O PREFEITO DA CIDADE DO RIO DE JANEIRO, no uso das atribuições que lhe são conferidas pela legislação em vigor, e

CONSIDERANDO o disposto no inciso LXXIX do art. 5º da Constituição da República Federativa do Brasil de 1988, incluído pela Emenda Constitucional nº 115, de 10 de janeiro de 2022, que estabelece ser assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais; e

CONSIDERANDO a necessidade de disciplinar a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, e de instituir a Política Municipal de Proteção de Dados Pessoais no âmbito da Administração Pública Direta e Indireta do Município do Rio de Janeiro,

DECRETA:

Art. 1º Fica estabelecido o Programa Municipal de Proteção de Dados Pessoais e instituída a Política Municipal de Proteção de Dados Pessoais no âmbito da Administração Pública do Município do Rio de Janeiro.

CAPÍTULO I - DO PROGRAMA MUNICIPAL DE PROTEÇÃO DE DADOS PESSOAIS

Art. 2º O Programa Municipal de Proteção de Dados Pessoais é o conjunto de ações para preservação de dados pessoais e informações pessoais, dividido nos seguintes eixos:

I - eixo de compreender o problema: elaboração dos diagnósticos que permitam mapear os tratamentos de dados pessoais e sensíveis que são realizados pela Administração Pública Municipal, além de possibilitar a análise dos riscos envolvidos;

II - eixo de instituir e implementar a Política Municipal de Proteção de Dados Pessoais conforme o art. 3º e seguintes deste Decreto;

III - eixo de gerenciar riscos na proteção de dados: identificação dos riscos e definição das medidas para sua mitigação, bem como definição das ferramentas para dirimir esses riscos, criar respostas a incidentes de segurança de dados e realizar as comunicações previstas na legislação e regulamentos;

IV - eixo de elaborar instrumentos do Programa de Governança em Privacidade e Proteção de Dados Pessoais: desenvolvimento de metodologias, minutas-padrão, modelos de documentação e procedimentos para que os instrumentos necessários ao atendimento dos direitos dos titulares dos dados pessoais e demais dispositivos constantes na Lei Geral de Proteção de Dados Pessoais - LGPD e legislação correlata, sejam implementados e observados;

V - eixo de capacitar e de sensibilizar: promoção de capacitação para os agentes públicos da Administração Pública Municipal, de modo a fomentar uma cultura de proteção e governança de dados no âmbito da Administração Pública Municipal.

CAPÍTULO II - DA POLÍTICA MUNICIPAL DE PROTEÇÃO DE DADOS PESSOAIS

Seção I - Normas Gerais

Art. 3º A Política Municipal de Proteção de Dados Pessoais tem como finalidade estabelecer diretrizes e princípios para o cumprimento ao disposto na Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, pela Administração Pública Municipal.

§ 1º Para ins deste Decreto, o titular de dados pessoais é a pessoa natural identificada ou identificável, a quem se referem os dados pessoais que são objeto de tratamento pela Administração Pública Municipal.

§ 2º Os dados pessoais são considerados sensíveis quando dizem respeito à origem racial ou étnica, à convicção religiosa, à opinião política, à filiação a sindicato ou à organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual, a dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

Seção II - Dos Princípios e Diretrizes

Art. 4º Na presente Política Municipal de Proteção de Dados Pessoais, as atividades de tratamento de dados pessoais realizadas pela Administração Pública Municipal deverão observar a boa-fé, assim como os seguintes princípios e diretrizes:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular e de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento dos dados pessoais ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos ao objetivo desse tratamento;

IV - livre acesso: garantia, aos titulares dos dados pessoais, de consulta facilitada e gratuita sobre a forma e duração do tratamento de seus dados, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares dos dados pessoais, de exatidão, clareza, relevância e atualização dos seus dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares dos dados pessoais, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento dos dados pessoais para ins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelos agentes de tratamento de que cuida os arts. 11 e 14 deste Decreto, de adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

XI - observância da publicidade como preceito geral e do sigilo como exceção;

XII - divulgação de informações de interesse público, independentemente de solicitações;

XIII - utilização de meios de comunicação viabilizados pela tecnologia da informação;

XIV - fomento ao desenvolvimento da cultura de transparência na Administração Pública Municipal; e

XV - desenvolvimento do controle social da Administração Pública Municipal.

Art. 5º As empresas públicas e as sociedades de economia mista, quando em execução de políticas públicas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos do Capítulo IV da Lei Geral de Proteção de Dados Pessoais - LGPD.

Seção III - Das Atribuições

Art. 6º Na implementação da Política Municipal de Proteção de Dados Pessoais, observadas as disposições constantes no parágrafo único do art. 24 deste Decreto, cabe aos órgãos e entidades da Administração Pública Municipal as seguintes atribuições:

I - gerenciar os riscos relativos ao tratamento de dados pessoais, conforme metodologia de análise de riscos estabelecida pela Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT, em conjunto com a Controladoria Geral do Município - CGM;

II - elaborar os mapeamentos e fazer os inventários de dados, conforme metodologia divulgada pela Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT;

III - identificar contratos, convênios, termos de cooperação, acordos de resultados, editais de licitação e demais instrumentos jurídicos congêneres em que se realize o tratamento de dados pessoais ou o compartilhamento desses dados e que exijam futuras modificações para adequação à Lei Geral de Proteção de Dados Pessoais - LGPD;

IV - zelar para que todos os processos, sistemas e serviços que tratem dados pessoais estejam em conformidade com as políticas e normas de proteção desses dados;

V - identificar os funcionários atuam no tratamento de dados pessoais e dados pessoais sensíveis, de modo que esses funcionários venham a assinar Termos de Responsabilidade ou d e Confidencialidade, conforme o caso;

VI - identificar quais são os compartilhamentos de dados pessoais e dados sensíveis realizados com terceiros, sejam eles públicos ou privados;

VII - disseminar aos agentes públicos o conhecimento das políticas e normas de governança de proteção de dados pessoais e de privacidade;

VIII - realizar a elaboração do Relatório de Impacto de Proteção de Dados Pessoais - RIPD, conforme exigido pelo art. 38 da Lei Geral de Proteção de Dados Pessoais - LGPD, com base na metodologia disponibilizada pela Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT.

IX - elaborar o Plano de Classificação de Dados Pessoais, conforme exigido na Lei Geral de Proteção de Dados Pessoais - LGPD, com base na metodologia a ser divulgada pela Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT;

X - preparar tabela com ciclo de vida dos dados pessoais tratados, conforme exigido na Lei Geral de Proteção de Dados Pessoais - LGPD, com base na metodologia a ser divulgada pela Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT;

XI - designar, pelo menos, um titular e um suplente para a função de Encarregado de Dados Setoriais, de que cuida o art. 8º deste Decreto, para o órgão ou entidade, que será responsável pelas atribuições constantes do art. 41 da Lei Geral de Proteção de Dados Pessoais - LGPD, devendo esta designação ser publicada em Diário Oficial e, posteriormente, encaminhada para a Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT.

CAPÍTULO III - DOS ENCARREGADOS DE DADOS

Seção I - Do Encarregado de Dados Geral

Art. 7º O Encarregado de Dados Geral é o agente público municipal, indicado pelo Secretário Municipal de Integridade, Transparência e Proteção de Dados, e que atua como orientador de diretrizes junto aos Encarregados de Dados Setoriais, de que trata o art. 8º do presente Decreto.

§ 1º O Encarregado de Dados Geral deverá ter suas informações de identidade e contato disponibilizadas publicamente, de forma clara e objetiva, consoante disposto no art. 41, § 1º da Lei Geral de Proteção de Dados Pessoais - LGPD, preferencialmente no sítio eletrônico do Controlador de Dados de que trata o art. 10 deste Decreto.

§ 2º O titular dos dados pessoais poderá utilizar como canal de comunicação com os Agentes de Tratamento municipais, conforme dispõe o art. 5º, VIII, da Lei Geral de Proteção de Dados Pessoais - LGPD, o Encarregado de Dados Geral ou os Encarregados de Dados Setoriais de cada órgão ou entidade municipal.

Art. 8º Compete ao Encarregado de Dados Geral:

I - divulgar, conforme diretrizes da Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT, as orientações quanto às boas práticas, aos padrões de governança de dados e à segurança da informação no tratamento de dados pessoais;

II - orientar os Controladores de Dados e os Encarregados de Dados Setoriais, de que tratam os arts. 9º e 10 deste Decreto, a respeito das boas práticas, padrões de governança de dados pessoais e ferramentas digitais para proteção de dados pessoais, a serem adotadas em relação à proteção de dados pessoais, conforme disposto na Lei Geral de Proteção de Dados Pessoais - LGPD;

III - manter comunicação permanente com os Encarregados de Dados Setoriais, visando ao acompanhamento Programa de Governança em Privacidade e Proteção dos Dados Pessoais, no âmbito da Administração Pública Municipal;

IV - elaborar e disponibilizar material de divulgação e capacitação a respeito das boas práticas sobre proteção de dados pessoais;

V - receber dos Encarregados de Dados Setoriais as comunicações provenientes da Autoridade Nacional de Proteção de Dados - ANPD e adotar providências, quando cabíveis;

VI - disponibilizar e manter atualizado o Portal Municipal da LGPD;

VII - instrumentalizar e garantir a transparência da governança em privacidade e proteção dos dados pessoais;

VIII - auxiliar a Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT na criação de regras e de diretrizes para a governança da proteção de dados pessoais e para o Programa Municipal de Proteção de Dados no âmbito da Administração Pública Municipal;

IX - monitorar a implementação do Programa de Governança em Privacidade e Proteção dos Dados Pessoais em cada órgão e entidade municipal e solicitar aos Encarregados de Dados Setoriais a apresentação de relatórios;

X - informar à Autoridade Nacional de Proteção de Dados - ANPD e aos titulares dos dados pessoais, eventuais incidentes de privacidade, assim entendidos quaisquer eventos adversos confirmados, relacionados à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular de dados pessoais, quanto ocorridos simultaneamente em mais de um Controlador de Dados;

XI - coordenar a comunicação entre os Encarregados de Dados Setoriais e a Autoridade Nacional de Proteção de Dados - ANPD; e

XII - prestar esclarecimentos acerca da aplicação da Lei Geral de Proteção de Dados Pessoais - LGPD e suas implicações na Administração Pública Municipal.

Parágrafo único. O exercício das funções de Encarregado de Dados Geral será considerado prestação de serviço público relevante, não remunerada e sem prejuízo de outras funções eventualmente exercidas.

Seção II - Dos Encarregados de Dados Setoriais

Art. 9º O Encarregado de Dados Setorial é o agente público que atua como canal de comunicação entre o Agente de Tratamento, conforme deinição constante do art. 5º, IX, da Lei Geral de Proteção de Dados Pessoais - LGPD, e o Encarregado de Dados Geral, e ainda como canal de comunicação entre os titulares de dados pessoais e da Autoridade Nacional de Proteção de Dados - ANPD.

§ 1º O Encarregado de Dados Setorial deverá ter suas informações de identidade e contato disponibilizadas publicamente, de forma clara e objetiva, no sítio eletrônico do seu órgão ou entidade, além de disponibilizadas no Portal Municipal da LGPD, sob gestão da Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT, em observância ao art. 41, § 1º da Lei Geral de Proteção de Dados Pessoais - LGPD.

§ 2º Cabe ao Encarregado de Dados Setorial, além das competências constantes no art. 41 da Lei Geral de Proteção de Dados Pessoais - LGPD, conduzir a implementação do Programa de Governança em Privacidade e Proteção dos Dados Pessoais no seu órgão ou entidade, observadas as diretrizes constantes do art. 27 deste Decreto e as orientações da Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT.

§ 3º Na ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais, o Encarregado de Dados Setorial, sob a coordenação prévia do Encarregado de Dados Geral, comunicará a Autoridade Nacional de Proteção de Dados - ANPD, nos termos do art. 48 da Lei Geral de Proteção de Dados Pessoais - LGPD.

Art. 10. Compete aos Encarregados de Dados Setoriais:

I - orientar os agentes públicos do seu órgão ou entidade a respeito das boas práticas e padrões de Governança em Privacidade e Proteção dos Dados Pessoais;

II - receber as reclamações, requerimentos e comunicações dos titulares dos dados pessoais, e prestar esclarecimentos;

III - receber as comunicações da Autoridade Nacional de Proteção de Dados - ANPD, comunicar ao Encarregado de Dados Geral e adotar as respectivas providências;

IV - receber as comunicações do Encarregado de Dados Geral e adotar as respectivas providências;

V - solicitar ao Encarregado de Dados Geral orientações antes de realizar qualquer comunicação com a Autoridade Nacional de Proteção de Dados - ANPD, conforme previsto no art. 8º, XI, e no art. 12, XI, deste Decreto, reportando-se, previamente, ao seu Controlador de Dados ou Operador;

VI - enviar ao Encarregado de Dados Geral os relatórios de andamento da implementação Programa de Governança em Privacidade e Proteção de Dados, quando solicitado;

VII - auxiliar o Controlador de Dados a fiscalizar a observância, pelos Operadores, das instruções e das normas sobre a matéria; e

VIII - executar as demais atribuições determinadas pelo Controlador de Dados ou estabelecidas em normas complementares;

Parágrafo único. O exercício das funções de Encarregado de Dados Setorial será considerado prestação de serviço público relevante, não remunerada e sem prejuízo de outras funções eventualmente exercidas.

CAPÍTULO IV - DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS

Seção I - Do Controlador de Dados

Art. 11. Para ins deste Decreto, as atribuições e funções típicas de Controladores de Dados serão exercidas pelos órgãos e entidades municipais.

§ 1º Controlador de Dados é o órgão da Administração Direta ou a entidade da Administração Indireta, do Poder Executivo do Município do Rio de Janeiro, a quem, no exercício de suas atribuições, compete as principais decisões relativas aos elementos essenciais para tratamento de dados pessoais, com a definição da natureza desses e a duração do respectivo tratamento.

§ 2º Não serão consideradas como Controlador de Dados as pessoas naturais que atuam como profissionais subordinados a uma pessoa jurídica ou como membros de seus órgãos, na qualidade de empregados, administradores, sócios, servidores ou outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta.

Art. 12. Compete ao Controlador de Dados:

I - controlar e gerir a atividade de tratamento de dados pessoais;

II - instruir os Operadores, a que se refere o art. 14 deste Decreto, sobre a realização do tratamento de dados pessoais;

III - fiscalizar, com o auxílio do Encarregado de Dados Setorial, a observância pelos Operadores das instruções e das normas sobre a matéria;

IV - indicar, mediante ato formal, agente público municipal para exercer as funções de Encarregado de Dados Setorial e de membro do Comitê de Privacidade e Proteção de Dados Pessoais, no âmbito de seu órgão ou entidade;

V - elaborar e manter atualizado, com o auxílio do Operador, os Relatórios de Impacto à Proteção de Dados Pessoais - RIPD, referido no inciso art. 5º, XVII da Lei Geral de Proteção de Dados Pessoais - LGPD;

VI - informar ao Encarregado de Dados Geral, e manter atualizados, os nomes dos Encarregados de Dados Setoriais e dos membros do Comitê de Privacidade e Proteção de Dados Pessoais, do seu órgão ou entidade;

VII - obter o consentimento especíico do titular de dados pessoais, quando necessário;

VIII - comunicar ao Encarregado de Dados Geral sobre o andamento da implementação do Programa de Governança em Privacidade e proteção de dados pessoais no seu órgão ou entidade;

IX - garantir a transparência no tratamento de dados pessoais;

X - manter o registro das operações de tratamento de dados pessoais com o auxílio do Operador de que trata o art. 14 deste Decreto; e

XI - comunicar à Autoridade Nacional de Proteção de Dados - ANPD e ao titular de dados pessoais, nos termos do art. 48 da Lei Geral de Proteção de Dados Pessoais - LGPD, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante a esses titulares, por meio de seu Encarregado de Dados Setorial, observando o procedimento previsto no § 4º do art. 8º deste Decreto.

Seção II - Da Controladoria Conjunta de Dados Pessoais

Art. 13. Haverá Controladoria Conjunta de dados pessoais quando os seguintes critérios forem observados:

I - mais de um Controlador de Dados disciplinar o tratamento de dados pessoais;

II - existir interesse mútuo de dois ou mais Controladores de Dados, com base em finalidades próprias, sobre um mesmo tratamento de dados pessoais; e

III - dois ou mais Controladores de Dados dispuserem, de forma comum ou convergente, sobre as finalidades e os elementos essenciais do tratamento de dados pessoais.

Seção III - Do Operador

Art. 14. Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais para a finalidade e instruções previamente estabelecidas p elo Controlador de Dados, nos termos do art. 5º, VII, da Lei Geral de Proteção de Dados Pessoais - LGPD.

§ 1º Os agentes públicos municipais não são considerados operadores.

§ 2º Em sendo pessoa jurídica, os empregados, administradores, sócios, servidores e outras pessoas naturais que a integram e cujos atos expressam a atuação desta, não serão considerados Operadores.

§ 3º O Suboperador é a pessoa natural ou jurídica, de direito público ou privado, contratada para realizar o tratamento de dados pessoais em nome do Controlador de Dados.

§ 4º O Operador deverá obter autorização formal do Controlador de Dados para contratar o Suboperador, devendo essa autorização constar dos instrumentos formalizados entre as partes.

Art. 15. Compete ao Operador:

I - realizar o tratamento de dados pessoais segundo as instruções fornecidas pelo Controlador de Dados;

II - manter os dados pessoais protegidos de acesso não autorizado, divulgação, destruição, perda acidental ou qualquer tipo de violação de dados pessoais;

III - manter registros das operações de tratamentos de dados pessoais que realizar;

IV - observar as boas práticas e padrões de governança previstos na Lei Geral de Proteção de Dados Pessoais - LGPD e em normas complementares;

V - comunicar ao Encarregado de Dados Geral e ao Encarregado de Dados Setorial a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos da Lei Geral de Proteção de Dados Pessoais - LGPD; e

VI - irmar instrumentos jurídicos que estabeleçam, dentre outros assuntos, o objeto, a duração, a natureza e a finalidade do tratamento dos dados, os tipos de dados pessoais envolvidos e os direitos e obrigações e responsabilidades relacionados ao cumprimento da Lei Geral de Proteção de Dados Pessoais - LGPD;

CAPÍTULO V - DOS DIREITOS DOS TITULARES DE DADOS PESSOAIS

Art. 16. É dever de todos os órgãos e as entidades da Administração Pública Municipal, na observância dos direitos dos titulares de dados pessoais, garantidos na Lei Geral de Proteção de Dados Pessoais - LGPD, bem como neste Decreto, atuar de forma transparente e assegurar, quando possível, os mecanismos de participação desse titular.

§ 1º A garantia dos direitos de que tratam o caput será feita em conformidade com as normas previstas na Lei Federal nº 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação - LAI.

§ 2º A compatibilização entre a proteção de dados pessoais e o dever de acesso à informação será realizada, no caso concreto, através de manifestação técnica do Comitê de Privacidade e Proteção de Dados Pessoais de cada órgão ou entidade, e da Autoridade de Monitoramento da Lei de Acesso à Informação, prevista no art. 6º do Decreto nº 49.051/2021, com a posterior decisão final do titular do órgão ou da entidade municipal controladora do tratamento de dados pessoais.

§ 3º O Controlador de Dados do órgão ou entidade municipal a que se refere o §2º deste artigo poderá consultar a Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT no caso de dúvidas.

CAPÍTULO VI - DAS REGRAS PARA O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES E DE DADOS PESSOAIS SENSÍVEIS

Seção I - Do tratamento de dados pessoais de crianças e adolescentes

Art. 17. O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais - LGPD, desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da mesma Lei.

§ 1º Os órgãos e entidades da Administração Pública Municipal deverão informar em seus instrumentos do Programa de Governança em Privacidade e Proteção dos Dados Pessoais a que se refere o art. 27 deste Decreto, as informações relativas à execução da atividade conforme o caput deste artigo.

§ 2º Os órgãos e entidades da Administração Pública Municipal deverão tornar as informações sobre a realização dos tratamentos referidos no caput disponibilizados publicamente nos seus sítios eletrônicos.

Seção II - Do tratamento de dados pessoais sensíveis

Art. 18. Os órgãos e entidades da Administração Pública Municipal deverão tornar as informações sobre a realização dos tratamentos de dados pessoais sensíveis disponíveis publicamente nos seus sítios eletrônicos, observada a legislação pertinente, em especial o art. 11 da Lei Geral de Proteção de Dados Pessoais - LGPD.

CAPÍTULO VII - DAS BOAS PRÁTICAS E DA GOVERNANÇA DO TRATAMENTO DE DADOS PESSOAIS

Art. 19. As atividades de tratamento de dados pessoais observarão as boas práticas e padrões de governança em privacidade e proteção de dados pessoais, em especial aquelas recomendadas pela Autoridade Nacional de Proteção de Dados - ANPD, além do disposto no art. 50 da Lei Geral de Proteção de Dados Pessoais - LGPD.

Parágrafo único. Os Agentes de Tratamento deverão adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegítimo.

Art. 20. Nos órgãos e as entidades da Administração Pública Municipal haverá um Comitê de Privacidade e Proteção de Dados Pessoais para oferecer suporte às atividades dos Encarregados de Dados Setoriais e auxiliar na elaboração dos instrumentos do Programa de Governança em Privacidade e Proteção de Dados Pessoais do respectivo órgão ou entidade.

§ 1º Caberá ao Comitê de Privacidade e Proteção de Dados Pessoais de cada órgão e entidade da Administração Pública Municipal, no suporte às atividades de que cuida o caput:

I - apoiar o trabalho dos encarregados de dados na implantação do Programa de Governança em Privacidade e Proteção de Dados Pessoais, na forma regulamentar;

II - fornecer informações acerca dos tratamentos de dados pessoais realizados no âmbito do órgão ou entidade, esclarecendo dúvidas das atividades de sua área;

III - reavaliar, em conjunto com os responsáveis pelos sistemas, processos de negócio, serviços e políticas públicas, a efetiva necessidade dos tratamentos de dados pessoais realizados;

IV - analisar o nível de criticidade em caso de incidente de segurança com dados pessoais e acionar o profissional da tecnologia da informação, se for o caso; e

V - documentar as respostas aos incidentes relacionados a recursos computacionais ou físicos.

§ 2º O Comitê de Privacidade e Proteção de Dados Pessoais deverá ser coordenado pelo Encarregado de Dados Setorial, que terá por atribuição convocar e organizar as reuniões do grupo, além de coordenar a elaboração dos instrumentos descritos no art. 27 deste Decreto.

§ 3º Na hipótese de haver mais de um Encarregado de Dados Setorial titular nomeado para o órgão ou entidade, a coordenação do Comitê de Privacidade e Proteção de Dados Pessoais deverá ser exercida por um dos Encarregados de Dados Setoriais, a ser definido pelo titular do órgão ou entidade.

§ 4º O órgão ou entidade deverá publicar, por meio de ato próprio, a composição do seu Comitê de Privacidade e Proteção de Dados Pessoais.

§ 5º O exercício das funções destinadas aos membros do Comitê de Proteção de Dados Pessoais será considerado prestação de serviço público relevante não remunerada e sem prejuízo de outras funções eventualmente exercidas.

CAPÍTULO VIII - DO COMPARTILHAMENTO DE DADOS PESSOAIS

Art. 21. O compartilhamento de dados entre os órgãos e entidades da Administração Pública Municipal deverá observar os seguintes requisitos:

I - o uso compartilhado de dados pessoais pela Administração Pública Municipal deverá ser formalizado mediante a instauração de processo administrativo, do qual constem os documentos e as informações pertinentes, incluindo análise, conforme o caso, que exponha a motivação para a realização do compartilhamento e a sua adequação à legislação em vigor;

II - o compartilhamento deverá ser estabelecido por meio de ato formal, como contratos, convênios ou instrumentos congêneres, ou mediante a expedição de decisão administrativa pela autoridade competente, que autorize o acesso aos dados e estabeleça os requisitos de infidos como condição para o compartilhamento;

III - especificamente nos casos em que o órgão ou a entidade municipal compartilha dados pessoais com frequência, poderá ser editado ato normativo interno, que estabeleça competências e defina procedimentos, prazos e requisitos essenciais a serem observados nos processos de compartilhamento;

IV - os dados pessoais objeto de compartilhamento deverão ser indicados de forma objetiva e detalhada, limitando-se ao que for estritamente necessário para as finalidades do tratamento, em conformidade com o princípio da necessidade;

V - a finalidade deverá ser específica, com a indicação precisa de qual iniciativa, ação ou programa será executado ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais;

VI - deve haver compatibilidade entre a finalidade original da coleta e a finalidade do compartilhamento dos dados;

VII - o ato que autorizar ou formalizar o compartilhamento deverá conter a expressa indicação da base legal utilizada;

VIII - o ato que autorizar ou formalizar o compartilhamento deverá estabelecer, de forma expressa, o período de duração do uso compartilhado dos dados, além de esclarecer, conforme o caso, se haverá a possibilidade de conservação ou se os dados deverão ser eliminados após o término do tratamento;

IX - ao ato que autorizar ou formalizar o compartilhamento de dados pessoais deverá ser dada transparência, assegurando a disponibilização de informações claras, precisas e facilmente acessíveis aos titulares dos dados compartilhados;

X - o ato que autorizar ou formalizar o compartilhamento de dados pessoais deverá estabelecer as medidas de segurança, técnicas e administrativas, que serão adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, conforme os art. 6º, VII, e 46 da Lei Geral de Proteção de Dados Pessoais - LGPD.

Parágrafo único. Os órgãos e entidades municipais darão publicidade às hipóteses em que compartilhem ou a que tenham acesso a banco de dados pessoais, nos termos do disposto no inciso I e do caput do art. 23 da Lei Geral de Proteção de Dados Pessoais - LGPD, disponibilizando-as em veículos de fácil acesso nos respectivos sítios eletrônicos institucionais de forma clara e atualizada.

Art. 22. O compartilhamento de dados entre a Administração Pública Municipal e os órgãos de controle deverá observar os seguintes parâmetros:

I - inexistência de reserva de jurisdição;

II - resguardo do sigilo no repasse das informações;

III - finalidade da transferência vinculada às atribuições institucionais do órgão ou entidade requisitante, previstas na legislação; e

IV - formalização em procedimento passível de controle posterior.

§ 1º O compartilhamento de dados pessoais por determinação judicial não necessitará da observância aos parâmetros elencados nos incisos deste artigo.

§ 2º Em caso de dúvida jurídica acerca da possibilidade de compartilhamento de dados de que cuida o caput, caberá ao órgão ou entidade a oitiva do respectivo órgão de assessoramento jurídico.

Art. 23. É vedado à Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente, para esse fim específico e determinado, observado o disposto na Lei de Acesso à Informação - LAI;

II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Geral de Proteção de Dados Pessoais - LGPD;

III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou

IV - na hipótese de a transferência dos dados ter como objetivo exclusivo a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, sendo vedado o tratamento para outras finalidades.

CAPÍTULO IX - COMPETÊNCIAS ESPECÍFICAS DOS ÓRGÃOS E ENTIDADES MUNICIPAIS NO QUE SE REFERE À POLÍTICA MUNICIPAL DE PROTEÇÃO DE DADOS PESSOAIS

Art. 24. Caberá à Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT:

I - elaborar, em conjunto com a Controladoria Geral do Município - CGM, a metodologia de gerenciamento dos riscos associados ao tratamento de dados pessoais, e divulgar essa metodologia, com vistas a orientar os órgãos e entidades da Administração;

II - elaborar e publicar, por meio de norma complementar, as regras de governança em privacidade, que deverão ser implementadas por todos os agentes de tratamento de dados pessoais na Administração Pública Municipal, em conformidade com o art. 50, § 2º, da Lei Geral de Proteção de Dados Pessoais - LGPD e com o art. 19 deste Decreto;

III - coordenar e realizar as capacitações do Programa Municipal de Proteção de Dados, conforme art. 2º, inciso V, deste Decreto;

IV - disseminar o conhecimento das políticas e normas de governança em proteção de dados pessoais, assim como as melhores práticas de proteção de dados pessoais;

V - desenvolver as metodologias para elaboração dos instrumentos de governança de privacidade e de proteção de dados pessoais;

VI - divulgar em sítio eletrônico institucional os nomes e dados de contato dos Encarregados de Dados Setoriais de cada órgão e entidade da Administração Pública Municipal, de modo a permitir ao titular de dados o acesso facilitado às informações sobre o tratamento de seus dados, conforme dispõe o art. 9º da Lei Geral de Proteção de Dados Pessoais - LGPD;

VII - estabelecer as orientações para atendimento aos titulares de dados pessoais, de modo que o exercício de direito dos titulares seja plenamente garantido;

VIII - definir em normativo próprio, em conjunto com outros órgãos e entidades municipais, diretrizes específicas para o tratamento de dados pessoais no âmbito de gestão de pessoas da Administração Pública Municipal; e

IX - atualizar e adequar, em conjunto com a Secretaria Municipal da Casa Civil CVL e a Empresa Municipal de Informática - IPLANRIO, as normas e processos de segurança da informação para o atendimento às boas práticas e às regras relativas à proteção de dados pessoais.

Parágrafo único. Os órgãos e entidades da Administração Pública Municipal deverão, através dos seus Encarregados de Dados Setoriais, enviar as informações solicitadas pela Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT, observando os prazos por esta estabelecidos, a im de que o Encarregado de Dados Geral realize o monitoramento da implementação das medidas solicitadas.

Art. 25. Caberá à Empresa Municipal de Informática - IPLANRIO:

I - solicitar aos órgãos e entidades municipais as orientações relativas ao tratamento de dados pessoais dos quais for Operadora, conforme inciso II do art. 12 deste Decreto;

II - zelar pela conformidade das Soluções de Tecnologia da Informação e Comunicação com todas as políticas e normas de proteção de dados pessoais; e

III - atualizar e adequar, em conjunto com a Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT e com a Secretaria Municipal da Casa Civil - CVL, as normas e processos de segurança da informação para o atendimento às boas práticas e às normas relativas à proteção de dados pessoais.

CAPÍTULO X - DO PROGRAMA DE CAPACITAÇÃO EM PROTEÇÃO DE DADOS PESSOAIS

Art. 26. Caberá à Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT, em conjunto com o Instituto Fundação João Goulart - FP/SUBPAR/FJG, a Subsecretaria de Gente e Gestão Compartilhada da Secretaria Municipal de Fazenda e Planejamento - SMFP/SUBGGC, e outros parceiros institucionais, promover capacitações destinadas a fomentar uma efetiva cultura de proteção de dados no âmbito da Administração Pública Municipal.

CAPÍTULO XI - DO PROGRAMA DE GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DOS DADOS PESSOAIS

Art. 27. O Programa de Governança em Privacidade e Proteção dos Dados Pessoais de cada Agente de Tratamento deve incluir, no mínimo, os elementos especificados do art. 50, § 2º, da Lei Geral de Proteção de Dados Pessoais - LGPD, sendo constituído dos instrumentos que forem fixados pela Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT em regulamento próprio.

CAPÍTULO XII - DO DIREITO DE PETIÇÃO DOS TITULARES DE DADOS PESSOAIS

Art. 28. O titular de dados pessoais poderá exercer os direitos constantes no art. 9º da Lei Geral de Proteção de Dados Pessoais - LGPD, mediante requerimento expresso aos Encarregados de Dados Setoriais, devendo o requerimento ser feito pelo próprio titular ou por representante legalmente constituído.

Parágrafo único. Não serão admitidos requerimentos anônimos ou em nome de terceiros.

Art. 29. O requerimento deverá ser feito através das ferramentas de atendimento digital ao cidadão, endereçado diretamente ao Encarregado de Dados Setorial.

§ 1º Na hipótese de o titular de dados pessoais não identificar o Encarregado de Dados Setorial apropriado ao endereçamento da sua questão, o requerimento poderá ser encaminhado ao Encarregado de Dados Geral, que o remeterá ao órgão ou à entidade competente.

§ 2º O requerimento será atendido sem custos para o titular em até 15 (quinze) dias, contados a partir da data do protocolo do pedido, prorrogável por igual período, desde que justificado.

CAPÍTULO XIII - DA TRAMITAÇÃO DE DOCUMENTOS

Seção I - Da tramitação de dados pessoais para outros Entes Públicos e outros Poderes

Art. 30. As solicitações de documentos que contenham dados pessoais, realizadas pelos Poderes Judiciário e Legislativo, Tribunais de Contas e Ministério Público ou outras autoridades, desde que no exercício regular de suas atribuições institucionais, serão atendidas pelo órgão ou entidade municipal detentora do documento, observados os parâmetros estabelecidos no art. 22, no que couber.

§ 1º Os documentos mencionados no caput poderão ser fornecidos em meio físico ou virtual, adotadas as cautelas necessárias à preservação e à proteção dos dados pessoais fornecidos.

§ 2º Os órgãos e entidades da Administração Pública Municipal deverão incluir, em um dos instrumentos do Programa de Governança em Privacidade e Proteção dos Dados Pessoais a que se refere o art. 27 deste Decreto, as informações relativas à execução da atividade mencionada no caput deste artigo.

§ 3º Em caso de dúvida jurídica acerca da possibilidade de atendimento à solicitação de que cuida o caput, caberá ao órgão ou entidade a oitiva do respectivo órgão de assessoramento jurídico.

Seção II - Da tramitação de processos administrativos e documentos constantes em meio físico entre órgãos e entidades municipais

Art. 31. A tramitação de expedientes administrativos e documentos, constantes em meio físico, entre os órgãos e entidades da Administração Pública Municipal é uma atividade da organização interna do Poder Público, sendo fundamental para o exercício das suas prerrogativas estatais típicas e indispensável para viabilizar a própria execução das suas atribuições, competências e finalidades públicas.

Parágrafo único. Os órgãos e entidades da Administração Pública Municipal deverão incluir, em um dos instrumentos do Programa de Governança em Privacidade e Proteção dos Dados Pessoais a que se refere o art. 27 deste Decreto, as informações relativas à execução da atividade a que se refere o caput deste artigo.

CAPÍTULO XIV - DISPOSIÇÕES FINAIS

Art. 32. Os direitos, princípios e deveres expressos neste Decreto não excluem outros previstos na legislação em vigor e relacionados à matéria.

Art. 33. Os casos omissos serão resolvidos pela Secretaria Municipal de Integridade, Transparência e Proteção de Dados - SMIT.

Art. 34. O art. 21 do Decreto Rio nº 48.972, de 10 de junho de 2021, ica acrescido da seguinte redação:

“Art. 21..............................................................................................

.........................................................................................................

§ 3º Para ins da alínea “a” do inciso II deste artigo, entende-se que as informações pessoais abrangem os conceitos de dados pessoais e de dados pessoais sensíveis, conforme definidos no art. 5º, incisos I e II, da Lei Geral de Proteção de Dados Pessoais - LGPD, incluindo, mas não limitando a, os seguintes elementos: nome completo, CPF, endereço, identidade, dados sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

§ 4º Os órgãos e entidades da Administração Pública Municipal, como usuários do Processo.rio e responsáveis pelas informações pessoais solicitadas no âmbito do processo administrativo, deverão observar as orientações previstas no Termo de Uso, no Aviso de Privacidade e nos demais instrumentos do Programa de Governança em Privacidade e Proteção dos Dados Pessoais que fizerem referência ao Processo. rio.” (NR)

Art. 35. Este Decreto entra em vigor na data de sua publicação.

Art. 36. Fica revogado o Decreto Rio nº 49.558, de 6 de outubro de 2021.

Rio de Janeiro, 21 de agosto de 2024; 460º ano da fundação da Cidade.

EDUARDO PAES