Archivos de la etiqueta: Proteção de Dados Pessoais

04Abr/21

Lei nº 14.129 de 29 março de 2021

Lei nº 14.129 de 29 março de 2021, Dispõe sobre princípios, regras e instrumentos para o Governo Digital e para o aumento da eficiência pública e altera a Lei nº 7.116, de 29 de agosto de 1983, a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao), a Lei nº 12.682, de 9 de julho de 2012, e a Lei nº 13.460, de 26 de junho de 2017.

O PRESIDENTE DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:

CAPÍTULO I. DISPOSIÇÕES GERAIS

Artigo 1º

Esta Lei dispõe sobre princípios, regras e instrumentos para o aumento da eficiência da administração pública, especialmente por meio da desburocratização, da inovação, da transformação digital e da participação do cidadão.

Parágrafo único. Na aplicação desta Lei deverá ser observado o disposto nas Leis nºs 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao), 13.460, de 26 de junho de 2017, 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), e 5.172, de 25 de outubro de 1966 (Código Tributário Nacional), e na Lei Complementar nº 105, de 10 de janeiro de 2001.

Artigo 2º

 Esta Lei aplica-se:

I. aos órgãos da administração pública direta federal, abrangendo os Poderes Executivo, Judiciário e Legislativo, incluído o Tribunal de Contas da União, e o Ministério Público da União;

II. às entidades da administração pública indireta federal, incluídas as empresas públicas e sociedades de economia mista, suas subsidiárias e controladas, que prestem serviço público, autarquias e fundações públicas; e

III. às administrações diretas e indiretas dos demais entes federados, nos termos dos incisos I e II do caput deste artigo, desde que adotem os comandos desta Lei por meio de atos normativos próprios.

§ 1º Esta Lei não se aplica a empresas públicas e sociedades de economia mista, suas subsidiárias e controladas, que não prestem serviço público.

§ 2º As referências feitas nesta Lei, direta ou indiretamente, a Estados, Municípios e ao Distrito Federal são cabíveis somente na hipótese de ter sido cumprido o requisito previsto no inciso III do caput deste artigo.

Artigo 3º

São princípios e diretrizes do Governo Digital e da eficiência pública:

I. a desburocratização, a modernização, o fortalecimento e a simplificação da relação do poder público com a sociedade, mediante serviços digitais, acessíveis inclusive por dispositivos móveis;

II. a disponibilização em plataforma única do acesso às informações e aos serviços públicos, observadas as restrições legalmente previstas e sem prejuízo, quando indispensável, da prestação de caráter presencial;

III. a possibilidade aos cidadãos, às pessoas jurídicas e aos outros entes públicos de demandar e de acessar serviços públicos por meio digital, sem necessidade de solicitação presencial;

IV. a transparência na execução dos serviços públicos e o monitoramento da qualidade desses serviços;

V. o incentivo à participação social no controle e na fiscalização da administração pública;

VI. o dever do gestor público de prestar contas diretamente à população sobre a gestão dos recursos públicos;

VII. o uso de linguagem clara e compreensível a qualquer cidadão;

VIII. o uso da tecnologia para otimizar processos de trabalho da administração pública;

IX.  a atuação integrada entre os órgãos e as entidades envolvidos na prestação e no controle dos serviços públicos, com o compartilhamento de dados pessoais em ambiente seguro quando for indispensável para a prestação do serviço, nos termos da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), e, quando couber, com a transferência de sigilo, nos termos do Artigo 198 da Lei nº 5.172, de 25 de outubro de 1966 (Código Tributário Nacional), e da Lei Complementar nº 105, de 10 de janeiro de 2001;

X. a simplificação dos procedimentos de solicitação, oferta e acompanhamento dos serviços públicos, com foco na universalização do acesso e no autosserviço;

XI. a eliminação de formalidades e de exigências cujo custo econômico ou social seja superior ao risco envolvido;

XII. a imposição imediata e de uma única vez ao interessado das exigências necessárias à prestação dos serviços públicos, justificada exigência posterior apenas em caso de dúvida superveniente;

XIII. a vedação de exigência de prova de fato já comprovado pela apresentação de documento ou de informação válida;

XIV. a interoperabilidade de sistemas e a promoção de dados abertos;

XV. a presunção de boa-fé do usuário dos serviços públicos;

XVI. a permanência da possibilidade de atendimento presencial, de acordo com as características, a relevância e o público-alvo do serviço;

XVII. a proteção de dados pessoais, nos termos da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais);

XVIII.  o cumprimento de compromissos e de padrões de qualidade divulgados na Carta de Serviços ao Usuário;

XIX – a acessibilidade da pessoa com deficiência ou com mobilidade reduzida, nos termos da Lei nº 13.146, de 6 de julho de 2015 (Estatuto da Pessoa com Deficiência);

XX. o estímulo a ações educativas para qualificação dos servidores públicos para o uso das tecnologias digitais e para a inclusão digital da população;

XXI. o apoio técnico aos entes federados para implantação e adoção de estratégias que visem à transformação digital da administração pública;

XXII. o estímulo ao uso das assinaturas eletrônicas nas interações e nas comunicações entre órgãos públicos e entre estes e os cidadãos;

XXIII. a implantação do governo como plataforma e a promoção do uso de dados, preferencialmente anonimizados, por pessoas físicas e jurídicas de diferentes setores da sociedade, resguardado o disposto nos arts. 7º e 11 da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), com vistas, especialmente, à formulação de políticas públicas, de pesquisas científicas, de geração de negócios e de controle social;

XXIV. o tratamento adequado a idosos, nos termos da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);

XXV. a adoção preferencial, no uso da internet e de suas aplicações, de tecnologias, de padrões e de formatos abertos e livres, conforme disposto no inciso V do caput do Artigo 24 e no Artigo 25 da Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet); e

XXVI. a promoção do desenvolvimento tecnológico e da inovação no setor público.

Artigo 4º

 Para os fins desta Lei, considera-se:

I. (VETADO);

II. autosserviço: acesso pelo cidadão a serviço público prestado por meio digital, sem necessidade de mediação humana;

III. base nacional de serviços públicos: base de dados que contém as informações necessárias sobre a oferta de serviços públicos de todos os prestadores desses serviços;

IV. dados abertos: dados acessíveis ao público, representados em meio digital, estruturados em formato aberto, processáveis por máquina, referenciados na internet e disponibilizados sob licença aberta que permita sua livre utilização, consumo ou tratamento por qualquer pessoa, física ou jurídica;

V. dado acessível ao público: qualquer dado gerado ou acumulado pelos entes públicos que não esteja sob sigilo ou sob restrição de acesso nos termos da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao);

VI. formato aberto: formato de arquivo não proprietário, cuja especificação esteja documentada publicamente e seja de livre conhecimento e implementação, livre de patentes ou de qualquer outra restrição legal quanto à sua utilização;

VII. governo como plataforma: infraestrutura tecnológica que facilite o uso de dados de acesso público e promova a interação entre diversos agentes, de forma segura, eficiente e responsável, para estímulo à inovação, à exploração de atividade econômica e à prestação de serviços à população;

VIII. laboratório de inovação: espaço aberto à participação e à colaboração da sociedade para o desenvolvimento de ideias, de ferramentas e de métodos inovadores para a gestão pública, a prestação de serviços públicos e a participação do cidadão para o exercício do controle sobre a administração pública;

IX. plataformas de governo digital: ferramentas digitais e serviços comuns aos órgãos, normalmente ofertados de forma centralizada e compartilhada, necessárias para a oferta digital de serviços e de políticas públicas;

X. registros de referência: informação íntegra e precisa oriunda de uma ou mais fontes de dados, centralizadas ou descentralizadas, sobre elementos fundamentais para a prestação de serviços e para a gestão de políticas públicas; e

XI. transparência ativa: disponibilização de dados pela administração pública independentemente de solicitações.

Parágrafo único. Aplicam-se a esta Lei os conceitos da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).

CAPÍTULO II. DA DIGITALIZAÇÃO DA ADMINISTRAÇÃO PÚBLICA E DA PRESTAÇÃO DIGITAL DE SERVIÇOS PÚBLICOS – GOVERNO DIGITAL

Seção I. Da Digitalização

Artigo 5º

A administração pública utilizará soluções digitais para a gestão de suas políticas finalísticas e administrativas e para o trâmite de processos administrativos eletrônicos.

Parágrafo único. Entes públicos que emitem atestados, certidões, diplomas ou outros documentos comprobatórios com validade legal poderão fazê-lo em meio digital, assinados eletronicamente na forma do Artigo 7º desta Lei e da Lei nº 14.063, de 23 de setembro de 2020.

Artigo 6º

Nos processos administrativos eletrônicos, os atos processuais deverão ser realizados em meio eletrônico, exceto se o usuário solicitar de forma diversa, nas situações em que esse procedimento for inviável, nos casos de indisponibilidade do meio eletrônico ou diante de risco de dano relevante à celeridade do processo.

Parágrafo único. No caso das exceções previstas no caput deste artigo, os atos processuais poderão ser praticados conforme as regras aplicáveis aos processos em papel, desde que posteriormente o documento-base correspondente seja digitalizado.

Artigo 7º

Os documentos e os atos processuais serão válidos em meio digital mediante o uso de assinatura eletrônica, desde que respeitados parâmetros de autenticidade, de integridade e de segurança adequados para os níveis de risco em relação à criticidade da decisão, da informação ou do serviço específico, nos termos da lei.

§ 1º Regulamento poderá dispor sobre o uso de assinatura avançada para os fins de que tratam os seguintes dispositivos:

I. Artigo 2º-A da Lei nº 12.682, de 9 de julho de 2012;

II. Artigo 289 da Lei nº 6.404, de 15 de dezembro de 1976;

III. Artigo 2º da Lei nº 13.787, de 27 de dezembro de 2018;

IV. Artigo 282-A da Lei nº 9.503, de 23 de setembro de 1997 (Código de Trânsito Brasileiro);

V. (VETADO);

VI. Artigo 8º da Lei nº 12.618, de 30 de abril de 2012;

VII. Artigo 38 da Lei nº 11.977, de 7 de julho de 2009.

§ 2º O disposto neste artigo não se aplica às hipóteses legais de anonimato.

Artigo 8º

Os atos processuais em meio eletrônico consideram-se realizados no dia e na hora do recebimento pelo sistema informatizado de gestão de processo administrativo eletrônico do órgão ou da entidade, o qual deverá fornecer recibo eletrônico de protocolo que os identifique.

§ 1º Quando o ato processual tiver que ser praticado em determinado prazo, por meio eletrônico, serão considerados tempestivos os efetivados, salvo disposição em contrário, até as 23h59 (vinte e três horas e cinquenta e nove minutos) do último dia do prazo, no horário de Brasília.

§ 2º A regulamentação deverá dispor sobre os casos e as condições de prorrogação de prazos em virtude da indisponibilidade de sistemas informatizados.

Artigo 9º

O acesso à íntegra do processo para vista pessoal do interessado poderá ocorrer por intermédio da disponibilização de sistema informatizado de gestão ou por acesso à cópia do documento, preferencialmente em meio eletrônico.

Artigo 10.

A classificação da informação quanto ao grau de sigilo e a possibilidade de limitação do acesso aos servidores autorizados e aos interessados no processo observarão os termos da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao), e das demais normas vigentes.

Artigo 11.

Os documentos nato-digitais assinados eletronicamente na forma do Artigo 7º desta Lei são considerados originais para todos os efeitos legais.

Artigo 12.

O formato e o armazenamento dos documentos digitais deverão garantir o acesso e a preservação das informações, nos termos da legislação arquivística nacional.

Artigo 13.

A guarda dos documentos digitais e dos processos administrativos eletrônicos considerados de valor permanente deverá estar de acordo com as normas previstas pela instituição arquivística pública responsável por sua custódia.

Seção II. Do Governo Digital

Artigo 14.

A prestação digital dos serviços públicos deverá ocorrer por meio de tecnologias de amplo acesso pela população, inclusive pela de baixa renda ou residente em áreas rurais e isoladas, sem prejuízo do direito do cidadão a atendimento presencial.

Parágrafo único. O acesso à prestação digital dos serviços públicos será realizado, preferencialmente, por meio do autosserviço.

Artigo 15.

A administração pública participará, de maneira integrada e cooperativa, da consolidação da Estratégia Nacional de Governo Digital, editada pelo Poder Executivo federal, que observará os princípios e as diretrizes de que trata o Artigo 3º desta Lei.

Artigo 16.

A administração pública de cada ente federado poderá editar estratégia de governo digital, no âmbito de sua competência, buscando a sua compatibilização com a estratégia federal e a de outros entes.

Seção III. Das Redes de Conhecimento

Artigo 17.

O Poder Executivo federal poderá criar redes de conhecimento, com o objetivo de:

I. gerar, compartilhar e disseminar conhecimento e experiências;

II. formular propostas de padrões, políticas, guias e manuais;

III. discutir sobre os desafios enfrentados e as possibilidades de ação quanto ao Governo Digital e à eficiência pública;

IV. prospectar novas tecnologias para facilitar a prestação de serviços públicos disponibilizados em meio digital, o fornecimento de informações e a participação social por meios digitais.

§ 1º Poderão participar das redes de conhecimento todos os órgãos e as entidades referidos no Artigo 2º desta Lei, inclusive dos entes federados.

§ 2º Serão assegurados às instituições científicas, tecnológicas e de inovação o acesso às redes de conhecimento e o estabelecimento de canal de comunicação permanente com o órgão federal a quem couber a coordenação das atividades previstas neste artigo.

Seção IV. Dos Componentes do Governo Digital

Subseção I.

Artigo 18.

São componentes essenciais para a prestação digital dos serviços públicos na administração pública:

I.  a Base Nacional de Serviços Públicos;

II. as Cartas de Serviços ao Usuário, de que trata a Lei nº 13.460, de 26 de junho de 2017; e

III. as Plataformas de Governo Digital.

Subseção II

Artigo 19.

Poderá o Poder Executivo federal estabelecer Base Nacional de Serviços Públicos, que reunirá informações necessárias sobre a oferta de serviços públicos em cada ente federado.

Parágrafo único. Cada ente federado poderá disponibilizar as informações sobre a prestação de serviços públicos, conforme disposto nas suas Cartas de Serviços ao Usuário, na Base Nacional de Serviços Públicos, em formato aberto e interoperável e em padrão comum a todos os entes.

Subseção III

Artigo 20.

As Plataformas de Governo Digital, instrumentos necessários para a oferta e a prestação digital dos serviços públicos de cada ente federativo, deverão ter pelo menos as seguintes funcionalidades:

I. ferramenta digital de solicitação de atendimento e de acompanhamento da entrega dos serviços públicos; e

II. painel de monitoramento do desempenho dos serviços públicos.

§ 1º As Plataformas de Governo Digital deverão ser acessadas por meio de portal, de aplicativo ou de outro canal digital único e oficial, para a disponibilização de informações institucionais, notícias e prestação de serviços públicos.

§ 2º As funcionalidades de que trata o caput deste artigo deverão observar padrões de interoperabilidade e a necessidade de integração de dados como formas de simplificação e de eficiência nos processos e no atendimento aos usuários.

Artigo 21.

A ferramenta digital de atendimento e de acompanhamento da entrega dos serviços públicos de que trata o inciso I do caput do Artigo 20 desta Lei deve apresentar, no mínimo, as seguintes características e funcionalidades:

I. identificação do serviço público e de suas principais etapas;

II. solicitação digital do serviço;

III. agendamento digital, quando couber;

IV. acompanhamento das solicitações por etapas;

V. avaliação continuada da satisfação dos usuários em relação aos serviços públicos prestados;

VI. identificação, quando necessária, e gestão do perfil pelo usuário;

VII. notificação do usuário;

VIII. possibilidade de pagamento digital de serviços públicos e de outras cobranças, quando necessário;

IX. nível de segurança compatível com o grau de exigência, a natureza e a criticidade dos serviços públicos e dos dados utilizados;

X. funcionalidade para solicitar acesso a informações acerca do tratamento de dados pessoais, nos termos das Leis nºs 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao), e 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais); e

XI. implementação de sistema de ouvidoria, nos termos da Lei nº 13.460, de 26 de junho de 2017.

Artigo 22.

O painel de monitoramento do desempenho dos serviços públicos de que trata o inciso II do caput do Artigo 20 desta Lei deverá conter, no mínimo, as seguintes informações, para cada serviço público ofertado:

I. quantidade de solicitações em andamento e concluídas anualmente;

II. tempo médio de atendimento; e

III. grau de satisfação dos usuários.

Parágrafo único. Deverá ser assegurada interoperabilidade e padronização mínima do painel a que se refere o caput deste artigo, de modo a permitir a comparação entre as avaliações e os desempenhos dos serviços públicos prestados pelos diversos entes.

Artigo 23.

Poderá o Poder Executivo federal:

I. estabelecer padrões nacionais para as soluções previstas nesta Seção;

II. disponibilizar soluções para outros entes que atendam ao disposto nesta Seção.

Seção V. Da Prestação Digital dos Serviços Públicos

Artigo 24.

Os órgãos e as entidades responsáveis pela prestação digital de serviços públicos deverão, no âmbito de suas competências:

I. manter atualizadas:

a) as Cartas de Serviços ao Usuário, a Base Nacional de Serviços Públicos e as Plataformas de Governo Digital;

b) as informações institucionais e as comunicações de interesse público;

II. monitorar e implementar ações de melhoria dos serviços públicos prestados, com base nos resultados da avaliação de satisfação dos usuários dos serviços;

III. integrar os serviços públicos às ferramentas de notificação aos usuários, de assinatura eletrônica e de meios de pagamento digitais, quando aplicáveis;

IV. eliminar, inclusive por meio da interoperabilidade de dados, as exigências desnecessárias ao usuário quanto à apresentação de informações e de documentos comprobatórios prescindíveis;

V. eliminar a replicação de registros de dados, exceto por razões de desempenho ou de segurança;

VI. tornar os dados da prestação dos serviços públicos sob sua responsabilidade interoperáveis para composição dos indicadores do painel de monitoramento do desempenho dos serviços públicos;

VII. realizar a gestão das suas políticas públicas com base em dados e em evidências por meio da aplicação de inteligência de dados em plataforma digital; e

VIII.  realizar testes e pesquisas com os usuários para subsidiar a oferta de serviços simples, intuitivos, acessíveis e personalizados.

Artigo 25.

As Plataformas de Governo Digital devem dispor de ferramentas de transparência e de controle do tratamento de dados pessoais que sejam claras e facilmente acessíveis e que permitam ao cidadão o exercício dos direitos previstos na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).

§ 1º As ferramentas previstas no caput deste artigo devem:

I. disponibilizar, entre outras, as fontes dos dados pessoais, a finalidade específica do seu tratamento pelo respectivo órgão ou ente e a indicação de outros órgãos ou entes com os quais é realizado o uso compartilhado de dados pessoais, incluído o histórico de acesso ou uso compartilhado, ressalvados os casos previstos no inciso III do caput do Artigo 4º da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais);

II. permitir que o cidadão efetue requisições ao órgão ou à entidade controladora dos seus dados, especialmente aquelas previstas no Artigo 18 da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).

§ 2º A Autoridade Nacional de Proteção de Dados (ANPD) poderá editar normas complementares para regulamentar o disposto neste artigo.

Artigo 26.

Presume-se a autenticidade de documentos apresentados por usuários dos serviços públicos ofertados por meios digitais, desde que o envio seja assinado eletronicamente.

Seção VI. Dos Direitos dos Usuários da Prestação Digital de Serviços Públicos

Artigo 27.

São garantidos os seguintes direitos aos usuários da prestação digital de serviços públicos, além daqueles constantes das Leis nºs 13.460, de 26 de junho de 2017, e 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais):

I. gratuidade no acesso às Plataformas de Governo Digital;

II. atendimento nos termos da respectiva Carta de Serviços ao Usuário;

III. padronização de procedimentos referentes à utilização de formulários, de guias e de outros documentos congêneres, incluídos os de formato digital;

IV. recebimento de protocolo, físico ou digital, das solicitações apresentadas; e

V. indicação de canal preferencial de comunicação com o prestador público para o recebimento de notificações, de mensagens, de avisos e de outras comunicações relativas à prestação de serviços públicos e a assuntos de interesse público.

CAPÍTULO III. DO NÚMERO SUFICIENTE PARA IDENTIFICAÇÃO

Artigo 28.

Fica estabelecido o número de inscrição no Cadastro de Pessoas Físicas (CPF) ou no Cadastro Nacional da Pessoa Jurídica (CNPJ) como número suficiente para identificação do cidadão ou da pessoa jurídica, conforme o caso, nos bancos de dados de serviços públicos, garantida a gratuidade da inscrição e das alterações nesses cadastros.

§ 1º O número de inscrição no CPF deverá constar dos cadastros e dos documentos de órgãos públicos, do registro civil de pessoas naturais, dos documentos de identificação de conselhos profissionais e, especialmente, dos seguintes cadastros e documentos:

I. certidão de nascimento;

II. certidão de casamento;

III. certidão de óbito;

IV. Documento Nacional de Identificação (DNI);

V. Número de Identificação do Trabalhador (NIT);

VI. registro no Programa de Integracao Social (PIS) ou no Programa de Formacao do Patrimonio do Servidor Público (Pasep);

VII. Cartão Nacional de Saúde;

VIII. título de eleitor;

IX. Carteira de Trabalho e Previdência Social (CTPS);

X. Carteira Nacional de Habilitação (CNH) ou Permissão para Dirigir;

XI. certificado militar;

XII. carteira profissional expedida pelos conselhos de fiscalização de profissão regulamentada;

XIII. passaporte;

XIV. carteiras de identidade de que trata a Lei nº 7.116, de 29 de agosto de 1983; e

XV. outros certificados de registro e números de inscrição existentes em bases de dados públicas federais, estaduais, distritais e municipais.

§ 2º A inclusão do número de inscrição no CPF nos cadastros e nos documentos de que trata o § 1º deste artigo ocorrerá sempre que a instituição responsável pelos cadastros e pelos documentos tiver acesso a documento comprobatório ou à base de dados administrada pela Secretaria Especial da Receita Federal do Brasil do Ministério da Economia.

§ 3º A incorporação do número de inscrição no CPF à carteira de identidade será precedida de consulta à base de dados administrada pela Secretaria Especial da Receita Federal do Brasil do Ministério da Economia e de validação de acordo com essa base de dados.

§ 4º Na hipótese de o requerente da carteira de identidade não estar inscrito no CPF, o órgão de identificação realizará a sua inscrição, caso tenha integração com a base de dados da Secretaria Especial da Receita Federal do Brasil do Ministério Economia.

§ 5º (VETADO).

CAPÍTULO IV. DO GOVERNO COMO PLATAFORMA

Seção I. Da Abertura dos Dados

Artigo 29.

Os dados disponibilizados pelos prestadores de serviços públicos, bem como qualquer informação de transparência ativa, são de livre utilização pela sociedade, observados os princípios dispostos no Artigo 6º da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).

§ 1º Na promoção da transparência ativa de dados, o poder público deverá observar os seguintes requisitos:

I. observância da publicidade das bases de dados não pessoais como preceito geral e do sigilo como exceção;

II. garantia de acesso irrestrito aos dados, os quais devem ser legíveis por máquina e estar disponíveis em formato aberto, respeitadas as Leis nºs 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao), e 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais);

III. descrição das bases de dados com informação suficiente sobre estrutura e semântica dos dados, inclusive quanto à sua qualidade e à sua integridade;

IV. permissão irrestrita de uso de bases de dados publicadas em formato aberto;

V. completude de bases de dados, as quais devem ser disponibilizadas em sua forma primária, com o maior grau de granularidade possível, ou referenciar bases primárias, quando disponibilizadas de forma agregada;

VI. atualização periódica, mantido o histórico, de forma a garantir a perenidade de dados, a padronização de estruturas de informação e o valor dos dados à sociedade e a atender às necessidades de seus usuários;

VII. (VETADO);

VIII. respeito à privacidade dos dados pessoais e dos dados sensíveis, sem prejuízo dos demais requisitos elencados, conforme a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais);

IX. intercâmbio de dados entre órgãos e entidades dos diferentes Poderes e esferas da Federação, respeitado o disposto no Artigo 26 da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais); e

X. fomento ao desenvolvimento de novas tecnologias destinadas à construção de ambiente de gestão pública participativa e democrática e à melhor oferta de serviços públicos.

§ 2º Sem prejuízo da legislação em vigor, os órgãos e as entidades previstos no Artigo 2º desta Lei deverão divulgar na internet:

I. o orçamento anual de despesas e receitas públicas do Poder ou órgão independente;

II. a execução das despesas e receitas públicas, nos termos dos arts. 48 e 48-A da Lei Complementar nº 101, de 4 de maio de 2000;

III. os repasses de recursos federais aos Estados, aos Municípios e ao Distrito Federal;

IV. os convênios e as operações de descentralização de recursos orçamentários em favor de pessoas naturais e de organizações não governamentais de qualquer natureza;

V. as licitações e as contratações realizadas pelo Poder ou órgão independente;

VI. as notas fiscais eletrônicas relativas às compras públicas;

VII. as informações sobre os servidores e os empregados públicos federais, bem como sobre os militares da União, incluídos nome e detalhamento dos vínculos profissionais e de remuneração;

VIII. as viagens a serviço custeadas pelo Poder ou órgão independente;

IX. as sanções administrativas aplicadas a pessoas, a empresas, a organizações não governamentais e a servidores públicos;

X. os currículos dos ocupantes de cargos de chefia e direção;

XI. o inventário de bases de dados produzidos ou geridos no âmbito do órgão ou instituição, bem como catálogo de dados abertos disponíveis;

XII. as concessões de recursos financeiros ou as renúncias de receitas para pessoas físicas ou jurídicas, com vistas ao desenvolvimento político, econômico, social e cultural, incluída a divulgação dos valores recebidos, da contrapartida e dos objetivos a serem alcançados por meio da utilização desses recursos e, no caso das renúncias individualizadas, dos dados dos beneficiários.

§ 3º (VETADO).

Artigo 30.

Qualquer interessado poderá apresentar pedido de abertura de bases de dados da administração pública, que deverá conter os dados de contato do requerente e a especificação da base de dados requerida.

§ 1º O requerente poderá solicitar a preservação de sua identidade quando entender que sua identificação prejudicará o princípio da impessoalidade, caso em que o canal responsável deverá resguardar os dados sem repassá-los ao setor, ao órgão ou à entidade responsável pela resposta.

§ 2º Os procedimentos e os prazos previstos para o processamento de pedidos de acesso à informação, nos termos da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informação), aplicam-se às solicitações de abertura de bases de dados da administração pública.

§ 3º Para a abertura de base de dados de interesse público, as informações para identificação do requerente não podem conter exigências que inviabilizem o exercício de seu direito.

§ 4º São vedadas quaisquer exigências relativas aos motivos determinantes da solicitação de abertura de base de dados públicos.

§ 5º Os pedidos de abertura de base de dados públicos, bem como as respectivas respostas, deverão compor base de dados aberta de livre consulta.

§ 6º Consideram-se automaticamente passíveis de abertura as bases de dados que não contenham informações protegidas por lei.

Artigo 31.

Compete a cada ente federado monitorar a aplicação, o cumprimento dos prazos e os procedimentos para abertura dos dados sob seu controle.

Artigo 32. (VETADO).

Parágrafo único. Eventuais inconsistências existentes na base de dados aberta deverão ser informadas e, se possível, detalhadas no arquivo gerado com os dados.

Artigo 33.

A solicitação de abertura da base de dados será considerada atendida a partir da notificação ao requerente sobre a disponibilização e a catalogação da base de dados para acesso público no site oficial do órgão ou da entidade na internet.

Artigo 34.

É direito do requerente obter o inteiro teor da decisão negativa de abertura de base de dados.

Parágrafo único. Eventual decisão negativa à solicitação de abertura de base de dados ou decisão de prorrogação de prazo, em razão de custos desproporcionais ou não previstos pelo órgão ou pela entidade da administração pública, deverá ser acompanhada da devida análise técnica que conclua pela inviabilidade orçamentária da solicitação.

Artigo 35. (VETADO).

Artigo 36.

Os órgãos gestores de dados poderão disponibilizar em transparência ativa dados de pessoas físicas e jurídicas para fins de pesquisa acadêmica e de monitoramento e de avaliação de políticas públicas, desde que anonimizados antes de sua disponibilização os dados protegidos por sigilo ou com restrição de acesso prevista, nos termos da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informação).

Artigo 37.

Aplica-se subsidiariamente, no que couber, as disposições da Lei nº 9.784, de 29 de janeiro de 1999, ao procedimento de que trata este Capítulo.

Seção II. Da Interoperabilidade de Dados entre Órgãos Públicos

Artigo 38.

Os órgãos e as entidades responsáveis pela prestação digital de serviços públicos detentores ou gestores de bases de dados, inclusive os controladores de dados pessoais, conforme estabelecido pela Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), deverão gerir suas ferramentas digitais, considerando:

I. a interoperabilidade de informações e de dados sob gestão dos órgãos e das entidades referidos no Artigo 2º desta Lei, respeitados as restrições legais, os requisitos de segurança da informação e das comunicações, as limitações tecnológicas e a relação custo-benefício da interoperabilidade;

II. a otimização dos custos de acesso a dados e o reaproveitamento, sempre que possível, de recursos de infraestrutura de acesso a dados por múltiplos órgãos e entidades;

III. a proteção de dados pessoais, observada a legislação vigente, especialmente a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).

Artigo 39.

Será instituído mecanismo de interoperabilidade com a finalidade de:

I. aprimorar a gestão de políticas públicas;

II. aumentar a confiabilidade dos cadastros de cidadãos existentes na administração pública, por meio de mecanismos de manutenção da integridade e da segurança da informação no tratamento das bases de dados, tornando-as devidamente qualificadas e consistentes;

III. viabilizar a criação de meios unificados de identificação do cidadão para a prestação de serviços públicos;

IV. facilitar a interoperabilidade de dados entre os órgãos de governo;

V. realizar o tratamento de informações das bases de dados a partir do número de inscrição do cidadão no CPF, conforme previsto no Artigo 11 da Lei nº 13.444, de 11 de maio de 2017.

Parágrafo único. Aplicam-se aos dados pessoais tratados por meio de mecanismos de interoperabilidade as disposições da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).

Artigo 40.

Os órgãos abrangidos por esta Lei serão responsáveis pela publicidade de seus registros de referência e pelos mecanismos de interoperabilidade de que trata esta Seção.

§ 1º As pessoas físicas e jurídicas poderão verificar a exatidão, a correção e a completude de qualquer um dos seus dados contidos nos registros de referência, bem como monitorar o acesso a esses dados.

§ 2º Nova base de dados somente poderá ser criada quando forem esgotadas as possibilidades de utilização dos registros de referência existentes.

Artigo 41.

É de responsabilidade dos órgãos e das entidades referidos no Artigo 2º desta Lei os custos de adaptação de seus sistemas e de suas bases de dados para a implementação da interoperabilidade.

CAPÍTULO V. DO DOMICÍLIO ELETRÔNICO

Artigo 42.

Os órgãos e as entidades referidos no Artigo 2º desta Lei, mediante opção do usuário, poderão realizar todas as comunicações, as notificações e as intimações por meio eletrônico.

§ 1º O disposto no caput deste artigo não gera direito subjetivo à opção pelo administrado caso os meios não estejam disponíveis.

§ 2º O administrado poderá, a qualquer momento e independentemente de fundamentação, optar pelo fim das comunicações, das notificações e das intimações por meio eletrônico.

§ 3º O ente público poderá realizar as comunicações, as notificações e as intimações por meio de ferramenta mantida por outro ente público.

Artigo 43.

As ferramentas usadas para os atos de que trata o Artigo 42 desta Lei:

I. disporão de meios que permitam comprovar a autoria das comunicações, das notificações e das intimações;

II. terão meios de comprovação de emissão e de recebimento, ainda que não de leitura, das comunicações, das notificações e das intimações;

III. poderão ser utilizadas mesmo que legislação especial preveja apenas as comunicações, as notificações e as intimações pessoais ou por via postal;

IV. serão passíveis de auditoria;

V. conservarão os dados de envio e de recebimento por, pelo menos, 5 (cinco) anos.

CAPÍTULO VI. DOS LABORATÓRIOS DE INOVAÇÃO

Artigo 44.

Os entes públicos poderão instituir laboratórios de inovação, abertos à participação e à colaboração da sociedade para o desenvolvimento e a experimentação de conceitos, de ferramentas e de métodos inovadores para a gestão pública, a prestação de serviços públicos, o tratamento de dados produzidos pelo poder público e a participação do cidadão no controle da administração pública.

Artigo 45.

Os laboratórios de inovação terão como diretrizes:

I. colaboração interinstitucional e com a sociedade;

II. promoção e experimentação de tecnologias abertas e livres;

III. uso de práticas de desenvolvimento e prototipação de softwares e de métodos ágeis para formulação e implementação de políticas públicas;

IV. foco na sociedade e no cidadão;

V. fomento à participação social e à transparência pública;

VI. incentivo à inovação;

VII. apoio ao empreendedorismo inovador e fomento a ecossistema de inovação tecnológica direcionado ao setor público;

VIII. apoio a políticas públicas orientadas por dados e com base em evidências, a fim de subsidiar a tomada de decisão e de melhorar a gestão pública;

IX. estímulo à participação de servidores, de estagiários e de colaboradores em suas atividades;

X. difusão de conhecimento no âmbito da administração pública.

Artigo 46. (VETADO).

CAPÍTULO VII. DA GOVERNANÇA, DA GESTÃO DE RISCOS, DO CONTROLE E DA AUDITORIA

Artigo 47.

Caberá à autoridade competente dos órgãos e das entidades referidos no Artigo 2º desta Lei, observados as normas e os procedimentos específicos aplicáveis, implementar e manter mecanismos, instâncias e práticas de governança, em consonância com os princípios e as diretrizes estabelecidos nesta Lei.

Parágrafo único. Os mecanismos, as instâncias e as práticas de governança referidos no caput deste artigo incluirão, no mínimo:

I. formas de acompanhamento de resultados;

II. soluções para a melhoria do desempenho das organizações;

III.- instrumentos de promoção do processo decisório fundamentado em evidências.

Artigo 48.

Os órgãos e as entidades a que se refere o Artigo 2º desta Lei deverão estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e de controle interno com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos da prestação digital de serviços públicos que possam impactar a consecução dos objetivos da organização no cumprimento de sua missão institucional e na proteção dos usuários, observados os seguintes princípios:

I. integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os níveis da organização, relevantes para a execução da estratégia e o alcance dos objetivos institucionais;

II. estabelecimento de controles internos proporcionais aos riscos, de modo a considerar suas causas, fontes, consequências e impactos, observada a relação custo-benefício;

III. utilização dos resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos processos de governança, de gestão de riscos e de controle;

IV. proteção às liberdades civis e aos direitos fundamentais.

Artigo 49.

A auditoria interna governamental deverá adicionar valor e melhorar as operações das organizações para o alcance de seus objetivos, mediante a abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, de gestão de riscos e de controle, por meio da:

I. realização de trabalhos de avaliação e consultoria de forma independente, conforme os padrões de auditoria e de ética profissional reconhecidos internacionalmente;

II. adoção de abordagem baseada em risco para o planejamento de suas atividades e para a definição do escopo, da natureza, da época e da extensão dos procedimentos de auditoria;

III. promoção da prevenção, da detecção e da investigação de fraudes praticadas por agentes públicos ou privados na utilização de recursos públicos federais.

CAPÍTULO VIII. DISPOSIÇÕES FINAIS

Artigo 50.

O acesso e a conexão para o uso de serviços públicos poderão ser garantidos total ou parcialmente pelo governo, com o objetivo de promover o acesso universal à prestação digital dos serviços públicos e a redução de custos aos usuários, nos termos da lei.

Artigo 51.

O Artigo 3º da Lei nº 7.116, de 29 de agosto de 1983, passa a vigorar com a seguinte redação:

“Artigo 3º . ………………………………………………………………………………………………..

……………………………………………………………………………………………………………..

g) assinatura do dirigente do órgão expedidor;

h) número de inscrição no Cadastro de Pessoas Físicas (CPF).

§ 1º A inclusão do número de inscrição no CPF na Carteira de Identidade, conforme disposto na alínea h do caput deste artigo, ocorrerá sempre que o órgão de identificação tiver acesso a documento comprobatório ou à base de dados administrada pela Secretaria Especial da Receita Federal do Brasil.

§ 2º A incorporação do número de inscrição no CPF à Carteira de Identidade será precedida de consulta e de validação com a base de dados administrada pela Secretaria Especial da Receita Federal do Brasil.

§ 3º Na hipótese de o requerente da Carteira de Identidade não estar inscrito no CPF, o órgão de identificação realizará a sua inscrição, caso tenha autorização da Secretaria Especial da Receita Federal do Brasil.”

Artigo 52.

O Artigo 12 da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informação), passa vigorar com a seguinte redação:

“Artigo 12. O serviço de busca e de fornecimento de informação é gratuito.

§ 1º O órgão ou a entidade poderá cobrar exclusivamente o valor necessário ao ressarcimento dos custos dos serviços e dos materiais utilizados, quando o serviço de busca e de fornecimento da informação exigir reprodução de documentos pelo órgão ou pela entidade pública consultada.

§ 2º Estará isento de ressarcir os custos previstos no § 1º deste artigo aquele cuja situação econômica não lhe permita fazê-lo sem prejuízo do sustento próprio ou da família, declarada nos termos da Lei nº 7.115, de 29 de agosto de 1983.”

Artigo 53.

O caput do Artigo 3º da Lei nº 12.682, de 9 de julho de 2012, passa a vigorar com a seguinte redação:

“Artigo 3º O processo de digitalização deverá ser realizado de forma a manter a integridade, a autenticidade e, se necessário, a confidencialidade do documento digital, com o emprego de assinatura eletrônica.

…………………………………………………………………………………………………”

Artigo 54.

A Lei nº 13.460, de 26 de junho de 2017, passa a vigorar com as seguintes alterações:

“Artigo 7º . …………………………………………………………………………………………………..

…………………………………………………………………………………………………………………

§ 6º Compete a cada ente federado disponibilizar as informações dos serviços prestados, conforme disposto nas suas Cartas de Serviços ao Usuário, na Base Nacional de Serviços Públicos, mantida pelo Poder Executivo federal, em formato aberto e interoperável, nos termos do regulamento do Poder Executivo federal.”

“Artigo 10-A. Para fins de acesso a informações e serviços, de exercício de direitos e obrigações ou de obtenção de benefícios perante os órgãos e as entidades federais, estaduais, distritais e municipais ou os serviços públicos delegados, a apresentação de documento de identificação com fé pública em que conste o número de inscrição no Cadastro de Pessoas Físicas (CPF) será suficiente para identificação do cidadão, dispensada a apresentação de qualquer outro documento.

§ 1º Os cadastros, os formulários, os sistemas e outros instrumentos exigidos dos usuários para a prestação de serviço público deverão disponibilizar campo para registro do número de inscrição no CPF, de preenchimento obrigatório para cidadãos brasileiros e estrangeiros residentes no Brasil, que será suficiente para sua identificação, vedada a exigência de apresentação de qualquer outro número para esse fim.

§ 2º O número de inscrição no CPF poderá ser declarado pelo usuário do serviço público, desde que acompanhado de documento de identificação com fé pública, nos termos da lei.

§ 3º Ato de cada ente federativo ou Poder poderá dispor sobre casos excepcionais ao previsto no caput deste artigo.”

Artigo 55.

Esta Lei entra em vigor após decorridos:

I. 90 (noventa) dias de sua publicação oficial, para a União;

II. 120 (cento e vinte) dias de sua publicação oficial, para os Estados e o Distrito Federal;

III. 180 (cento e oitenta) dias de sua publicação oficial, para os Municípios.

Brasília, 29 de março de 2021; 200o da Independência e 133o da República.

JAIR MESSIAS BOLSONARO

André Luiz de Almeida Mendonça

Paulo Guedes

Marcos César Pontes

Wagner de Campos Rosário

Onyx Lorenzoni

04Oct/20

Decreto nº 59.767, de 15 de setembro de 2020

Decreto nº 59.767, de 15 de setembro de 2020, Regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei de Proteção de Dados Pessoais (LGPD) – no âmbito da Administração Municipal direta e indireta.

BRUNO COVAS, Prefeito do Município de São Paulo, no uso das atribuições que lhe são conferidas por lei, DECRETA:

CAPÍTULO I.- DAS DISPOSIÇÕES PRELIMINARES

Artigo 1º

Este decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências correlatas a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais.

Artigo 2º

Para os fins deste decreto, considera-se:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;

V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI – controlador: pessoal natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII – encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX – agentes de tratamento: o controlador e o operador;

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII – plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.

Artigo 3º

As atividades de tratamento de dados pessoais pelos órgãos e entidades municipais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

CAPÍTULO II.- DAS RESPONSABILIDADES

SEÇÃO I.- DAS RESPONSABILIDADES NA ADMINISTRAÇÃO PÚBLICA MUNICIPAL DIRETA

Artigo 4º

O Poder Executivo Municipal, por meio de suas Secretarias e Subprefeituras, nos termos da Lei Federal nº 13.709, de 2018, deve realizar e manter continuamente atualizados:

I – o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;

II – a análise de risco;

III – o plano de adequação, observadas as exigências do Artigo 15 deste decreto;

IV – o relatório de impacto à proteção de dados pessoais, quando solicitado.

Parágrafo único. Para fins do inciso III do “caput” deste artigo, as Secretarias e Subprefeituras devem observar as diretrizes editadas pelo Controlador Geral do Município, após deliberação favorável da Comissão Municipal de Acesso à Informação (CMAI).

Artigo 5º

Fica designado o Controlador Geral do Município como o encarregado da proteção de dados pessoais, para os fins do Artigo 41 da Lei Federal nº 13.709, de 2018.

Parágrafo único. A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, no Portal da Transparência, em seção específica sobre tratamento de dados pessoais.

Artigo 6º

São atribuições do encarregado da proteção de dados pessoais:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da Administração Pública Direta a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV – editar diretrizes para a elaboração dos planos de adequação, conforme Artigo 4º, inciso III deste decreto;

V – determinar a órgãos da Prefeitura a realização de estudos técnicos para elaboração das diretrizes previstas no inciso IV deste artigo;

VI – submeter à Comissão Municipal de Acesso à Informação (CMAI), sempre que julgar necessário, matérias atinentes a este decreto;

VII – decidir sobre as sugestões formuladas pela autoridade nacional a respeito da adoção de padrões e de boas práticas para o tratamento de dados pessoais, nos termos do Artigo 32 da Lei Federal nº 13.709, de 2018;

VIII – providenciar a publicação dos relatórios de impacto à proteção de dados pessoais previstos pelo Artigo 32 da Lei Federal nº 13.709, de 2018;

IX – recomendar a elaboração de planos de adequação relativos à proteção de dados pessoais ao encarregado das entidades integrantes da Administração indireta, informando eventual ausência à Secretaria responsável pelo controle da entidade, para as providências pertinentes;

X – providenciar, em caso de recebimento de informe da autoridade nacional com medidas cabíveis para fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 2018, nos termos do Artigo 31 daquela lei, o encaminhamento ao órgão municipal responsável pelo tratamento de dados pessoais, fixando prazo para atendimento à solicitação ou apresentação das justificativas pertinentes;

XI – avaliar as justificativas apresentadas nos termos do inciso X deste artigo, para o fim de:

a) caso avalie ter havido a violação, determinar a adoção das medidas solicitadas pela autoridade nacional;

b) caso avalie não ter havido a violação, apresentar as justificativas pertinentes à autoridade nacional, segundo o procedimento cabível;

XII – requisitar das Secretarias e Subprefeituras responsáveis as informações pertinentes, para sua compilação em um único relatório, caso solicitada pela autoridade nacional a publicação de relatórios de impacto à proteção de dados pessoais, nos termos do artigo 32 da Lei Federal nº 13.709, de 2018;

XII – executar as demais atribuições estabelecidas em normas complementares.

§ 1º O Controlador Geral do Município terá os recursos operacionais e financeiros necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como acesso motivado a todas as operações de tratamento.

§ 2º Na qualidade de encarregado da proteção de dados, o Controlador Geral do Município está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 13.709, de 2018, com a Lei Federal nº 12.527, de 18 de novembro de 2011, e com o Decreto nº 53.623, de 12 de dezembro de 2012.

Artigo 7º

Cabe aos Chefes de Gabinete das Secretarias e Subprefeituras:

I – dar cumprimento, no âmbito dos respectivos órgãos, às ordens e recomendações do Controlador Geral do Município na qualidade de encarregado de proteção de dados pessoais;

II – atender às solicitações encaminhadas pelo Controlador Geral do Município no sentido de fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 2018, ou apresentar as justificativas pertinentes;

III – encaminhar ao encarregado, no prazo por este fixado:

a) informações sobre o tratamento de dados pessoais que venham a ser solicitadas pela autoridade nacional, nos termos do Artigo 29 da Lei Federal nº 13.709, de 2018;

b) relatórios de impacto à proteção de dados pessoais, ou informações necessárias à elaboração de tais relatórios, nos termos do Artigo 32 da Lei Federal nº 13.709, de 2018.

IV – assegurar que o Controlador Geral do Município seja informado, de forma adequada e em tempo útil, de todas as questões relacionadas com a proteção de dados pessoais no âmbito do Poder Executivo municipal.

Artigo 8º

Cabe à Secretaria Municipal de Inovação e Tecnologia (SMIT):

I – oferecer os subsídios técnicos necessários à edição das diretrizes pelo Controlador Geral do Município para a elaboração dos planos de adequação;

II – orientar, sob o ponto de vista tecnológico, as Secretarias e as Subprefeituras na implantação dos respectivos planos de adequação.

Artigo 9º

Cabe à Comissão Municipal de Acesso à Informação (CMAI), por solicitação do Controlador Geral do Município:

I – deliberar sobre proposta de diretrizes para elaboração dos planos de adequação, nos termos do Artigo 4º, parágrafo único deste decreto;

II – deliberar sobre qualquer assunto relacionado à aplicação da Lei Federal nº 13.709, de 2018, e do presente decreto pelos órgãos do Poder Executivo.

SEÇÃO II.- DAS RESPONSABILIDADES NA ADMINISTRAÇÃO PÚBLICA MUNICIPAL INDIRETA

Artigo 10.

Cabe às entidades da Administração indireta observar, no âmbito da sua respectiva autonomia, as exigências da Lei Federal nº 13.709, de 2018, observada, no mínimo:

I – a designação de um encarregado de proteção de dados pessoais, nos termos do Artigo 41 da Lei Federal nº 13.709, de 2018, cuja identidade e informações de contato devem ser divulgadas publicamente, de forma clara e objetiva;

II – a elaboração e manutenção de um plano de adequação, nos termos do Artigo 4º, inc. III, e parágrafo único deste decreto.

CAPÍTULO III.- DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA MUNICIPAL

Artigo 11.

O tratamento de dados pessoais pelos órgãos e entidades da Administração Pública Municipal deve:

I – objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;

II – observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.

Artigo 12.

Os órgãos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no Artigo 6º da Lei Federal nº 13.709, de 2018.

Artigo 13.

É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 2011;

II – nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709, de 2018;

III – quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Controlador Geral do Município para comunicação à autoridade nacional de proteção de dados;

IV – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

Parágrafo único. Em quaisquer das hipóteses previstas neste artigo:

I – a transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada;

II – as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.

Artigo 14.

Os órgãos e entidades da Administração Pública Municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:

I – o Controlador Geral do Município informe a Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;

II – seja obtido o consentimento do titular, salvo:

a) nas hipóteses de dispensa de consentimento previstas na Lei Federal nº 13.709, de 2018;

b) nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do Artigo 11, inciso II deste decreto;

c) nas hipóteses do Artigo 13 deste decreto.

Parágrafo único. Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e o órgãos e entidades municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.

Artigo 15.

Os planos de adequação devem observar, no mínimo, o seguinte:

I – publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet, bem como no Portal da Transparência, em seção específica a que se refere o parágrafo único do Artigo 5º deste decreto;

II – atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do Artigo 23, § 1º, e do Artigo 27, parágrafo único da Lei Federal nº 13.709, de 2018;

III – manutenção de dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

Artigo 16.

As entidades integrantes da Administração Municipal indireta que atuarem em regime de concorrência, sujeitas ao disposto no Artigo 173 da Constituição Federal, deverão observar o regime relativo às pessoas jurídicas de direito privado particulares, exceto quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, nos termos do Artigo 24 da Lei nº 13.709, de 2018.

CAPÍTULO.- DAS DISPOSIÇÕES FINAIS

Artigo 17.

As Secretarias e Subprefeituras deverão comprovar ao Controlador Geral do Município estar em conformidade com o disposto no Artigo 4º deste decreto no prazo de 180 (cento e oitenta dias) dias a contar da sua publicação.

Artigo 18.

As entidades da Administração indireta deverão apresentar ao Controlador Geral do Município, no prazo de 90 (noventa) dias, o respectivo plano de adequação às exigências da Lei Federal nº 13.709, de 2018.

Artigo 19.

O artigo 53 do Decreto Municipal nº 53.623, de 2012, passa a vigorar com a seguinte alteração:

“Artigo 53. …

VII – deliberar sobre qualquer assunto relacionado à aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, e do presente decreto pelos órgãos do Poder Executivo.

§ 3º As questões referentes ao inciso VII do “caput” deste artigo entrarão em pauta a partir de solicitação do Controlador Geral do Município, que poderá convocar sessão extraordinária para a referida deliberação.”

Artigo 20.

Este decreto entrará em vigor na data de sua publicação.

PREFEITURA DO MUNICÍPIO DE SÃO PAULO/SP, aos 15 de setembro de 2020, 467º da fundação de São Paulo.

BRUNO COVAS, PREFEITO

JUAN MANUEL QUIRÓS SADIR, Secretário Municipal de Inovação e Tecnologia

JOÃO MANOEL SCUDELER DE BARROS, Controlador Geral Do Município

ORLANDO LINDÓRIO DE FARIA, Secretário Municipal da Casa Civil

MARINA MAGRO BERINGHS MARTINEZ, Respondendo pelo cargo de Secretária Municipal de Justiça

RUBENS NAMAN RIZEK JUNIOR, Secretário de Governo Municipal

Publicado na Casa Civil, em 15 de setembro de 2020.