A MESA DA CÂMARA MUNICIPAL DE NOVA VENÉCIA-ES, no uso de suas atribuições conferidas pelo art. 33, XII, combinado com o art. 39, IV, do Regimento Interno, faz saber que o Plenário aprovou e o presidente promulga a seguinte resolução:
Art. 1º A presente resolução visa regulamentar, no âmbito da Câmara Municipal de Nova Venécia-ES, a aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, visando ao tratamento de dados pessoais, inclusive em meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Art. 2º O tratamento de dados pessoais, no âmbito da Câmara Municipal de Nova Venécia-ES CMNV-ES, realizado por- vereadores, servidores, colaboradores e estagiários, observará o disposto na Constituição Federal, na Lei nº 13.709, de 14 de agosto de 2018, e nesta resolução.
Art. 3º A observância à Lei Geral de Proteção de Dados Pessoais - LGPD se dará, sem prejuízo dos procedimentos de acesso à informação previstos no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal e regulados por legislação específica.
Art. 4º A proteção aos dados pessoais tem como fundamentos o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Art. 5º Nos termos definidos pelo art. 6º da LGPD, o tratamento de dados pessoais deverá observar a boa-fé e os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
Art. 6º A CMNV-ES, no âmbito do Município de Nova Venécia-ES e de suas competências, exerce funções e obrigações típicas de controlador de dados pessoais, atuando como operador dos dados pessoais, diretamente ou mediante contratação de pessoa jurídica, nos termos do art. 5º, VI, VII e IX, da LGPD.
§ 1º Para fins do disposto na LGPD e nesta resolução, considera-se:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa física ou natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - encarregado: servidor da CMNV-ES, formalmente designado pelo presidente da CMNV-ES que atua como canal de comunicação entre o Poder Legislativo Municipal, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD;
VII - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
VIII - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pela CMNV-ES em ambiente controlado e seguro;
XIII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIV - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XVI - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVII - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVIII - Relatório de Impacto à Proteção de Dados Pessoais – RIPD: documentação da CMNV-ES que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XIX - Autoridade Nacional de Proteção de Dados – ANPD: órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, em todo o território nacional; e
XX - colaborador: prestador de serviço terceirizado ou qualquer pessoa física ou jurídica com vínculo transitório com a CMNV-ES e que tenha acesso, de forma autorizada, a seus bancos de dados ou às suas dependências;
§ 2º A definição de que trata o inciso I do § 1º não abrange os dados anonimizados, salvo quando o processo de anonimização ao qual foram submetidos puder ser revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido, na forma do art. 12 da LGPD.
Art. 7º O tratamento de dados pessoais, no âmbito da CMNV-ES, será realizado para o atendimento de sua finalidade pública, na persecução do interesse público e no exercício do controle interno e de suas competências constitucionais, legais e regulamentares, bem como das atribuições administrativas, em especial para:
I - cumprimento de obrigação legal ou regulatória da CMNV-ES, como as funções legislativas, de fiscalização financeira e de controle externo do Executivo, de julgamento político-administrativo, bem como a gestão dos assuntos de sua economia interna;
II - a gestão de seus recursos humanos pelas unidades competentes;
III - a gestão financeira, de pagamentos, de contratos, convênios, acordos e instrumentos congêneres firmados do qual seja parte;
IV - a proteção da vida ou da incolumidade física do titular ou de terceiros e para a realização de ações de segurança física, patrimonial e daquelas definidas em normas e regulamentos da CMNV-ES;
V - o cadastramento de munícipes, partes, procuradores, responsáveis, agentes públicos e demais interessados para garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação em sistemas eletrônicos, mediante aceite de termo de consentimento pelo titular;
VI - o cumprimento de dever legal ou regulatório;
VII - o exercício regular de direitos em processo judicial e administrativo, do qual o Município de Nova Venécia-ES, na tutela dos interesses da CMNV-ES, seja parte;
VIII - o fornecimento de informações visando à realização de estudos e pesquisas, garantida, sempre que possível, a anonimização de dados pessoais e desde que previamente autorizado pelo presidente da CMNV-ES;
IX - o uso compartilhado de dados necessários à fiscalização de políticas públicas e ao exercício das demais competências pela CMNV-ES;
X - atender, quando necessário, aos interesses legítimos da CMNV-ES ou de terceiros, exceto no caso de prevalecerem, conforme o caso, direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
XI - outras hipóteses não previstas no caput e nos incisos anteriores, mediante o fornecimento de consentimento expresso pelo titular, quando cabível.
§ 1º O consentimento referido nos incisos V e XI no caput deste artigo é revogável e não autoriza a mudança de finalidade quando incompatível com a autorização original, a comunicação ou o compartilhamento dos dados pessoais a que se refere, exigindo-se, para tanto, novo consentimento ou o consentimento específico do titular, ressalvadas as hipóteses de dispensa do consentimento previstas na LGPD.
§ 2º Para fins do disposto no inciso X do caput deste artigo, admite-se o tratamento de dados pessoais estritamente necessários para finalidades legítimas pretendidas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I - apoio e promoção de atividades da CMNV-ES; e
II - proteção, em relação ao titular dos dados pessoais, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas suas legítimas expectativas e os direitos e liberdades fundamentais.
§ 3º A CMNV-ES adotará medidas para garantir a transparência do tratamento de dados pessoais baseado em seu legítimo interesse, inclusive por meio de Relatório de Impacto à Proteção de Dados Pessoais – RIPD, quando solicitado pela ANPD.
§ 4º O tratamento de dados pessoais nas hipóteses dos incisos IX e X do caput deste artigo fica condicionado, ainda que sujeito a grau de sigilo ou à pseudonimização, ao registro da situação concreta que se pretende tratar, à demonstração de sua finalidade lícita, da indicação da necessidade, da adequação e da proporção dos meios utilizados, bem como da adoção de medidas jurídicas e de mecanismos técnicos e administrativos de minimização de riscos, de proteção aos direitos do titular e de salvaguarda das informações, que serão conservadas na forma do art. 18 desta resolução.
Art. 8º O tratamento de dados pessoais, mesmo quando sujeitos a acesso público, deve considerar a finalidade, a boa-fé e o interesse público que justifiquem sua disponibilização.
Parágrafo único. O tratamento de dados pessoais no âmbito da CMNV-ES deve ocorrer em estrita observância às hipóteses legais autorizativas, não se justificando exclusivamente pela mera disponibilidade de banco de dados previamente estabelecido.
Art. 9º Respeitados os casos e graus de sigilo regulados pela legislação pertinente, o titular tem direito ao acesso às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca:
I - da finalidade específica do tratamento;
II - da forma e duração do tratamento;
III - das informações de contato da CMNV-ES;
IV - das informações acerca do uso compartilhado de dados pela CMNV-ES e a finalidade;
V - das responsabilidades dos agentes que realizarão o tratamento; e
VI - dos direitos do titular, com menção explícita aos direitos contidos no art. 18 da LGPD.
Art. 10 O tratamento de dados pessoais sensíveis realizados pela CMNV-ES observará, no que couber, o disposto no art. 11 da LGPD.
Art. 11 O tratamento de dados pessoais de crianças e de adolescentes, nas hipóteses reguladas por esta resolução, além de observar o disposto no art. 10, deverá visar ao melhor interesse do menor, nos termos da LGPD e da legislação pertinente.
Art. 12 Observado o disposto nos artigos 12 e 13 da LGPD, a CMNV-ES poderá adotar processo de anonimização de dados pessoais ou, quando reversível ou passível de reversão, de pseudonimização, sempre que a medida se mostrar recomendável diante da natureza e dos objetivos do tratamento de dados.
Parágrafo único. Para fins do disposto neste artigo, são medidas que impedem a identificação do titular dos dados pessoais, dentre outras que atinjam a mesma finalidade:
I - a supressão parcial do número de inscrição no Cadastro de Pessoas Físicas – CPF e outros documentos de identificação, bem como do endereço eletrônico;
II - a ocultação dos primeiros dígitos do Código de Endereçamento Postal – CEP e outros elementos passíveis de identificação, visando à supressão da localização geográfica;
III - a generalização do nome, excluindo-se os sobrenomes;
IV - ocultação dos primeiros dígitos do número de telefone fixo ou móvel; e
V – a generalização da idade, procedendo-se à segmentação por faixas etárias.
Art. 13 A CMNV-ES observará os processos de anonimização e de pseudonimização segundo padrões e técnicas definidas pela ANPD.
Art. 14 Exceto quando anonimizados, o tratamento de dados pessoais a partir de banco de dados próprio ou de bases custodiadas e acessíveis na forma do inciso IX do art. 7º desta resolução atenderão aos princípios de que trata o art. 6º da LGPD e observarão às regras de competência dos departamentos da CMNV-ES e as atribuições dos respectivos agentes e, quando cabível, serão gravadas com sigilo ou pseudonimizadas, conforme o caso.
Art. 15 Os dados pessoais obtidos pela CMNV-ES, exclusivamente mediante consentimento do titular, não poderão ser objeto de comunicação ou compartilhamento, exceto quando houver consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na LGDP.
Art. 16 O compartilhamento de dados pessoais a partir de bases próprias da CMNV-ES se dará nas hipóteses previstas no art. 26 da LGPD e fica condicionando à declaração do destinatário dos dados de que o tratamento pretendido atende aos princípios de proteção de dados elencados no art. 6º da LGPD e depende da prévia celebração de acordo que contenha cláusula:
I - que demonstre a legitimidade do interessado para tratar os dados, bem como a necessidade, a adequação e a finalidade lícita e específica do tratamento; e
II - contendo a obrigação do interessado de adotar medidas de salvaguarda das informações, mesmo após o término do tratamento.
§ 1º Para fins do disposto neste artigo, caberá ao interessado o respectivo ônus argumentativo, na forma do § 4º do art. 7º desta resolução, mesmo na hipótese do art. 7º, § 3º, da LGPD.
§ 2º O compartilhamento de dados pessoais pela CMNV-ES deve ser feito unicamente por meio de comunicações formais, com certificação do destinatário e estabelecimento de instrumentos efetivos de apuração e correção de eventuais desvios.
Art. 17 É vedada a transferência a entidades privadas de dados pessoais pela CMNV-ES, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da LGPD e desta resolução;
III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres, observada, em qualquer caso, o disposto no art. 5º desta resolução; ou
IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo único. Caberá ao departamento responsável pela gestão e acompanhamento do instrumento de que trata o inciso III deste artigo dar ciência ao encarregado, designado na forma do art. 20 desta resolução, para fins de comunicação à ANPD, na forma do art. 27 da LGPD.
Art. 18 Em regra, os dados pessoais serão conservados pela CMNV-ES, mesmo após o término do tratamento, constituindo arquivo público, nos termos da Lei Nacional nº 8.159/1991 e da regulamentação em vigor, e serão eliminados de acordo com a classificação arquivística de cada documento, definida na política interna de gestão documental, obedecendo-se aos prazos da tabela de temporalidade de documentos, conforme regulado em ato normativo próprio.
Parágrafo único. Não se aplica o disposto neste artigo quando houver:
I - comunicação do titular dos dados ou de seu responsável legal, no exercício de direito de revogação do consentimento, quando o tratamento tiver decorrido exclusivamente de seu consentimento prévio; e
II - determinação da ANPD, se identificada violação pela CMNV-ES de dispositivos da LGPD.
Art. 19 Em suas rotinas, os servidores, membros e os departamentos da CMNV-ES avaliarão se o tratamento está sendo feito de modo a utilizar os dados pessoais estritamente necessários à consecução de finalidade legalmente autorizada, cabendo-lhes dar ciência ao encarregado quando necessária a adoção de providências.
Art. 20 Na forma da Resolução nº 423, de 28 de junho de 2022, que alterou a Resolução nº 346/2005, que incluiu os artigos. 6ª-C a 6º-D, observado ainda o disposto no inciso VI do § 1º do art. 6º desta resolução, o encarregado pelo tratamento de dados, no âmbito da CMNV-ES, será indicado por ato do presidente da CMNV-ES, cuja função gratificada ou cargo será para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir atribuições legais do serviço público, nos termos do art. 23 da Lei nº 13.709, de 14 de agosto de 2018, e sua identidade e as informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico da Câmara Municipal.
§ 1º As competências, requisitos para a investidura no cargo ou função gratificada, bem como as suas vedações estarão previstos na Resolução nº 346/2005.
§ 2º Além do disposto no art. 24 desta resolução, as comunicações feitas com base na LGPD, nesta resolução ou na Resolução nº 346/2005, serão recebidas e respondidas pela Ouvidoria e, nas hipóteses tratadas neste artigo, deverão ser instruídas pelo encarregado.
Art. 22 Para o desempenho de suas atribuições, o encarregado poderá solicitar o apoio dos departamentos da CMNV-ES, condicionado à disponibilidade de recursos humanos e materiais conforme previamente autorizado pelas respectivas chefias, sendo-lhe facultado reportar-se diretamente ao presidente ou à Diretoria Geral – DIRGE da Câmara Municipal de Nova Venécia-ES.
Art. 23 As informações sobre o tratamento de dados pessoais realizados pela CMNV-ES deverão ser disponibilizadas em seu sítio eletrônico, na Carta de Serviços ao Usuário e na política de privacidade, de forma clara, adequada e ostensiva, contendo, em especial, indicações sobre:
I - a finalidade específica do tratamento;
II - a forma e a duração do tratamento, ressalvados os dados sujeitos a sigilo, nos termos da legislação aplicável;
III - a eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
IV - as informações de contato;
V - as informações sobre o uso compartilhado de dados e a indicação das entidades públicas e privadas com as quais a CMNV-ES realiza uso compartilhado de dados;
VI - a responsabilidade administrativa disciplinar e a legislação a que estão sujeitos os agentes que realizam o tratamento de dados pessoais, no âmbito da CMNV-ES, em caso de inobservância aos ditames legais;
VII - o direito de acesso facilitado pelo titular, com menção explícita ao art. 18 da LGPD; e
VIII - a revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.
Art. 24 Os direitos de que trata o art. 18 da LGPD serão exercidos, no que couber, mediante requerimento expresso do titular, devidamente identificado, ou de representante regularmente constituído e habilitado perante os canais oficiais de atendimento da Ouvidoria da CMNV-ES e serão processados como solicitação, na forma de regulamento específico.
§ 1º A confirmação de existência ou o acesso a dados pessoais serão providenciados mediante requisição do titular em formato simplificado, imediatamente, ou por meio de declaração clara e completa, no prazo de até quinze dias, contado da data do requerimento do titular.
§ 2º Será liminarmente indeferida a solicitação de qualquer dos direitos previstos no art. 18 da LGPD, quando feita de maneira anônima ou quando não atender ao disposto no § 1º.
Art. 25 Sempre que o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos, bem como sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
Art. 26 Quando a CMNV-ES atuar como mera custodiante de dados pessoais que estejam contidos em bases de dados custodiadas, os direitos previstos na LGPD devem ser exercidos pelo titular diretamente perante a organização pública ou privada responsável pelas informações.
Parágrafo único. Para fins do disposto neste artigo, a CMNV-ES manterá relação atualizada no seu sítio eletrônico com indicação precisa das bases de dados custodiadas e da respectiva organização responsável pela informação, perante as quais o titular dos dados pessoais poderá exercer os direitos de que trata o art. 18 da LGPD.
Art. 27 Os direitos de que trata este capítulo não excluem outros previstos em legislação específica e em ato normativo próprio, inclusive:
I - o não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
II - a obtenção de informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados na forma desta resolução e da legislação em vigor;
III - o consentimento expresso, quando aplicável, sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada;
IV - a exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas em lei;
V - a publicidade e a clareza de eventuais políticas de uso de aplicações de internet.
Parágrafo único. O disposto no inciso I do caput deste artigo não se aplica ao monitoramento de infraestrutura fornecida pela CMNV-ES para fins de controle de acesso a redes, sites, sistemas e bases de dados pelos agentes de que trata o art. 2º desta resolução, observadas, em qualquer caso, a finalidade e a necessidade do tratamento, além do adequado uso da informação.
Art. 28 No âmbito da CMNV-ES, o Comitê para Estudos e Regulamentação da Lei Geral de Proteção de Dados Pessoais fica responsável, até a sua dissolução, pela elaboração e atualização do Inventário de Dados Pessoais – IDP que conterá o registro das operações de tratamento de dados pessoais pela CMNV-ES, em atendimento ao art. 37 da LGPD.
§ 1º A composição e a forma de atuação do comitê e os prazos para a apresentação do IDP serão definidos em ato do presidente da CMNV-ES.
§ 2º O IDP conterá a descrição de informações relativas ao tratamento de dados pessoais pela CMNV-ES e indicará, no mínimo:
I - os agentes e as unidades responsáveis pelo tratamento e o encarregado da CMNV-ES;
II - a finalidade do tratamento;
III - a(s) hipótese(s) legais autorizativas do tratamento;
IV - os tipos de dados pessoais tratados pela CMNV-ES;
V - a categoria dos titulares dos dados pessoais tratados;
VI - o tempo de retenção dos dados pessoais;
VII - as instituições com as quais os dados pessoais sejam compartilhados pela CMNV-ES;
VIII - a transferência internacional de dados, quando houver;
IX - as medidas de segurança adotadas; e
X - a verificação de conformidade do tratamento de dados quanto aos princípios da LGPD.
§ 3º Após a dissolução do comitê previsto no caput deste artigo, será instituída a Equipe de Apoio de Proteção de Dados Pessoais, sendo-lhe repassada a atribuição permanente de atualização do Inventário de Dados Pessoais – IDP, bem como outras competências, através de legislação própria.
§ 4º Para atendimento do disposto no § 3º, serão observadas, no que couberem, as diretrizes exaradas pela ANPD no Guia de Elaboração de Inventário de Dados Pessoais.
Art. 29 O Relatório de Impacto de Proteção de Dados Pessoais – RIPD conterá, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise das medidas, salvaguardas e mecanismos de mitigação de riscos adotados e será elaborado:
I - preliminarmente, pelo Comitê para Estudo e Regulamentação da Lei nº 13.709, de 14 agosto de 2018, em prazo a ser definido em ato do presidente da CMNV-ES;
II - pela equipe responsável por projeto prioritário que tiver o propósito de usar dados pessoais, antes de iniciar o tratamento, como condição para desenvolvimento e entrega do projeto; e
III - pelo encarregado, quando determinado pela ANPD, na forma da Resolução nº 346, de 18 de novembro de 2005.
Art. 30 Além do disposto no art. 29, o RIPD poderá ser atualizado, pela Equipe de Apoio, sempre que se identificar a possibilidade de ocorrência de impacto na privacidade dos dados pessoais, em especial, quando resultante de:
I - nova tecnologia, serviço ou outra iniciativa em que os dados pessoais sejam ou devam ser tratados;
II - processamento de dados pessoais para tomada de decisões automatizadas que surtam efeitos legais, incluídas decisões destinadas a definir perfil, pessoal ou profissional, e aspectos da personalidade;
III - tratamento de dados pessoais de crianças e adolescentes e dados sensíveis;
IV - tratamento de dados pessoais de que possa resultar dano patrimonial, moral, individual ou coletivo aos titulares, se houver vazamento;
V - nova forma de tratamento de dados pessoais por interesse legítimo da CMNV-ES;
VI - alterações em leis e regulamentos aplicáveis à privacidade, política e normas, em operações de sistema de informações, propósitos e meios de tratamento de dados pessoais e em fluxos de dados; e
VII - reformas administrativas que impliquem nova estrutura organizacional resultante da incorporação, fusão ou cisão de unidades e que tenham impacto potencial na proteção de dados.
Art. 31 Deverão constar do RIPD:
I - identificação do encarregado, registrando os canais de comunicação;
II - indicação da necessidade de elaboração do relatório;
III - descrição do(s) tratamento(s) de dados pessoais, contendo:
a) natureza, com indicação de como o tratamento é ou será realizado, da fonte, fases, tecnologia ou método de tratamento aplicado e medidas de segurança adotadas;
b) escopo, indicando-se o(s) tipo(s) de dados pessoais tratados e a abrangência do tratamento (volume de dados, número de titulares, extensão, frequência, período de retenção e área geográfica);
c) contexto, incluindo fatores internos e externos que podem impactar no tratamento e afetar as expectativas dos titulares e parâmetros que demonstrem o equilíbrio entre o interesse e a necessidade da CMNV-ES em tratar os dados pessoais e os direitos dos titulares;
d) finalidade, entendida como razão ou motivo pelo qual o tratamento é realizado; e
e) ciclo de vida do tratamento (coleta, retenção, processamento, compartilhamento e eliminação);
IV - identificação das partes interessadas consultadas, como gestores, especialistas e consultores, ou descrição do motivo pelo qual não é feito esse registro;
V - descrição da necessidade e proporcionalidade do tratamento dos dados pessoais, indicando a fundamentação legal autorizativa, garantias da qualidade (exatidão, clareza, relevância e atualização dos dados) e da proteção dos dados e medidas assecuratórias dos direitos dos titulares;
VI - identificação dos riscos;
VII - indicação de medidas para tratamento de risco; e
VIII - aprovação do relatório mediante a assinatura do(s) responsável(is) pela elaboração, pelo encarregado e presidente da CMNV-ES.
Art. 32 Conforme o caso, o RIPD poderá ser elaborado em documento único, abrangendo todas as operações de tratamento de dados pessoais envolvidas no escopo, ou de maneira segregada, para cada projeto, sistema ou serviço, de acordo com os processos internos de trabalho.
Art. 33 Os sistemas desenvolvidos e utilizados pela CMNV-ES para o tratamento de dados pessoais serão estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas diretrizes fixadas pela ANPD e serão concebidos segundo a abordagem de privacidade desde a concepção e como padrão de sistemas e práticas de negócios.
Parágrafo único. O departamento de Centro de Processamento de Dados – CPD adotará e proporá a adoção de medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, observando padrões técnicos mínimos definidos pela ANPD.
Art. 34 Os departamentos da CMNV-ES, o encarregado e o comitê e, após sua dissolução, a Equipe de Apoio de Proteção de Dados Pessoais, no âmbito de suas competências, poderão propor à Unidade Central de Controle Interno – UCCI a edição de Norma de Procedimento Interno - NIP, na forma de legislação específica, a fim de estabelecer regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais, observado o disposto no art. 50 da LGPD.
Art. 35 Os departamentos da CMNV-ES deverão comunicar imediatamente ao encarregado a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, conforme a Resolução nº 346, de 18 de novembro de 2005.
Art. 36 Os agentes de que tratam o art. 2º desta resolução firmarão Termo de Compromisso de Confidencialidade e Proteção de Dados Pessoais, declarando expressamente:
I - reconhecer, em razão da utilização de ferramentas tecnológicas disponibilizadas pela CMNV-ES, a possibilidade de acesso a dados pessoais, inclusive sensíveis e de crianças e adolescentes, confidenciais ou não, armazenados nos sistemas informatizados sob a responsabilidade da CMNV-ES;
II - ter ciência de que as credenciais de acesso (login e senha) são de uso pessoal e intransferível e de conhecimento exclusivo, assumindo a inteira responsabilidade por todo e qualquer prejuízo causado pelo fornecimento da senha pessoal a terceiros, independentemente do motivo;
III - reconhecer que serão consideradas confidenciais todas as informações, transmitidas por meios escritos, eletrônicos, verbais ou quaisquer outros e de qualquer natureza, incluindo dados pessoais, os quais devem ser tratados nos termos da LGPD e desta resolução;
IV - ter conhecimento ainda da Lei nº 13.709/2018 (LGPD), desta resolução e de que a CMNV-ES possui um programa de governança de dados pessoais e de segurança da informação, aos quais se obriga a obedecer e a auxiliar o cumprimento;
V - assumir o compromisso de não utilizar os dados pessoais a que tenha acesso, classificado como confidencial ou não, para fins diversos daqueles para os quais esteja autorizado;
VI - estar ciente de que é proibida a reprodução de qualquer informação que contenha dados pessoais para sua utilização fora do âmbito das competências da CMNV-ES e das hipóteses legais autorizativas, bem como sua divulgação e compartilhamento;
VII - reconhecer que eventuais danos causados em razão da quebra de confidencialidade, disponibilidade ou integridade de dados pessoais poderão caracterizar infração administrativa disciplinar, sem prejuízo de eventual responsabilização nas demais esferas competentes;
VIII - ter ciência de que seus dados pessoais utilizados para acesso aos sistemas disponibilizados pela CMNV-ES serão conservados durante o tempo em que estiver vigente o vínculo administrativo ou a relação contratual com a CMNV-ES e, ainda, durante os períodos de retenção de dados legalmente exigíveis;
IX - ter lido, compreendido e sanado todas as dúvidas sobre o Termo de Compromisso de Confidencialidade e Proteção de Dados Pessoais.
Parágrafo único. O termo de compromisso de que trata este artigo será firmado, conforme o caso, no ato da posse no cargo ou no momento da celebração de contrato administrativo cujo objeto envolva o tratamento de dados pessoais.
Art. 37 A CMNV-ES manterá registro das operações de tratamento de dados pessoais que realizar, inclusive quanto à demonstração das razões e fundamentos para o tratamento quando embasado no legítimo interesse.
Art. 38 Caberá ao CPD e à Ouvidoria, no âmbito das respectivas competências, a disponibilização no sítio eletrônico da CMNV-ES das informações de que tratam os artigos 9º, 20 e 23 e o parágrafo único do art. 26 desta resolução.
Art. 39 A Unidade Central de Controle Interno – UCCI, no exercício de suas atribuições, zelará pelo atendimento ao disposto no inciso II do art. 29 desta resolução.
Art. 40 A CMNV-ES promoverá ações de capacitação sobre a LGPD e sobre normas, diretrizes e padrões pertinentes à sua observância voltadas para os agentes de que trata o art. 2º desta resolução.
Art. 41 Em até noventa dias após a entrada em vigor desta resolução, os agentes públicos em exercício e os colaboradores já contratados encaminharão a declaração de que trata o art. 36 desta resolução ao encarregado, para fins de registro e arquivamento.
Parágrafo único. Caberá ao Departamento de Administração e Finanças – DEAF, diretamente ou por outro departamento vinculado, padronizar o modelo de declaração e prestar as orientações para seu preenchimento e formalização.
Art. 42 A Unidade Central de Controle Interno – UCCI, em colaboração com os demais departamentos da CMNV-ES, coordenará a revisão dos atos normativos exarados no desempenho do poder de controle interno da CMNV-ES, sempre que se identificar a necessidade de adequação dos procedimentos à LGPD e aos termos desta resolução.
Art. 43 A Procuradoria Geral – PROGER da Câmara Municipal de Nova Venécia-ES revisará os termos dos contratos, convênios, acordos de cooperação ou instrumentos congêneres que tenham por objeto, principal ou acessório, o compartilhamento de dados, no prazo de até noventa dias da entrada em vigor desta resolução.
§ 1º Para fins do disposto neste artigo, os departamentos responsáveis pela gestão e acompanhamento de contratos, convênios, acordos de cooperação ou instrumentos congêneres encaminharão, por memorando e no prazo de cinco dias úteis da entrada em vigor desta resolução, a relação atualizada dos termos celebrados, contendo a indicação do objeto, das partes e da vigência à PROGER para definição, em igual prazo, do cronograma de revisão.
§ 2º Identificada a necessidade de adequação à LGPD, às diretrizes fixadas pela ANPD ou aos termos desta resolução, a PROGER proporá à presidência a celebração de termo aditivo.
§ 3º Após o levantamento de que trata o § 1º deste artigo, o gestor da contratação dará ciência ao encarregado dos contratos, convênios ou instrumentos congêneres que prevejam a transferência de dados pessoais a entidades privadas, nos termos do inciso III e do parágrafo único do art. 17 desta resolução.
Art. 44 Compete à Diretoria Geral – DIRGE, diretamente ou por intermédio dos departamentos vinculados, zelar pela atualização das normas internas de gestão documental e sua adequação à LGPD e às diretrizes e padrões fixados pela ANPD.
Art. 45 A adoção de medidas para o atendimento ao disposto nesta resolução será gradativa e considerará as recomendações, diretrizes, políticas, normas, padrões, pareceres, técnicas, regulamentos e solicitações a serem exarados pela ANPD, inclusive quanto à adequação progressiva dos bancos de dados constituídos até a data de entrada em vigor desta resolução, consideradas, em especial, a complexidade das operações de tratamento e a natureza dos dados.
Art. 46 O descumprimento do disposto na LGPD e nesta resolução, assim como a violação de normas jurídicas ou técnicas pelos agentes de que trata o art. 2º desta resolução poderá configurar a prática de infração administrativa, ética ou disciplinar, e ensejar a aplicação de penalidade, na forma da legislação pertinente, sem prejuízo da apuração de eventual responsabilidade civil ou criminal, nas esferas competentes.
Art. 47 Enquanto a ANPD não regulamentar normas, diretrizes e padrões pertinentes à observância da LGPD, a Câmara Municipal de Nova Venécia-ES poderá utilizar normas e padrões técnicos, bem como manuais, guias e modelos instituídos no âmbito da administração pública federal.
Art. 48 Esta resolução entra em vigor na data de sua publicação.
Câmara Municipal de Nova Venécia, Estado do Espírito Santo, em 23 de setembro de 2022; 68º de Emancipação Política; 17ª Legislatura.
Este texto não substitui o original publicado e arquivado na Câmara Municipal de Nova Venécia.