Dispõe sobre a Política de Privacidade e Proteção aos Dados Pessoais e do Programa de Privacidade e Proteção aos Dados Pessoais da Secretária Municipal da Habitação
PORTARIA SEHAB Nº 125/SEHAB.GAB/2022
Dispõe sobre a Política de Privacidade e Proteção aos Dados Pessoais e do Programa de Privacidade e Proteção aos Dados Pessoais da Secretária Municipal da Habitação
O SECRETÁRIO MUNICIPAL DE HABITAÇÃO, no uso de suas atribuições legais
CONSIDERANDO o disposto na Lei nº 13.709, de 14 de agosto de 2018;
CONSIDERANDO o disposto no Decreto Municipal nº 59.767, de 15 de setembro de 2020; e
CONSIDERANDO a proposta do Grupo de Trabalho constituído pela Portaria SEHAB nº 101/21;
RESOLVE:
Art. 1° Instituir a Política de Privacidade e Proteção aos Dados Pessoais e o Programa de Privacidade e Proteção aos Dados Pessoais da Secretaria Municipal da Habitação, na forma dos Anexos I e II, respectivamente.
Art. 2° Esta Portaria entrará em vigor na data de sua publicação.
ANEXO I DA PORTARIA SEHAB Nº 125/SEHAB.GAB/2022
POLÍTICA DE PRIVACIDADE E PROTEÇÃO AOS DADOS PESSOAIS
Secretaria Municipal da Habitação
Objetivos
A presente Política de Privacidade tem por objetivo implantar, no âmbito da Secretaria Municipal da Habitação - SEHAB, diretrizes para o cumprimento da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), e do Decreto Municipal nº 59.767, de 15 de setembro de 2020, que regulamenta a aplicação da referida Lei na Administração Municipal Direta e Indireta, visando estabelecer e manter padrões para coleta, uso, divulgação, armazenagem, proteção, acesso, transferência ou processamento de dados pessoais, de modo a proteger os direitos fundamentais de liberdade, intimidade e privacidade da pessoa natural.
Objetiva ainda descrever o comportamento esperado de todos os servidores e parceiros agindo em nome da Secretaria Municipal da Habitação - SEHAB no tratamento desses dados, informando as medidas e os cuidados necessários à preservação e à proteção dos dados pessoais.
Escopo
Os comportamentos descritos neste compromisso aplicam-se à quaisquer dados pessoais que são criados, coletados, processados, usados, compartilhados ou destruídos para ou pela SEHAB, não contemplando dados considerados anônimos.
Os preceitos deste documento devem ser observados por todos os servidores, colaboradores, temporários e outros empregados da SEHAB, bem como por toda a equipe afiliada a terceiros relacionados de algum modo com esta Secretaria que possam ter acesso a informações e recursos aplicáveis, inclusive serviços baseados em “nuvem”, hospedados dentro e/ ou fora da Secretaria.
O compromisso da SEHAB para com os titulares dos dados pessoais é de que o tratamento de todos os dados coletados observe estritamente a LGPD, tenha como objetivo propósitos legítimos e a persecução do interesse público, e se dê no exercício das competências ou atribuições legais da Secretaria.
Tais orientações aplicam-se a quaisquer dados pessoais processados no Brasil ou no exterior pela SEHAB ou em seu nome, seja por meios eletrônicos e digitais ou manuais.
Entre as normas de proteção de dados aplicáveis e a presente Política de Privacidade e Proteção aos Dados Pessoais, prevalecerá sempre a de padrão mais elevado na proteção aos dados pessoais.
Alterações, modificações e atualizações desta Política de Privacidade e Proteção de Dados Pessoais devem ser amplamente divulgadas interna e externamente.
Definições e Princípios
Este documento utiliza as definições e os princípios apresentados no artigo 5º e artigo 6º da Lei nº 13.709, de 2018, e artigo 2º e artigo 3º do Decreto Municipal nº 59.767, de 2020.
Tratamento dos Dados Pessoais
É compromisso que o tratamento de dados pessoais somente será realizado nas seguintes hipóteses:
a) para o cumprimento de obrigação legal ou regulatória, objetivando o exercício de suas competências legais;
b) para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em lei e regulamentos ou respaldadas por contratos, convênios ou instrumentos congêneres;
c) para exercício regular de direitos em processo judicial, administrativo ou de arbitragem;
d) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente;
e) quando necessário para atender aos interesses legítimos da Administração, exceto no caso de prevalecerem direitos e liberdades fundamentais que exijam a proteção dos dados pessoais do titular;
f) mediante o fornecimento de consentimento pelo titular, fornecido por escrito ou outro que demonstre a manifestação da sua vontade, com cláusula destacada e finalidade determinada e sem vícios de consentimento;
Dados pessoais sensíveis poderão ser tratados somente nas hipóteses legalmente definidas.
A coleta e o tratamento de dados pessoais pela Secretaria Municipal da Habitação - SEHAB de São Paulo, ou por terceiros em seu nome, para uso próprio ou compartilhado, atenderão às finalidades específicas de execução de suas atribuições legais.
Em qualquer caso, serão informadas as hipóteses nas quais, no exercício de suas competências, a Secretaria realize o tratamento de tais dados, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas.
Dados pessoais só serão transferidos a entidades públicas ou privadas, observado o compromisso de proteção destes dados por estas, nos seguintes casos:
a) de execução descentralizada de atividade pública que exija esta transferência, exclusivamente para esse fim;
d) os dados forem acessíveis publicamente, na forma da lei;
c) previsão legal ou respaldo em contratos, convênios ou instrumentos congêneres, com a ciência da Controladoria Geral do Município; ou
d) a transferência dos dados objetivar a prevenção de fraudes e irregularidades.
A transferência internacional de dados pessoais só será permitida para países e organismos internacionais que proporcionem grau de proteção de dados pessoais equivalentes aos da lei brasileira, nos termos das regulações vigentes.
O tratamento de dados pessoais de crianças e adolescentes será realizado em seu melhor interesse, sempre com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, na forma da legislação.
As divulgações de dados sem consentimento só serão permitidas na medida em que forem solicitadas para uma ou mais das finalidades abaixo:
a) proteger a segurança nacional;
b) prevenir ou detectar crimes, inclusive apreensão ou acusação de criminosos;
c) avaliar ou cobrar obrigações de dívidas tributárias ou não tributárias;
d) cumprir funções regulatórias (incluindo saúde, segurança e bem-estar das pessoas no trabalho);
e) evitar sérios danos a terceiros.
Responsabilidade
As definições dos agentes de tratamento (controlador, operador e encarregado) utilizadas na presente Política de Privacidade e Proteção aos Dados Pessoais são as apresentadas no artigo 5º da Lei nº 13.709, de 2018, e no artigo 2º do Decreto Municipal nº Lei 59.767, de 2020.
Matriz de Responsabilidade na Secretaria Municipal da Habitação
Gabinete do Secretário
É responsabilidade deste Gabinete garantir com o apoio consultivo do Comitê de Privacidade e Proteção de Dados Pessoais a aderência das condutas cotidianas à Política de Proteção e Privacidade aos Dados Pessoais, assim como a observação contínua da legislação aplicável à privacidade e proteção de dados pessoais, a saber:
a) dar cumprimento às determinações referentes à proteção de dados pessoais emanadas da Controladoria Geral do Município - CGM;
b) sempre que solicitado, fazer cessar afirmada violação à LGPD ou apresentar as justificativas pertinentes;
c) encaminhar à CGM, no prazo solicitado, informações sobre tratamento de dados realizados, relatório de impacto à proteção de dados pessoais ou informações necessárias à sua elaboração;
d) informar e manter a CGM atualizada sobre as políticas de proteção de dados na SEHAB.
Gestores
No âmbito desta portaria o gestor é o responsável pela chefia de cada uma das unidades desta Secretaria. Dentro de suas áreas, os gestores devem garantir que a cadeia de responsabilidade pela Política de Proteção e Privacidade aos Dados Pessoais seja mantida em consonância com o determinado por esta Portaria. O gestor poderá delegar expressamente, por meio eletrônico de processo SEI, as atribuições definidas por esta portaria, designando excepcionalmente um responsável. Norma Complementar poderá especificar unidades que poderão prescindir de um gestor. Conflitos de competência, tanto positiva quanto negativa, serão dirimidos pelo Comitê de Privacidade e Proteção de Dados Pessoais.
É responsabilidade dos gestores, em todos os níveis hierárquicos, em caráter contínuo:
a) garantir a atualização do mapeamento e documentação dos processos de suas áreas, especialmente aqueles que tratam dados pessoais, revisando-os, na forma e na periodicidade definida pelo Comitê de Privacidade e Proteção de Dados Pessoais;
b) dar prosseguimento nas políticas e procedimentos para o tratamento dos dados sob sua responsabilidade, revisando-os, na forma e na periodicidade definida pelo Comitê de Privacidade e Proteção de Dados Pessoais;
c) identificar a necessidade de tratamento de dados pessoais, sensíveis ou não;
d) atualizar os normativos que suportam os tratamentos de dados realizados dentro de sua competência;
e) propor alterações normativas que sejam necessárias à manutenção de suas atividades;
f) cuidar para que os dados pessoais sejam acessados apenas pelos autorizados que necessitam tratar esses dados;
g) determinar a minimização do uso de dados;
h) garantir a eliminação física ou digital dos dados pessoais, após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada sua conservação para:
1. cumprimento de obrigação legal ou regulatória;
2. estudo por órgão de pesquisa, garantida a anonimização dos dados, sempre que possível;
3. transferência a terceiro, desde que respeitados os requisitos legais de tratamento;
4. uso exclusivo da Secretaria, desde que anonimizados os dados.
i) efetuar a análise e o mapeamento de risco dos processos de tratamento de dados sob sua responsabilidade;
j) garantir o treinamento da equipe que lidera;
k) garantir que os acessos de servidores que deixam a unidade sejam removidos;
l) manter atualizado o perfil de acesso dos servidores de sua área; e
m) comunicar ao Comitê de Privacidade e Proteção de Dados Pessoais quaisquer incidentes de que tenha conhecimento.
Comitê de Privacidade e Proteção de Dados Pessoais
Este Comitê será composto por um representante titular e um suplente das seguintes unidades:
A) SEHAB - GAB;
B) DEPLAN/INFO;
C) CRF;
D) CFT;
E) CTS;
F) DAF;
G) Secretaria Executiva do Programa Mananciais.
Compete ao Comitê elaborar, aprovar e emendar o seu Regimento Interno.
Fica designada a Coordenação deste Comitê ao representante titular e suplente do Gabinete do Secretário e, na sua ausência, pelo titular ou suplente da Divisão de Gestão da Informação do Departamento de Planejamento - DEPLAN/INFO.
1. As deliberações do Comitê serão aprovadas por maioria simples de seus membros.
2.Caberá à Coordenação deste Comitê a emissão de voto de desempate;
2. Decidir sobre matéria de urgência, “ad-referendum” do Conselho, quando não houver tempo hábil para aguardar a realização de reunião.
O Comitê de privacidade e proteção de dados pessoais reunir-se-á com a presença da maioria de seus membros, mediante convocação da coordenadoria.
1.As reuniões serão documentadas por meio de atas, que serão disponibilizadas em processo administrativo específico e encaminhado através de e-mail aos membros do Comitê.
2.O Comitê poderá convidar representantes de outros órgãos ou entidades públicas ou jurídicas para, no âmbito de suas respectivas finalidades e competências, colaborarem com suas atividades.
3.As gerenciadoras contratadas para execução de serviços à Secretaria poderão ser acionadas para prestação de contas e convocação do Comitê, fornecendo informações de que disponham e sejam relevantes aos trabalhos.
4.A coordenação poderá, caso necessário, solicitar às chefias das unidades a indicação de servidores para colaborar excepcionalmente com os trabalhos deste Comitê por tempo determinado.
Servidores, colaboradores, contratados
No tratamento de dados sob sua responsabilidade, a eles cabe a observância da presente política de privacidade e de proteção aos dados pessoais, seus princípios e também:
a) realizar tratamento de dados somente com finalidade legal e legítima;
b) realizar o processamento de dados de forma minimizada, limitando-se aos necessários para as finalidades a que se propõem, excluindo os dados que não têm mais hipóteses de tratamento;
c) manter os dados por tempo não superior ao necessário para seu tratamento;
d) garantir o sigilo e segurança dos dados, minimizando os riscos à privacidade no tratamento dos dados pessoais, mesmo após seu término;
e) seguir as recomendações de segurança das autoridades competentes;
f) verificar se seus acessos são coerentes com a função exercida e comunicar divergências ao seu gestor;
g) cuidar para não ocorrerem tratamentos não autorizados ou indevidos dos dados sob sua responsabilidade;
h) evitar o uso de mídias removíveis e o encaminhamento de dados da Secretaria a e-mails externos, responsabilizando-se, caso seja imprescindível seu uso, pela segurança destes dados;
i) garantir a manutenção da integridade destes dados, comunicando qualquer incidente que possa comprometê-la;
j) garantir a confidencialidade, não permitindo que sejam acessados por pessoas que deles não precisam ter conhecimento;
k) cooperar para a melhoria dos processos de tratamento de dados.
É obrigação dos servidores, colaboradores e contratados que tratam dados pessoais informar imediatamente ao seu gestor possível incompatibilidade entre a lei ou esta política e o cumprimento de suas obrigações.
A não observância dos preceitos desta Política de Privacidade e Proteção aos Dados Pessoais poderá resultar em ações disciplinares.
Gestão da Privacidade
O Gabinete do Secretário e os gestores, devem buscar soluções que minimizem os riscos referentes ao tratamento de dados pessoais e efetivar medidas técnicas organizacionais adequadas e razoáveis para proteger os dados pessoais contra destruição acidental ou ilegal, perda acidental, alteração, divulgação não autorizada, uso ou acesso e demais incidentes correlatos.
Devem instruir e exigir contratualmente que terceiros que processem dados em seu nome o façam:
a) apenas para fins coerentes com os objetivos de tratamento, finalidade e competência da Secretaria;
b) implementem medidas técnicas e organizacionais apropriadas para proteção dos dados pessoais.
O Gabinete do Secretários e os gestores têm a responsabilidade de monitorar e garantir que os dados pessoais sejam processados apenas por pessoal e equipamentos autorizados, devendo para tanto:
a) estabelecer documentação, procedimentos e orientações claras, complementares a esta Política;
b) manter registro das atividades e processos que envolvem dados pessoais;
c) implementar medidas de segurança adequadas, estabelecendo e monitorando processos para investigação e informação em caso de violação;
d) verificar e acompanhar a conformidade da Política de Privacidade e Proteção aos Dados Pessoais, por meio de relatórios, ferramentas de negócios disponíveis, auditorias, auto avaliação e feedback;
e) realizar a avaliação de impacto de tratamento de dados;
f) estabelecer e manter mecanismos visando garantir a conformidade e integridade dos dados sob tutela da Secretaria;
g) garantir que dados tratados com base em consentimento do titular sejam obtidos e excluídos na forma da lei.
Quaisquer exceções de conformidade à Política de Privacidade e Proteção aos Dados Pessoais devem ser reportadas pelo gestor ao Gabinete do Secretário, por meio de processo eletrônico no sistema SEI.
É de responsabilidade do Gabinete do Secretário providenciar a comunicação às pessoas competentes de qualquer desvio, não conformidade ou tentativa de contornar os preceitos desta Política, podendo tal conduta resultar em sanções administrativas, penalidades, pedidos de indenização ou medidas cautelares, sem prejuízo de ações civis e criminais.
Direitos dos Titulares
Para exercício dos direitos dos titulares previstos no Capítulo II da Lei nº 13.709, de 2018, o canal para a solicitação de informações de interesse pessoal será aquele estabelecido pela Controladoria Geral do Município.
ANEXO II DA PORTARIA SEHAB Nº 125/SEHAB.GAB/2022
PROGRAMA DE PRIVACIDADE E PROTEÇÃO AOS DADOS PESSOAIS
Secretaria Municipal da Habitação - SEHAB de São Paulo
Objetivo
O presente Programa de Privacidade tem por objetivo estabelecer, no âmbito da Secretaria Municipal da Habitação - SEHAB de São Paulo (SEHAB), diretrizes para a implementação e melhoria de processos referentes às obrigações estabelecidas na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), e no Decreto Municipal nº 59.767, de 15 de setembro de 2020, visando orientar ações estratégicas referentes à matéria, de modo a proteger os direitos fundamentais de liberdade, intimidade e privacidade da pessoa natural.
Escopo
As diretrizes estabelecidas neste Programa são aplicáveis a todos os processos de tratamentos de dados pessoais realizados pela SEHAB ou em nome dela, assim como a todos os envolvidos nessas atividades.
As linhas de ação estabelecidas neste documento devem servir como princípios gerais de orientação e devem ser compatibilizadas com as demais políticas e atividades em andamento na Secretaria, buscando preservar direitos dos titulares dos dados ao mesmo tempo que se busca a excelência nas ações relacionadas às funções institucionais.
Dado o caráter naturalmente transversal da proteção à privacidade, espera-se de todos os gestores o esforço no sentido de alinhar as atividades no âmbito de sua competência às práticas definidas na Política de Privacidade desta Secretaria.
Espera-se semelhante envolvimento também por parte dos colaboradores da administração direta ou indireta desta Secretaria.
Exercício de direitos dos titulares de dados
Os direitos dos titulares de dados serão viabilizados pela Secretaria de duas formas:
* Ativamente, sem necessidade de requisição: quando relacionados à disponibilização de informações de caráter público, em especial aquelas decorrentes de obrigação legal e;
* Mediante requisição: quando o titular dos dados pessoais deve, mediante acesso aos canais institucionais, identificar-se e realizar sua requisição. Nesta hipótese, o pedido será processado formalmente e respondido preferencialmente pelo mesmo canal de comunicação. Pedidos relacionados a processos já automatizados podem ser recebidos, processados e respondidos pelos canais aptos correspondentes.
Resposta a incidentes de privacidade
A resposta aos incidentes de privacidade, quando detectados, deve ser tempestiva, buscando preservar os direitos dos titulares.
Decisões relativas à interrupção temporária de serviços disponibilizados ao público externo para fins de contenção de um incidente correlato à Lei Geral de Proteção de Dados deverão ser votadas no âmbito do Comitê de Privacidade e Proteção de Dados Pessoais e autorizadas pela Chefia de Gabinete.
No âmbito interno de SEHAB, incidentes de privacidade detectados devem ser informados ao Comitê de Privacidade e Proteção de Dados Pessoais, segundo canal de comunicação divulgado internamente.
Para relato de incidentes de privacidade por pessoas externas à SEHAB, devem-se empregar os respectivos meios institucionais de comunicação com a Secretaria.
Ações institucionais de conformidade e melhoria de processos
De modo a promover a cultura da privacidade e orientar as condutas relativas à proteção da privacidade no âmbito desta Secretaria, as seguintes linhas de ação devem ser estabelecidas, sendo a distribuição de suas subtarefas responsabilidade dos gestores da Secretaria, dentro do âmbito de suas competências.
A supervisão e priorização das atividades será de competência do Comitê de Privacidade e Proteção de Dados Pessoais, em consonância com as diretrizes da Chefia de Gabinete de SEHAB, que poderá estabelecer procedimentos para as atividades abaixo, nos termos do artigo 7° do Decreto 57.767, 15 de setembro de 2020.
Comunicação institucional
- O Controlador Geral do Município é o encarregado da proteção de dados pessoais no Município, nos termos do artigo 5º do Decreto Municipal n°59.767, de 15 de setembro de 2020.
- O Chefe de Gabinete de SEHAB deve dar cumprimento às ordens e às recomendações do Controlador Geral do Município, bem como atender às suas solicitações, na qualidade de encarregado de proteção de dados pessoais, nos termos do artigo 7º do Decreto Municipal n°59.767, de 15 de setembro de 2020, por meio de (mas não se limitando a):
• Divulgação centralizada de informações sobre incidentes;
• Interface com os meios de comunicação;
• Publicidade dos dados necessários para fins regulatórios (informações do encarregado, controlador, dados tratados, retenção, compartilhamentos realizados entre outras).
Treinamento e conscientização
- Identificação e propagação de melhores práticas;
- Propagação da cultura de privacidade;
- Incentivo à minimização dos dados pessoais tratados;
- Aquisição de treinamentos no mercado.
Conformidade
-Atualização das normas vigentes aos requisitos regulatórios;
- Padronização da forma, meio e periocidade do registro das informações necessárias ao cumprimento da legislação vigente sobre proteção de dados pessoais;
- Monitoramento das atividades de tratamento da Secretaria;
- Melhoria dos processos de tratamento de dados;
- Uniformização de condutas de tratamento de dados;
- Comunicação com as autoridades reguladoras e resposta a demandas;
- Atualização e melhoria do mapeamento dos processos de tratamento;
- Gestão de risco dos processos de tratamento de dados.
Relacionamento com terceiros
- Verificação das práticas dos terceiros relativas ao cuidado com dados pessoais;
- Identificação de melhores práticas contratuais e propostas de melhoria;
- Mapeamento de compartilhamentos externos.
Tratamento de incidentes de privacidade
- Ações preventivas: orientadas para evitar qualquer descumprimento das disposições deste Programa e da Política de Proteção aos Dados Pessoais de SEHAB:
• Análise e revisão das possíveis causas de não conformidade;
• Determinar as não conformidades que podem ser desencadeadas a partir de determinadas situações de risco para o tratamento de dados pessoais;
• Avaliar as ações necessárias para prevenir a ocorrência da não conformidade;
• Documentar os resultados das ações tomadas, e
• Revisar a eficácia das ações preventivas tomadas.
- Ações corretivas: visam a eliminar as causas da “não conformidade” em relação ao disposto neste Programa e na Política de Proteção aos Dados Pessoais de SEHAB:
• Analisar e revisar a não conformidade;
• Determinar as causas que deram origem à não conformidade;
• Avaliar as ações necessárias para evitar a recorrência da não conformidade;
• Documentar os resultados das ações tomadas, e
• Revisar a eficácia das ações corretivas tomadas.
Regulação, revisão e auditorias
- Propor normativos;
- Propor revisões administrativas: monitoramento e revisão da eficácia e eficiência do Programa;
- Realizar auditorias: internas, externas e independentes.
Exercício dos direitos dos titulares
- Possibilitar a confirmação do tratamento;
- Facilitar o acesso aos dados;
- Permitir a correção de dados incompletos, inexatos ou desatualizados;
- Possibilitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei;
- Eliminar dados tratados com base em consentimento.
Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo