CASA CIVIL DO GABINETE DO PREFEITO

Acessibilidade

INSTRUÇÃO NORMATIVA CONTROLADORIA GERAL DO MUNICÍPIO - CGM Nº 1 de 21 de Julho de 2022

Estabelece disposições referentes ao tratamento de dados pessoais no âmbito da Administração Pública Municipal de São Paulo.

INSTRUÇÃO NORMATIVA CONTROLADORIA GERAL DO MUNICÍPIO – CGM Nº 01, DE 21 DE JULHO DE 2022

Estabelece disposições referentes ao tratamento de dados pessoais no âmbito da Administração Pública Municipal de São Paulo.

O CONTROLADOR GERAL DO MUNICÍPIO, no uso das atribuições que lhe conferem o artigo 138 da Lei Municipal nº 15.764/2013, o artigo 5º do Decreto Municipal nº 59.767/2020, e o artigo 41 da Lei Federal nº 13.709/2018,

CONSIDERANDO o disposto na Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados (LGPD);

CONSIDERANDO o disposto no Decreto Municipal nº 59.767, de 15 de setembro de 2020, que regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD) – no âmbito da Administração Pública Municipal Direta e Indireta;

RESOLVE:

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 1º Os procedimentos relativos à privacidade e à proteção de dados pessoais, no âmbito da Administração Pública Municipal Direta, obedecerão às disposições desta Instrução Normativa.

Parágrafo único. As disposições desta Instrução Normativa, no que couber, possuem caráter orientativo à Administração Pública Municipal Indireta.

Art. 2º O fluxo de dados pessoais tratados por cada unidade deverá ser disponibilizado, centralizado, em plataforma única, a ser viabilizada pela Controladoria Geral do Município (CGM), com o apoio técnico e operacional da Secretaria Municipal de Inovação e Tecnologia (SMIT) e do Comitê Central de Governança de Dados, instituído pelo Decreto Municipal nº 60.663/2021, de modo a conter as informações, de forma clara, adequada e ostensiva, sobre todo o ciclo de vida dos dados pessoais do titular, com a indicação da unidade em que se localizam, bem como o status do processo ou atividade, caso necessário.

Parágrafo único. Consideram-se informações sobre o fluxo de dados a serem disponibilizadas:

I – a finalidade específica do tratamento;

II – a forma e a duração do tratamento, observados os segredos comercial e industrial;

III – a identificação e as informações de contato do controlador dos dados pessoais;

IV – as informações acerca do uso compartilhado de dados pelo controlador dos dados pessoais e a sua finalidade;

V – as responsabilidades dos agentes que realizam o tratamento;

VI – a identificação e as informações de contato do Encarregado pela Proteção de Dados Pessoais, que incluam o nome do Encarregado e o seu canal de comunicação com os titulares de dados pessoais;

VII – os direitos do titular, com menção explícita aos direitos contidos no artigo 18 da Lei Federal nº 13.709/2018; e

VIII – outras informações necessárias ao efetivo exercício do direito de acesso do titular.

Art. 3º O Relatório de Impacto à Proteção de Dados Pessoais (RIPDP), previsto no artigo 4º, inciso IV, do Decreto Municipal nº 59.767/2020, deverá ser publicado e anualmente atualizado, com a descrição das ações adotadas para a proteção das liberdades civis e dos direitos fundamentais, nos termos desta Instrução Normativa e do Anexo I – “Relatório de Impacto à Proteção de Dados Pessoais”.

Art. 4º A gestão de riscos deverá considerar o estado atual da tecnologia e o contexto do tratamento de dados pessoais, bem como gerir medidas de segurança, técnicas e administrativas aptas à proteção de dados pessoais contra ameaças e vulnerabilidades, considerados os riscos inerentes e residuais ao processo ou atividade.

Art. 5° O acesso motivado do Encarregado às operações de tratamento de dados pessoais será providenciado em até 72 (setenta e duas) horas, a contar do recebimento do pedido, salvo impossibilidade devidamente justificada, nos termos do art. 6º, § 1º, do Decreto Municipal nº 59.767/2020.

Art. 6º Na transferência de informações ao Encarregado pela Proteção de Dados Pessoais, haverá o mesmo grau de restrição existente àquele do órgão requerido, aplicando-se, para todos os efeitos, as disposições contidas no Capítulo VII do Decreto Municipal nº 53.623/2012.

Art. 7º Implicará em responsabilização das autoridades a que dispõe o caput do artigo 7º do Decreto Municipal nº 59.767/2020:

I – o descumprimento das recomendações, solicitações e ordens do Encarregado, no prazo por este fixado, quando ausente justificativa;

II – o não encaminhamento de informações ao Encarregado, no prazo por este fixado, sobre o tratamento de dados pessoais, que venham a ser solicitadas pela Autoridade Nacional de Proteção de Dados (ANPD);

III – o não encaminhamento de Relatório de Impacto à Proteção de Dados Pessoais ou de informações necessárias à sua elaboração;

IV – a não disponibilização de informações que assegurem ao Encarregado, de forma adequada e em tempo útil, o conhecimento sobre todas as questões relacionadas com a proteção de dados pessoais no âmbito do Poder Executivo Municipal; e

V – a não disponibilização das informações sobre o fluxo de dados pessoais tratados por cada unidade, conforme a previsão do artigo 2º desta Instrução Normativa.

Art. 8° O descumprimento do objetivo dos órgãos e entidades da Administração Pública Municipal, quanto ao tratamento de dados pessoais, conforme estabelecido no artigo 11, inciso I, do Decreto Municipal nº 59.767/2020, enseja responsabilização a ser apurada pela Corregedoria Geral do Município (CORR).

Art. 9° Para atendimento ao previsto no artigo 8º, inciso I, do Decreto Municipal nº 59.767/2020, poderá a Secretaria Municipal de Inovação e Tecnologia (SMIT) criar grupo especial de trabalho.

I – o Encarregado poderá indicar servidores, preferencialmente efetivos, a participarem do grupo especial de trabalho;

II – os relatórios produzidos pelo grupo especial de trabalho, devidamente documentados e preservados, servirão de subsídio para a elaboração de diretrizes e orientações pelo Encarregado.

Art. 10. As Secretarias e Subprefeituras deverão disponibilizar, em seus sítios eletrônicos e em lugares visíveis das respectivas instalações físicas, as hipóteses de tratamento de dados pessoais, nos termos do artigo 11, inciso II, do Decreto Municipal nº 59.767/2020, e do artigo 2° desta Instrução Normativa, bem como fornecer instrumentos adequados para que o titular de dados pessoais manifeste o seu consentimento, quando necessário, de forma livre, informada e inequívoca, conforme o artigo 5º, inciso XII, da Lei Federal nº 13.709/2018.

Art. 11. Quando do compartilhamento ou uso compartilhado de dados pessoais pelas Secretarias e Subprefeituras com órgãos e entidades públicas, para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, poderá o órgão ou entidade requisitado solicitar esclarecimentos ao órgão ou entidade requisitante, de modo a atender à boa-fé e aos princípios previstos na Lei Federal nº 13.709/2018.

Art. 12. Os órgãos e entidades da Administração Pública Municipal somente poderão efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado com prévia comunicação ao Controlador Geral do Município, que informará à Autoridade Nacional de Proteção de Dados (ANPD), na forma do regulamento federal correspondente, atendidas as disposições do artigo 14 do Decreto Municipal n° 59.767/2020 e em atenção ao artigo 27 da Lei Federal n° 13.709/2018.

Art. 13. As Secretarias e Subprefeituras deverão:

I – realizar pesquisas para entender as responsabilidades de cada órgão com relação ao tratamento de dados pessoais, adotando apenas as medidas proporcionais e estritamente necessárias ao atendimento do interesse público e de sua finalidade pública, com o objetivo de cumprir as exigências legais;

II – analisar sistemas e processos utilizados para o tratamento de dados pessoais, incluindo os próprios meios, informatizados ou não;

III – identificar os riscos relacionados ao tratamento de dados pessoais, priorizando a análise de sistemas utilizados no tratamento de dados pessoais;

IV – analisar os riscos identificados sobre os sistemas utilizados no tratamento de dados pessoais, no âmbito de sua competência, bem como aqueles utilizados por fornecedores ou outros provedores terceirizados com os quais mantenham relação contratual;

V – providenciar a utilização de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados pessoais tratados;

VI – criar um plano de adequação que descreva todas as tarefas a serem desenvolvidas para a implementação do sistema normativo de proteção de dados pessoais em vigor, observadas as disposições do Decreto Municipal n° 59.767/2020 e desta Instrução Normativa;

VII – adotar tecnologias inovadoras e especializadas, eventualmente disponibilizadas pela Secretaria Municipal de Inovação e Tecnologia (SMIT), que otimizem a proteção de dados pessoais sob sua guarda e que possam fornecer análise e gestão de riscos, inclusive para evitar incidentes de segurança com os dados pessoais;

VIII – consultar a Secretaria Municipal de Inovação e Tecnologia (SMIT) a fim de identificar soluções que possam auxiliar a analisar os riscos sobre os dados pessoais compartilhados;

IX – certificar-se de que o compartilhamento e o uso compartilhado de dados pessoais sejam realizados apenas em locais corretos e aprovados, através de meios autorizados, não sendo possível o uso de sistemas de acesso não fornecidos ou não permitidos pela Prefeitura do Município de São Paulo, assim como o armazenamento de dados pessoais e informações em contas não-organizacionais ou particulares; e

X – proporcionar capacitação de responsável ou de equipe, preferencialmente efetivos, com atribuições relativas ao tratamento de dados pessoais, especialmente sobre os riscos de compartilhamento e uso compartilhado de dados pessoais.

CAPÍTULO II

DO PLANO DE ADEQUAÇÃO

Art. 14. O plano de adequação, previsto no artigo 2º, inciso XIII, do Decreto Municipal nº 59.767/2020, deverá ser publicado e anualmente atualizado, observados os seguintes requisitos:

I – publicidade das informações relativas ao tratamento de dados pessoais em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades, na Internet, bem como no Portal da Transparência, em seção específica a que se refere o parágrafo único do artigo 5º do Decreto Municipal nº 59.767/2020;

II – atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do artigo 23, § 1º, e do artigo 27, parágrafo único, da Lei Federal nº 13.709/2018;

III – manutenção de dados em formato interoperável e estruturado para o compartilhamento e uso compartilhado de dados pessoais com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral;

IV – elaboração de mapeamento de dados pessoais e do fluxo de dados pessoais de cada processo realizado pelo órgão, contendo as seguintes informações, observado o Anexo II – “Mapeamento de Dados Pessoais”:

a) data de criação e de atualização do mapeamento de dados pessoais;

b) identificação dos processos nos quais há o tratamento de dados pessoais;

c) identificação dos agentes de tratamento e do Encarregado;

d) fases do ciclo de vida do tratamento de dados pessoais;

e) natureza e escopo do tratamento de dados pessoais;

f) finalidade do tratamento de dados pessoais;

g) categorias de dados pessoais tratados, inclusive com a descrição das subcategorias de dados pessoais sensíveis;

h) volume das operações de tratamento e das categorias de dados pessoais tratados;

i) categorias de titulares de dados pessoais;

j) compartilhamento e uso compartilhado de dados pessoais, inclusive com a descrição dos agentes de tratamento com os quais os dados pessoais são compartilhados;

k) contratos de serviços e soluções de tecnologia da informação que tratam os dados pessoais do processo mapeado;

l) transferência internacional de dados pessoais; e

m) medidas de segurança e de proteção de dados pessoais adotadas.

V – elaboração de Relatório de Impacto à Proteção de Dados Pessoais, que contenha as seguintes informações, observado o Anexo I – “Relatório de Impacto à Proteção de Dados Pessoais”:

a) data de criação e de atualização do Relatório de Impacto à Proteção de Dados Pessoais;

b) identificação dos agentes de tratamento e do Encarregado;

c) necessidade de sua elaboração ou atualização;

d) descrição do tratamento de dados pessoais, com base no mapeamento de dados pessoais;

e) natureza e escopo do tratamento de dados pessoais;

f) contexto e necessidade do tratamento de dados pessoais;

g) finalidade do tratamento de dados pessoais;

h) identificação, análise e gestão de riscos, que contemplem as descrições incluídas no Anexo I – “Relatório de Impacto à Proteção de Dados Pessoais”, nas seções 6 e 7, que são, respectivamente, “identificação e avaliação de riscos” e “medidas para tratar os riscos”; e

i) partes consultadas durante a elaboração do Relatório de Impacto à Proteção de Dados Pessoais.

VI – elaboração de programa de capacitação dos servidores que objetive a conscientização sobre os processos ou atividades que se utilizam do tratamento de dados pessoais e das medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.

Art. 15. Os planos de adequação, nos termos do artigo 17 do Decreto Municipal n° 59.767/2020, encaminhados à Controladoria Geral do Município (CGM), serão analisados pela Coordenadoria de Promoção da Integridade (COPI), que poderá:

I – solicitar orientações à Secretaria Municipal de Inovação e Tecnologia (SMIT), sob o ponto de vista tecnológico, nos termos do artigo 8°, inciso II, do Decreto Municipal n° 59.767/2020, com relação aos itens 6 e 7 do Anexo I – “Relatório de Impacto à Proteção de Dados Pessoais”, em sua análise sobre os planos de adequação das Secretarias e Subprefeituras; e

II – emitir orientações de adequação, após deliberação favorável do Encarregado pela Proteção de Dados Pessoais, ao constatar desconformidades materiais nos planos de adequação das Secretarias e Subprefeituras, com relação aos termos desta Instrução Normativa, do Decreto Municipal n° 59.767/2020 e da Lei Federal nº 13.709/2018.

CAPÍTULO III

DAS DISPOSIÇÕES FINAIS

Art. 16. Integram a presente Instrução Normativa o Anexo I – “Relatório de Impacto à Proteção de Dados Pessoais”, e o Anexo II – “Mapeamento de Dados Pessoais”, que deverão ser utilizados pelas Secretarias e Subprefeituras e poderão ser empregados pelas entidades da Administração Pública Municipal Indireta.

Art. 17. Esta Instrução Normativa entra em vigor em 180 (cento e oitenta) dias após a sua publicação.

Parágrafo único. Os planos de adequação, nos termos do artigo 17 do Decreto Municipal n° 59.767/2020, que tenham sido produzidos anteriormente à data de vigência a que dispõe o caput, deverão ser encaminhados à Controladoria Geral do Município (CGM) a fim de serem analisados com relação à sua conformidade material com os termos desta Instrução Normativa.

Daniel Falcão

CONTROLADOR GERAL DO MUNICÍPIO

ENCARREGADO PELA PROTEÇÃO DE DADOS PESSOAIS DA PREFEITURA DO MUNICÍPIO

Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo

Temas Relacionados