CASA CIVIL DO GABINETE DO PREFEITO

Acessibilidade

INSTRUÇÃO NORMATIVA CONTROLADORIA GERAL DO MUNICÍPIO - CGM Nº 1 de 13 de Janeiro de 2023

Altera a Instrução Normativa Controladoria Geral do Município – CGM nº 01, de 21 de julho de 2022, que estabelece disposições referentes ao tratamento de dados pessoais no âmbito da Administração Pública Municipal de São Paulo.

INSTRUÇÃO NORMATIVA CONTROLADORIA GERAL DO MUNICÍPIO – CGM Nº 01, DE 13 DE JANEIRO DE 2023

Altera a Instrução Normativa Controladoria Geral do Município – CGM nº 01, de 21 de julho de 2022, que estabelece disposições referentes ao tratamento de dados pessoais no âmbito da Administração Pública Municipal de São Paulo.

O CONTROLADOR GERAL DO MUNICÍPIO, no uso das atribuições que lhe conferem o artigo 138 da Lei Municipal nº 15.764/2013, o artigo 5º do Decreto Municipal nº 59.767/2020, e o artigo 41 da Lei Federal nº 13.709/2018,

CONSIDERANDO o disposto na Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD),

CONSIDERANDO o disposto no Decreto Municipal nº 59.767, de 15 de setembro de 2020, que regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD) – no âmbito da Administração Pública Municipal Direta e Indireta,

RESOLVE:

Art. 1º A Instrução Normativa Controladoria Geral do Município – CGM nº 01, de 21 de julho de 2022, passa a vigorar com as seguintes alterações:

“Art. 2º O Mapeamento do Fluxo de Dados Pessoais tratados por cada unidade, previsto no artigo 4º, inciso I, do Decreto Municipal nº 59.767/2020, deverá observar o Anexo I – “Mapeamento de Dados Pessoais” e ser disponibilizado, centralizado, em plataforma única, a ser viabilizada pela Controladoria Geral do Município (CGM), com o apoio técnico e operacional da Secretaria Municipal de Inovação e Tecnologia (SMIT) e do Comitê Central de Governança de Dados, instituído pelo Decreto Municipal nº 60.663/2021, de modo a conter as informações, de forma clara, adequada e ostensiva, sobre todo o ciclo de vida dos dados pessoais do titular, com a indicação da unidade em que se localizam, bem como o status do processo ou atividade, caso necessário.” (NR)

“Art. 3º O Relatório de Impacto à Proteção de Dados Pessoais, previsto no artigo 4º, inciso IV, do Decreto Municipal nº 59.767/2020, deverá ser realizado e anualmente atualizado, com a descrição do tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, nos termos desta Instrução Normativa e do Anexo II – “Relatório de Impacto à Proteção de Dados Pessoais”.” (NR)

“Art. 4º A Gestão de Riscos à Segurança da Informação, à Privacidade e à Proteção de Dados Pessoais, prevista no artigo 4º, inciso II, do Decreto Municipal nº 59.767/2020, deverá observar o Anexo II – “Relatório de Impacto à Proteção de Dados Pessoais”, e considerar o estado atual da tecnologia e o contexto do tratamento de dados pessoais, bem como gerir medidas de segurança, técnicas e administrativas, aptas à proteção de dados pessoais contra ameaças e vulnerabilidades, considerados os riscos inerentes e residuais ao processo ou atividade.” (NR)

“Art. 10. Os órgãos da Administração Pública Municipal deverão disponibilizar, em seus sítios eletrônicos e em lugares visíveis das respectivas instalações físicas, as hipóteses de tratamento de dados pessoais, nos termos do artigo 11, inciso II, do Decreto Municipal nº 59.767/2020, e do artigo 2° desta Instrução Normativa, bem como fornecer instrumentos adequados para que o titular de dados pessoais manifeste o seu consentimento, quando necessário, de forma livre, informada e inequívoca, conforme o artigo 5º, inciso XII, da Lei Federal nº 13.709/2018.” (NR)

“Art. 11. Quando do compartilhamento ou uso compartilhado de dados pessoais pelos órgãos e entidades da Administração Pública Municipal com outros órgãos e entidades públicas, para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, poderá o órgão ou entidade requisitado solicitar esclarecimentos ao órgão ou entidade requisitante, de modo a atender à boa-fé e aos princípios previstos na Lei Federal nº 13.709/2018.” (NR)

“Art. 13. Os órgãos da Administração Pública Municipal deverão e as entidades da Administração Pública Municipal poderão: 

I – criar um Plano de Adequação que descreva todas as ações desenvolvidas e a serem desenvolvidas para a implementação do sistema normativo de proteção de dados pessoais em vigor, observadas as disposições do Decreto Municipal n° 59.767/2020, desta Instrução Normativa, de seu Anexo I – “Mapeamento de Dados Pessoais” e de seu  Anexo II – “Relatório de Impacto à Proteção de Dados Pessoais”;

II – certificar-se de que o compartilhamento e o uso compartilhado de dados pessoais sejam realizados apenas em locais corretos e aprovados, por meios autorizados, não sendo possível o uso de sistemas de acesso não fornecidos ou não permitidos pela Administração Pública Municipal, assim como o armazenamento de dados pessoais e informações em contas não-organizacionais ou particulares; e

III – proporcionar capacitação de responsável ou de equipe, preferencialmente efetivos, com atribuições relativas ao tratamento de dados pessoais, especialmente sobre os riscos de compartilhamento e uso compartilhado de dados pessoais.

IV – revogado;

V – revogado;

VI – revogado;

VII – revogado;

VIII – revogado;

IX – revogado; e

X – revogado.

Parágrafo único. Serão publicados, pela Controladoria Geral do Município (CGM), Guias Orientativos que objetivem nortear a implementação das disposições gerais deste artigo.” (NR)  

“Art. 14. Relatórios sobre o Plano de Adequação, previsto no artigo 2º, inciso XIII, do Decreto Municipal nº 59.767/2020, deverão ser publicados e anualmente atualizados, observados os seguintes requisitos: 

.................................................................................

II – atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados (ANPD), nos termos do artigo 23, § 1º, e do artigo 27, parágrafo único, da Lei Federal nº 13.709/2018;

.................................................................................

IV – elaboração de Mapeamento de Dados Pessoais de cada processo realizado pelo órgão ou entidade, contendo as seguintes informações, observado, materialmente, o Anexo I – “Mapeamento de Dados Pessoais”:

.................................................................................

g) categorias de dados pessoais tratados, inclusive com a descrição das categorias de dados pessoais sensíveis;

.................................................................................

m) gestão de riscos à segurança da informação, à privacidade e à proteção de dados pessoais.

.................................................................................

V – elaboração de Relatório de Impacto à Proteção de Dados Pessoais, que contenha as seguintes informações, observado, materialmente, o Anexo II – “Relatório de Impacto à Proteção de Dados Pessoais”:

.................................................................................

h) gestão de riscos à segurança da informação, à privacidade e à proteção de dados pessoais; e” (NR)

“Art. 15. Os Planos de Adequação, nos termos do artigo 17 do Decreto Municipal n° 59.767/2020, encaminhados à Controladoria Geral do Município (CGM), serão analisados pela Coordenadoria de Promoção da Integridade (COPI), que poderá: 

I – solicitar orientações à Secretaria Municipal de Inovação e Tecnologia (SMIT), sob o ponto de vista tecnológico, nos termos do artigo 8°, inciso II, do Decreto Municipal n° 59.767/2020, materialmente com relação ao item “6” do Anexo II – “Relatório de Impacto à Proteção de Dados Pessoais”, em sua análise sobre os Planos de Adequação dos órgãos da Administração Pública Municipal; e 

II – emitir orientações de adequação, após deliberação favorável do Encarregado pela Proteção de Dados Pessoais, ao constatar desconformidades materiais nos Planos de Adequação dos órgãos ou entidades, com relação aos termos desta Instrução Normativa, do Decreto Municipal n° 59.767/2020 e da Lei Federal nº 13.709/2018.” (NR)

“Art. 16. Integram a presente Instrução Normativa o Anexo I – “Mapeamento de Dados Pessoais” e o Anexo II – “Relatório de Impacto à Proteção de Dados Pessoais”, que deverão ser utilizados pelos órgãos da Administração Pública Municipal e poderão ser empregados pelas entidades da Administração Pública Municipal.” (NR)

“Art. 17. Esta Instrução Normativa entra em vigor em 21 (vinte e um) de maio de 2023.  

§ 1º Os Planos de Adequação, nos termos do artigo 17 do Decreto Municipal n° 59.767/2020, que tenham sido produzidos anteriormente à data de vigência a que dispõe o caput, deverão ser encaminhados à Controladoria Geral do Município (CGM) a fim de serem analisados com relação à sua conformidade material aos termos desta Instrução Normativa.

§ 2º A Controladoria Geral do Município (CGM) auxiliará os órgãos e as entidades da Administração Pública Municipal no cumprimento das obrigações definidas nesta Instrução Normativa, fornecendo suporte teórico e capacitação aos agentes públicos.” (NR)

Art. 2º. Integram a presente Instrução Normativa o Anexo I – “Mapeamento de Dados Pessoais” e o Anexo II – “Relatório de Impacto à Proteção de Dados Pessoais”, que alteram os anexos publicados pela Instrução Normativa Controladoria Geral do Município – CGM, de 21 de julho de 2022 – respectivamente, o Anexo II – “Mapeamento de Dados Pessoais” e o Anexo I – “Relatório de Impacto à Proteção de Dados Pessoais.

Art. 4º. Revogam-se as disposições em contrário.

Art. 5º. Esta Instrução Normativa entra em vigor na data de sua publicação.

 

Daniel Falcão

CONTROLADOR GERAL DO MUNICÍPIO

ENCARREGADO PELA PROTEÇÃO DE DADOS PESSOAIS DA PREFEITURA DO MUNICÍPIO

Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo