DECRETO nº 65.117, de  23  de ABRIL de 2026

Introduz alterações no Decreto nº 59.767, de 15 de setembro de 2020, que regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei de Proteção de Dados Pessoais (LGPD) – no âmbito da Administração Municipal Direta e Indireta, e no Decreto nº 62.809, de 3 de outubro de 2023, que dispõe sobre a reorganização da Controladoria Geral do Município.

RICARDO NUNES, Prefeito do Município de São Paulo, no uso das atribuições que lhe são conferidas por lei,

D E C R E T A:

Art. 1º Os artigos 2º, 4º, 5º, 6º, 7º, 8º, 9º, 10, 13 e 14 do Decreto nº 59.767, de 15 de setembro de 2020, passam a vigorar com as seguintes alterações:

“Art. 2º .......................................................................................

...............................................................................................

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

....................................................................................................

XIII – programa de governança em privacidade e proteção de dados pessoais: conjunto de regras e boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.” (NR)

“Art. 4º O Poder Executivo, por meio de suas Secretarias Municipais e Subprefeituras, nos termos da Lei Federal nº 13.709, de 2018, sem prejuízo das demais obrigações impostas em lei, deve realizar e manter continuamente atualizado o seu Programa de Governança em Privacidade e Proteção de Dados Pessoais, nos termos do inciso XIII do artigo 2º deste decreto.

§ 1º O modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais será regulamentado nos termos dos artigos 7º-A, inciso I, e 9º, inciso I, ambos deste decreto, observado, no mínimo:

I – o dever de dar publicidade às informações relativas ao tratamento de dados pessoais em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet;

II – o atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados (ANPD), nos termos dos artigos 23, § 1º, e 27, parágrafo único, ambos da Lei Federal nº 13.709, de 2018;

III – a manutenção de dados em formato interoperável e estruturado para o uso compartilhado de dados pessoais, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

§ 2º As Secretarias Municipais e as Subprefeituras poderão, mediante justificativa expressa, adequar a implantação do modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais previsto no § 1º deste artigo, considerando o contexto, o volume e o risco dos tratamentos de dados pessoais realizados.

§ 3º As Secretarias Municipais e as Subprefeituras designarão equipe para implantação do Programa de Governança em Privacidade e Proteção de Dados Pessoais, sem prejuízo e não se confundindo com a figura do encarregado pelo tratamento de dados pessoais, nos termos dos artigos 5º e 6º deste decreto.” (NR)

“Art. 5º As Secretarias Municipais e as Subprefeituras deverão proceder à designação, mediante a edição de portaria específica do respectivo titular, de encarregado pelo tratamento de dados pessoais, bem como de seu suplente, preferencialmente dentre servidores públicos de reputação ilibada.

§ 1º As Secretarias Municipais e as Subprefeituras deverão considerar, quando da designação a que se refere o “caput” deste artigo, as qualificações profissionais necessárias para o desempenho das atribuições do encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas no respectivo órgão.

§ 2º As Secretarias Municipais e as Subprefeituras devem atentar para que o agente público designado como encarregado não exerça atribuições que impliquem conflito de interesse, nos termos da Resolução CD/ANPD nº 18, de 16 de julho de 2024, ou de normativo que vier a substituí-lo.

§ 3º As Secretarias Municipais e as Subprefeituras poderão designar mais de um encarregado, devendo o ato de designação especificar as unidades administrativas de sua atuação.

§ 4º As informações de identificação e de contato com os encarregados, nos termos do artigo 6º deste decreto, deverão ser divulgadas publicamente, de forma clara e objetiva, nos respectivos sítios eletrônicos de cada órgão público, preferencialmente em seção específica que se refira à proteção de dados pessoais e privacidade.

§ 5º Na designação do suplente do encarregado a que se refere o “caput” deste artigo, deverão ser observados os mesmos procedimentos e requisitos previstos no § 4º deste artigo, especialmente no que se refere à divulgação das informações de identificação e de contato.

§ 6º Os encarregados poderão acumular funções e exercer as suas atividades em mais de um órgão público, desde que seja possível o pleno atendimento de suas atribuições e inexista conflito de interesse.

§ 7º Os encarregados pelo tratamento de dados pessoais nos conselhos, comitês e demais órgãos colegiados municipais serão os mesmos do órgão público responsável pela sua presidência ou ao qual estejam vinculados, salvo quando houver designação específica conforme previsto no § 3º deste artigo.” (NR)

“Art. 6º Constituem atribuições do encarregado:

I – aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar as providências cabíveis que estejam sob o seu encargo;

II – receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar as providências cabíveis que estejam sob o seu encargo;

III – orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.

§ 1º Cabe, ainda, ao encarregado, prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação, conforme o caso, quanto:

I – ao registro e comunicação de incidente de segurança;

II – ao registro das operações de tratamento de dados pessoais;

III – ao relatório de impacto à proteção de dados pessoais;

IV – aos mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;

V – às medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

VI – aos processos e políticas internas que assegurem o cumprimento da Lei Federal nº 13.709, de 2018, e dos regulamentos e orientações da Autoridade Nacional de Proteção de Dados (ANPD);

VII – aos instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;

VIII – às transferências internacionais de dados;

IX – às regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do artigo 50 da Lei Federal nº 13.709, de 2018;

X – aos produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na Lei Geral de Proteção de Dados (LGPD), incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e

XI – a outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.

§ 2º Aos encarregados, dotados de autonomia técnica, deverão ser disponibilizados os recursos operacionais e financeiros necessários ao desempenho de suas funções e à manutenção dos seus conhecimentos, bem como assegurado o acesso motivado a todas as operações de tratamento relacionadas ao âmbito de suas competências.

§ 3º Os encarregados estão sujeitos ao dever de sigilo e de confidencialidade no exercício das suas funções, em conformidade com as disposições previstas na Lei Federal nº 13.709, de 2018, na Lei Federal nº 12.527, de 18 de novembro de 2011, e no Decreto nº 53.623, de 12 de dezembro de 2012.

§ 4º O desempenho das atividades e das atribuições previstas neste artigo não confere ao encarregado a responsabilidade, perante a Autoridade Nacional de Proteção de Dados (ANPD), pela conformidade do tratamento de dados pessoais realizado pelos respectivos órgãos.

§ 5º O encarregado deverá declarar ao respectivo Chefe de Gabinete qualquer situação que possa configurar conflito de interesse, para avaliação de adoção de providências previstas na Resolução CD/ANPD nº 18, de 2024, ou de ato normativo que eventualmente venha a substitui-la.” (NR)

“Art. 7º .......................................................................................

I – dar cumprimento, no âmbito dos respectivos órgãos, às orientações e recomendações do respectivo encarregado, conforme previsto no artigo 6º deste decreto;

II – prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos;

III – garantir ao encarregado autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV – encaminhar ao encarregado, no prazo por este fixado:

a) informações sobre o tratamento de dados pessoais que venham a ser solicitadas pela ANPD, nos termos do artigo 29 da Lei Federal nº 13.709, de 2018;

b) informações necessárias ao desenvolvimento e monitoramento do Programa de Governança em Privacidade e Proteção de Dados Pessoais, especialmente quando solicitadas pela Autoridade Nacional de Proteção de Dados (ANPD) ou pelo titular de dados pessoais;

V – assegurar que o encarregado seja informado, de forma adequada e em tempo útil, de todas as questões relacionadas com proteção de dados pessoais no âmbito do respectivo órgão municipal;

VI – atender, com o apoio do respectivo encarregado, às solicitações encaminhadas pelo Controlador Geral do Município no sentido de fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 2018, ou apresentar justificativas pertinentes.” (NR)

“Art. 8º ......................................................................................

I – oferecer os subsídios técnicos necessários à regulamentação do modelo de Programa de Governança em Privacidade e Proteção da Dados Pessoais, nos termos do artigo 4º deste decreto;

II – orientar, sob o ponto de vista tecnológico, as Secretarias Municipais e Subprefeituras na implantação dos respectivos Programas de Governança em Privacidade e Proteção de Dados Pessoais.” (NR)

“Art. 9º .......................................................................................

I – deliberar sobre proposta de regulamentação do modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais, nos termos do artigo 4º deste decreto;

..........................................................................................” (NR)

“Art. 10. Cabe às entidades da Administração Indireta, no âmbito de suas respectivas autonomias, atender às exigências previstas na Lei Federal nº 13.709, de 2018, observando-se, no mínimo, o dever de:

I – designar um encarregado pelo tratamento de dados pessoais, nos termos do artigo 41 da Lei Federal nº 13.709, de 2018, e da Resolução CD/ANPD nº 18, de 2024, ou de normativo que vier a substituí-lo, cuja identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva;

II – elaborar e manter Programa de Governança em Privacidade e Proteção de Dados Pessoais, nos termos do artigo 4º deste decreto.

Parágrafo único. As entidades da Administração Indireta poderão, mediante justificativa expressa, considerando o contexto, o volume e o risco dos tratamentos de dados pessoais realizados, adequar a implantação do modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais a que se refere o inciso II do “caput” deste artigo.” (NR)

“Art. 13. .....................................................................................

....................................................................................................

III – quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao encarregado para comunicação à Autoridade Nacional de Proteção de Dados (NPD), na forma do regulamento federal correspondente;

.........................................................................................” (NR)

“Art. 14. .....................................................................................

I – o encarregado informe a Autoridade Nacional de Proteção de Dados (ANPD), na forma do regulamento federal correspondente;

..........................................................................................” (NR)

Art. 2º O Decreto nº 59.767, de 2020, passa a vigorar acrescido do artigo 7º-A, com a seguinte redação:

“Art. 7º-A. Cabe à Controladoria Geral do Município:

I – formular e propor o modelo do Programa de Governança em Privacidade e Proteção de Dados Pessoais aplicável aos órgãos e entidades da Administração Pública Municipal;

II – supervisionar a elaboração dos Programas de Governança em Privacidade e Proteção de Dados Pessoais pelos órgãos e entidades da Administração Pública Municipal;

III – orientar os encarregados da Administração Pública Municipal sobre a implantação dos Programas de Governança em Privacidade e Proteção de Dados Pessoais de seus respectivos órgãos e entidades;

IV– determinar, aos órgãos da Prefeitura, a realização de estudos técnicos para subsidiar a elaboração de modelo do Programa de Governança em Privacidade e Proteção de Dados Pessoais;

V – submeter à Comissão Municipal de Acesso à Informação (CMAI), sempre que julgar necessário, matérias atinentes a este decreto;

VI – realizar projetos de conscientização e de capacitação de agentes públicos da Administração Pública Municipal nos temas de privacidade e de proteção de dados pessoais;

VII – exercer outras atribuições que lhe forem incumbidas pelo Prefeito.” (NR)

Art. 3º Os artigos 34, 35 e 36 do Decreto nº 62.809, de 3 de outubro de 2023, passam a vigorar com as seguintes alterações:

“Art. 34. .....................................................................................

I – formular e propor o modelo do Programa de Governança em Privacidade e Proteção de Dados Pessoais;

II – propor plano anual de supervisão da elaboração dos Programas de Governança em Privacidade e Proteção de Dados Pessoais, considerando o contexto, o volume e os riscos dos tratamentos de dados pessoais realizados pelos órgãos e entidades, nos termos de ato normativo a ser editado pelo Controlador Geral do Município;

III – promover capacitações e iniciativas de conscientização aos agentes públicos da Administração Pública Municipal nos temas de privacidade e de proteção de dados pessoais;

IV – prestar consultoria técnica, quando solicitada, aos encarregados dos órgãos e entidades da Administração Pública Municipal acerca da implantação do respectivo Programa de Governança em Privacidade e Proteção de Dados Pessoais;

V – propor ao Controlador Geral do Município que solicite aos órgãos da Administração Pública Municipal a realização de estudos técnicos para subsidiar a elaboração do modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais;

.........................................................................................” (NR)

“Art. 35. .....................................................................................

I – supervisionar a elaboração dos Programas de Governança em Privacidade e Proteção de Dados Pessoais dos órgãos e entidades da Administração Pública Municipal;

II - apresentar recomendações fundamentadas, relevantes e exequíveis aos Programas de Governança em Privacidade e Proteção de Dados Pessoais, observando a autonomia técnica do encarregado, nos termos da legislação específica;

III – analisar e, conforme o caso, encaminhar as denúncias acerca da ilegalidade de tratamento de dados pessoais, recebidas da Ouvidoria Geral do Município ou de qualquer órgão, entidade ou autoridade pública; e

IV – manifestar-se sobre consultas realizadas pelos encarregados acerca da aplicação do modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais.

Parágrafo único. O procedimento de consulta previsto no inciso IV deste artigo será regulamentado por ato normativo do Controlador Geral do Município.” (NR)

“Art. 36. .....................................................................................

I – propor a regulamentação do modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais, nos termos do artigo 4º do Decreto nº 59.767, de 2020;

II – elaborar parâmetros, orientações, recomendações e metodologias relacionadas à formulação e proposição do modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais;

III – elaborar e propor formações e capacitações, bem como materiais de orientação e conscientização, aos encarregados, para auxílio à implantação dos Programas de Governança em Privacidade e Proteção de Dados Pessoais; e

IV – acompanhar o processo de regulamentação da Autoridade Nacional de Proteção de Dados Pessoais e propor respectivas adequações ao modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais.” (NR)

Art. 4º Este decreto entrará em vigor na data de sua publicação, revogados:

I – no Decreto nº 59.767, de 15 de setembro de 2020:

a) os incisos I a IV e o parágrafo único do artigo 4º;

b) o parágrafo único do artigo 5º;

c) os incisos V a XII do artigo 6º;

d) as alíneas “a” e “b” do inciso III do artigo 7º; e

e) o artigo 15;

II – no Decreto nº 62.809, de 3 de outubro de 2023:

a) o inciso V do artigo 35; e

b) os incisos V a VIII do artigo 36.

PREFEITURA DO MUNICÍPIO DE SÃO PAULO, aos   23  de  abril  de 2026, 473º da fundação de São Paulo.

RICARDO NUNES

PREFEITO

DANIEL FALCÃO

Controlador Geral do Município

PAULO JESUS FRANGE

Secretário Municipal da Casa Civil

ANDRÉ LEMOS JORGE

Secretário Municipal de Justiça

FABIO AUGUSTO LEPIQUE

Secretário do Governo Municipal - Substituto

Publicado na Secretaria do Governo Municipal, em  23  de  abril  de 2026.

Documento original assinado nº   124389580