãos (art. 52, § 6º, I e II), como é o caso deste Poder Legislativo Municipal.

 

Adequação da Câmara Municipal de Nova Venécia à Lei Geral de Proteção de Dados – LGPD

 

A adequação à LGPD é uma demanda a ser cumprida por todos os órgãos públicos de todas as esferas da federação, desde a autoridade máxima, passando pelas áreas meio e fim. A necessidade de um projeto de adequação se dá pela característica multidisciplinar, que engloba vários setores (multisetorial).

Em 10 de fevereiro de 2022 foi publicada a Emenda Constitucional nº 115, que alterou a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais:

 

Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:

 

...............................................................................................................................

 

LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.

 

Desta feita, considerando o cenário internacional iniciado com a promulgação da GPDR em 2018, o cenário nacional com a promulgação da LGPD, bem como a fixação dos direitos à proteção de dados pessoais, inclusive nos meios digitais, como um direito e garantia fundamental individual, resta evidente a necessidade de adequação da CMNV à LGPD.

Nesta medida, torna-se imperiosa a elaboração e contínua atualização do Plano de Adequação e Implementação à LGPD, de forma colaborativa, a ser gerido por esse Poder Legislativo.

O objetivo do presente Plano de Adequação e Implementação é a adequação das tecnologias e processos administrativos às disposições da LGPD, com posterior procedimento de implementação desses procedimentos e processos, bem como, conscientizar servidores e membros do Poder Legislativo Veneciano, a fim de garantir a privacidade de dados pessoais por eles tratados.

O Plano de Adequação e Implementação, inicialmente demonstrado, deverá ser constantemente atualizado de forma colaborativa pela equipe de compliance ou controle interno para correta adequação aos princípios da LGPD, e sob orientação do Encarregado de Dados Pessoais, o qual ainda será nomeado pela Presidência desta Casa de Leis.

Diante da fundamentação acima carreada, o plano de adequação e implementação deve observar:

 

1) A publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas do sítio eletrônico da Câmara, bem como no Portal da Transparência.

2) O atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23, § 1º, e do art. 27, parágrafo único da Lei Federal nº 13.709, de 2018.

3) A manutenção de dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

 

Etapas do Plano de Adequação e Implementação

 

O Plano de Adequação e Implementação objetiva ilustrar a estrutura de governança em proteção de dados da Câmara Municipal de Nova Venécia. Como referências, utilizamos o Plano de Adequação do Município de São Mateus e o Guia do Programa de Governança em Privacidade do Governo Federal, realizando adaptações à realidade deste Poder Legislativo.

Desta feita, o presente Plano de Adequação e Implementação foi pensado com as seguintes fases, conforme estudos realizados pelo Comitê da LGPD da CMNV:

 

 

A execução das etapas do plano de adequação estabelecido acima não precisa necessariamente obedecer a ordem definida no cronograma, podendo ser realizadas de modo concomitante e aleatório, exceto para as etapas 7 e 8 que dependem da conclusão das etapas anteriores.

 

1 - Regulamentação da LGPD, via resolução

 

A Resolução de regulamentação da LGPD, no âmbito da Câmara Municipal de Nova Venécia, possibilita tanto ao titular de dados pessoais quanto aos agentes de tratamento de dados, ao Encarregado de Dados Pessoais, servidores e vereadores uma orientação mais precisa quanto à aplicação da Lei Federal.

Ressalta-se que a regulamentação da LGPD é um dos primeiros passos para adequação e implementação da nova legislação.

 

2 - Nomeação do encarregado

 

Considerando que o Encarregado de Dados Pessoais, conforme art. 5º, inciso VIII da LGPD é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.

 

Considerando que Autoridade Nacional de Proteção de Dados, em seu Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, assim aduz:

No mesmo sentido, ressalta-se que os órgãos públicos devem cumprir os deveres de transparência e de nomeação de encarregado (pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a ANPD), pois além de atuarem em nome da pessoa jurídica da qual fazem parte, tais obrigações decorrem expressamente da LGPD (art. 23, I e III). [2]

 

Considerando que foi aprovada em Plenário o Projeto de Resolução nº 4/2022, convertido em Resolução nº 423/2022 que insere e altera dispositivos que especifica da Resolução nº 346, de 18 de novembro de 2005, que dispõe sobre a organização administrativa da Câmara Municipal de Nova Venécia-ES e dá outras providências, o qual criou a Função Gratificada de Encarregado de Dados Pessoais.

 

Desta feita, o Encarregado de Dados Pessoais deve ser nomeado, a fim de que possa auxiliar o Comitê da LGPD e os agentes de tratamento nos trabalhos de adequação e implementação da legislação, no âmbito da CMNV.

 

A nomeação da Encarregada de Dados Pessoais ocorreu em 15 de julho de 2022, através da Portaria nº 2.605, de 15 de julho de 2022.

 

3 - Matriz de responsabilidade

 

Na execução das ações previstas neste Plano de Adequação e Implementação, devido à sua característica multidisciplinar e multisetorial, diversos atores tem participação essencial nas etapas.

Primeiramente, é preciso reconhecer e entender os conceitos que a LGPD atribui aos atores envolvidos no armazenamento, tratamento e operação de dados, conforme art. 5º. São eles:

1) Controlador: pessoal natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, inciso VI).

2) Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, inciso VII).

3) Encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD (art. 5º, inciso VIII).

4) Agentes de Tratamento: o controlador e o operador (art. 5º, inciso IX).

5) Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, inciso V).

Considerando a conceituação acima e relacionando à estrutura do Poder Legislativo Municipal, podemos sintetizar as responsabilidades conforme quadro:

 

 

O Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado elaborado pela ANPD dispõe acerca de quem seria considerado Controlador na Administração Pública:

 

21. Situação peculiar é a das pessoas jurídicas de direito público, cujas competências decisórias são distribuídas internamente entre diferentes órgãos públicos. É o que ocorre, por exemplo, com a União (pessoa jurídica de direito público) e os Ministérios (órgãos públicos despersonalizados que integram a União e realizam tratamento de dados pessoais conforme o previsto na legislação).

 

22. Nesses casos, deve-se considerar dois aspectos centrais. De um lado, conforme o art. 5º, VI, da LGPD, o controlador é a União, pessoa jurídica de direito público que, em última análise, é a responsável pelas obrigações decorrentes da lei, de instrumentos contratuais ou de atos ilícitos praticados pelos seus órgãos e servidores.

 

23. De outro lado, a LGPD atribuiu aos órgãos públicos obrigações típicas de controlador, indicando que, no setor público, essas obrigações devem ser distribuídas entre as principais unidades administrativas despersonalizadas que integram a pessoa jurídica de direito público e realizam tratamento de dados pessoais.

 

24. Nesse sentido, a União, como controladora, é a responsável perante a LGPD, mas as atribuições de controlador, por força da desconcentração administrativa, são exercidas pelos órgãos públicos que desempenham funções em nome da pessoa jurídica da qual fazem parte, fenômeno que caracteriza a distribuição interna das competências. É o que se verifica nas hipóteses de uso compartilhado de dados pessoais (art. 26), de atendimento às exigências da ANPD (art. 29) e de aplicação de sanções administrativas (art. 52, § 3º).

 

29. Assim, em conclusão: nas operações de tratamento de dados pessoais conduzidas por órgãos públicos despersonalizados a pessoa jurídica de direito público a que os órgãos sejam vinculados é a controladora dos dados pessoais e, portanto, responsável pelo cumprimento da LGPD. 30. Contudo, em razão do princípio da desconcentração administrativa, o órgão público despersonalizado desempenhará funções típicas de controlador de dados, de acordo com as obrigações estabelecidas na LGPD.

 

Conforme a Resolução nº 346/2005 alterada recentemente pela Resolução nº 432/2022:

 

Art. 6º-C. O Encarregado pelo Tratamento de Dados Pessoais será indicado pelo Controlador da Câmara Municipal, cuja função gratificada ou cargo será para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir atribuições legais do serviço público, nos termos do art. 23 da Lei nº 13.709, de 14 de agosto de 2018. (Dispositivo incluído pela Resolução nº 423/2022)

 

Art. 6º-D. A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico da Câmara Municipal. (Dispositivo incluído pela Resolução nº 423/2022)

 

Art. 6º-E. As atividades do Encarregado pelo Tratamento de Dados Pessoais consistem em: (Dispositivo incluído pela Resolução nº 423/2022)

 

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (Dispositivo incluído pela Resolução nº 423/2022)

 

II - receber comunicações da autoridade nacional e adotar providências; (Dispositivo incluído pela Resolução nº 423/2022)

 

III - orientar os servidores e aos contratados da Câmara Municipal a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (Dispositivo incluído pela Resolução nº 423/2022)

 

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. (Dispositivo incluído pela Resolução nº 423/2022)

 

A Câmara Municipal de Nova Venécia deve garantir ao encarregado da proteção de dados os recursos operacionais e financeiros necessários ao desempenho de suas funções e à manutenção dos seus conhecimentos, bem como, garantir acesso motivado a todas as operações de tratamento.

 

O encarregado da proteção de dados deve guardar sigilo e confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 13.709 de 2018 e com a Lei Federal nº 12.527, de 2011.

A autoridade responsável por garantir o processo de adequação e implementação é o Presidente, representante da Câmara Municipal de Nova Venécia, órgão que exerce funções e obrigações típicas de controlador de dados pessoais, atuando como operador dos dados pessoais, diretamente ou mediante contratação de pessoa jurídica, nos termos do art. 5º, VI, VII e IX, da LGPD.

 

4 - Mobilização das equipes e conscientização dos servidores e membros da CMNV

 

Mobilização é a construção inicial das ações para adequação da CMNV à LGPD. Para tanto, optou-se por incluir um programa constante de treinamentos, elaborado anteriormente já pela Unidade de Controle Interno - UCI, denominado projeto “SERVIR LEGAL”, instituído em 2021 a ser realizado em todo mês de outubro de cada ano.

Contudo, considerando a pertinência do projeto de capacitação dos servidores e sua importância na eficiência na prestação dos serviços públicos, entende-se que o projeto SERVIR LEGAL deva ser proporcionado de forma continuada aos servidores e vereadores que estejam em capacitação em relação à temática de proteção de dados pessoais, especialmente os integrantes Comitê da LGPD da CMNV e o futuro encarregado de dados pessoais.

A definição do projeto SERVIR LEGAL como estratégia inicial de mobilização e conscientização não tira a responsabilidade do Controlador de mobilizar os servidores e vereadores, bem como, de planejar e executar estratégias de conscientização.

O Controlador é responsável por adotar todas as medidas necessária à adequação e implementação, devendo ainda, incluir no plano, o planejamento específico para ações de comunicação interna quanto a privacidade de dados.

Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, poderão formular regras de boas práticas e de governança, conforme art. 50 da Lei nº 13.709/2018, que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

 

5 - Adequação do sítio eletrônico da CMNV e elaboração da política de privacidade

 

O sítio eletrônico da Câmara Municipal de Nova Venécia precisa ser adequado à LGPD, a fim de resguardar os dados pessoais dos usuários que acessam o site.

 Deverá ser elaborada e estar disponível a Política de Privacidade, bem como a Política de Cookies, Política de Segurança da Informação, devendo conter meios para que o usuário possa optar pela forma que autoriza (totalmente ou parcialmente) ou não a utilização de seus dados pessoais.

O Departamento de Centro Processamento de Dados atualizará, juntamente com a Unidade de Controle Interno, o Comitê da LGPD e o futuro encarregado de dados pessoais, as normas de segurança da informação, estabelecendo regras de procedimentos para adequação à LGPD, devendo elaborar as normas que ainda não estão disciplinadas no âmbito da CMNV.

 

6 - Inventário de dados, mapeamento de dados, fluxo de dados e análises de riscos

 

Mapeamento de dados pessoais ou inventário de dados, é o documento primordial na efetivação do Plano de Adequação à LGPD, por meio do qual o setor competente realizará a análise de toda a tramitação que o dado pessoal percorre, no âmbito da CMNV, desde a coletado até o seu arquivamento ou descarte. Base Legal: art. 37 da LGPS.

O inventário de dados, conforme proposto neste plano, engloba o mapeamento de dados, objetivando identificar:

1) serviços e processos que tratam dados;

2) os agentes de tratamento;

3) fases do ciclo de vida do tratamento dados pessoais;

4) fluxo do tratamento dos dados pessoais;

5) escopo e natureza dos dados pessoais;

6) finalidade do tratamento;

7) categoria de dados pessoais;

8) categoria de dados pessoais sensíveis;

9) frequência e quantidade de dados pessoais tratados;

10) medidas de segurança de privacidade.

 

 

O inventário de dados pessoais deverá ser organizado em planilha, a qual deve ser preenchida por cada setor responsável pelo tratamento de dados, conforme cada processo, refletindo o caminho percorrido pelo dado pessoal dentro do Poder Legislativo de Nova Venécia, inclusive possibilitando a construção do fluxograma de dados.

 

Desta feita, com a elaboração do inventário de dados pessoais e seu mapeamento, será possível quantificar a análise do risco no tratamento dos dados pessoais.

 

O art. 5º, XVII, da LGPD preconiza que o Relatório de Impacto deve descrever “medidas, salvaguardas e mecanismos de mitigação de risco”.

 

Antes de definir tais medidas, salvaguardas e mecanismos, é necessário identificar os riscos que geram impacto potencial sobre o titular dos dados pessoais.

Para cada risco identificado, define-se: a probabilidade de ocorrência do evento de risco (P), o possível impacto caso o risco ocorra, avaliando o nível potencial de risco para cada evento (I).

 

 

Partindo dessa metodologia, obteve-se a Matriz: Probabilidade x Impacto, instrumento de apoio para a definição dos critérios de classificação do nível de risco, conforme exposto na tabela:

 

 

Risco enquadrado na região:

Verde, é entendido como baixo;

Amarelo, representa risco moderado; e

Vermelho, indica risco alto.

 

Os agentes de tratamento devem identificar todos os tipos de riscos que podem afetar o tratamento de dados pessoais, incluindo os de natureza técnica, administrativa, de segurança da informação ou de privacidade.

Considerando que é obrigação do agente adotar medidas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, o mapeamento de risco deve ser considerado instrumento de gestão de uso contínuo, que deve ser constantemente atualizado. Abaixo, o modelo de gestão de risco nos processos que envolvam tratamento de dados:

 

MAPEAMENTO DE RISCO

 

Legenda:

P: Probabilidade

I: Impacto

 

Os riscos apontados na planilha, assim, como as avaliações feitas são meramente exemplificativas, ou seja, não exaurem a possibilidade de existência de outros riscos, que devem ser avaliados conforme cada processo, por isso, a planilha deverá ser adaptada. Identificar o risco no processo, nova planilha deve ser elaborada considerando a medida de segurança adotada, e a nova avaliação de risco.

 

PLANO DE RESPOSTA

 

 

7 - Relatório de impacto à proteção de dados pessoais

 

O Relatório de Impacto à Proteção de Dados Pessoais – RIPD, está previsto no art. 5º. da LGPD:

 

Art. 5º Para os fins desta lei, considera-se:

 

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

 

Trata-se de um documento que serve para demonstrar a conformidade do tratamento de dados pessoais realizado pelo controlador, de forma a demonstrar que (…) o controlador realizou uma avaliação dos riscos nas operações de tratamento de dados pessoais que são coletados, tratados, usados, compartilhados e quais medidas são adotadas para mitigação dos riscos que possam afetar as liberdades civis e direitos fundamentais dos titulares desses dados[3]

 

O controlador é responsável pela adequação dos procedimentos à LGPD, cabendo a ele aplicar o Plano, fazendo as adaptações necessárias, pois este serve como base para a elaboração do RIPD, principalmente quando solicitado pela ANPD.

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Assim, conforme disposto na legislação, o relatório deverá conter no mínimo:

 

I - a descrição dos tipos de dados coletados;

 

II - a metodologia utilizada para a coleta;

 

III - a metodologia utilizada para a garantia da segurança das informações; e

 

IV - a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

 

Para adequar o RIPD a ser elaborado, sugere-se que o mesmo utilize o modelo proposto no Guia de Práticas da Secretaria do Governo Digital – Ministério da Economia:

 

 

Fonte: Modelo de Relatório CCGD da Secretaria do Governo Digital (2020).

 

CONCLUSÃO

 

Isto posto, submetemos o presente plano de aprovação para aprovação do Presidente, na qual qualidade de representante da Câmara Municipal de Nova Venécia-ES, o qual conforme a Lei Geral de Proteção de Dados exerce atribuições típicas de Controlador.

O Plano de Adequação e Implementação, inicialmente, proposto deverá ser atualizado de forma colaborativa pelos agentes de proteção de dados, encarregado de dados pessoais e equipe de apoio.

Nova Venécia, Estado do Espírito Santo, em 29 de novembro de 2022.

 

JHON HEBERT MARTINS FERREIRA

Presidente do Comitê

 

MARIA LUIZA ALVES DOS SANTOS

Secretária

 

FABIANO JOSÉ GOMES CARDOSO

Membro

 

GILSON JOÃO DOS SANTOS

Membro

 

TATYANI LEMOS BARBOSA ROTTA

Membra

 

VANESSA TOSI PUPPIM

Membra

 

DANIELA BRAGA ARAÚJO ZAMPROGNO

Encarregada de Dados Pessoais

 

BIBLIOGRAFIA

 

BRASIL. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Disponível em <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf>. Acesso em 20.jun.2022

BRASIL. EMENDA CONSTITUCIONAL Nº 115, DE 10 DE FEVEREIRO DE 2022.
Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Disponível em http://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm>. Acesso em 06.jul.2022.

BRASIL. LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) - Guia de Boas Práticas para Implementação na Administração Pública Federal. Disponível em <https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf>. Acesso em 06.jul.2022.

BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em<http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em 06.jul.2022.

UNIÃO EUROPÉIA. General Data Protection Regulation – GDPR. Disponível em <https://gdpr-info.eu/>. Acesso em 20.jun.2022

 

ANEXO I

REGULAMENTAÇAO DA LGPD, VIA RESOLUÇÃO

 

Resolução nº 424, de 23 de setembro de 2022

 

REGULAMENTA, NO ÂMBITO DA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES, A APLICAÇÃO DA LEI Nº 13.709, DE 14 DE AGOSTO DE 2018, LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPD.

 

A MESA DA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES, no uso de suas atribuições conferidas pelo art. 33, XII, combinado com o art. 39, IV, do Regimento Interno, faz saber que o Plenário aprovou e o presidente promulga a seguinte resolução:

 

CAPÍTULO I

DISPOSIÇÕES GERAIS

 

Art. 1º A presente resolução visa regulamentar, no âmbito da Câmara Municipal de Nova Venécia-ES, a aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, visando ao tratamento de dados pessoais, inclusive em meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

 

Art. 2º O tratamento de dados pessoais, no âmbito da Câmara Municipal de Nova Venécia-ES CMNV-ES, realizado por- vereadores, servidores, colaboradores e estagiários, observará o disposto na Constituição Federal, na Lei nº 13.709, de 14 de agosto de 2018, e nesta resolução.

 

Art. 3º A observância à Lei Geral de Proteção de Dados Pessoais - LGPD se dará, sem prejuízo dos procedimentos de acesso à informação previstos no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal e regulados por legislação específica.

 

Art. 4º A proteção aos dados pessoais tem como fundamentos o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadaniaa pelas pessoas naturais.

 

Art. 5º Nos termos definidos pelo art. 6º da LGPD, o tratamento de dados pessoais deverá observar a boa-fé e os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

 

Art. 6º A CMNV-ES, no âmbito do Município de Nova Venécia-ES e de suas competências, exerce funções e obrigações típicas de controlador de dados pessoais, atuando como operador dos dados pessoais, diretamente ou mediante contratação de pessoa jurídica, nos termos do art. 5º, VI, VII e IX, da LGPD.

 

§ 1º Para fins do disposto na LGPD e nesta resolução, considera-se:

 

I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

 

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

 

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

 

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

 

V - titular: pessoa física ou natural a quem se referem os dados pessoais que são objetos de tratamento;

 

VI - encarregado: servidor da CMNV-ES, formalmente designado pelo presidente da CMNV-ES que atua como canal de comunicação entre o Poder Legislativo Municipal, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD;

 

VII - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

 

VIII - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

 

XII - pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pela CMNV-ES em ambiente controlado e seguro;

 

XIII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

 

XIV - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

 

XV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

 

XVI - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

 

XVII - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

 

XVIII - Relatório de Impacto à Proteção de Dados Pessoais – RIPD: documentação da CMNV-ES que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

 

XIX - Autoridade Nacional de Proteção de Dados – ANPD: órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, em todo o território nacional; e

 

XX - colaborador: prestador de serviço terceirizado ou qualquer pessoa física ou jurídica com vínculo transitório com a CMNV-ES e que tenha acesso, de forma autorizada, a seus bancos de dados ou às suas dependências;

 

§ 2º A definição de que trata o inciso I do § 1º não abrange os dados anonimizados, salvo quando o processo de anonimização ao qual foram submetidos puder ser revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido, na forma do art. 12 da LGPD.

