CASA CIVIL DO GABINETE DO PREFEITO

Acessibilidade

PORTARIA SECRETARIA MUNICIPAL DA FAZENDA - SF Nº 22 de 5 de Fevereiro de 2021

Dispõe sobre o Política de Privacidade e Proteção aos Dados Pessoais e do Programa de Privacidade e Proteção aos Dados Pessoais da Secretária Municipal da Fazenda.

GABINETE DO SECRETARIO

PORTARIA SF Nº 22, DE 05 DE FEVEREIRO DE 2021

Dispõe sobre o Política de Privacidade e Proteção aos Dados Pessoais e do Programa de Privacidade e Proteção aos Dados Pessoais da Secretária Municipal da Fazenda.

O  SECRETÁRIO MUNICIPAL DA FAZENDA , no uso de suas atribuições legais

CONSIDERANDO  o disposto na Lei nº 13.709, de 14 de agosto de 2018;

CONSIDERANDO  o disposto no Decreto Municipal nº 59.767, de 15 de setembro de 2020; e

CONSIDERANDO  as conclusões alcançadas pelo Grupo de Trabalho instituído pela Portaria SF nº 331, de 13 de dezembro de 2019;

RESOLVE:

Art. 1° Instituir a Política de Privacidade e Proteção aos Dados Pessoais e o Programa de Privacidade e Proteção aos Dados Pessoais da Secretaria Municipal da Fazenda, na forma dos Anexos I e II, respectivamente.

Art. 2° Esta Portaria entrará em vigor na data de sua publicação. 

GUILHERME BUENO DE CAMARGO

Secretário Municipal da Fazenda

ANEXO I DA PORTARIA SF Nº 22, DE 05 DE FEVEREIRO DE 2021 

POLÍTICA DE PRIVACIDADE E PROTEÇÃO AOS DADOS PESSOAIS

Secretaria Municipal da Fazenda de São Paulo

Objetivos

A presente Política de Privacidade tem por objetivo implantar, no âmbito da Secretaria Municipal da Fazenda de São Paulo - SF, diretrizes para o cumprimento da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), e do Decreto Municipal nº 59.767, de 15 de setembro de 2020, que regulamenta a aplicação da referida Lei na Administração Municipal Direta e Indireta, visando estabelecer e manter padrões para coleta, uso, divulgação, armazenagem, proteção, acesso, transferência ou processamento de dados pessoais, de modo a proteger os direitos fundamentais de liberdade, intimidade e privacidade da pessoa natural.

Objetiva ainda descrever o comportamento esperado de todos os servidores e parceiros agindo em nome da Secretaria Municipal da Fazenda no tratamento desses dados, informando as medidas e os cuidados necessários à preservação e à proteção dos dados pessoais.

Escopo

Os comportamentos descritos neste compromisso aplicam-se a quaisquer dados pessoais que são criados, coletados, processados, usados, compartilhados ou destruídos para ou pela SF, não contemplando dados considerados anônimos.

Os preceitos deste documento devem ser observados por todos os servidores, colaboradores, temporários e outros empregados da SF, bem como por toda a equipe afiliada a terceiros relacionados de algum modo com esta Secretaria que possam ter acesso a informações e recursos aplicáveis, inclusive serviços baseados em “nuvem”, hospedados dentro e/ ou fora da Secretaria.

O compromisso da SF para com os titulares dos dados pessoais é de que o tratamento de todos os dados coletados observe estritamente a LGPD, tenha como objetivo propósitos legítimos e a persecução do interesse público, e se dê no exercício das competências ou atribuições legais da Secretaria.

Tais orientações aplicam-se a quaisquer dados pessoais processados no Brasil ou no exterior pela SF ou em seu nome, seja por meios eletrônicos e digitais ou manuais.

Entre as normas de proteção de dados aplicáveis e a presente Política de Privacidade e Proteção aos Dados Pessoais, prevalecerá sempre a de padrão mais elevado na proteção aos dados pessoais.

Alterações, modificações e atualizações desta Política de Privacidade e Proteção de Dados Pessoais devem ser amplamente divulgadas interna e externamente.

Definições e Princípios

Este documento utiliza as definições e os princípios apresentados no artigo 5º e artigo 6º da Lei nº 13.709, de 2018, e artigo 2º e artigo 3º do Decreto Municipal nº 59.767, de 2020.

Tratamento dos Dados Pessoais

É compromisso que o tratamento de dados pessoais somente será realizado nas seguintes hipóteses:

a) para o cumprimento de obrigação legal ou regulatória, objetivando o exercício de suas competências legais;

b) para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em lei e regulamentos ou respaldadas por contratos, convênios ou instrumentos congêneres;

c) para exercício regular de direitos em processo judicial, administrativo ou de arbitragem;

d) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente;

e) quando necessário para atender aos interesses legítimos da Administração, exceto no caso de prevalecerem direitos e liberdades fundamentais que exijam a proteção dos dados pessoais do titular;

f) mediante o fornecimento de consentimento pelo titular, fornecido por escrito ou outro que demonstre a manifestação da sua vontade, com cláusula destacada e finalidade determinada e sem vícios de consentimento;

Dados pessoais sensíveis poderão ser tratados somente nas hipóteses legalmente definidas.

A coleta e o tratamento de dados pessoais pela Secretaria Municipal da Fazenda de São Paulo, ou por terceiros em seu nome, para uso próprio ou compartilhado, atenderão às finalidades específicas de execução de suas atribuições legais.

Em qualquer caso, serão informadas as hipóteses nas quais, no exercício de suas competências, a Secretaria realize o tratamento de tais dados, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas.

Dados pessoais só serão transferidos a entidades públicas ou privadas, observado o compromisso de proteção destes dados por estas, nos seguintes casos:

a) de execução descentralizada de atividade pública que exija esta transferência, exclusivamente para esse fim;

d) os dados forem acessíveis publicamente, na forma da lei;

c) previsão legal ou respaldo em contratos, convênios ou instrumentos congêneres, com a ciência da Controladoria Geral do Município; ou

d) a transferência dos dados objetivar a prevenção de fraudes e irregularidades

A transferência internacional de dados pessoais será permitida para países e organismos internacionais que proporcionem grau de proteção de dados pessoais equivalentes aos da lei brasileira, nos termos das regulações vigentes.

O tratamento de dados pessoais de crianças e adolescentes será realizado em seu melhor interesse, sempre com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, na forma da legislação.

As divulgações de dados sem consentimento só serão permitidas na medida em que forem solicitadas para uma ou mais das finalidades abaixo:

a) proteger a segurança nacional;

b) prevenir ou detectar crimes, inclusive apreensão ou acusação de criminosos;

c) avaliar ou cobrar obrigações de dívidas tributárias ou não tributárias;

d) cumprir funções regulatórias (incluindo saúde, segurança e bem-estar das pessoas no trabalho);

e) evitar sérios danos a terceiros.

Responsabilidade

As definições dos agentes de tratamento (controlador, operador e encarregado) utilizadas na presente Política de Privacidade e Proteção aos Dados Pessoais são as apresentadas no artigo 5º da Lei nº 13.709, de 2018, e no artigo 2º do Decreto Municipal nº Lei 59.767, de 2020.

Matriz de Responsabilidade na Secretaria Municipal da Fazenda

Gabinete do Secretário

É sua responsabilidade monitorar a aderência das condutas cotidianas a esta Política de Proteção e Privacidade aos Dados Pessoais, especialmente:

a) manter registro das operações de tratamento de dados pessoais que realizem, especialmente quando baseado no legítimo interesse;

b) manter atualizada a análise de risco dos processos com dados pessoais realizados;

c) dar cumprimento às determinações referentes à proteção de dados pessoais emanadas da Controladoria Geral do Município - CGM;

d) sempre que solicitado, fazer cessar afirmada violação à LGPD ou apresentar as justificativas pertinentes;

e) encaminhar à CGM, no prazo solicitado, informações sobre tratamento de dados realizados, relatório de impacto à proteção de dados pessoais ou informações necessárias à sua elaboração;

f) informar e manter a CGM atualizada sobre as políticas de proteção de dados na SF.

É de sua competência a observação contínua da legislação aplicável à privacidade e proteção de dados pessoais, o contínuo aperfeiçoamento de controles em consonância com o nível aceitável de risco no tratamento dos dados sob sua responsabilidade e a publicidade desta Política.

Deve estabelecer, juntamente com a Coordenadoria de Tecnologia da Informação e Comunicação (COTEC), políticas e procedimentos gerais para a preservação dos dados digitais sob responsabilidade da Secretaria, bem como a implementação e monitoramento de sistemas de controle interno necessários para alcançar os objetivos de segurança e conformidade e, juntamente com a Coordenadoria de Administração (COADM), políticas de treinamento para atendimento das imposições da LGPD.

O Gabinete do Secretário é responsável por elaborar relatórios quando requerido pelas autoridades competentes e demonstrar a conformidade entre as políticas adotadas e a legislação, garantindo a observância desta política por toda a SF e terceiros que atuem em seu nome.

Gestores

Dentro de suas áreas, devem garantir que a cadeia de responsabilidade pela Política de Proteção e Privacidade aos Dados Pessoais seja mantida em consonância com o determinado pelo Chefe de Gabinete.

É responsabilidade dos gestores, em todos os níveis hierárquicos, em caráter contínuo:

a) garantir a atualização do mapeamento e documentação dos processos de suas áreas, especialmente aqueles que tratam dados pessoais, revisando-os, no mínimo, anualmente;

b) estabelecer, juntamente com a área responsável da COTEC, políticas e procedimentos para a preservação dos dados digitais sob sua responsabilidade, revisando-os, no mínimo, anualmente;

c) identificar a necessidade de tratamento de dados pessoais, sensíveis ou não;

d) atualizar os normativos que suportam os tratamentos de dados realizados dentro de sua competência;

e) propor alterações normativas que sejam necessárias à manutenção de suas atividades;

f) cuidar para que os dados pessoais sejam acessados apenas pelos servidores que necessitam tratar esses dados;

g) determinar a minimização do uso de dados;

h) garantir a eliminação física ou digital dos dados pessoais, após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada sua conservação para:

1. cumprimento de obrigação legal ou regulatória;

2. estudo por órgão de pesquisa, garantida a anonimização dos dados, sempre que possível;

3. transferência a terceiro, desde que respeitados os requisitos legais de tratamento;

4. uso exclusivo da Secretaria, desde que anonimizados os dados.

i) efetuar a análise e o mapeamento de risco dos processos de tratamento de dados sob sua responsabilidade;

j) garantir o treinamento da equipe que lidera;

k) garantir que os acessos de servidores que deixam a unidade sejam removidos;

l) manter atualizado o perfil de acesso dos servidores de sua área; e

m) comunicar à Estrutura de Gestão de Privacidade qualquer incidente de que tenha conhecimento.

Servidores, colaboradores, contratados

No tratamento de dados sob sua responsabilidade, a eles cabe a observância da presente política de privacidade e de proteção aos dados pessoais, seus princípios e também:

a) realizar tratamento de dados somente com finalidade legal e legítima;

b) realizar o processamento de dados de forma minimizada, limitando-se aos necessários para as finalidades a que se propõem, excluindo os dados que não têm mais hipóteses de tratamento;

c) manter os dados por tempo não superior ao necessário para seu tratamento;

d) garantir o sigilo e segurança dos dados, minimizando os riscos à privacidade no tratamento dos dados pessoais, mesmo após seu término;

e) seguir as recomendações de segurança das autoridades competentes;

f) verificar se seus acessos são coerentes com a função exercida e comunicar divergências ao seu gestor;

g) cuidar para não ocorrerem tratamentos não autorizados ou indevidos dos dados sob sua responsabilidade;

h) evitar o uso de mídias removíveis e o encaminhamento de dados da Secretaria a e-mails externos, responsabilizando-se, caso seja imprescindível seu uso, pela segurança destes dados;

i) garantir a manutenção da integridade destes dados, comunicando qualquer incidente que possa comprometê-la;

j) garantir a confidencialidade, não permitindo que sejam acessados por pessoas que deles não precisam ter conhecimento;

k) cooperar para a melhoria dos processos de tratamento de dados.

É obrigação dos servidores, colaboradores e contratados que tratam dados pessoais informar imediatamente ao seu gestor possível incompatibilidade entre a lei ou esta política e o cumprimento de suas obrigações.                                                   

A não observância dos preceitos desta Política de Privacidade e Proteção aos Dados Pessoais poderá resultar em ações disciplinares.

Gestão da Privacidade

O Gabinete do Secretário, em conjunto com as diversas áreas, deve buscar soluções que minimizem os riscos referentes ao tratamento de dados pessoais e efetivar medidas técnicas organizacionais adequadas e razoáveis para proteger os dados pessoais contra destruição acidental ou ilegal, perda acidental, alteração, divulgação não autorizada, uso ou acesso e demais incidentes correlatos.

Deve instruir e exigir contratualmente que terceiros que processem dados em seu nome o façam:

a) apenas para fins coerentes com os objetivos de tratamento, finalidade e competência da Secretaria;

b) implementem medidas técnicas e organizacionais apropriadas para proteção dos dados pessoais.

É de sua responsabilidade monitorar e garantir que os dados pessoais são processados apenas por pessoal e equipamentos autorizados, sendo responsável ainda por:

a) estabelecer documentação, procedimentos e orientações claras, complementares a esta Política;

b) manter registro das atividades e processos que envolvem dados pessoais;

c) implementar medidas de segurança adequadas, estabelecendo e monitorando processos para investigação e informação em caso de violação;

d) verificar e acompanhar a conformidade na desta Política de Privacidade e Proteção aos Dados Pessoais, por meio de relatórios, ferramentas de negócios disponíveis, auditorias, auto avaliação e feedback;

e) realizar a avaliação de impacto de tratamento de dados;

f) estabelecer e manter mecanismos visando garantir a conformidade e integridade dos dados sob tutela da Secretaria;

g) garantir que dados tratados com base em consentimento do titular sejam obtidos e excluídos na forma da lei.

Quaisquer exceções de conformidade à Política de Privacidade e Proteção aos Dados Pessoais devem ser reportadas ao Chefe de Gabinete, por meio de processo eletrônico no sistema SEI!.

É de responsabilidade do Chefe de Gabinete providenciar a comunicação às pessoas competentes de qualquer desvio, não conformidade ou tentativa de contornar os preceitos desta Política, podendo tal conduta resultar em sanções administrativas, penalidades, pedidos de indenização ou medidas cautelares, sem prejuízo de ações civis e criminais.

Direitos dos Titulares

Para exercício dos direitos dos titulares previstos no Capítulo II da Lei nº 13.709, de 2018, o canal para a solicitação de informações de interesse pessoal será aquele estabelecido pela Controladoria Geral do Município.

ANEXO II DA PORTARIA SF Nº 22 , DE 05 DE FEVEREIRO DE 2021 

PROGRAMA DE PRIVACIDADE E PROTEÇÃO AOS DADOS PESSOAIS

Secretaria Municipal da Fazenda de São Paulo

Objetivo

O presente Programa de Privacidade tem por objetivo estabelecer, no âmbito da Secretaria Municipal da Fazenda de São Paulo (SF), diretrizes para a implementação e melhoria de processos referentes às obrigações estabelecidas na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), e no Decreto Municipal nº 59.767, de 15 de setembro de 2020, visando orientar ações estratégicas referentes à matéria, de modo a proteger os direitos fundamentais de liberdade, intimidade e privacidade da pessoa natural.

Escopo

As diretrizes estabelecidas neste Programa são aplicáveis a todos os processos de tratamentos de dados pessoais realizados pela SF ou em nome dela, assim como a todos os envolvidos nessas atividades.

As linhas de ação estabelecidas neste documento devem servir como princípios gerais de orientação e devem ser compatibilizadas com as demais políticas e atividades em andamento na Secretaria, buscando preservar direitos dos titulares dos dados ao mesmo tempo que se busca a excelência nas ações relacionadas às funções institucionais.

Dado o caráter naturalmente transversal da proteção à privacidade, espera-se de todos os gestores o esforço no sentido de alinhar as atividades no âmbito de sua competência às práticas definidas na Política de Privacidade desta Secretaria. Espera-se semelhante envolvimento também por parte dos colaboradores da Secretaria.

Exercício de direitos dos titulares de dados

Os direitos dos titulares de dados serão viabilizados pela Secretaria de duas formas:

* Ativamente, sem necessidade de requisição: quando relacionados à disponibilização de informações de caráter público, em especial aquelas decorrente de obrigação legal e;

* Mediante requisição: quando o titular dos dados pessoais deve, mediante acesso aos canais institucionais, identificar-se e realizar sua requisição. Nesta hipótese, o pedido será processado formalmente e respondido preferencialmente pelo mesmo canal de comunicação. Pedidos relacionados a processos já automatizados podem ser recebidos, processados e respondidos pelos canais aptos correspondentes.

Os pedidos formalmente encaminhados deverão seguir rito análogo aos pedidos deduzidos com fundamento na Lei nº 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação.

Resposta a incidentes de privacidade

A resposta aos incidentes de privacidade, quando detectados, deve ser tempestiva, buscando preservar os direitos dos titulares. Decisões relativas a interrupção de serviços disponibilizados ao público externo para fins de contenção de um incidente cabem exclusivamente ao Chefe de Gabinete da SF, nos termos do artigo 7º do Decreto Municipal nº 59.767, de 15 de setembro de 2020.

No âmbito interno de SF, incidentes de privacidade detectados devem ser informados à Chefia de Gabinete da Secretaria, segundo canal de comunicação divulgado internamente.

Para relato de incidentes de privacidade por pessoas externas à SF, devem-se empregar os respectivos meios institucionais de comunicação com a Secretaria.

Procedimentos internos de resposta a incidentes poderão ser estabelecidos pela Chefia de Gabinete de SF.

Ações institucionais de conformidade e melhoria de processos

De modo a promover a cultura da privacidade e orientar as condutas relativas à proteção da privacidade no âmbito desta Secretaria, as seguintes linhas de ação devem ser estabelecidas, sendo a distribuição de suas sub-tarefas responsabilidade dos gestores da Secretaria, dentro do âmbito de suas competências. A supervisão e priorização das atividades será de competência da Chefia de Gabinete de SF, que poderá estabelecer procedimentos para as atividades abaixo.

Comunicação institucional

- O Controlador Geral do Município é o encarregado da proteção de dados pessoais no Município, nos termos do artigo 5º do Decreto Municipal nº 59.767, de 15 de setembro de 2020.

- O Chefe de Gabinete de SF deve dar cumprimento às ordens e às recomendações do Controlador Geral do Município, bem como atender às suas solicitações, na qualidade de encarregado de proteção de dados pessoais, nos termos do artigo 7º do Decreto Municipal nº 59.767, de 15 de setembro de 2020, por meio de (mas não se limitando a):

• Divulgação centralizada de informações sobre incidentes;

• Interface com os meios de comunicação;

• Publicidade dos dados necessários para fins regulatórios (informações do encarregado, controlador, dados tratados, retenção, compartilhamentos realizados entre outras).

Treinamento e conscientização

- Identificação e propagação de melhores práticas;

- Propagação da cultura de privacidade;

- Incentivo à minimização dos dados pessoais tratados;

- Aquisição de treinamentos no mercado.

Conformidade

- Atualização das normas vigentes aos requisitos regulatórios;

- Monitoramento das atividades de tratamento da Secretaria;

- Melhoria dos processos de tratamento de dados;

- Uniformização de condutas de tratamento de dados;

- Comunicação com as autoridades reguladoras e resposta a demandas;

- Atualização e melhoria do mapeamento dos processos de tratamento;

- Gestão de risco dos processos de tratamento de dados.

Governança de sistemas

- Mapeamento de sistemas que precisam ser modificados;

- Identificação de requisitos de privacidade;

- Melhoria de processos de desenvolvimento de sistemas;

- Descontinuação de sistemas desnecessários;

- Exclusão de acessos desnecessários;

- Promoção de melhorias relativas à privacidade;

- Automatização de processos de exercício de direitos dos titulares de dados.

Relacionamento com terceiros

- Verificação das práticas dos terceiros relativas ao cuidado com dados pessoais;

- Identificação de melhores práticas contratuais e propostas de melhoria;

- Mapeamento de compartilhamentos externos.

Tecnologia

- Promoção de ações tecnológicas de melhoria no tratamento dos dados;

- Aquisição e operação de sistemas para melhoria da segurança e privacidade;

- Controle dos ativos de TI;

- Foco na segurança da informação.

Tratamento de incidentes de privacidade

- Ações preventivas: orientadas para evitar qualquer descumprimento das disposições deste Programa e da Política de Proteção aos Dados Pessoais de SF:

• Análise e revisão das possíveis causas de não conformidade;

• Determinar as não conformidades que podem ser desencadeadas a partir de determinadas situações de risco para o tratamento de dados pessoais;

• Avaliar as ações necessárias para prevenir a ocorrência da não conformidade;

• Determinar e implementar essas ações;

• Documentar os resultados das ações tomadas, e

• Revisar a eficácia das ações preventivas tomadas.

- Ações corretivas: visam a eliminar as causas da “não conformidade” em relação ao disposto neste Programa e na Política de Proteção aos Dados Pessoais de SF:

• Analisar e revisar a não conformidade;

• Determinar as causas que deram origem à não conformidade;

• Avaliar as ações necessárias para evitar a recorrência da não conformidade, implementando-as;

• Documentar os resultados das ações tomadas, e

• Revisar a eficácia das ações corretivas tomadas.

Regulação, revisão e auditorias

- Propor normativos;

- Propor revisões administrativas: monitoramento e revisão da eficácia e eficiência do Programa;

- Realizar auditorias: internas, externas e independentes.

Exercício dos direitos dos titulares

- Possibilitar a confirmação do tratamento;

- Facilitar o acesso aos dados;

- Permitir a correção de dados incompletos, inexatos ou desatualizados;

- Possibilitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei;

- Eliminar dados tratados com base em consentimento.

Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo