A MESA DIRETORA DA CÂMARA MUNICIPAL DE CONCEIÇÃO DA BARRA, ESTADO DO ESPÍRITO SANTO, usando das prerrogativas que lhe são conferidas pelos artigos 74 da Lei Orgânica Municipal e art. 33, inciso I do Regimento Interno Cameral, faz saber, que o Plenário aprovou e promulga a seguinte Resolução:
Art. 1º Regulamentar, no âmbito da Câmara Municipal de Conceição da Barra, a aplicação da Lei 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), visando ao tratamento de dados pessoais, inclusive em meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Art. 2º Esta Resolução não se aplica ao tratamento de dados pessoais realizados por gabinetes parlamentares, lideranças partidárias, frentes parlamentares e Comissões Temáticas quando o tratamento não utilizar sistemas institucionais da Câmara Municipal de Conceição da Barra.
Art. 3º Para os fins desta resolução, considera-se:
I - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa física ou natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - encarregado: servidor da Câmara formalmente designado pelo Presidente que atua como canal de comunicação entre o Tribunal, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
VII - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
VIII - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
IX - pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pela Câmara em ambiente controlado e seguro;
X - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XI - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XII - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XIII - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XIV - relatório de impacto à proteção de dados pessoais (RIPD): documentação que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XV - autoridade nacional de proteção de dados: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional; e
XVI - colaborador: prestador de serviço terceirizado ou qualquer pessoa física ou jurídica com vínculo transitório com a Câmara e que tenha acesso, de forma autorizada, a seus bancos de dados ou às suas dependências;
XVII - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
Art. 4º As decisões referentes ao tratamento de dados pessoais, no âmbito da Administração da Câmara Municipal de Conceição da Barra, que exercerá as atribuições de Controladora, serão exercidas com auxílio do Comitê Gestor de Governança de Dados e Informações, composto por Servidores do quadro da Câmara, respeitadas suas respectivas competências e campos funcionais.
Art. 5º O Comitê Gestor de Governança de Dados e Informações da Câmara, instituído mediante Portaria, é responsável por auxiliar o controlador de dados no desempenho das seguintes atividades:
I - Monitoramento de dados pessoais e de fluxos das respectivas operações de tratamento;
II - Análise de risco;
III - Elaboração e atualização da Política de Proteção de Dados Pessoais;
IV - Exame das propostas de adaptação à Política de Proteção de Dados Pessoais.
Art. 6º O Comitê Gestor de Governança de Dados e Informações será composto por 03 (três) servidores, tendo como Presidente um de seus membros, o qual exercerá a função de ENCARREGADO DE DADOS PESSOAIS, após indicação do Presidente da Câmara.
Art. 7º O ENCARREGADO DE DADOS PESSOAIS atuará como canal de comunicação entre a Câmara, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), bem como com outras entidades de proteção de dados pessoais, sendo que:
I - Deve possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente conhecimentos relativos à privacidade e à proteção de dados pessoais, à análise jurídica, à gestão de riscos, à governança de dados e ao acesso à informação no setor público;
II - Deve receber contínuo aperfeiçoamento relacionado aos conhecimentos de que trata o inciso I do caput deste artigo;
III - Deve ser nomeado por meio de portaria e sua identificação e informações de contato deverão constar no sítio eletrônico da Câmara.
Art. 8º Compete ao Encarregado:
I - Instruir reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - Receber comunicações da ANPD e adotar providências;
III - Comunicar à ANPD e ao titular dos dados pessoais a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, no prazo definido pela ANPD;
IV - Elaborar, quando solicitado pela ANPD, Relatório de Impacto à Proteção de Dados Pessoais - RIPD, nos termos do art. 38 da LGPD;
V - Executar as demais atribuições previstas nesta Resolução ou determinadas pela Presidência no cumprimento da LGPD, bem como àquelas estabelecidas em normas complementares pela ANPD.
Parágrafo Único. O pedido acerca do tratamento de dados pessoais solicitado pelo titular, não se confunde com o pedido realizado com fundamento na Lei nº 12.527/2011.
Art. 9º A Política de Proteção de Dados Pessoais, a que alude o inciso III do artigo 5º desta Resolução, corresponde à compilação de regras de boas práticas e de governança para tratamento de dados pessoais, de observância obrigatória pelos órgãos e entidades da Administração Pública, devendo conter, no mínimo:
I - Descrição das condições de organização, de funcionamento e dos procedimentos de tratamento, abrangendo normas de segurança, padrões técnicos, mecanismos internos de supervisão e de mitigação de riscos, plano de resposta a incidentes de segurança, bem como obrigações específicas para os agentes envolvidos no tratamento e ações educativas aplicáveis
II - Indicação da forma de publicidade das operações de tratamento, preferencialmente em espaço específico nos respectivos sítios eletrônicos oficiais, respeitadas as recomendações da autoridade nacional;
III - Numeração dos meios de manutenção de dados em formato interoperável e estruturado, para seu uso compartilhado e acesso das informações pelo público em geral, nos termos das Leis federais nº 12.527, de 18 de novembro de 2011, e nº 13.709, de 14 de agosto de 2018.
Art. 10 O tratamento de dados pessoais, mesmo quando sujeitos a acesso público, deve considerar a finalidade, a boa-fé e o interesse público que justifiquem sua disponibilização.
Parágrafo Único. O tratamento de dados pessoais no âmbito da Câmara deve ocorrer em estrita observância às hipóteses legais autorizativas, não se justificando exclusivamente pela mera disponibilidade de banco de dados previamente estabelecido.
Art. 11 Respeitados os casos e graus de sigilo regulados pela legislação pertinente o titular tem direito ao acesso às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.
Art. 12 O tratamento de dados pessoais sensíveis observará, no que couber, o disposto no art. 11 da LGPD.
Art. 13 Observado o disposto nos artigos 12 e 13 da LGPD, a Câmara poderá adotar processo de anonimização de dados pessoais ou, quando reversível ou passível de reversão, de pseudonimização, sempre que a medida se mostrar recomendável diante da natureza e dos objetivos do tratamento de dados.
Parágrafo Único. Para fins do disposto neste artigo, são medidas que impedem a identificação do titular dos dados pessoais, dentre outras que atinjam a mesma finalidade:
I - a supressão parcial do número de inscrição no Cadastro de Pessoas Físicas (CPF);
II - a ocultação dos primeiros dígitos do Código de Endereçamento Postal (CEP) visando à supressão da localização geográfica;
III - a generalização do nome, excluindo-se os sobrenomes; e
IV - a generalização da idade, procedendo-se à segmentação por faixas etárias.
Art. 14 Exceto quando anonimizados, o tratamento de dados pessoais a partir de banco de dados próprio ou de bases custodiadas atenderão aos princípios de que trata o art. 6º da LGPD;
Art. 15 A Câmara, na condição de Controladora, manterá registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse, solicitando-se, quando necessário, consentimento do titular dos dados pessoais, observando-se que tais registros, também, deverão ser realizados por qualquer empresa contratada que atue como operadora de dados pessoais.
Art. 16 Os dados pessoais obtidos pela Câmara, exclusivamente mediante consentimento do titular, não poderão ser objeto de comunicação ou compartilhamento, exceto quando houver consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na LGP.
Art. 17 Os direitos de que trata o art. 18 da LGPD serão exercidos, no que couber, mediante requerimento expresso do titular, devidamente identificado ou de representante regularmente constituído e habilitado, perante a Câmara Municipal e poderão ser processados no sistema eletrônico de Ouvidoria e deverão ser instruídas pelo Encarregado.
§ 1º A confirmação de existência ou o acesso a dados pessoais serão providenciados mediante requisição do titular em formato simplificado, imediatamente, ou por meio de declaração clara e completa, no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
§ 2º Será liminarmente indeferida a solicitação de qualquer dos direitos previstos no art. 18 da LGPD, quando feita de maneira anônima ou quando não atender ao disposto no parágrafo anterior.
§ 3º Quando a Câmara atuar como mera custodiante de dados pessoais que estejam contidos em bases de dados custodiados, os direitos previstos na LGPD devem ser exercidos pelo titular diretamente perante a organização pública ou privada responsável pelas informações.
Art. 18 Qualquer empresa contratada pela Câmara deverá realizar o devido tratamento conforme a Lei nº 13.709/2018 - Lei Geral de Proteção de dados Pessoais (LGPD).
Art. 19 Em regra, os dados pessoais serão conservados pela Câmara mesmo após o término do tratamento, constituindo arquivo público, nos termos da Lei e da regulamentação em vigor, e serão eliminados de acordo com a classificação arquivística de cada documento, definida na política interna de gestão documental, obedecendo-se aos prazos da tabela de temporalidade de documentos, conforme regulado em ato normativo próprio.
Parágrafo Único. Não se aplica o disposto neste artigo quando houver.
I - comunicação do titular dos dados ou de seu responsável legal, no exercício de direito de revogação do consentimento, quando o tratamento tiver decorrido exclusivamente de seu consentimento prévio; e
II - determinação da ANPD, se identificada violação pela Câmara de dispositivo da LGPD.
Art. 20 Em suas rotinas, os servidores avaliarão se o tratamento está sendo feito de modo a utilizar os dados pessoais estritamente necessários à consecução de finalidade legalmente autorizada, cabendo-lhes dar ciência ao encarregado quando necessária a adoção de providências.
Art. 21 A adoção de medidas para o atendimento ao disposto nesta Resolução será gradativa e considerará as recomendações, diretrizes, políticas, normas, padrões, pareceres, técnicas, regulamentos e solicitações a serem exarados pela ANPD, inclusive quanto à adequação progressiva dos bancos de dados constituídos até a data de entrada em vigor desta Resolução, consideradas, em especial, a complexidade das operações de tratamento e a natureza dos dados.
Art. 22 Enquanto a ANPD não regulamentar normas, diretrizes e padrões pertinentes à observância da LGPD, a Câmara poderá utilizar normas e padrões técnicos, bem como manuais, guias e modelos instituídos no âmbito da Administração Pública Federal.
Art. 23 Os direitos de que trata esta Resolução não excluem outros previstos em legislação específica.
Art. 24 Esta Resolução entra em vigor na data de sua publicação.
Câmara Municipal de Conceição da Barra-ES, em 01 de junho de 2023.
Este texto não substitui o original publicado e arquivado na Câmara Municipal de Conceição da Barra.