 

CAPÍTULO II

TRATAMENTO DE DADOS PESSOAIS PELA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES

 

Art. 7º O tratamento de dados pessoais, no âmbito da CMNV-ES, será realizado para o atendimento de sua finalidade pública, na persecução do interesse público e no exercício do controle interno e de suas competências constitucionais, legais e regulamentares, bem como das atribuições administrativas, em especial para:

 

I - cumprimento de obrigação legal ou regulatória da CMNV-ES, como as funções legislativas, de fiscalização financeira e de controle externo do Executivo, de julgamento político-administrativo, bem como a gestão dos assuntos de sua economia interna;

 

II - a gestão de seus recursos humanos pelas unidades competentes;

 

III - a gestão financeira, de pagamentos, de contratos, convênios, acordos e instrumentos congêneres firmados do qual seja parte;

 

IV - a proteção da vida ou da incolumidade física do titular ou de terceiros e para a realização de ações de segurança física, patrimonial e daquelas definidas em normas e regulamentos da CMNV-ES;

 

V - o cadastramento de munícipes, partes, procuradores, responsáveis, agentes públicos e demais interessados para garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação em sistemas eletrônicos, mediante aceite de termo de consentimento pelo titular;

 

VI - o cumprimento de dever legal ou regulatório;

 

VII - o exercício regular de direitos em processo judicial e administrativo, do qual o Município de Nova Venécia-ES, na tutela dos interesses da CMNV-ES, seja parte;

 

VIII - o fornecimento de informações visando à realização de estudos e pesquisas, garantida, sempre que possível, a anonimização de dados pessoais e desde que previamente autorizado pelo presidente da CMNV-ES;

 

IX - o uso compartilhado de dados necessários à fiscalização de políticas públicas e ao exercício das demais competências pela CMNV-ES;

 

X - atender, quando necessário, aos interesses legítimos da CMNV-ES ou de terceiros, exceto no caso de prevalecerem, conforme o caso, direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

 

XI - outras hipóteses não previstas no caput e nos incisos anteriores, mediante o fornecimento de consentimento expresso pelo titular, quando cabível.

 

§ 1º O consentimento referido nos incisos V e XI no caput deste artigo é revogável e não autoriza a mudança de finalidade quando incompatível com a autorização original, a comunicação ou o compartilhamento dos dados pessoais a que se refere, exigindo-se, para tanto, novo consentimento ou o consentimento específico do titular, ressalvadas as hipóteses de dispensa do consentimento previstas na LGPD.

 

§ 2º Para fins do disposto no inciso X do caput deste artigo, admite-se o tratamento de dados pessoais estritamente necessários para finalidades legítimas pretendidas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

 

I - apoio e promoção de atividades da CMNV-ES; e

 

II - proteção, em relação ao titular dos dados pessoais, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas suas legítimas expectativas e os direitos e liberdades fundamentais.

 

§ 3º A CMNV-ES adotará medidas para garantir a transparência do tratamento de dados pessoais baseado em seu legítimo interesse, inclusive por meio de Relatório de Impacto à Proteção de Dados Pessoais – RIPD, quando solicitado pela ANPD.

 

§ 4º O tratamento de dados pessoais nas hipóteses dos incisos IX e X do caput deste artigo fica condicionado, ainda que sujeito a grau de sigilo ou à pseudonimização, ao registro da situação concreta que se pretende tratar, à demonstração de sua finalidade lícita, da indicação da necessidade, da adequação e da proporção dos meios utilizados, bem como da adoção de medidas jurídicas e de mecanismos técnicos e administrativos de minimização de riscos, de proteção aos direitos do titular e de salvaguarda das informações, que serão conservadas na forma do art. 18 desta resolução.

 

Art. 8º O tratamento de dados pessoais, mesmo quando sujeitos a acesso público, deve considerar a finalidade, a boa-fé e o interesse público que justifiquem sua disponibilização.

 

Parágrafo único. O tratamento de dados pessoais no âmbito da CMNV-ES deve ocorrer em estrita observância às hipóteses legais autorizativas, não se justificando exclusivamente pela mera disponibilidade de banco de dados previamente estabelecido.

 

Art. 9º Respeitados os casos e graus de sigilo regulados pela legislação pertinente, o titular tem direito ao acesso às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca:

 

I - da finalidade específica do tratamento;

 

II - da forma e duração do tratamento;

 

III - das informações de contato da CMNV-ES;

 

IV - das informações acerca do uso compartilhado de dados pela CMNV-ES e a finalidade;

 

V - das responsabilidades dos agentes que realizarão o tratamento; e

 

VI - dos direitos do titular, com menção explícita aos direitos contidos no art. 18 da LGPD.

 

Art. 10 O tratamento de dados pessoais sensíveis realizados pela CMNV-ES observará, no que couber, o disposto no art. 11 da LGPD.

 

Art. 11 O tratamento de dados pessoais de crianças e de adolescentes, nas hipóteses reguladas por esta resolução, além de observar o disposto no art. 10, deverá visar ao melhor interesse do menor, nos termos da LGPD e da legislação pertinente.

 

Art. 12 Observado o disposto nos artigos 12 e 13 da LGPD, a CMNV-ES poderá adotar processo de anonimização de dados pessoais ou, quando reversível ou passível de reversão, de pseudonimização, sempre que a medida se mostrar recomendável diante da natureza e dos objetivos do tratamento de dados.

 

Parágrafo único. Para fins do disposto neste artigo, são medidas que impedem a identificação do titular dos dados pessoais, dentre outras que atinjam a mesma finalidade:

 

I - a supressão parcial do número de inscrição no Cadastro de Pessoas Físicas – CPF e outros documentos de identificação, bem como do endereço eletrônico;

 

II - a ocultação dos primeiros dígitos do Código de Endereçamento Postal – CEP e outros elementos passíveis de identificação, visando à supressão da localização geográfica;

 

III - a generalização do nome, excluindo-se os sobrenomes;

 

IV - ocultação dos primeiros dígitos do número de telefone fixo ou móvel; e

 

V - a generalização da idade, procedendo-se à segmentação por faixas etárias.

 

Art. 13 A CMNV-ES observará os processos de anonimização e de pseudonimização segundo padrões e técnicas definidas pela ANPD.

 

Art. 14 Exceto quando anonimizados, o tratamento de dados pessoais a partir de banco de dados próprio ou de bases custodiadas e acessíveis na forma do inciso IX do art. 7º desta resolução atenderão aos princípios de que trata o art. 6º da LGPD e observarão às regras de competência dos departamentos da CMNV-ES e as atribuições dos respectivos agentes e, quando cabível, serão gravadas com sigilo ou pseudonimizadas, conforme o caso.

 

Art. 15 Os dados pessoais obtidos pela CMNV-ES, exclusivamente mediante consentimento do titular, não poderão ser objeto de comunicação ou compartilhamento, exceto quando houver consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na LGDP.

 

Art. 16 O compartilhamento de dados pessoais a partir de bases próprias da CMNV-ES se dará nas hipóteses previstas no art. 26 da LGPD e fica condicionando à declaração do destinatário dos dados de que o tratamento pretendido atende aos princípios de proteção de dados elencados no art. 6º da LGPD e depende da prévia celebração de acordo que contenha cláusula:

 

I - que demonstre a legitimidade do interessado para tratar os dados, bem como a necessidade, a adequação e a finalidade lícita e específica do tratamento; e

 

II - contendo a obrigação do interessado de adotar medidas de salvaguarda das informações, mesmo após o término do tratamento.

 

§ 1º Para fins do disposto neste artigo, caberá ao interessado o respectivo ônus argumentativo, na forma do § 4º do art. 7º desta resolução, mesmo na hipótese do art. 7º, § 3º, da LGPD.

 

§ 2º O compartilhamento de dados pessoais pela CMNV-ES deve ser feito unicamente por meio de comunicações formais, com certificação do destinatário e estabelecimento de instrumentos efetivos de apuração e correção de eventuais desvios.

 

Art. 17 É vedada a transferência a entidades privadas de dados pessoais pela CMNV-ES, exceto:

 

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);

 

II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da LGPD e desta resolução;

 

III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres, observada, em qualquer caso, o disposto no art. 5º desta resolução; ou

 

IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

 

Parágrafo único. Caberá ao departamento responsável pela gestão e acompanhamento do instrumento de que trata o inciso III deste artigo dar ciência ao encarregado, designado na forma do art. 20 desta resolução, para fins de comunicação à ANPD, na forma do art. 27 da LGPD.

 

Art. 18 Em regra, os dados pessoais serão conservados pela CMNV-ES, mesmo após o término do tratamento, constituindo arquivo público, nos termos da Lei Nacional nº 8.159/1991 e da regulamentação em vigor, e serão eliminados de acordo com a classificação arquivística de cada documento, definida na política interna de gestão documental, obedecendo-se aos prazos da tabela de temporalidade de documentos, conforme regulado em ato normativo próprio.

 

Parágrafo único. Não se aplica o disposto neste artigo quando houver:

 

I - comunicação do titular dos dados ou de seu responsável legal, no exercício de direito de revogação do consentimento, quando o tratamento tiver decorrido exclusivamente de seu consentimento prévio; e

 

II - determinação da ANPD, se identificada violação pela CMNV-ES de dispositivos da LGPD.

 

Art. 19 Em suas rotinas, os servidores, membros e os departamentos da CMNV-ES avaliarão se o tratamento está sendo feito de modo a utilizar os dados pessoais estritamente necessários à consecução de finalidade legalmente autorizada, cabendo-lhes dar ciência ao encarregado quando necessária a adoção de providências.

 

CAPÍTULO III

ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS NA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES

 

Art. 20 Na forma da Resolução nº 423, de 28 de junho de 2022, que alterou a Resolução nº 346/2005, que incluiu os artigos. 6ª-C a 6º-D, observado ainda o disposto no inciso VI do § 1º do art. 6º desta resolução, o encarregado pelo tratamento de dados, no âmbito da CMNV-ES, será indicado por ato do presidente da CMNV-ES, cuja função gratificada ou cargo será para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir atribuições legais do serviço público, nos termos do art. 23 da Lei nº 13.709, de 14 de agosto de 2018, e sua identidade e as informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico da Câmara Municipal.

 

§ 1º As competências, requisitos para a investidura no cargo ou função gratificada, bem como as suas vedações estarão previstos na Resolução nº 346/2005.

 

§ 2º Além do disposto no art. 24 desta resolução, as comunicações feitas com base na LGPD, nesta resolução ou na Resolução nº 346/2005, serão recebidas e respondidas pela Ouvidoria e, nas hipóteses tratadas neste artigo, deverão ser instruídas pelo encarregado.

 

Art. 22 Para o desempenho de suas atribuições, o encarregado poderá solicitar o apoio dos departamentos da CMNV-ES, condicionado à disponibilidade de recursos humanos e materiais conforme previamente autorizado pelas respectivas chefias, sendo-lhe facultado reportar-se diretamente ao presidente ou à Diretoria Geral – DIRGE da Câmara Municipal de Nova Venécia-ES.

 

CAPÍTULO IV

DIREITOS DO TITULAR PERANTE A CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES

 

Art. 23 As informações sobre o tratamento de dados pessoais realizados pela CMNV-ES deverão ser disponibilizadas em seu sítio eletrônico, na Carta de Serviços ao Usuário e na política de privacidade, de forma clara, adequada e ostensiva, contendo, em especial, indicações sobre:

 

I - a finalidade específica do tratamento;

 

II - a forma e a duração do tratamento, ressalvados os dados sujeitos a sigilo, nos termos da legislação aplicável;

 

III - a eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;

 

IV - as informações de contato;

 

V - as informações sobre o uso compartilhado de dados e a indicação das entidades públicas e privadas com as quais a CMNV-ES realiza uso compartilhado de dados;

 

VI - a responsabilidade administrativa disciplinar e a legislação a que estão sujeitos os agentes que realizam o tratamento de dados pessoais, no âmbito da CMNV-ES, em caso de inobservância aos ditames legais;

 

VII - o direito de acesso facilitado pelo titular, com menção explícita ao art. 18 da LGPD; e

 

VIII - a revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.

 

Art. 24 Os direitos de que trata o art. 18 da LGPD serão exercidos, no que couber, mediante requerimento expresso do titular, devidamente identificado, ou de representante regularmente constituído e habilitado perante os canais oficiais de atendimento da Ouvidoria da CMNV-ES e serão processados como solicitação, na forma de regulamento específico.

 

§ 1º A confirmação de existência ou o acesso a dados pessoais serão providenciados mediante requisição do titular em formato simplificado, imediatamente, ou por meio de declaração clara e completa, no prazo de até quinze dias, contado da data do requerimento do titular.

 

§ 2º Será liminarmente indeferida a solicitação de qualquer dos direitos previstos no art. 18 da LGPD, quando feita de maneira anônima ou quando não atender ao disposto no § 1º.

 

Art. 25 Sempre que o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos, bem como sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.

 

Art. 26 Quando a CMNV-ES atuar como mera custodiante de dados pessoais que estejam contidos em bases de dados custodiadas, os direitos previstos na LGPD devem ser exercidos pelo titular diretamente perante a organização pública ou privada responsável pelas informações.

 

Parágrafo único. Para fins do disposto neste artigo, a CMNV-ES manterá relação atualizada no seu sítio eletrônico com indicação precisa das bases de dados custodiadas e da respectiva organização responsável pela informação, perante as quais o titular dos dados pessoais poderá exercer os direitos de que trata o art. 18 da LGPD.

 

Art. 27 Os direitos de que trata este capítulo não excluem outros previstos em legislação específica e em ato normativo próprio, inclusive:

 

I - o não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

 

II - a obtenção de informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados na forma desta resolução e da legislação em vigor;

 

III - o consentimento expresso, quando aplicável, sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada;

 

IV - a exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas em lei;

 

V - a publicidade e a clareza de eventuais políticas de uso de aplicações de internet.

 

Parágrafo único. O disposto no inciso I do caput deste artigo não se aplica ao monitoramento de infraestrutura fornecida pela CMNV-ES para fins de controle de acesso a redes, sites, sistemas e bases de dados pelos agentes de que trata o art. 2º desta resolução, observadas, em qualquer caso, a finalidade e a necessidade do tratamento, além do adequado uso da informação.

 

CAPÍTULO V

EQUIPE DE APOIO DE PROTEÇÃO DE DADOS PESSOAIS E INVENTÁRIO DE DADOS PESSOAIS

 

Art. 28 No âmbito da CMNV-ES, o Comitê para Estudos e Regulamentação da Lei Geral de Proteção de Dados Pessoais fica responsável, até a sua dissolução, pela elaboração e atualização do Inventário de Dados Pessoais – IDP que conterá o registro das operações de tratamento de dados pessoais pela CMNV-ES, em atendimento ao art. 37 da LGPD.

 

§ 1º A composição e a forma de atuação do comitê e os prazos para a apresentação do IDP serão definidos em ato do presidente da CMNV-ES.

 

§ 2º O IDP conterá a descrição de informações relativas ao tratamento de dados pessoais pela CMNV-ES e indicará, no mínimo:

 

I - os agentes e as unidades responsáveis pelo tratamento e o encarregado da CMNV-ES;

 

II - a finalidade do tratamento;

 

III - a(s) hipótese(s) legais autorizativas do tratamento;

 

IV - os tipos de dados pessoais tratados pela CMNV-ES;

 

V - a categoria dos titulares dos dados pessoais tratados;

 

VI - o tempo de retenção dos dados pessoais;

 

VII - as instituições com as quais os dados pessoais sejam compartilhados pela CMNV-ES;

 

VIII - a transferência internacional de dados, quando houver;

 

IX - as medidas de segurança adotadas; e

 

X - a verificação de conformidade do tratamento de dados quanto aos princípios da LGPD.

 

§ 3º Após a dissolução do comitê previsto no caput deste artigo, será instituída a Equipe de Apoio de Proteção de Dados Pessoais, sendo-lhe repassada a atribuição permanente de atualização do Inventário de Dados Pessoais – IDP, bem como outras competências, através de legislação própria.

 

§ 4º Para atendimento do disposto no § 3º, serão observadas, no que couberem, as diretrizes exaradas pela ANPD no Guia de Elaboração de Inventário de Dados Pessoais.

 

CAPÍTULO VI

RELATÓRIO DE IMPACTO DE PROTEÇÃO DE DADOS PESSOAIS – RIPD

 

Art. 29 O Relatório de Impacto de Proteção de Dados Pessoais – RIPD conterá, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise das medidas, salvaguardas e mecanismos de mitigação de riscos adotados e será elaborado:

 

I - preliminarmente, pelo Comitê para Estudo e Regulamentação da Lei nº 13.709, de 14 agosto de 2018, em prazo a ser definido em ato do presidente da CMNV-ES;

 

II - pela equipe responsável por projeto prioritário que tiver o propósito de usar dados pessoais, antes de iniciar o tratamento, como condição para desenvolvimento e entrega do projeto; e

 

III - pelo encarregado, quando determinado pela ANPD, na forma da Resolução nº 346, de 18 de novembro de 2005.

 

Art. 30 Além do disposto no art. 29, o RIPD poderá ser atualizado, pela Equipe de Apoio, sempre que se identificar a possibilidade de ocorrência de impacto na privacidade dos dados pessoais, em especial, quando resultante de:

 

I - nova tecnologia, serviço ou outra iniciativa em que os dados pessoais sejam ou devam ser tratados;

 

II - processamento de dados pessoais para tomada de decisões automatizadas que surtam efeitos legais, incluídas decisões destinadas a definir perfil, pessoal ou profissional, e aspectos da personalidade;

 

III - tratamento de dados pessoais de crianças e adolescentes e dados sensíveis;

 

IV - tratamento de dados pessoais de que possa resultar dano patrimonial, moral, individual ou coletivo aos titulares, se houver vazamento;

 

V - nova forma de tratamento de dados pessoais por interesse legítimo da CMNV-ES;

 

VI - alterações em leis e regulamentos aplicáveis à privacidade, política e normas, em operações de sistema de informações, propósitos e meios de tratamento de dados pessoais e em fluxos de dados; e

 

VII - reformas administrativas que impliquem nova estrutura organizacional resultante da incorporação, fusão ou cisão de unidades e que tenham impacto potencial na proteção de dados.

 

Art. 31 Deverão constar do RIPD:

 

I - identificação do encarregado, registrando os canais de comunicação;

 

II - indicação da necessidade de elaboração do relatório;

 

III - descrição do(s) tratamento(s) de dados pessoais, contendo:

 

a) natureza, com indicação de como o tratamento é ou será realizado, da fonte, fases, tecnologia ou método de tratamento aplicado e medidas de segurança adotadas;

b) escopo, indicando-se o(s) tipo(s) de dados pessoais tratados e a abrangência do tratamento (volume de dados, número de titulares, extensão, frequência, período de retenção e área geográfica);

c) contexto, incluindo fatores internos e externos que podem impactar no tratamento e afetar as expectativas dos titulares e parâmetros que demonstrem o equilíbrio entre o interesse e a necessidade da CMNV-ES em tratar os dados pessoais e os direitos dos titulares;

d) finalidade, entendida como razão ou motivo pelo qual o tratamento é realizado; e

e) ciclo de vida do tratamento (coleta, retenção, processamento, compartilhamento e eliminação);

 

IV - identificação das partes interessadas consultadas, como gestores, especialistas e consultores, ou descrição do motivo pelo qual não é feito esse registro;

 

V - descrição da necessidade e proporcionalidade do tratamento dos dados pessoais, indicando a fundamentação legal autorizativa, garantias da qualidade (exatidão, clareza, relevância e atualização dos dados) e da proteção dos dados e medidas assecuratórias dos direitos dos titulares;

 

VI - identificação dos riscos;

 

VII - indicação de medidas para tratamento de risco; e

 

VIII - aprovação do relatório mediante a assinatura do(s) responsável(is) pela elaboração, pelo encarregado e presidente da CMNV-ES.

 

Art. 32 Conforme o caso, o RIPD poderá ser elaborado em documento único, abrangendo todas as operações de tratamento de dados pessoais envolvidas no escopo, ou de maneira segregada, para cada projeto, sistema ou serviço, de acordo com os processos internos de trabalho.

 

CAPÍTULO VII

BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

 

Art. 33 Os sistemas desenvolvidos e utilizados pela CMNV-ES para o tratamento de dados pessoais serão estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas diretrizes fixadas pela ANPD e serão concebidos segundo a abordagem de privacidade desde a concepção e como padrão de sistemas e práticas de negócios.

 

Parágrafo único. O departamento de Centro de Processamento de Dados – CPD adotará e proporá a adoção de medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, observando padrões técnicos mínimos definidos pela ANPD.

 

Art. 34 Os departamentos da CMNV-ES, o encarregado e o comitê e, após sua dissolução, a Equipe de Apoio de Proteção de Dados Pessoais, no âmbito de suas competências, poderão propor à Unidade Central de Controle Interno – UCCI a edição de Norma de Procedimento Interno - NIP, na forma de legislação específica, a fim de estabelecer regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais, observado o disposto no art. 50 da LGPD.

 

Art. 35 Os departamentos da CMNV-ES deverão comunicar imediatamente ao encarregado a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, conforme a Resolução nº 346, de 18 de novembro de 2005.

 

CAPÍTULO VIII

TERMO DE COMPROMISSO DE CONFIDENCIALIDADE E PROTEÇÃO DE DADOS PESSOAIS

 

Art. 36 Os agentes de que tratam o art. 2º desta resolução firmarão Termo de Compromisso de Confidencialidade e Proteção de Dados Pessoais, declarando expressamente:

 

I - reconhecer, em razão da utilização de ferramentas tecnológicas disponibilizadas pela CMNV-ES, a possibilidade de acesso a dados pessoais, inclusive sensíveis e de crianças e adolescentes, confidenciais ou não, armazenados nos sistemas informatizados sob a responsabilidade da CMNV-ES;

 

II - ter ciência de que as credenciais de acesso (login e senha) são de uso pessoal e intransferível e de conhecimento exclusivo, assumindo a inteira responsabilidade por todo e qualquer prejuízo causado pelo fornecimento da senha pessoal a terceiros, independentemente do motivo;

 

III - reconhecer que serão consideradas confidenciais todas as informações, transmitidas por meios escritos, eletrônicos, verbais ou quaisquer outros e de qualquer natureza, incluindo dados pessoais, os quais devem ser tratados nos termos da LGPD e desta resolução;

 

IV - ter conhecimento ainda da Lei nº 13.709/2018 (LGPD), desta resolução e de que a CMNV-ES possui um programa de governança de dados pessoais e de segurança da informação, aos quais se obriga a obedecer e a auxiliar o cumprimento;

 

V - assumir o compromisso de não utilizar os dados pessoais a que tenha acesso, classificado como confidencial ou não, para fins diversos daqueles para os quais esteja autorizado;

 

VI - estar ciente de que é proibida a reprodução de qualquer informação que contenha dados pessoais para sua utilização fora do âmbito das competências da CMNV-ES e das hipóteses legais autorizativas, bem como sua divulgação e compartilhamento;

 

VII - reconhecer que eventuais danos causados em razão da quebra de confidencialidade, disponibilidade ou integridade de dados pessoais poderão caracterizar infração administrativa disciplinar, sem prejuízo de eventual responsabilização nas demais esferas competentes;

 

VIII - ter ciência de que seus dados pessoais utilizados para acesso aos sistemas disponibilizados pela CMNV-ES serão conservados durante o tempo em que estiver vigente o vínculo administrativo ou a relação contratual com a CMNV-ES e, ainda, durante os períodos de retenção de dados legalmente exigíveis;

 

IX - ter lido, compreendido e sanado todas as dúvidas sobre o Termo de Compromisso de Confidencialidade e Proteção de Dados Pessoais.

 

Parágrafo único. O termo de compromisso de que trata este artigo será firmado, conforme o caso, no ato da posse no cargo ou no momento da celebração de contrato administrativo cujo objeto envolva o tratamento de dados pessoais.

 

CAPÍTULO IX

DISPOSIÇÕES FINAIS E TRANSITÓRIAS

 

Art. 37 A CMNV-ES manterá registro das operações de tratamento de dados pessoais que realizar, inclusive quanto à demonstração das razões e fundamentos para o tratamento quando embasado no legítimo interesse.

 

Art. 38 Caberá ao CPD e à Ouvidoria, no âmbito das respectivas competências, a disponibilização no sítio eletrônico da CMNV-ES das informações de que tratam os artigos 9º, 20 e 23 e o parágrafo único do art. 26 desta resolução.

 

Art. 39 A Unidade Central de Controle Interno – UCCI, no exercício de suas atribuições, zelará pelo atendimento ao disposto no inciso II do art. 29 desta resolução.

 

Art. 40 A CMNV-ES promoverá ações de capacitação sobre a LGPD e sobre normas, diretrizes e padrões pertinentes à sua observância voltadas para os agentes de que trata o art. 2º desta resolução.

 

Art. 41 Em até noventa dias após a entrada em vigor desta resolução, os agentes públicos em exercício e os colaboradores já contratados encaminharão a declaração de que trata o art. 36 desta resolução ao encarregado, para fins de registro e arquivamento.

 

Parágrafo único. Caberá ao Departamento de Administração e Finanças – DEAF, diretamente ou por outro departamento vinculado, padronizar o modelo de declaração e prestar as orientações para seu preenchimento e formalização.

 

Art. 42 A Unidade Central de Controle Interno – UCCI, em colaboração com os demais departamentos da CMNV-ES, coordenará a revisão dos atos normativos exarados no desempenho do poder de controle interno da CMNV-ES, sempre que se identificar a necessidade de adequação dos procedimentos à LGPD e aos termos desta resolução.

 

Art. 43 A Procuradoria Geral – PROGER da Câmara Municipal de Nova Venécia-ES revisará os termos dos contratos, convênios, acordos de cooperação ou instrumentos congêneres que tenham por objeto, principal ou acessório, o compartilhamento de dados, no prazo de até noventa dias da entrada em vigor desta resolução.

 

§ 1º Para fins do disposto neste artigo, os departamentos responsáveis pela gestão e acompanhamento de contratos, convênios, acordos de cooperação ou instrumentos congêneres encaminharão, por memorando e no prazo de cinco dias úteis da entrada em vigor desta resolução, a relação atualizada dos termos celebrados, contendo a indicação do objeto, das partes e da vigência à PROGER para definição, em igual prazo, do cronograma de revisão.

 

§ 2º Identificada a necessidade de adequação à LGPD, às diretrizes fixadas pela ANPD ou aos termos desta resolução, a PROGER proporá à presidência a celebração de termo aditivo.

 

§ 3º Após o levantamento de que trata o § 1º deste artigo, o gestor da contratação dará ciência ao encarregado dos contratos, convênios ou instrumentos congêneres que prevejam a transferência de dados pessoais a entidades privadas, nos termos do inciso III e do parágrafo único do art. 17 desta resolução.

 

Art. 44 Compete à Diretoria Geral – DIRGE, diretamente ou por intermédio dos departamentos vinculados, zelar pela atualização das normas internas de gestão documental e sua adequação à LGPD e às diretrizes e padrões fixados pela ANPD.

 

Art. 45 A adoção de medidas para o atendimento ao disposto nesta resolução será gradativa e considerará as recomendações, diretrizes, políticas, normas, padrões, pareceres, técnicas, regulamentos e solicitações a serem exarados pela ANPD, inclusive quanto à adequação progressiva dos bancos de dados constituídos até a data de entrada em vigor desta resolução, consideradas, em especial, a complexidade das operações de tratamento e a natureza dos dados.

 

Art. 46 O descumprimento do disposto na LGPD e nesta resolução, assim como a violação de normas jurídicas ou técnicas pelos agentes de que trata o art. 2º desta resolução poderá configurar a prática de infração administrativa, ética ou disciplinar, e ensejar a aplicação de penalidade, na forma da legislação pertinente, sem prejuízo da apuração de eventual responsabilidade civil ou criminal, nas esferas competentes.

 

Art. 47 Enquanto a ANPD não regulamentar normas, diretrizes e padrões pertinentes à observância da LGPD, a Câmara Municipal de Nova Venécia-ES poderá utilizar normas e padrões técnicos, bem como manuais, guias e modelos instituídos no âmbito da administração pública federal.

 

Art. 48 Esta resolução entra em vigor na data de sua publicação.

 

Câmara Municipal de Nova Venécia, Estado do Espírito Santo, em 23 de setembro de 2022; 68º de Emancipação Política; 17ª Legislatura.

 

VANDERLEI BASTOS GONÇALVES

Presidente

Vereador pelo Solidariedade

 

ANDERSON MERLIN SALVADOR

Vice-Presidente

Vereador pelo PSDB

 

VALDECIR SILVESTRE JULIATTI

Primeiro Secretário

Vereador pelo PSB

 

JOSÉ PEREIRA SENA

Segundo Secretário

Vereador pelo PDT

 

O texto original, publicado no átrio em 23/09/2022, da Resolução nº 424, de 23 de setembro de 2022, que regulamenta, no âmbito da Câmara Municipal de Nova Venécia-ES, a aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais – LGPD, está disponível no arquivo físico da Câmara Municipal e através do link: http://www3.cmnv.es.gov.br/Arquivo/Documents/legislacao/image/R4242022.pdf?identificador=30003A004C00. E o texto compilado está disponível no link: http://www3.cmnv.es.gov.br/Arquivo/Documents/legislacao/html/R4242022.html?identificador=38003500380031003A004C00.

 

ANEXO II

NOMEAÇÃO DO ENCARREGADO

 

Resolução nº 423, de 28 de junho de 2022

 

INSERE E ALTERA DISPOSITIVOS QUE ESPECIFICA DA RESOLUÇÃO Nº 346, DE 18 DE NOVEMBRO DE 2005, QUE DISPÕE SOBRE A ORGANIZAÇÃO ADMINISTRATIVA DA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES E DÁ OUTRAS PROVIDÊNCIAS.

 

A MESA DA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES, no uso de suas atribuições conferidas pelo art. 33, XII, combinado com o art. 39, IV, do Regimento Interno, faz saber que o Plenário aprovou e o presidente promulga a seguinte resolução:

 

Art. 1º Fica inserida a Subseção V – Do Encarregado de Tratamento de Dados Pessoais e seus artigos 6º-C, 6º-D e 6º-E à Seção I – Do Gabinete da Presidência, constante do Capítulo III – Das Finalidades e Competências dos Órgãos e dos Cargos de Assessoramento Legislativo da Resolução nº 346, de 18 de novembro de 2005, que dispõe sobre a organização administrativa da Câmara Municipal de Nova Venécia-ES e dá outras providências, vigorando com os seguintes textos:

 

Subseção V

Do Encarregado pelo Tratamento de Dados Pessoais

 

Art. 6º-C. O Encarregado pelo Tratamento de Dados Pessoais será indicado pelo Controlador da Câmara Municipal, cuja função gratificada ou cargo será para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir atribuições legais do serviço público, nos termos do art. 23 da Lei nº 13.709, de 14 de agosto de 2018.

 

Art. 6º-D. A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico da Câmara Municipal.

 

Art. 6º-E. As atividades do Encarregado pelo Tratamento de Dados Pessoais consistem em:

 

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

 

II - receber comunicações da autoridade nacional e adotar providências;

 

III - orientar os servidores e aos contratados da Câmara Municipal a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

 

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. (NR)

 

Art. 2º A Tabela B – das Funções Gratificadas integrante do Anexo I - Cargos de Provimento em Comissão e Funções Gratificadas da Câmara Municipal constante da Resolução nº 346, de 18 de novembro de 2005, que dispõe sobre a organização administrativa da Câmara Municipal de Nova Venécia-ES e dá outras providências, passa a vigorar com a seguinte redação:

 

...............................................................................................................................

 

TABELA B

FUNÇÕES GRATIFICADAS, ORDENADAS POR SÍMBOLOS

 

 

Art. 3º Esta resolução entra em vigor na data de sua publicação.

 

Câmara Municipal de Nova Venécia, Estado do Espírito Santo, em 28 de junho de 2022; 68º de Emancipação Política; 17ª Legislatura.

 

ANDERSON MERLIN SALVADOR

Presidente em exercício

Vereador pelo PSDB

 

VALDECIR SILVESTRE JULIATTI

Vice-Presidente em exercício

Vereador pelo PSB

 

SEBASTIÃO ANTÔNIO MACEDO

Primeiro Secretário em exercício

Vereador pelo Solidariedade

 

ROAN ROGER GOMES MARQUES

Segundo Secretário em exercício

Vereador pelo MDB

 

O texto original, publicado no átrio no dia 23/09/2022, da Resolução nº 423, de 23 de setembro de 2022, que insere e altera dispositivos que especifica da Resolução nº 346, de 18 de novembro de 2005, que dispõe sobre a organização administrativa da Câmara Municipal de Nova Venécia-ES, está disponível no arquivo físico da Câmara Municipal e através do link: http://www3.cmnv.es.gov.br/Arquivo/Documents/legislacao/image/R4232022.pdf?identificador=30003A004C00. E o texto compilado está disponível no link: http://www3.cmnv.es.gov.br/Arquivo/Documents/legislacao/html/R4232022.html?identificador=38003400370032003A004C00.

 

Portaria nº 2.605, de 15 de julho de 2022

 

NOMEIA SERVIDORA DANIELA BRAGA ARAÚJO ZAMPROGNO EM FUNÇÃO GRATIFICADA.

 

O PRESIDENTE DA CÂMARA MUNICIPAL DE NOVA VENÉCIA, ESTADO DO ESPÍRITO SANTO, no âmbito de sua competência regimental conferida pelo art. 39 da Resolução nº 264/1990;

 

CONSIDERANDO a Resolução nº 423 de 28 de junho de 2022 que inseriu e alterou dispositivos que especifica da Resolução nº 346 de 18 de novembro de 2005; resolve:

 

Art. 1º Nomear a servidora Daniela Braga Araújo Zamprogno, matrícula nº 2045, para exercer a Função Gratificada de Encarregada pelo Tratamento de Dados Pessoais - FG-1, deste Legislativo.

 

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

 

Publique-se, cumpra-se.

 

Câmara Municipal de Nova Venécia, Estado do Espírito Santo, em 15 de julho de 2022; 68º de Emancipação Política; 17ª Legislatura.

 

VANDERLEI BASTOS GONÇALVES (SOLIDARIEDADE)

Presidente

 

O texto original, publicado no átrio no dia 15/07/2022, da Portaria nº 2.605, de 15 de julho de 2022, que nomeia servidora Daniela Braga Araújo Zamprogno em função gratificada, está disponível no arquivo físico da Câmara Municipal e através do link: http://www3.cmnv.es.gov.br/Arquivo/Documents/legislacao/image/P26052022.pdf?identificador=30003A004C00. E o texto compilado está disponível no link: http://www3.cmnv.es.gov.br/Arquivo/Documents/legislacao/html/P26052022.html?identificador=38003400390034003A004C00.

 

ANEXO III

MATRIZ DE RESPONSABILIDADE DO PLANO DE ADEQUAÇÃO E IMPLEMENTAÇÃO DA LEI Nº 13.709/2018 (LEI GERAL DE PROTEÇÃO DE DADOS - LGPD) NA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES

 

Introdução

 

A Câmara Municipal deu os primeiros passos, ainda que incipientes, para adequação deste Poder Legislativo à Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709/2018) em dezembro de 2021, tendo em vista a necessidade imperiosa e urgente de adequação dos processos e procedimentos administrativos necessários para a implementação da legislação.

Entre as principais iniciativas, foi instituído um comitê para orientar a Mesa Diretora, vereadores e servidores quanto às ações de adequação à Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709/2018), principalmente no que se refere à segurança, a privacidade dos dados e ao adequado tratamento, no âmbito das suas competências.

A partir de então, com a instituição do Comitê para Estudos e Regulamentação da LGPD, começa a se emoldurar o processo de adequação do Poder Legislativo do Município de Nova Venécia-ES à Lei nº 13.709/2018, com consciência da necessária transformação cultural que se exige da comunidade envolvida para o alcance da aplicabilidade da legislação.

Depois dos trabalhos iniciais de mobilização da equipe, o comitê materializa suas ações no Plano de Adequação e Implementação da Lei nº 13.709/2018 aprovado pelo presidente desta Casa, conforme o Memorando nº 77/2022 - CMNV-ES/GAP, datado de 1º de agosto de 2022.

O plano foi estruturado em etapas de modo a ordenar as atividades do Comitê e permitir o acompanhamento do desenvolvimento das ações tanto pelo comitê como pela gestão administrativa da Câmara e demais membros do Poder Legislativo.

Dando seguimento às atividades e avançando nas ações do comitê, algumas etapas estão concluídas, como as etapas 1 e 2 que envolvem basicamente a elaboração do plano de ação e regulamentação da LGPD na Câmara e a nomeação do encarregado; enquanto outras estão em andamento como as etapas 4 e 5, constando que nesta última encontra-se pronta a política de cookies e neste instante está em construção etapa 3.

A terceira etapa do Plano de Adequação e Implementação da LGPD na Câmara Municipal compreende a elaboração da matriz de responsabilidade.

A matriz de responsabilidade é necessária porque diversos atores têm participação essencial na implementação da Lei nº 13.709/2018, dando característica multidisciplinar ao processo.

A Matriz de Responsabilidade ou Matriz RACI permite a identificação dos papéis e responsabilidades de cada um dos atores que executam as mais diversas atividades que integram um processo. Pode ser utilizada de outras maneiras, e não somente com os princípios RACI. Pode-se fazer uso dos verbos, por exemplo: executar, desenvolver, implantar, revisar, apoiar, entre outros. Dessa forma, é possível determinar qual colaborador envolvido no projeto é responsável por cada atividade, de acordo com o setor ou conhecimentos necessários.

Para entender como funciona a matriz, precisa-se entender o acrônimo RACI que corresponde às iniciais das seguintes palavras em inglês:

̶  RESPONSIBLE (responsável): é o encarregado de executar uma determinada tarefa do processo. As entregas dos produtos resultados de cada uma das tarefas devem ser realizadas por esse colaborador;

̶  ACCOUNTABLE (autoridade; aprovador ou responsabilizado; imputável): é a pessoa com autonomia para aprovar uma atividade, e que será responsabilizada caso algo não saia como o esperado na entrega, sendo traduzido aqui como a autoridade;

̶  CONSULTED (consultado): é quem deve ser consultado no momento das decisões e/ou execuções das atividades;

̶  INFORMED (informado): é a pessoa que precisa ser informada sobre qualquer coisa pertinente às atividades ou entregas, como o andamento do processo, performance dos colaboradores e prazos de entregas.

 

 

Fonte: imagem Stratec. Disponível em https://www.gov.br/infraestrutura/pt-br/assuntos/portal-da-estrategia/artigos-gestao-estrategica/como-implementar-a-matriz-raci.

A Matriz de Responsabilidade para o Plano de Adequação e Implementação da Lei nº 13.709/2018 na Câmara Municipal de Nova Venécia-ES está estabelecida na planilha abaixo.

A leitura dessa planilha deve ser feita seguindo as ações descritas nas linhas horizontais, enquanto nas linhas verticais encontram-se distribuídos os agentes envolvidos em cada uma das atividades do processo. A matriz foi delineada a partir das sete etapas definidas no plano de ação, tendo sido acrescentada uma etapa preliminar onde se vislumbra a mobilização que antecedeu a elaboração do plano de ação e ainda inserida mais uma etapa, a Etapa 8, que alcança o trabalho contínuo para a mudança cultural necessária à segurança da informação e à privacidade.

 
MATRIZ DE RESPONSABILIDADE PARA ADEQUAÇÃO E IMPLANTAÇÃO DA LGPD NA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES

 

Legendas:

R: responsável. Ator responsável pela atividade (apenas um por atividade).

A: aprova. Ator (autoridade) que aprova a atividade.

C: consultado. Ator a quem deve ser consultado.

I: informado/interessado. Ator a quem deve ser informado.

 ANEXO IV

 MOBILIZAÇÃO DAS EQUIPES E CONSCIENTIZAÇÃO DOS SERVIDORES E MEMBROS DA CMNV

 

Apresentação Projeto de Mobilização Praticando a LGPD

 

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018, foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. A Lei fala sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado, englobando um amplo conjunto de operações que podem ocorrer em meios manuais ou digitais.

No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, o Controlador e o Operador. Além deles, há a figura do Encarregado, que é a pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, o Operador, os (as) titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Tema fundamental trabalhado pela Lei, o tratamento de dados diz respeito a qualquer atividade que utiliza um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Antes de iniciar qualquer tipo de tratamento de dados pessoais, o agente deve se certificar que a finalidade da operação está registrada de forma clara e explícita e os propósitos especificados e informados ao (à) titular dos dados. No caso do setor público, a principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos semelhantes. O compartilhamento dentro da Administração Pública, no âmbito da execução de políticas públicas, é previsto na Lei e dispensa o consentimento específico.

Contudo, o órgão que coleta deve informar com transparência qual dado será compartilhado e com quem. Do outro lado, o órgão que solicita receber o compartilhamento precisa justificar esse acesso com base na execução de uma política pública específica e claramente determinada, descrevendo o motivo da solicitação de acesso e o uso que será feito com os dados. Informações protegidas por sigilo seguem protegidas e sujeitas a normativos e regras específicas. Essas e outras questões fundamentais devem ser observadas pelos órgãos e entidades da administração estadual e municipal no sentido de assegurar a conformidade do tratamento de dados pessoais de acordo com as hipóteses legais e princípios da LGPD.

A Lei estabelece uma estrutura legal de direitos dos (as) titulares de dados pessoais. Esses direitos devem ser garantidos durante toda a existência do tratamento dos dados pessoais realizado pelo órgão ou entidade. Para o exercício dos direitos dos (as) titulares, a LGPD prevê um conjunto de ferramentas que aprofundam obrigações de transparência ativa e passiva, e criam meios processuais para mobilizar a Administração Pública.

É comum no serviço público, o constante enfrentamento de situações em que é necessário tomar uma decisão imediata, uniforme, racional e legal. Ao serviço público de maneira geral, tem sido cobrada e exigida cada vez mais uma prestação adequada e eficiente.

Neste sentido, busca-se instituir nesta Casa Legislativa o Projeto de mobilização “PRATICANDO A LGPD”. Neste Projeto será propiciado ao potencial humano do órgão, conhecimento para enfrentar os novos desafios da LGPD, além da oportunidade de crescimento pessoal e profissional, contemplando sua área de atuação, através do repasse de conhecimentos pelos próprios servidores, interação e aquisição de técnicas a serem aplicadas às rotinas de trabalho.

 

Justificativa

 

A Lei Geral de Proteção de Dados nº 13.709/2018 disciplina as regras para o tratamento de dados pessoais a serem realizados pelas pessoas jurídicas de direito privado e público (art. 1º). Logo, toda a Administração Pública está adstrita ao cumprimento deste instrumento legal.

Além disso, a busca pela melhoria da eficiência, eficácia e qualidade nos serviços públicos somente poderá ser alcançada se a Administração desenvolver permanentemente o servidor público e as suas competências individuais. É preciso aprimorar a qualificação contínua daquele que é essencial para a representação de nossas organizações. O conhecimento e as habilidades somente serão desenvolvidos por meio de treinamentos eficiente e eficazes, que propiciem a ampla participação de acordo com a área de atuação e perfil dos mesmos.

A presente iniciativa será realizada de forma contínua para os servidores e vereadores da CMNV, abordando Lei Geral de Proteção de Dados (LGPD) e os setores que mais sofrem os impactos das constantes mudanças na legislação.

Neste caso instituir a capacitação do servidor público é documento elementar e fundamental para o desenvolvimento da política pública de valorização do servidor enquanto elemento essencial à proteção de dados pessoais em suas atividades.

Sabemos que é grande a demanda pela busca de conhecimento, maior ainda as dificuldades enfrentadas por municípios distantes dos grandes polos, onde normalmente são ofertados os treinamentos. Além de serem muito onerosos aos cofres públicos, os servidores precisam enfrentar um trajeto muito grande, o que vem desmotivando a participação dos mesmos.

Para a promoção dessa capacitação, serão firmadas parcerias com municípios vizinhos, com fins de garantir que seja ofertado também para seus servidores a participação no evento, uma vez que enfrentam as mesmas dificuldades em garantir a capacitação de seus servidores.

Objetivos

 

1) Executar a Lei n° 13.709/2018, principalmente no que se refere à segurança, a privacidade dos dados e ao adequado tratamento, no âmbito das suas competências.

2) Garantir a segurança na proteção desses dados para alcançar, ao menos, um nível mínimo aceitável de segurança.

3) Reduzir as chances do notório cenário de aumento dos casos de uso indevido, comercialização e vazamento de dados pessoais, e garantir a eficácia dos direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural, estabelecendo sanções administrativas em caso descumprimento da legislação.

4) Preparar os servidores para as mudanças de cenários internos e externos ao órgão ou entidade quanto a implementação da Lei Geral de Proteção de Dados.

5) Atender as demandas administrativas, definindo as metas institucionais como referência para o planejamento das ações e capacitação.

6) Ofertar ações de desenvolvimento de maneira equânime aos servidores e vereadores.

7) Promover a valorização e o desenvolvimento de competências de gestão dos servidores.

8) Elevar os níveis de proteção dos dados, qualidade e eficiência dos serviços prestados à comunidade.

9) Proporcionar aos servidores oportunidades de crescimento pessoal e profissional.

10) Permitir aos servidores o desenvolvimento e aquisição de novos conhecimentos e habilidades sobre a Lei geral de Proteção de Dados.

11) Otimizar recursos evitando gastos e esforços em treinamentos desnecessários.

12) Nortear o planejamento das ações de desenvolvimento de acordo com os princípios da economicidade e da eficiência.

13) Promover a valorização e o desenvolvimento de competências de gestão dos servidores públicos.

14) Reduzir ou corrigir as deficiências quanto a implementação da Lei Geral de Proteção de Dados na CMNV.

 

Metodologia

 

Com a finalidade de garantir melhor a qualificação aos servidores públicos através de sua capacitação, as ações do “PLANO DE MOBILIZAÇÃO PRATICANDO A LGPD” serão realizadas nas dimensões técnica, administrativa e comportamental.

Para isso, as atividades serão desenvolvidas em etapas básicas:

1ª ETAPA: Atualização do levantamento de necessidades de treinamento - realizado através de coleta de informações junto a servidores e chefias, demandas por treinamentos advindas da nova Lei de Proteção de Dados e suas alterações.

2ª ETAPA: Elaboração do cronograma do Plano de Mobilização e Conscientização com datas previamente estipuladas.

3ª ETAPA: Apresentação do PLANO DE MOBILIZAÇÃO que deverá ser apresentado pelo Comitê para a Direção Geral com a aprovação da Presidência.

4ª ETAPA: Implementação e operacionalização do plano.

5ª ETAPA: Avaliação e acompanhamento das ações de capacitação.

 

Recursos Necessários

 

1) RECURSOS HUMANOS:

 

Encarregado de dados e/ou pessoal capacitado e\ou em processo de capacitação que possam atuar como multiplicadores de aprendizado;

Comitê e pessoal de apoio;

 

2) RECURSOS MATERIAIS:

 

Local de Treinamento (Plenário);

Retroprojetor;

Computador e impressora;

Notebook;

Sistema de som e microfone sem fio;

Lousa branca;

Coffe break;

Acesso à internet;

Material de apoio (apostila, slides, entre outros).

Público Alvo Servidores e Vereadores da Câmara Municipal de Nova Venécia ES e outras instituições através de parcerias.

 

Ações a Serem Desenvolvidas

 

As ações de capacitação treinamento em serviço, grupos formais de estudos, sessão cinema com abordagem da temática, intervenção via cartazes (diferença de LGPD e LGBTQIA+, “Você sabe o que é LGPD? ”, verdadeiro ou falso, “você sabia? ”, entre outros), café com LGPD, seminários (com palestrantes específicos da área, “troca de conhecimento”, “depoimento sobre a implementação”) e congressos que contribuam para a atualização profissional e o desenvolvimento dos servidores e que vão ao encontro das necessidades institucionais da Câmara de Nova Venécia-ES quanto à implementação da Lei Geral de Proteção de Dados.

 

Resultados Esperados

 

1) Promover extensão a todos os servidores na formação contínua e treinamento de acordo com as necessidades identificadas.

2) Promover transparência e clareza quanto as ações de capacitação.

3) Utilizar dos resultados das ações de capacitação, para a mensuração do desempenho do servidor e elaborar estratégias complementares.

4) Despertar maior comprometimento do servidor com as ações de segurança dos dados sensíveis e adaptação e implementação da LGPD.

 

Avaliação dos Resultados

 

A avaliação deverá considerar os aspectos técnico e comportamental, envolvendo a análise do contexto e o impacto no ambiente de trabalho com as novas habilidades adquiridas.

Deverão ser realizadas avaliação a cada treinamento pelos treinadores sobre a avaliação das atividades desenvolvidas.

A avaliação pode ser realizada com um questionário online (google forms) através de perguntas objetivas e os resultados serão tratados e apresentados.

 

Considerações Finais

 

Tendo em conta que a melhoria dos serviços públicos somente se viabiliza mediante a atuação integrada, coordenada e colaborativa, concluímos que isto só será possível se houver também investimento no capital humano.

Neste contexto, o “Plano de Mobilização do Servir Legal" trata da política de capacitação, a ser implementada pela instituição visando a qualificação, aperfeiçoamento e desenvolvimento de seus servidores quanto a LGPD.

Assim, a iniciativa pressupõe a necessária e decisiva participação dos responsáveis pelas Unidades e seus colaboradores, no processo, como agentes de identificação das necessidades e proponentes de ações e do cumprimento da Lei n° 13.709/2018.

 

ANEXO V

aDEQUAÇÃO DO SÍTIO ELETRÔNICO DA CÂMARA MUNICPAL E ELEBORAÇÃO DA POLÍTICA DE PRIVACIDADE

 

 

LGPD (link)

1) Texto para o usuário (link)

Fazer o texto

 

2) Legislação (link)

a) Lei Geral de Proteção de Dados; - link

b) Resolução nº x/2022 (Regulamentação da LGPD na CMNV) - link

c) Política de privacidade - link

d) Política de cookies - link

 

3) Links úteis (link)

a) Agência Nacional de Proteção de Dados - (link)

 

4) FAQ (perguntas respondidas frequentemente)

Fazer (cada pergunta, clicando e abrindo o texto para visualização da resposta)

 

5) Notícias (link)

 

6) Encarregado pelo Tratamento de Dados Pessoais (link)

a) Nome:

b) E-mail:

 

ANEXO VI

INVENTÁRIO DE DADOS, MAPEAMENTO DE DADOS, FLUXO DE DADOS E ANÁLISE DE RISCOS

 

6.1 Política de Cookies

 

Esta Política de Cookies, da Câmara Municipal de Nova Venécia, aplica-se aos cidadãos do Brasil de acordo com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e países que possuem leis sobre proteção de dados. A LGPD estabelece regras sobre coleta, armazenamento e compartilhamento de dados pessoais, atribuindo mais proteção aos titulares de tais dados.

O site da Câmara Municipal de Nova Venécia usa cookies e outras tecnologias relacionadas (por conveniência, todas as tecnologias são chamadas de "cookies"). No documento abaixo informamos sobre o uso de cookies em nosso site.

 

O que são cookies?

Cookies são arquivos-texto gerados pelo site e transferidos para seu computador, sendo armazenados pelos Navegadores como Google Chrome, Firefox, Internet Explorer, etc. Em geral, os Cookies são utilizados para uma otimização de sua experiência de navegação junto ao nosso site, quando permitido pelo nível de segurança configurado por você junto ao seu navegador. Sempre que o seu navegador estiver assim configurado, utilizaremos cookies, conforme será explicado a seguir.

Os cookies utilizados no site têm como finalidade identificar as tendências de navegação do usuário, buscando aprimorar e personalizar seus acessos futuros, tais como, páginas navegadas ou links clicados. Quaisquer dos cookies utilizados não são usados para executar programas ou infectar seu computador com vírus ou programas maliciosos.

Ao acessar este site pela primeira vez, você foi informado através de um aviso em popup (ou pop-up?) referente a prática de cookies. Mesmo quando seu programa de navegação estiver configurado para permitir a instalação de cookies, mas você desejar removê-los ou impedir o armazenamento de novos cookies, pode fazê-lo imediatamente e sem qualquer impedimento, desativando este recurso em seu navegador e excluindo todos os eventuais cookies já implementados.

Desta forma, recomendamos que você configure seu programa de navegação no nível de segurança desejado antes de navegar em nosso site, em todos os computadores e dispositivos que deseje utilizar.

Como os cookies são usados?

Os cookies utilizados em nosso site atendem aos requisitos legais e são enquadrados nas seguintes categorias:

COOKIES FUNCIONAIS: os cookies funcionais são usados para fornecer serviços ou para lembrar definições de navegações de forma a melhorar sua visita.

Para o que nós os usamos: Lembrar eventualmente das configurações que você aplicou, como idioma, layout, tamanho do texto, preferências e cores.

COOKIES ESTRITAMENTE NECESSÁRIOS: são aqueles cookies que permitem a você navegar pelo site e usar recursos essenciais, como formulários ou áreas seguras, por exemplo. Esses cookies não guardam quaisquer informações sobre você que possam ser usadas em ações de comunicação de produto ou serviço ou para lembrar as páginas navegadas no site.

Para o que nós os usamos: identificá-lo como um usuário conectado. Lembrar de informações que você digitou previamente em eventuais formulários de contato. Certificar-se de que você se conecta ao serviço correto em nosso site quando fizermos alguma mudança na forma como ele funciona.

COOKIES DE DESEMPENHO: os cookies de "desempenho" coletam informações sobre como você usa o nosso website, por exemplo, quais páginas você visita, se elas possuem erros, erros em formulários e etc. Esses cookies não coletam quaisquer informações que possam identificá-lo. Toda a informação coletada é realizada de forma codificada, anônima e somente usada para ajudar a melhorar a forma como o nosso site funciona, entender o que interessa aos nossos usuários e medir a eficácia da nossa comunicação.

Para o que nós os usamos: fornecer estatísticas sobre como nosso site é utilizado. Verificar a eficiência da nossa comunicação, não nos utilizando dessa informação para direcionamento de anúncios quando em visita a outros sites. Ajudar na melhoria de nosso site pela medição de erros que eventualmente possam ocorrer. Realizar melhorias e aperfeiçoamentos em nosso site decorrentes do comportamento de navegação de nossos usuários.

Cookies de Segmentação: os cookies de segmentação estão ligados aos serviços prestados por terceiros, tais como, por exemplo, feed de mídias sociais, botões de "Like" e botões de "Compartilhar" contidos em outros sites que não o nosso site. O terceiro fornece esses serviços por reconhecer que você visitou nosso site, mas de maneira nenhuma se confunde com o nosso site.

Para o que nós os usamos: para conectar-se as mídias sociais, que, por serem terceiros e pelos quais não termos controle, poderão, posteriormente, utilizar as informações sobre a sua visita para direcionar publicidade de seu interesse para você em outros sites. Em relação aos Cookies de Segmentação, você pode controlar se serão usados ou não (vide tópico abaixo "Como Desativar os Cookies"), mas seu bloqueio pode nos impedir de oferecer alguns serviços ou prejudicar a boa navegação junto ao nosso site.

 

Como desativar os cookies?

Normalmente as configurações para desativar os cookies estão presentes nas "Opções" ou o menu "Preferências" do seu navegador. Para saber melhor consulte as opções de ajuda de seu navegador.

Você pode desabilitá-los alterando as configurações do seu navegador, mas saiba que isso pode afetar o funcionamento do site.

Chrome: https://support.google.com/chrome/answer/95647?co=GENIE.Platform%3DDesktop&hl=pt-BR

Firefox: https://support.mozilla.org/pt-BR/kb/desative-cookies-terceiros-impedir-rastreamento

Microsoft Edge: https://support.microsoft.com/pt-br/microsoft-edge/excluir-cookies-no-microsoft-edge-63947406-40ac-c3b8-57b9-2a946a29ae09

Internet Explorer: https://support.microsoft.com/pt-br/windows/excluir-e-gerenciar-cookies-168dab11-0753-043d-7c16-ede5947fc64d

 

6.2 Política de Privacidade

 

O usuário do portal da Câmara de Nova Venécia encontrará aqui informações sobre: qual o tratamento dos dados pessoais realizados, de forma automatizada ou não, e a sua finalidade; os dados pessoais dos usuários necessários; a forma como eles são coletados; se há o compartilhamento de dados com terceiros; e quais as medidas de segurança implementadas para proteger os dados. 

 

Aceitação do termo de uso

 

Ao utilizar os serviços do portal, o usuário confirma que leu e compreendeu os Termos e Políticas aplicáveis e concorda em ficar vinculado a eles.

Esta Política de Privacidade foi elaborada em conformidade com a Lei Federal nº. 12.965 de 23 de abril de 2014 (Marco Civil da Internet); com a Lei Federal nº. 13.709, de 14 de agosto de 2018 (Lei de Proteção de Dados Pessoais) e com a Resolução n° 424/2022, de 23 de setembro de 2022 que regulamenta, no âmbito da Câmara Municipal de Nova Venécia, a aplicação da Lei n° 13.709/2018.

 

Definições

 

Para melhor compreensão deste documento, consideram-se:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.

Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento.

Agentes de tratamento: o controlador e o operador.

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entes privados.

Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional.

Além disso, a LGPD prevê três atores relacionados com o tratamento de dados pessoais: o controlador, o operador e o encarregado.

O controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Já o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Por fim, o encarregado é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.

Ao acessar o site, a Câmara Municipal se compromete a cumprir as normas previstas na Lei Geral de Proteção de Dados – LGPD, e respeitar os seguintes princípios dispostos no art. 6º:

 

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

 

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento

 

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados

 

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

 

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento

 

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial

 

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão

 

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais

 

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos

 

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

Dados pessoais tratados

 

A utilização pelo usuário de determinadas funcionalidades do site dependerá do tratamento dos seguintes dados pessoais:

 

Nome

Endereço de e-mail

Número de inscrição no CPF

 

Sendo opcionais os dados pessoais utilizados como informações para fins estatísticos:

 

Estado

Cidade

Sexo

Forma de coleta dos dados

 

Os dados são coletados através de preenchimento manual de formulários para acesso à página e-sic, para registro de pedido de informação ou sugestão; em formulário para envio de Newsletter e para acesso à página da Ouvidoria deste Legislativo.

Durante a utilização do site, a fim de resguardar e de proteger os direitos de terceiros, o usuário deverá fornecer somente seus dados pessoais, e não os de terceiros.

 

Finalidade da utilização dos dados

 

Os dados do usuário são utilizados para acompanhar o andamento da manifestação e recebimento de resposta da Câmara ao finalizar o processo ou para envio de notícias deste Legislativo.

Os dados pessoais poderão ser utilizados também para personalizar o conteúdo oferecido ao usuário, bem como para dar subsídio ao site para a melhoria da qualidade e funcionamento de seus serviços.

 

Compartilhamento dos dados

 

Os dados pessoais do usuário não são compartilhados com terceiros em nenhuma hipótese.

 

Segurança no tratamento dos dados pessoais do usuário

 

A Câmara Municipal se compromete a aplicar as medidas técnicas e organizativas aptas a proteger os dados pessoais de acessos não autorizados e de situações de destruição, perda, alteração, comunicação ou difusão de tais dados.

Para a garantia da segurança, serão adotadas soluções que levem em consideração: as técnicas adequadas; os custos de aplicação; a natureza, o âmbito, o contexto e as finalidades do tratamento; e os riscos para os direitos e liberdades do usuário.

A Câmara se exime de responsabilidade por culpa exclusiva de terceiro, como em caso de ataque de hackers, ou culpa exclusiva do usuário, como no caso em que ele mesmo transfere seus dados a terceiro. A Câmara se compromete, ainda, a comunicar o usuário em prazo adequado caso ocorra algum tipo de violação da segurança de seus dados pessoais que possa lhe causar um alto risco para seus direitos e liberdades pessoais.

A violação de dados pessoais é uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Por fim, a Câmara se compromete a tratar os dados pessoais do usuário com confidencialidade, dentro dos limites legais.

 

Direitos do Titular

 

A LGPD assegura a toda pessoa natural a titularidade de seus dados pessoais, garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade.

De acordo com o referido dispositivo legal, são direitos dos titulares:

 

Art. 18 O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

 

I - confirmação da existência de tratamento;

 

II - acesso aos dados;

 

III - correção de dados incompletos, inexatos ou desatualizados;

 

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta lei;

 

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

 

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta lei;

 

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

 

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

 

IX - revogação do consentimento, nos termos do § 5º do art. 8º desta lei.

 

§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

 

§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

 

§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.

 

§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:

 

I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou

 

II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

 

§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.

 

§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

 

§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.

 

§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.

 

Atualização desta Política de Privacidade

 

A presente versão desta Política de Privacidade foi atualizada pela última vez em 22/09/2022.

A qualquer tempo as informações contidas nesta página podem ser atualizadas para melhor adequação a legislação vigente, processos de trabalho e soluções de tecnologia da informação. Assim, recomenda-se que esta página seja periodicamente acessada.

 

Direito aplicável e do foro

 

Para a solução das controvérsias decorrentes do presente instrumento, será aplicada integralmente a legislação brasileira. Eventuais litígios deverão ser apresentados no foro da comarca de Nova Venécia, Estado do Espírito Santo.

Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação à Autoridade Nacional de Proteção de Dados.

Encarregada: Daniela Braga Araujo Zamprogno

Telefone: (27) 3752-1371 - ramal 208

E-mail: lgpd@cmnv.es.gov.br

Horário de atendimento:

 

segunda, quarta, quinta e sexta-feira, das 7 às 13h.

terça-feira, das 13 às 19h.

 

[1] Que é capaz de operar, funcionar e operar com outros.

[2] BRASIL. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf. Acesso em 20.jun.2022

[3]Guia de Boas Práticas, 2020, p. 33, disponível em https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd