Prefeitura de Goiânia
Secretaria Municipal da Casa Civil
Prefeitura de Goiânia
Secretaria Municipal da Casa Civil
|
Regulamenta a aplicação da Lei federal nº 13.709, de 14 de agosto de 2018, no âmbito da administração pública direta e indireta do Poder Executivo do Município de Goiânia. |
Nota: ver
1 - Lei nº 9.262, de 2013 - regulamenta a Lei de Acesso à Informação;
2 - Lei nº 8.902, de 2010 - Portal da Transparência do Município de Goiânia;
3 - Decreto nº 2.132, de 2025 - Regimento Interno da Secretaria Municipal de Inovação e Transformação Digital; e
4 - Decreto nº 2.279, de 2012 - divulgação de informações no sítio eletrônico do Município de Goiânia.
O PREFEITO DE GOIÂNIA, no uso das atribuições que lhe confere o art. 115, incisos II, IV e VIII, da Lei Orgânica do Município de Goiânia; tendo em vista o disposto no art. 5º, incisos X e XII da Constituição Federal de 1988; na Lei federal nº 13.709, de 14 de agosto de 2018; na a Lei federal nº 12.527, de 18 de novembro de 2011; e o contido no Processo SEI nº 23.2.000000271-7,
DECRETA:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Este Decreto regulamenta a Lei federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, no âmbito do Poder Executivo do Município de Goiânia, para estabelecer competências, procedimentos e providências a serem observados pelos órgãos e entidades da administração pública municipal, visando garantir a proteção de dados pessoais.
Parágrafo único. Para efeitos deste Decreto, órgãos e entidades da administração pública direta e indireta compreendem as secretarias, as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e suas subsidiárias controladas direta ou indiretamente pelo Município de Goiânia.
Art. 2º Para os fins deste Decreto, considera-se:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
a) dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
b) dado referente à saúde ou à vida sexual; e
c) dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico, ou físico;
V - titular: pessoa natural a quem se refere os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e pelo operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD;
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por entidades e órgãos públicos, no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII - relatório de impacto à proteção de dados pessoais: documentação do Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais e medidas salvaguardas e mecanismos de mitigação de risco; e
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no país, que inclua em sua missão institucional ou em seu objetivo social ou estatutário, a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 3º As atividades de tratamento de dados pessoais pelos órgãos e entidades da administração pública municipal direta e indireta deverão observar a boa-fé, o disposto no art. 4º, e as exigências do art. 23 da Lei federal nº 13.709, de 2018, além dos seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento e sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade, e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos; e
X - responsabilização e prestação de contas: demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas pelo agente de tratamento.
CAPÍTULO III
DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA MUNICIPAL
Art. 4º O tratamento de dados pessoais pelos órgãos e entidades da administração pública municipal deve:
I - objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público; e
II - observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.
§ 1º As hipóteses legais de tratamento de dados pessoais dos processos, ativos, políticas públicas e serviços, oferecidos e mantidos no âmbito do Poder Executivo municipal, serão identificados no processo de mapeamento dos dados pessoais, nos termos dos arts. 7º, 11, 14 e 23, da Lei federal nº 13.709, de 2018.
§ 2º No tratamento de dados pessoais cujo acesso é público, será sempre considerada a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 3º O tratamento posterior dos dados pessoais, cujo acesso é público ou tornados manifestadamente públicos, poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na Lei federal nº 13.709, de 2018.
§ 4º Qualquer hipótese de tratamento, deve considerar, além da Lei federal nº 13.709, de 2018, a legislação de arquivos públicos, regulamentada pelo Conselho Nacional de Arquivos - CONARQ, a Lei federal nº 12.527, de 18 de novembro de 2011, e outras leis e regulamentos em vigor.
Art. 5º Os órgãos e as entidades da administração pública municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais previstos no art. 6º da Lei federal nº 13.709, de 2018.
Art. 6º É vedado aos órgãos e entidades da administração pública municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei federal nº 12.527, de 2011;
II - nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei federal nº 13.709, de 2018;
III - quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao encarregado para comunicação à ANPD;
IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo único. Em quaisquer das hipóteses previstas neste artigo:
I - a transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada; e
II - as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.
Art. 7º Os órgãos e entidades da administração pública municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais à pessoa de direito privado, desde que:
I - o encarregado informe à ANPD, na forma do regulamento federal correspondente;
II - seja obtido o consentimento do titular, salvo:
a) nas hipóteses de dispensa de consentimento previstas na Lei federal nº 13.709, de 2018;
b) nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso II do art. 4º; e
Parágrafo único. Sempre que necessário, o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e os órgãos e entidades municipais, poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.
Art. 8º Os requerimentos do titular de dados, formulados nos termos do art. 18, da Lei federal nº 13.709, de 2018, serão direcionados ao encarregado-geral de proteção de dados.
§ 1º O requerimento do titular de dados deverá observar os prazos da Lei federal nº 12.527, de 2011.
§ 2º No caso de confirmação de existência ou o acesso a dados pessoais, o titular dos dados deve fornecer os dados:
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa, a ser fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial.
§ 3º Os requerimentos de que trata este artigo serão respondidos pelo encarregado-geral de proteção de dados, com o apoio técnico do órgão municipal de inovação e transformação digital e da Procuradoria-Geral do Município.
§ 4º Nos casos de tratamento automatizado de dados pessoais, é assegurado ao titular o direito à revisão por pessoa natural das decisões que lhe afetem, em conformidade com o disposto no art. 20, da Lei federal nº 13.709, de 2018.
CAPÍTULO IV
DO PROGRAMA MUNICIPAL DE CONFORMIDADE À LEI GERAL DE PROTEÇÃO DE DADOS
Art. 9º Fica instituído, no âmbito do Poder Executivo municipal, o Programa Municipal de Conformidade à Lei Geral de Proteção de Dados - LGPD, definido como um conjunto de ações, diretrizes e boas práticas, contendo:
I - designação de um encarregado-geral de proteção de dados no Município, em atendimento ao art. 41, da Lei federal nº 13.709, de 2018;
II - constituição de um Comitê Gestor de Governança de Dados e Informações, nos termos do art. 15;
III - realização de treinamentos, capacitações e conscientização dos servidores públicos municipais;
IV - mapeamento do tratamento de dados pessoais, envolvendo todo o inventário de dados pessoais em suporte físico e digital, e o fluxo de processos de tratamento;
V - confecção, revisão e proposta de alterações necessárias nas políticas de privacidade, políticas e procedimentos de segurança da informação e proteção de dados pessoais, adotadas pelo Poder Executivo municipal;
VI - adoção de medidas para análises de vulnerabilidades ambientais e de sistemas informatizados com o objetivo de gerenciamento de riscos no tratamento de dados pessoais, de incidentes e de riscos em segurança da informação, segurança cibernética, indicando os recursos tecnológicos necessários;
VII - gerenciamento do Programa de Governança em Privacidade e Proteção de Dados, nos termos do art. 50, da Lei federal nº 13.709, de 2018, e no art. 20;
VIII - adequação regulamentar e de procedimentos quanto a aspectos legais vinculados à Proteção de Dados Pessoais;
IX - elaboração do Relatório de Impacto a Proteção de Dados - RIPD, com base no mapeamento de dados, processos e gestão de riscos;
X - divulgação no site oficial e no Portal da Transparência do Poder Executivo do Município de Goiânia, de informações das hipóteses de tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, nos termos do art. 23, inciso I, da Lei federal nº 13.709, de 2018;
XI - estabelecimento de procedimentos e diretrizes para o atendimento das exigências que vierem a ser estabelecidas pela ANPD, nos termos do art. 23, § 1º, e do art. 27, parágrafo único, da Lei federal nº 13.709, de 2018;
XII - manutenção de dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas à:
a) execução de políticas públicas;
b) prestação de serviços públicos;
c) descentralização da atividade pública; e
d) disseminação e ao acesso das informações pelo público em geral.
§ 1º Caso necessário, devido à limitação de recursos humanos e de capacidade técnica, por meio do Comitê de Governança de Dados e Informações e do encarregado-geral de proteção de dados, poderá solicitar ao Chefe do Poder Executivo municipal, a contratação de assessoramento ou apoio técnico especializado, no processo de implantação e adequação à Lei Geral de Proteção de Dados - LGPD.
§ 2º O Poder Executivo municipal poderá adotar sistemas informatizados com funcionalidades específicas em gestão de dados e segurança da informação em substituição ou em conjunto com procedimentos manuais, desde que garantam a confiabilidade, a integridade, a acessibilidade das informações, e mantenham banco de dados com armazenamento no território nacional, visando aumentar a eficiência do Programa Municipal de Conformidade à Lei Geral de Proteção de Dados e evitar a descontinuidade do processo por eventuais mudanças de recursos humanos.
§ 3º A utilização de sistemas informatizados de gestão de dados e segurança da informação deverá ser acompanhada de treinamentos adequados para os servidores e colaboradores responsáveis pela sua operação, a fim de garantir o correto manuseio e a segurança das informações.
Art. 10. As entidades integrantes da administração pública municipal indireta que atuarem em regime de concorrência, sujeitas ao disposto no art. 173, da Constituição Federal, deverão observar o regime relativo às pessoas jurídicas de direito privado particulares, exceto quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, nos termos do art. 24, da Lei federal nº 13.709, de 2018.
CAPÍTULO V
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Seção I
Do Controlador
Art. 11. As decisões referentes ao tratamento de dados pessoais, no âmbito da administração pública direta, cabem ao Município de Goiânia, que exercerá as atribuições de controlador por meio dos órgãos da administração pública municipal e da Procuradoria-Geral do Município, respeitadas suas respectivas competências e campos funcionais.
Seção II
Do Encarregado-Geral de Proteção de Dados
Art. 12. O encarregado-geral de proteção de dados será designado por ato formal da autoridade competente, nos termos da legislação vigente e da regulamentação específica sobre a matéria.
§ 1º A identidade e as informações de contato do encarregado serão divulgadas no Portal da Transparência e no site oficial do Poder Executivo do Município de Goiânia.
§ 2º O disposto no caput não impede que os órgãos da administração pública municipal indiquem encarregados setoriais de proteção de dados, em seus respectivos âmbitos de atuação, para desempenhar, em interlocução com o encarregado-geral de proteção de dados, as atividades previstas no art. 41, § 2º, incisos I e II, da Lei federal nº 13.709, de 2018, com base no Programa de Conformidade e Protocolos elaborados pelo encarregado-geral de proteção de dados.
§ 3º Havendo a designação de encarregados setoriais de proteção de dados, nos termos do § 2º, competirá a este subsidiar o encarregado-geral de proteção de dados, conforme as determinações da ANPD, na elaboração do inventário de dados pessoais tratados pelo setor que representa e disponibilizar orientações sobre o tratamento e a proteção de dados pessoais, contribuindo para uma cultura ética, transparente e de probidade.
Art. 13. Compete ao encarregado-geral de proteção de dados:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da ANPD e adotar providências quanto à matéria de Privacidade e de Proteção de Dados;
III - orientar os servidores e os contratados da administração pública municipal direta sobre as práticas a serem tomadas em relação à proteção de dados pessoais;
IV - editar diretrizes para a elaboração e execução do Programa Municipal de Conformidade à Lei Geral de Proteção de Dados, nos termos do art. 9º;
V - determinar aos órgãos da administração pública municipal direta a realização de estudos técnicos para elaboração das diretrizes previstas no inciso IV;
VI - submeter ao Comitê Gestor de Governança de Dados e Informações, sempre que julgar necessário, matérias relacionadas a este Decreto;
VII - providenciar a publicação dos relatórios de impacto à proteção de dados pessoais previstos pelo art. 32, da Lei federal nº 13.709, de 2018;
VIII - recomendar a elaboração de planos de conformidade relativos à proteção de dados pessoais ao encarregado das entidades integrantes da administração pública municipal indireta, informando eventual ausência ao órgão municipal responsável pelo controle da entidade, para as providências pertinentes;
IX - providenciar o encaminhamento ao órgão municipal responsável pelo tratamento de dados pessoais, fixando prazo para atendimento à solicitação ou apresentação das justificativas pertinentes, em caso de recebimento de informe da autoridade nacional com medidas cabíveis para fazer cessar uma afirmada violação à Lei federal nº 13.709, de 2018;
X - avaliar as justificativas apresentadas nos termos do inciso IX para:
a) caso avalie ter havido a violação, determinar a adoção das medidas solicitadas pela autoridade nacional; ou
b) caso avalie não ter havido a violação, apresentar as justificativas pertinentes à autoridade nacional, segundo o procedimento cabível;
XI - requisitar, aos órgãos e entidades da administração pública municipal responsáveis, as informações pertinentes para sua compilação em um único relatório, caso solicitada pela autoridade nacional a publicação de relatórios de impacto à proteção de dados pessoais, nos termos do art. 32 da Lei federal nº 13.709, de 2018;
XII - recomendar aos encarregados designados pelas entidades integrantes da administração pública indireta a elaboração de propostas de adequação à Política de Proteção de Dados Pessoais, noticiando eventual omissão ao respectivo órgão de vinculação; e
XIII - executar as atribuições previstas no art. 41, § 2º, da Lei federal nº 13.709, de 2018, e em normas complementares.
Parágrafo único. O encarregado-geral de proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a Lei federal nº 13.709, de 2018, e a Lei federal nº 12.527, de 2011.
Art. 14. O encarregado-geral de proteção de dados deverá receber o apoio necessário para o desempenho de suas funções e ter acesso motivado a todas as operações de tratamento de dados pessoais no âmbito da administração pública direta.
CAPÍTULO VI
DO COMITÊ GESTOR DE GOVERNANÇA DE DADOS E INFORMAÇÕES
Art. 15. Fica criado o Comitê Gestor de Governança de Dados e Informações do Município de Goiânia - CGGDI, que auxiliará o controlador no desempenho das seguintes atividades:
I - avaliar os mecanismos de tratamento e proteção dos dados existentes e propor políticas, estratégias e metas para a conformidade do Poder Executivo municipal com as disposições da Lei federal nº 13.709, de 2018;
II - realizar o monitoramento de dados pessoais e de fluxos das respectivas operações de tratamento;
III - planejar e sugerir diretrizes e definições estratégicas, e supervisionar as ações e projetos relacionados à atividade de Segurança da Informação, Gestão de Riscos, Privacidade e Proteção de Dados no Poder Executivo municipal;
IV - propor a atualização da Política de Proteção de Dados Pessoais do Município;
V - examinar as propostas de adaptação à Política de Proteção de Dados Pessoais, elaboradas na forma prevista no art. 21;
VI - deliberar sobre propostas de diretrizes para elaboração e implementação do Programa de Conformidade;
VII - revisar periodicamente as políticas de proteção de dados pessoais no âmbito da administração pública municipal e realizar a auditoria dos Relatórios de Impacto à Proteção de Dados Pessoais - RIPD, com publicação anual de seus resultados; e
VIII - deliberar sobre qualquer assunto relacionado à Lei federal nº 13.709, de 2018.
Art. 16. A composição do Comitê Gestor de Governança de Dados e Informações deverá ser formalizada por decreto do Chefe do Poder Executivo municipal no prazo de até 30 (trinta) dias, contados da data de publicação deste Decreto, observada a indicação de, no mínimo, 01 (um) representante dos seguintes órgãos da administração pública municipal:
I - órgão municipal de controle interno;
II - Procuradoria-Geral do Município;
III - órgão municipal de administração;
IV - órgão municipal de governo;
V - órgão municipal fazendário;
VI - órgão municipal de inovação e transformação digital; e
VII - órgão municipal de desenvolvimento, indústria, comércio, agricultura e serviços.
§ 1º O Comitê contará com facilitadores em apoio ao encarregado-geral de proteção de dados, servidores responsáveis pela interlocução e comunicação entre o encarregado e todas as áreas envolvidas naquele setor, com o objetivo de:
I - estruturar a operacionalização da proteção de dados pessoais; e
II - colaborar com as modificações necessárias que deverão ser feitas para a implementação da Lei federal nº 13.709, de 2018.
§ 2º O decreto de que trata o caput deverá prever a periodicidade das reuniões de seus membros, com vistas ao acompanhamento e desenvolvimento dos trabalhos.
§ 3º A participação como membro do Comitê será considerada serviço público relevante e não gera vínculo trabalhista ou previdenciário.
CAPÍTULO VII
DAS ATRIBUIÇÕES E OBRIGAÇÕES DA ADMINISTRAÇÃO PÚBLICA MUNICIPAL DIRETA E INDIRETA
Seção I
Das Atribuições dos Órgãos e Entidades da Administração Pública Municipal
Art. 17. São atribuições da administração pública municipal direta e indireta, nos termos da Lei federal nº 13.709, de 2018, elaborar e manter atualizados:
I - o mapeamento dos dados pessoais existentes e os fluxos de dados pessoais em suas unidades;
II - a análise de vulnerabilidades e gestão de riscos de Segurança da Informação e Proteção de Dados Pessoais;
III - o Programa Municipal de Conformidade à Lei Geral de Proteção de Dados, observadas as exigências do art. 9º;
IV - o conjunto de medidas técnicas, administrativas e de segurança, adotadas pelo Poder Executivo municipal no Programa Municipal de Conformidade à Lei Geral de Proteção de Dados, com o objetivo de garantir a preservação dos direitos dos titulares de dados; e
V - o Relatório de Impacto à Proteção de Dados Pessoais - RIPD, quando solicitado.
§ 1º Para fins do inciso III do caput, os órgãos e entidades da administração pública municipal direta e indireta deverão observar as diretrizes editadas pelo encarregado-geral de proteção de dados.
§ 2º Além das atribuições previstas neste artigo, as entidades da administração pública municipal indireta deverão designar um encarregado pelo tratamento de dados pessoais, cuja identidade e informações de contato deverão ser divulgadas publicamente de forma clara, objetiva e de fácil acesso.
Seção II
Das Obrigações dos Órgãos e Entidades da Administração Pública Municipal
Art. 18. Compete aos titulares dos órgãos e entidades da administração pública municipal, sendo permitida a delegação:
I - dar cumprimento, no âmbito dos órgãos e entidades da administração pública municipal, às ordens e recomendações do encarregado-geral de proteção de dados;
II - atender às solicitações encaminhadas pelo encarregado-geral de proteção de dados para fazer cessar violação à Lei federal nº 13.709, de 2018, ou apresentar as justificativas pertinentes;
III - encaminhar ao encarregado-geral de proteção de dados, no prazo por ele fixado:
a) as informações sobre o tratamento de dados pessoais que venham a ser solicitadas pela ANPD, nos termos do art. 29, da Lei federal nº 13.709, de 2018; e
b) o Relatório de Impacto à Proteção de Dados Pessoais ou informações necessárias à elaboração de tais relatórios, nos termos do art. 32, da Lei federal nº 13.709, de 2018, que venham a ser solicitadas pela Autoridade Nacional; e
IV - assegurar que o encarregado seja informado de todas as questões relacionadas com a proteção de dados pessoais no âmbito do Poder Executivo municipal.
Subseção Única
Das Obrigações do Órgão Municipal de Inovação e Transformação Digital
Art. 19. Compete ao órgão municipal de inovação e transformação digital:
I - oferecer os subsídios técnicos necessários à edição das diretrizes pelo encarregado-geral de proteção de dados para implementação do Programa Municipal de Conformidade à Lei Geral de Proteção de Dados; e
II - orientar, sob o ponto de vista tecnológico, os órgãos e entidades da administração pública municipal na adequação à Lei federal nº 13.709, de 2018.
CAPÍTULO VIII
DO PROGRAMA DE GOVERNANÇA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
Seção I
Do Programa de Governança de Privacidade e Proteção de Dados Pessoais
Art. 20. O Programa de Governança de Privacidade e Proteção de Dados, corresponde à compilação de regras de boas práticas e de governança para tratamento de dados pessoais, de observância obrigatória pelos órgãos e entidades da administração pública municipal, e tem como objetivo a adequação aos requisitos da Lei federal nº 13.709, de 2018, dispondo sobre atividades que serão traduzidas em ações concretas a serem atingidas pelo Município de Goiânia, devendo conter, no mínimo:
I - treinamento e conscientização acerca da Lei Geral de Proteção de Dados e Boas-Práticas de Segurança da Informação;
II - composição do Comitê Gestor de Governança de Dados e Informações;
III - definição das condições de organização, de funcionamento e dos procedimentos de tratamento, incluídos:
a) normas de segurança, padrões técnicos, mecanismos internos de supervisão e de mitigação de riscos;
b) plano de resposta a incidentes de segurança e procedimento de comunicação de tais incidentes, caso ocorram; e
c) obrigações específicas para os agentes envolvidos no tratamento e ações educativas aplicáveis;
IV - implementação de medidas técnicas e administrativas de Segurança da Informação com base em estudos técnicos que avaliem as reais necessidades de atualização dos recursos tecnológicos, a fim de garantir a proteção de dados pessoais e a mitigação de riscos;
V - monitoramento contínuo quanto ao grau de maturidade de conformidade do poder público municipal à Lei federal nº 13.709, de 2018; e
VI - utilização de recursos informatizados que propiciem a gestão inteligente e a garantia de conformidade contínua às normas de Privacidade e Proteção de Dados, de celeridade no atendimento às requisições de entidades fiscalizadoras e de prevenção e repressão de incidentes de privacidade.
Parágrafo único. As regras do Programa de Governança de Privacidade e Proteção de Dados deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional, nos termos do art. 50, § 3º, da Lei federal nº 13.709, de 2018.
Seção II
Da Política de Privacidade e Proteção de Dados Pessoais
Art. 21. A Política de Privacidade e Proteção de Dados Pessoais deve compreender todas as fases do tratamento e conter, no mínimo, as seguintes informações:
I - introdução: breve descrição do objetivo da Política e sua aplicabilidade a todos os órgãos do Poder Executivo municipal;
II - princípios: enunciação dos princípios que nortearão o tratamento de dados pessoais, incluindo legalidade, finalidade, necessidade, transparência, segurança, qualidade dos dados, consentimento e prestação de contas;
III - definições: esclarecimento dos termos e conceitos utilizados na política, garantindo uma compreensão adequada pelos titulares dos dados, controladores e operadores;
IV - coleta de dados: especificação dos tipos de dados pessoais coletados, as finalidades para as quais são coletados e o fundamento legal que autoriza a coleta;
V - uso e compartilhamento: detalhamento das situações em que os dados pessoais serão utilizados e, quando aplicável, compartilhados com terceiros, incluindo parceiros e prestadores de serviços, com a devida fundamentação legal;
VI - consentimento: forma de obtenção do consentimento dos titulares dos dados, quando necessário, e informações sobre o direito de revogar o consentimento a qualquer momento;
VII - direitos dos titulares dos dados: exposição dos direitos garantidos aos titulares dos dados, incluindo o acesso, retificação, exclusão, portabilidade e limitação do uso dos dados pessoais;
VIII - segurança dos dados: descrição das medidas técnicas e organizacionais adotadas para garantir a segurança dos dados pessoais, visando evitar acessos não autorizados, perdas ou vazamentos;
IX - prazo de armazenamento: definição do período em que os dados pessoais serão armazenados, observadas as exigências legais e a necessidade das finalidades previstas;
X - transferência internacional de dados: informação sobre a possibilidade de transferência de dados pessoais para outros países e a garantia de proteção adequada nessas situações;
XI - tratamento de dados sensíveis: em caso de tratamento de dados pessoais sensíveis, explicação sobre a necessidade de consentimento específico, quando necessário, e a adoção de medidas adicionais de proteção;
XII - atualização da política: compromisso de revisão periódica da política para mantê-la atualizada e alinhada com a legislação vigente;
XIII - canal de contato: disponibilização de um canal de contato para que os titulares dos dados possam esclarecer dúvidas, exercer seus direitos ou apresentar reclamações relacionadas ao tratamento de dados pessoais; e
XIV - indicação da forma de publicidade das operações de tratamento, preferencialmente em espaço específico nos respectivos sítios eletrônicos oficiais, respeitadas as recomendações da autoridade nacional.
Art. 22. Os órgãos e entidades da administração pública municipal poderão, motivadamente, promover adaptações à Política de Proteção de Dados Pessoais, conforme as respectivas especificidades.
Parágrafo único. As propostas de adaptação elaboradas nos termos do caput deverão ser submetidas à análise do Comitê Gestor de Governança de Dados e Informações do Município de Goiânia.
Art. 23. O Poder Executivo municipal deverá manter, observadas suas capacidades institucionais e o estágio de desenvolvimento tecnológico da administração pública, política de segurança da informação formalmente reconhecida, fundamentada em um conjunto mínimo de premissas, diretrizes e especificações técnicas, que considere:
IV - organização e intercâmbio das informações;
VI - observância, sempre que possível, das seguintes normas e diretrizes:
a) normas técnicas e boas práticas, nacionais e internacionais, relacionadas à:
3. proteção de dados pessoais; e
4. padrões estabelecidos pela Associação Brasileira de Normas Técnicas - ABNT, pela Organização Internacional de Normalização - ISO e por demais organismos competentes;
b) regulamentações expedidas por órgãos e entidades da administração pública federal; e
c) regulamentações editadas no âmbito do próprio Poder Executivo municipal.
Seção III
Do Relatório de Impacto à Proteção de Dados Pessoais
Art. 24. Nos termos do art. 38 da Lei federal nº 13.709, de 2018, a elaboração do Relatório de Impacto a Proteção de Dados Pessoais - RIPD é de responsabilidade do controlador e deverá considerar os resultados apurados no mapeamento do tratamento de dados pessoais de que trata este Decreto, contendo, no mínimo:
I - a descrição dos tipos de dados coletados;
II - as bases legais utilizadas para o tratamento;
III - o mapeamento do fluxo do tratamento de dados;
IV - a metodologia utilizada para a coleta e para a garantia da segurança das informações; e
V - a análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.
§ 1º O RIPD visa a identificação das necessidades de adequação no tratamento de dados pessoais, apontando se há desvios entre o cenário atual e as exigências da Lei federal nº 13.709, de 2018, como identificação de eventuais dados pessoais que não atendam aos critérios de finalidade de processamento ou do mínimo necessário e de necessidades de alteração de processos dentro de cada estrutura organizacional, e deverá ser divulgado no site oficial do Poder Executivo do Município de Goiânia.
§ 2º O Relatório de Impacto à Proteção de Dados Pessoais deverá ser elaborado sempre que as operações de tratamento de dados pessoais puderem representar alto risco aos princípios gerais de proteção de dados pessoais, previstos especialmente no art. 5º, inciso XVII, da Lei federal nº 13.709, de 2018, às liberdades civis e aos direitos fundamentais do titular, nos termos do art. 55-J, inciso XIII, da referida Lei.
§ 3º O Poder Executivo municipal deverá, sempre que possível, adotar ferramentas informatizadas que possibilitem a automatização da elaboração do RIPD, de forma a garantir a fidelidade das informações nele contidas e a celeridade de sua geração, atendendo com brevidade às solicitações e requisições dos órgãos de fiscalização.
§ 4º Integram as medidas de boas práticas, todas as ações e mecanismos, nas áreas de segurança da informação, privacidade, governança, e outras, com objetivo de reduzir o risco e fomentar a cultura institucional de proteção de dados pessoais, garantindo a proteção dos direitos dos titulares e atendendo aos princípios e exigências da Lei federal nº 13.709, de 2018.
CAPÍTULO IX
DISPOSIÇÕES FINAIS
Art. 25. As entidades da administração pública indireta deverão apresentar ao encarregado-geral de proteção de dados, no prazo de 90 (noventa) dias contados da data de publicação deste Decreto, o plano de conformidade às disposições da Lei federal nº 13.709, de 2018.
Parágrafo único. Após o prazo previsto no caput, o encarregado-geral de proteção de dados informará eventual ausência ao órgão municipal responsável pelo controle da entidade, para as providências pertinentes.
Art. 26. As operações de compartilhamento de dados pessoais e sua transferência, inclusive internacional, deverão ser precedidas de avaliação quanto à base legal aplicável, observando-se a hipótese de tratamento prevista na legislação vigente, os critérios de proporcionalidade, a demonstração de finalidade pública e a efetiva necessidade da operação.
§ 1º A realização dessas operações deverá estar em conformidade com as diretrizes, normativas e regulamentações expedidas pela ANPD e demais órgãos competentes, assegurando-se a adequada gestão de riscos e a proteção dos direitos dos titulares de dados.
§ 2º O uso compartilhado de dados pessoais pelo poder público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei federal nº 13.709 de 2018.
Art. 27. Os canais de atendimento disponibilizados aos titulares de dados deverão adotar medidas de acessibilidade digital, garantindo o acesso amplo e efetivo a todos, em consonância com as normas técnicas aplicáveis e os princípios da inclusão.
Art. 28. Os padrões técnicos e as diretrizes relativas à segurança da informação no âmbito da administração pública municipal poderão ser regulamentados por atos infradecretos exarados pelo órgão municipal competente ou pelo Comitê de Governança, ressalvada a competência do encarregado-geral.
Art. 29. Os casos omissos serão dirimidos pelo titular do órgão municipal de inovação e transformação digital e de acordo com o disposto na Lei federal nº 13.709, de 2018, ou sucedânea.
Art. 30. Este Decreto entra em vigor na data de sua publicação.
Goiânia, data da publicação.
SANDRO MABEL
Prefeito de Goiânia
Este texto não substitui o publicado no DOM 8569 de 02/07/2025
Goiânia, data da publicação.
Excelentíssimo Senhor Prefeito,
1 Submeto à consideração de Vossa Excelência a presente proposta de decreto, que "Regulamenta a aplicação da Lei federal nº 13.709, de 14 de agosto de 2018, no âmbito da administração pública direta e indireta do Poder Executivo do Município de Goiânia."
2 A Lei federal nº 13.709, de 2018, foi promulgada com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, regulando o tratamento de dados pessoais, incluído nos meios digitais, pelo Poder Público e pelo setor privado. A referida lei representa um marco importante na proteção dos direitos fundamentais dos cidadãos, assegurando a privacidade e a segurança de seus dados pessoais em face do tratamento realizado por agentes públicos privados.
3 O tratamento de dados tornou-se uma realidade inescapável na sociedade contemporânea, em que as informações pessoais dos indivíduos são coletadas, processadas, armazenadas e compartilhadas em uma escala sem precedentes. Nos termos do art. 5º, inciso X, da Lei federal nº 13.709, de 2018, o tratamento de dados pessoais abarca "a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração".
4 Dentro do contexto mencionado, a proposta apresentada emerge como resposta à imperativa necessidade de se instituir no Município de Goiânia um conjunto de diretrizes precisas e procedimentos idôneos. Estes visam assegurar que o tratamento de dados pessoais seja conduzido de maneira clara, transparente e segura, em aderência aos princípios e regulamentos estabelecidos pela Lei federal nº 13.709, de 2018, também conhecida como Lei Geral de Proteção de Dados - LGPD.
5 A relevância desta iniciativa encontra respaldo na necessidade de estabelecer critérios claros para a condução do tratamento de dados pessoais e para a divulgação transparente das situações em que este tratamento é realizado. A divulgação de informações precisas, atualizadas e acessíveis quanto às previsões legais, finalidades, procedimentos e práticas empregadas é um alicerce essencial para a construção de uma relação de confiança entre os cidadãos e a administração pública.
6 A proposição de ato normativo define as competências, procedimentos e providências a serem observados pelos órgãos e entidades da administração pública municipal direta e indireta, visando assegurar a efetiva implementação da proteção de dados pessoais no âmbito do Poder Executivo municipal e garantindo a privacidade, a integridade e a confidencialidade das informações dos cidadãos.
7 A medida visa, também, implementar controle e normas de segurança da informação e comunicações para garantia da autenticidade, confidencialidade, disponibilidade e integridade dos dados.
8 Ainda, pretende garantir a publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades, no site oficial do Poder Executivo municipal e no Portal da Transparência.
9 Assim, a edição do presente ato normativo representa medida importante para o Município de Goiânia, para atender aos ditames das legislações vigentes e proteger os direitos fundamentais de liberdade e de privacidade, e a livre formação da personalidade de cada indivíduo.
10 Essas, Excelentíssimo Senhor Prefeito, são as razões que justificam o encaminhamento da presente proposta de ato normativo à consideração de Vossa Excelência.
Respeitosamente,
FABIO CHRISTINO
Secretário Municipal de Inovação e Transformação Digital