CASA CIVIL DO GABINETE DO PREFEITO

Acessibilidade

Legislação Municipal

Prefeitura de São Paulo

Legislação Municipal

  1. Você está em:
  2. Início
  3. Pesquisa de Leis Municipais
  4. INSTRUÇÃO NORMATIVA CONTROLADORIA GERAL DO MUNICÍPIO - CGM Nº 2 DE 23 DE DEZEMBRO DE 2024
  5. Texto compilado

INSTRUÇÃO NORMATIVA CONTROLADORIA GERAL DO MUNICÍPIO - CGM Nº 2 de 23 de Dezembro de 2024

Aprova a Metodologia de Diagnóstico de Maturidade em Proteção de Dados Pessoais e disciplina o procedimento de autoavaliação por parte dos órgãos da Administração Pública Municipal.

INSTRUÇÃO NORMATIVA CONTROLADORIA GERAL DO MUNICÍPIO - CGM Nº 02/2024, DE 23 DE DEZEMBRO DE 2024.

Aprova a Metodologia de Diagnóstico de Maturidade em Proteção de Dados Pessoais e disciplina o procedimento de autoavaliação por parte dos órgãos da Administração Pública Municipal.

O Controlador Geral do Município, no uso das atribuições que lhe conferem o artigo 138 da Lei Municipal nº 15.764/2013, o artigo 5º do Decreto Municipal nº 59.767/2020, e o artigo 41 da Lei Federal nº 13.709/2018 (LGPD),

RESOLVE:

Capítulo I

Das Disposições Preliminares

Art. 1º Fica aprovada a Metodologia de Diagnóstico de Maturidade em Proteção de Dados Pessoais da Controladoria Geral do Município, nos termos do Anexo Único desta Instrução Normativa.

Art. 2º O Diagnóstico de Maturidade em Proteção de Dados Pessoais tem como objetivo fornecer aos gestores dos órgãos as informações necessárias para obter um panorama sobre o processo de adequação do órgão às regras dispostas na LGPD e em atos normativos correlatos, bem como em boas práticas sobre o tema, com o intuito de possibilitar a identificação e a priorização de ações a partir da divisão por fases para verificação de controles.

Capítulo II

Da Autoavaliação pelos órgãos da Administração Pública Municipal

Art. 3º Os órgãos da Administração Pública Municipal deverão realizar a autoavaliação do Diagnóstico de Maturidade em Proteção de Dados Pessoais da fase em que se encontram, a ser conduzido pelo respectivo Chefe de Gabinete, nos termos do art. 7º do Decreto nº 59.767/2020 e do Anexo Único desta Instrução Normativa.

Parágrafo único. Os órgãos deverão considerar o resultado da autoavaliação no planejamento e implementação de ações futuras de adequação à LGPD.

Art. 4º Independentemente de o órgão ser selecionado para análise pela Coordenadoria de Proteção de Dados Pessoais a que se refere o Capítulo III desta Instrução Normativa, os órgãos devem realizar a autoavaliação anualmente.

§1º A Divisão de Conformidade em Proteção de Dados Pessoais encaminhará, anualmente, por Ofício Circular, link para o formulário da autoavaliação, que deverá ser preenchido na forma e prazo estipulados pelo encarregado da proteção de dados pessoais, nos termos do art. 6º do Decreto nº 59.767/20.

§2º A Divisão de Conformidade em Proteção de Dados Pessoais instaurará, anualmente, um único processo SEI específico para consolidação das autoavaliações realizadas, coletadas a partir do link a que se refere o §1º deste artigo.

§3º Os órgãos instruirão, anualmente, processo SEI específico para registro do levantamento das informações e do resultado da autoavaliação realizada, que, somente deverá ser encaminhado à Controladoria Geral do Município, por solicitação desta, caso o órgão seja objeto da análise amostral a que se refere o Capítulo III desta Instrução Normativa.

Capítulo III

Da Análise pela Coordenadoria de Proteção de Dados Pessoais

Art. 5º A análise da autoavaliação será realizada pela Divisão de Conformidade em Proteção de Dados Pessoais, de forma amostral, por meio de Processo SEI, conforme planejamento anual da Coordenadoria de Proteção de Dados Pessoais e planejamento estratégico da Controladoria Geral do Município.

§ 1º A análise amostral a que se refere o caput deste artigo só ocorrerá sobre órgãos que declararem, no preenchimento da autoavaliação, que implementaram, quando aplicável, todos os controles da fase em que se encontram, oportunidade em que deverão fornecer as respectivas evidências.

§2º A análise da Divisão de Conformidade em Proteção de Dados Pessoais consistirá em indicar:

I – que o órgão comprovou a implementação dos controles da fase em que se encontra, quando:

a) as evidências sejam suficientes e adequadas para atestar a existência dos controles; e

b) a(s) justificativa(s) pela inaplicabilidade de determinado(s) controle(s) seja(m) pertinente(s);

II – que o órgão não comprovou a implementação dos controles da fase em que se encontra, quando:

a) as evidências sejam insuficientes e/ou inadequadas para atestar a existência dos controles; ou

b) a(s) justificativa(s) pela inaplicabilidade de determinado(s) controle(s) não seja(m) pertinente(s).

Art. 6º Com exceção da primeira fase, quando da análise das demais fases, esta deverá considerar os controles da etapa em avaliação e da(s) etapa(s) anterior(es), em processo cíclico de monitoramento.

Art. 7º A Divisão de Conformidade em Proteção de Dados Pessoais poderá realizar nova análise sobre controles de fases já verificadas anteriormente para fins de monitoramento, de forma amostral, conforme planejamento anual da Coordenadoria de Proteção de Dados Pessoais e planejamento estratégico da Controladoria Geral do Município.

Art. 8º A Coordenadoria de Proteção de Dados Pessoais irá consolidar o resultado das autoavaliações e prestar apoio e orientação aos órgãos no processo de autoavaliação a que se refere esta Instrução Normativa.

Capítulo IV

Das Disposições Finais

Art. 9º O não cumprimento da autoavaliação na forma e no prazo estipulados pelo Controlador Geral do Município, enquanto encarregado da proteção de dados pessoais nos termos do art. 6º do Decreto nº 59.767/20, poderá implicar responsabilização das autoridades a que dispõe o caput do art. 7º do Decreto Municipal nº 59.767/2020, nos termos do art. 7º, inc. I, da Instrução Normativa CGM nº 01, de 21 de julho de 2022, e do art. 138, §1º, da Lei Municipal nº 15.764, de 27 de maio de 2013.

Art. 10. A Auditoria Geral do Município poderá realizar trabalhos de auditoria sobre a temática de proteção de dados pessoais, nos termos da Lei nº 15.764/2013 e do Decreto nº 62.809/2023.

Art. 11. Os pontos de controle e o resultado da autoavaliação previstos não isentam os órgãos a se adequarem às outras disposições da LGPD e de normativos aplicáveis.

Art. 12. A Divisão de Normatização em Proteção de Dados Pessoais da Coordenadoria de Proteção de Dados Pessoais elaborará Guias Orientativos para cada fase do Diagnóstico de Maturidade em Proteção de Dados.

Art. 13. A metodologia do Diagnóstico de Proteção de Dados Pessoais, no que couber, terá caráter orientativo à Administração Pública Municipal Indireta.

Art. 14. Esta Instrução Normativa entra em vigor na data de sua publicação.


 

DANIEL FALCÃO

Controlador Geral do Município

Encarregado pela Proteção de Dados Pessoais da Prefeitura do Município

Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo