O PREFEITO MUNICIPAL DE CARIACICA, ESTADO DO ESPÍRITO SANTO, no uso de suas atribuições legais, faz saber que a Câmara Municipal aprovou e ele sanciona a seguinte Lei:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Seção I
Escopo de Aplicação da Lei
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais por pessoa jurídica de direito público ou privado no âmbito da Administração Pública Municipal direta e indireta, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade do cidadão.
Art. 2º A disciplina da proteção de dados pessoais é condição para o pleno exercício da cidadania e tem como fundamento:
I - A autodeterminação informativa;
II - A liberdade de expressão, comunicação, opinião, privacidade e a inviolabilidade da intimidade e vida privada;
III - legalidade, impessoalidade, moralidade, publicidade e probidade administrativa;
IV - O desenvolvimento econômico e tecnológico;
V - Igualdade;
VI - O reconhecimento da condição de vulnerável de crianças e adolescentes e sua proteção integral.
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento de dados pessoais no âmbito da Administração Pública Municipal direta e indireta, independentemente do país onde estejam localizados os dados, subordinado- ao regime desta lei:
I - Os órgãos da administração direta e indireta, como autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades vinculadas ou que venham a ser vinculadas, direta ou indiretamente ao Município;
II - Pessoa natural ou jurídica de direito privado quanto contratada ou conveniada, direta ou indiretamente, pela administração pública municipal, considerando-se para os fins de aplicação desta lei:
a) todo e qualquer ajuste entre órgãos ou entidades da Administração Pública e particulares em que haja um acordo de vontades para a formação de vínculo e a estipulação de obrigações recíprocas, seja qual for a denominação utilizada;
b) editais contratos administrativos e convênios, na forma Lei Federal 8.666, de 21 de junho de 1993, bem como da Lei Federal 11.079, de 30 de dezembro de 2014 e da Lei Federal 13.019 de 31 de julho de 2014;
c) procedimentos que visem a apresentação de projetos, levantamentos, investigações ou estudos, por pessoa física ou jurídica de direito privado, com a finalidade de subsidiar a administração pública na estruturação de empreendimentos objeto de alienação, concessão ou permissão de serviços públicos, de parceria público-privada, de arrendamento de bens públicos ou de concessão de direito de uso.
Art. 4º Esta Lei não se aplica ao tratamento de dados:
I - Realizado por pessoa natural para fins exclusivamente pessoais fora do âmbito da administração pública municipal direta ou indireta;
II - Realizado para fins exclusivamente jornalísticos, artísticos, literários ou acadêmicos;
III - realizado para o fim de garantir o acesso à Informação, nos termos da Lei 12.527/2011.
Seção II
Definições
Art. 5º Para os fins desta Lei considera-se:
I - Dado pessoal: dado relacionado à pessoa natural, identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos;
II - Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
III - dados pessoais sobre raça ou etnia, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, bem como dados genéticos ou biométricos;
IV - Dados anonimizados: dados relativos a um titular que não possa ser identificado mediante esforços razoáveis;
V - Banco de dados: conjunto estruturado de dados pessoais, centralizado, descentralizado ou dispersos em uma base geográfica e em um suporte eletrônico ou físico;
VI - Titular: a pessoa natural a quem se referem os dados pessoais objeto de tratamento;
VII - consentimento: manifestação livre e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade específica;
VIII - agentes do tratamento de dados pessoais: o responsável e o operador;
IX - Responsável: a pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais;
X - Operador: a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do responsável;
XI - encarregado: pessoa natural, indicada pelo responsável, que atua como canal de comunicação perante os titulares;
XII - anonimização: qualquer procedimento por meio do qual um dado deixa de poder ser associado mediante esforços razoáveis, direta ou indiretamente, a um indivíduo;
XIII - bloqueio: guarda do dado pessoal ou do banco de dados com a suspensão temporária de qualquer operação de tratamento;
XIV - eliminação: exclusão definitiva de dado ou de conjunto de dados armazenados em banco de dados seja qual for o procedimento empregado;
XV - Uso compartilhado de dados: a comunicação, a difusão, a transferência internacional, a interconexão de dados pessoais ou o tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos, no cumprimento de suas competências legais, ou entre órgãos e entidades públicos e entes privados para a execução de políticas públicas, descentralização da atividade pública e ações de interesse público;
XVI - perfil comportamental: qualquer forma de tratamento automatizado de dados pessoais que seja destinada a avaliar aspectos ou a segmentação de uma pessoa natural, ainda que não identificada ou identificável, tais como para analisar ou prever características socioeconômicas, estado de saúde, localização, deslocamento.
Art. 6º As atividades de tratamento de dados pessoais deverão observar a moralidade, impessoalidade, legalidade, publicidade e a probidade administrativa e os seguintes princípios:
I - Finalidade: pelo qual o tratamento deve ser realizado para finalidades legítimas, específicas, explícitas e informadas ao titular e boa-fé por parte do controlador e operador;
II - Adequação: pelo qual o tratamento deve ser compatível com as legítimas expectativas do titular, de acordo as suas finalidades e com o contexto do tratamento;
III - necessidade: pelo qual o tratamento deve se limitar ao mínimo necessário para a realização das suas finalidades, abrangendo dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - Livre acesso: pelo qual deve ser garantida aos titulares consulta facilitada e gratuita sobre as modalidades de tratamento e sobre a integralidade dos seus dados pessoais;
V - Qualidade dos dados: pelo qual devem ser garantidas aos titulares a exatidão, a clareza, relevância e a atualização dos dados, de acordo com a periodicidade necessária para o cumprimento da finalidade de seu tratamento;
VI - Transparência: pelo qual devem ser garantidas aos titulares informações claras, adequadas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;
VII - segurança: pelo qual devem ser utilizadas medidas técnicas e administrativas constantemente atualizadas, proporcionais à natureza das informações tratadas e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: pelo qual devem ser adotadas medidas capazes de prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; e
IX - Não discriminação: pelo qual o tratamento não pode ser realizado para fins discriminatórios, salvo se fizer parte da essência de determinada atividade ou política pública.
CAPÍTULO II
REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
Seção I
Requisitos para o tratamento
Art. 7º O tratamento de dados pessoais somente poderá ser realizado após o consentimento livre, específico e inequívoco do titular, salvo nas seguintes hipóteses:
I - Para o cumprimento de uma obrigação legal pelo responsável;
II - Pela administração pública para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas e prestação de serviços públicos previstos em leis ou regulamentos;
III - para a realização de pesquisa histórica, científica ou estatística;
IV - Para o exercício regular de direitos em processo judicial ou administrativo;
V - Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
VI - Para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
§ 1º Nos casos de aplicação do disposto nos incisos I e II, o responsável deverá informar ao titular as hipóteses em que será admitido o tratamento de seus dados, nos termos do artigo 12 e seguintes.
Art. 8º O consentimento previsto no art. 7º, caput, deverá ser livre, específico, inequívoco e fornecido por escrito ou por qualquer outro meio que o certifique.
§ 1º Caso o consentimento seja fornecido por escrito, este deverá ser fornecido em cláusula destacada das demais cláusulas contratuais.
§ 2º Caso o consentimento seja obtido por outro meio, este deverá ser fornecido forma clara, adequada e ostensiva, bem como com a adoção de padrões técnicos que facilitem o controle dos titulares sobre seus dados pessoais.
§ 3º Cabe ao responsável o ónus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
§ 4º É vedado o tratamento de dados pessoais quando o consentimento tenha sido obtido mediante erro, dolo, coação, estado de perigo ou simulação.
§ 5º O consentimento deverá se referir a finalidades específicas, sendo nulas as autorizações genéricas para o tratamento de dados pessoais.
§ 6º O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular.
§ 7º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 13, o responsável deverá obter novo consentimento do titular após destacar de forma específica o teor das alterações.
§ 8º O titular deverá ser informado da possibilidade de não fornecer o consentimento, na hipótese em que o consentimento é requerido, mediante o fornecimento de informações sobre as consequências da negativa.
a) o consentimento será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou não tenham sido apresentadas previamente de forma clara, adequada e ostensiva.
b) quando o consentimento para o tratamento de dados pessoais for condição para o fornecimento de produto ou serviço ou para o exercício de direito, o titular será informado com destaque sobre tal fato e sobre os meios pelos quais poderá exercer controle sobre o tratamento de seus dados.
Art. 9º É vedado o tratamento de dados pessoais sensíveis, salvo:
I - Com fornecimento de consentimento inequívoco, expresso e específico pelo titular:
a) mediante manifestação própria, distinta da manifestação de consentimento relativa a outros dados pessoais; e
b) com informação prévia e específica sobre a natureza sensível dos dados a serem tratados, com alerta quanto aos riscos envolvidos no seu tratamento.
II - Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de uma obrigação legal pelo responsável;
b) tratamento e uso compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de pesquisa histórica, científica ou estatística, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos em processo judicial ou administrativo;
e) proteção da vida ou da incolumidade física do titular ou de terceiro; ou
f) tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.
§ 1º O disposto neste artigo aplica-se a qualquer tratamento de dados pessoais capaz de revelar dados pessoais sensíveis.
§ 2º O tratamento de dados pessoais sensíveis não poderá ser realizado em detrimento do titular, ressalvado o disposto em legislação específica.
§ 3º O disposto na alínea 'c' do inciso II não se aplica caso as atividades de pesquisa estejam vinculadas a qualquer das seguintes atividades:
I - Comercial;
II - De administração pública, quando a pesquisa não for a atividade principal ou legalmente estabelecida do órgão; ou
III - relativa à investigação criminal ou inteligência,
§ 4º O disposto nas hipóteses do parágrafo anterior garantirá, sempre que possível, a anonimização dos dados pessoais.
§ 5º Nos casos de aplicação do disposto nas alíneas 'a' e 'b' do inciso II pelos órgãos e entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos da seção III deste Capítulo.
§ 6º Medidas adicionais de segurança e de proteção aos dados pessoais sensíveis deverão ser adotadas pelo responsável ou por outros agentes do tratamento, mediante a elaboração de relatório de impacto à privacidade.
Art. 10 Nas hipóteses de dispensa do consentimento para o tratamento de dados pessoais, o responsável deverá, respeitado os direitos e liberdades fundamentais do titular, observar:
§ 1º os princípios gerais e da garantia dos direitos do titular, em particular:
I - As legítimas expectativas do titular de acordo com o contexto do tratamento, nos termos do art. 6º, I;
II - A finalidade e adequação pelo qual o tratamento dos dados é realizado para uma finalidade específica, informadas e com as legítimas expectativas do titular, de acordo com o art. 6º, II;
III - a necessidade pela qual o tratamento dos dados pessoais limita-se ao estritamente necessário para a finalidade pretendida, abrangendo dados pertinentes, proporcionais e não excessivo em relação às finalidades do tratamento de dados, o que envolve;
a) anonimização sempre que compatível com a finalidade do tratamento.
§ 2º A adoção de medidas para garantir a transparência do tratamento de dados, devendo fornecer aos titulares mecanismos eficazes para que possam manifestar sua oposição ao tratamento, de acordo com o disposto no artigo 17, §1°;
§ 3º A emissão de relatório de impacto à privacidade.
Art. 11 Os dados anonimizados serão considerados dados pessoais para os fins desta Lei quando o processo de anonimização ao qual foram submetidos for revertido ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve considerar fatores objetivos, tais como custo e o tempo necessário para reverter o processo de anonimização, de acordo com as tecnologias disponíveis;
§ 2º Poderão ser igualmente considerados como dados pessoais para os fins desta Lei os dados utilizados para a formação do perfil comportamental de uma determinada pessoa natural, ainda que não identificada ou identificável;
§ 4º O compartilhamento e o uso que se faz de dados anonimizados deve ser objeto de publicidade e de transparência, bem como antecedida por relatório de impacto à privacidade referente aos riscos de reversão do processo de anonimização e demais aspectos de seu tratamento;
§ 5º A reversão do processo de anonimização é proibida, salvo mediante consentimento expresso dos próprios titulares dos dados pessoais;
Seção III
Da Transparência no Tratamento dos Dados
Art. 12 Cabe aos entes sujeitos ao regime desta lei adotar procedimentos e medidas de transparência das suas atividades de tratamento de dados pessoais e que devem ser executados em conformidade com os princípios básicos da administração pública e com as seguintes diretrizes:
I - Observância da publicidade como preceito geral e sigilo como exceção;
II - Divulgação de informações, independentemente de solicitações, em locais e veículos de fácil acesso;
III - utilização de meios de comunicação viabilizados pela tecnologia da informação;
IV - Fomento ao desenvolvimento da cultura de transparência no tratamento dos dados pessoais;
§ 1º Deverão informar de forma clara e atualizada em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos:
I - As hipóteses em que realizam o tratamento de dados pessoais;
II - As políticas organizacionais para garantir que o tratamento de dados pessoais está em conformidade com os princípios estabelecidos pelo artigo 6º desta Lei;
III - o uso compartilhado de dados;
IV - Os relatórios de impacto à privacidade;
V - Os critérios, procedimentos e instruções utilizados para decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem interesses do titular, inclusive as decisões destinadas a definir o seu perfil comportamental.
§ 2º Aplicam-se as normas e os procedimentos previstos na Lei 12.527, de 18 de novembro de 2011, para se assegurar uma gestão transparente dos dados pessoais.
Art. 13 O titular deverá ter acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva sobre, entre outros:
I - Finalidade específica do tratamento;
II - forma E duração do tratamento;
III - identificação do responsável;
IV - Informações de contato do responsável;
V - Sujeitos ou categorias de sujeitos para os quais os dados podem ser comunicados, bem como âmbito de difusão;
VI - Responsabilidades dos agentes que realizarão o tratamento, e
VII - direitos do titular, com menção explícita a:
a) possibilidade de acessar os dados, retificá-los ou revogar o consentimento, por procedimento gratuito e facilitado;
§ 1º Em caso de alteração de informação referida no inciso IV do caput, o responsável deverá comunicar ao titular as informações de contato atualizadas.
§ 2º Nas atividades que importem em coleta continuada de dados pessoais, o titular deverá ser informado periodicamente sobre as principais características do tratamento.
Seção IV
Término do Tratamento
Art. 14 O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I - Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes para o alcance da finalidade específica almejada;
II - Fim do período de tratamento;
III - comunicação do titular, inclusive no exercício do seu direito de revogação do consentimento conforme disposto no art. 7º, § 6º.
Art. 15 Os dados pessoais serão eliminados após o término de seu tratamento, autorizada a conservação para as seguintes finalidades:
I - Cumprimento de obrigação legal do responsável;
II - Pesquisa histórica, científica ou estatística, garantida, quando possível, a anonimização dos dados pessoais.
CAPÍTULO III
DIREITOS DO TITULAR
Art. 16 Toda pessoa natural tem assegurada a titularidade de seus dados pessoais, garantidos os direitos fundamentais de liberdade, intimidade e privacidade, nos termos desta Lei.
Art. 17 O titular dos dados pessoais tem direito a obter, em relação aos seus dados:
I - Confirmação da existência de tratamento;
II - Acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou;
V - Eliminação, a qualquer momento, de dados pessoais com cujo tratamento o titular tenha consentido; e
§ 1º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 2º Os direitos previstos neste artigo serão exercidos mediante requerimento do titular a um dos agentes de tratamento, que adotará imediata providência para seu atendimento.
§ 3º Em caso de impossibilidade de adoção imediata da providência de que trata o § 4º, o responsável enviará ao titular, em até sete dias a partir da data do recebimento do requerimento, resposta em que poderá:
I - Comunicar que não é agente de tratamento dos dados, indicando, sempre que possível quem o seja, ou;
II - Indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 5º A providência de que trata o § 2º será realizada sem custos para o tÍtular.
§ 6º O responsável deverá informar aos terceiros a quem os dados tenham sido comunicados sobre a realização de correção, eliminação, anonimização ou bloqueio dos dados, para que repitam idêntico procedimento.
Art. 18 A confirmação de existência ou o acesso a dados pessoais serão providenciados, a critério do titular:
I - Em formato simplificado, imediatamente, ou;
II - Por meio de declaração clara e completa, que indique a origem dos dados, data de registro, critérios utilizados e finalidade do tratamento, fornecida no prazo de até sete dias, a contar da data do requerimento do titular.
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
§ 2º As informações e dados poderão ser fornecidos, a critério do titular:
I - Por meio eletrônico, seguro e idôneo para tal fim, ou;
II – Sob a forma impressa, situação em que poderá ser cobrado exclusivamente o valor necessário ao ressarcimento do custo dos serviços e dos materiais utilizados.
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em um contrato, o titular poderá solicitar cópia eletrônica integral dos seus dados pessoais em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
Art. 19 O titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive as decisões destinadas a definir o seu perfil comportamental.
§ 1º Deverá ser permitida a realização de auditoria de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive com a inserção de novos dados e o acesso ao seu resultado;
§ 2º O responsável deverá fornecer informações claras e adequadas a respeito dos critérios, procedimentos e instruções utilizados para a decisão automatizada;
§ 3º O responsável deverá emitir relatório de impacto à privacidade, levando-se em consideração os direitos e liberdades fundamentais do titular;
Art. 20 Os dados pessoais referentes a exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
Art. 21 A defesa dos interesses e direitos dos titulares de dados poderá ser exercida em juízo individual ou coletivamente, na forma do disposto na Lei n° 9.507, de 12 de novembro de 1997, nos arts. 81 e 82 da Lei n° 8.078, de 11 de setembro de 1990, na Lei n° 7.347, de 24 de julho de 1985, e nos demais instrumentos de tutela individual e coletiva.
Art. 22 Aplicam-se as normas e os procedimentos previstos na Lei 12.527, de 18 de novembro de 2011, para facilitar o acesso à informação sobre o tratamento dos dados pessoais pelo seu titular.
CAPÍTULO VI
DO USO COMPARTILHADO DE DADOS
Art. 23 O uso compartilhado de dados por órgãos e entidades públicos ou entre órgãos e entidades públicos e entes privados deverá.
I - Observar os princípios de proteção de dados elencados no art. 6º desta Lei, em particular:
a) as finalidades específicas de execução de políticas públicas ou para a prestação de serviços públicos, no cumprimento das competências legais dos órgãos e entidades públicos;
b) as legítimas expectativas do titular, de acordo com o disposto no art. 6º, II, frente à finalidade para a qual o seu dado foi coletado originariamente;
c) aos dados pessoais estritamente necessários para a finalidade pretendida, devendo ser anonimizados sempre que compatível com a finalidade do tratamento.
II - Ser antecedido pela emissão de relatório de impacto à privacidade;
III - ser objeto de publicidade nos termos do art. 13, sendo fornecida informações claras e atualizadas sobre:
a) data;
b) periodicidade e frequência;
c) as finalidades do tratamento realizados com os dados;
d) a necessidade de compartilhamento;
e) descrição dos dados;
f) descrição de eventual formação do perfil comportamental de uma pessoa natural, ainda que não identificada ou identificável;
g) medidas de segurança adotadas para a proteção dos dados.
Art. 24 É vedado aos órgãos e entes da Administração Pública transferir dados pessoais constantes das suas bases de dados a entidades privadas, exceto em casos de execução descentralizada de atividade pública e nas hipóteses previstas na Lei n° 12.527 de 18 de novembro de 2011.
Art. 25 Aplicam-se as normas e os procedimentos previstos na Lei 8.666, de 21 de junho de 1993, bem como a Lei 11.079, de 30 de dezembro de 2014, para que o uso compartilhado dos dados esteja em estrita conformidade com os princípios básicos da administração pública, devendo ser precedida de licitação que:
I - Não será sigilosa, sendo públicos e acessíveis os atos de seu procedimento;
II - Não admitirá prever, incluir ou tolerar, nos atos de convocação, cláusulas ou condições que comprometam, restrinjam ou frustrem o seu caráter competitivo;
III - priorizará:
a) bens e serviços com tecnologia desenvolvida no País;
b) programas de computação de código aberto, livres de restrições quanto à cessão, alteração e distribuição de suas cópias eletrônicas, nos termos do artigo 38;
c) adoção de medidas técnicas e administrativas constantemente atualizadas, proporcionais à natureza dos dados compartilhados e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
d) a adoção de padrões técnicos que facilitem o controle dos titulares sobre seus dados pessoais.
IV - não admitirá que os dados compartilhados sejam:
a) utilizados para outras finalidades estranhas à execução descentralizada da atividade pública;
b) como parte do preço ou como qualquer tipo de contraprestação a favor da contratada para a execução descentralizada da atividade pública, observando-se o princípio da moralidade na administração pública;
VI - O instrumento de convocação deverá levar em consideração medidas técnicas de segurança e de boas práticas, nos termos do artigo 38.
Art. 26 Os dados deverão ser mantidos em formato interoperável e estruturados para o uso compartilhado para a execução de políticas públicas, prestação de serviços públicos e a descentralização da atividade pública.
CAPÍTULO VI
AGENTES E RESPONSABILIDADE NO TRATAMENTO DE DADOS PESSOAIS
Seção I
Responsável e Operador
Art. 27 O responsável e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem.
Art. 28 O operador deverá realizar o tratamento segundo as instruções fornecidas pelo responsável, que verificará a observância das próprias instruções e do quanto disposto nesta Lei.
Art. 30 A Ouvidoria Pública poderá solicitar aos agentes do tratamento de dados pessoais que publiquem relatórios de impacto de privacidade e sugerir adoção de padrões e boas práticas aos tratamentos de dados pessoais.
Art. 31 Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a Ouvidoria poderá enviar informe com medidas cabíveis para fazer cessar a violação.
§ 1º As punições cabíveis a agente público no âmbito desta Lei serão aplicadas pessoalmente aos operadores de órgãos públicos, conforme disposto na Lei n° 1.399, de 08 de novembro de 1995, e na Lei n°8.429, de 2 de junho de 1992.
§ 2º Aplicam-se no que couber as normas e os procedimentos previstos na Lei 12.846, de 1º de agosto de 2013, para as punições cabíveis e a responsabilização administrativa e civil das pessoas jurídicas sujeitas ao regime dessa lei.
Seção II
Encarregado pelo Tratamento de Dados Pessoais
Art. 32 O responsável e as pessoas jurídicas de direito privado sujeitas ao regime desta Lei indicarão um encarregado pelo tratamento de dados pessoais, devendo:
§ 1º Divulgar publicamente de forma clara e objetiva, preferencialmente na página eletrônica na Internet, a identidade e as informações de contato do encarregado;
§ 2º Assegurar que o encarregado:
I - esteja envolvido em todas as operações relativas ao tratamento de dados pessoais,
II - exerça com autonomia sua função, não podendo ser penalizado por não seguir instruções ou diretrizes não estejam em conformidade com o disposto nesta Lei;
Art. 33 As atividades do
encarregado consistem em:
I - receber
reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
II - receber
comunicações da Ouvidoria e adotar providências;
III - orientar os funcionários e contratados
da entidade a respeito das práticas a serem tomadas em relação à proteção de
dados pessoais, de acordo com o disposto nesta Lei;
IV - demais
atribuições determinadas pelo responsável ou estabelecidas em normas
complementares.
V - orientação para a
elaboração dos relatórios de impacto à privacidade e a observância dos
parâmetros nele estabelecidos para o tratamento dos dados pessoais.
Art. 33 As atividades do encarregado consistem em: (Redação dada pela Lei nº 6.358/2022)
I – receber as reclamações e
comunicações encaminhadas pelos titulares, prestando esclarecimentos e adotando
providências necessárias para sua resolução; (Redação
dada pela Lei nº 6.358/2022)
II – receber as demandas
encaminhadas pela Ouvidoria e adotar as providências necessárias para sua
resolução; (Redação dada pela Lei nº
6.358/2022)
III – receber as comunicações e demandas encaminhadas pela
autoridade nacional, adotando as providências e medidas necessárias para sua
resolução; (Redação dada pela Lei nº
6.358/2022)
IV – promover a orientação de
servidores e contratados a respeito das práticas a serem a adotadas visando o
efetivo cumprimento da Lei Municipal 5.948/2019
e da Lei Federal 13.709/2018; (Redação dada
pela Lei nº 6.358/2022)
V – orientar a elaboração dos
relatórios de impacto à privacidade, bem como a necessária observância dos
parâmetros nele estabelecidos para o tratamento dos dados pessoais; (Redação dada pela Lei nº 6.358/2022)
VI – executar outras atividades
correlatas ou que lhe venha a ser atribuídas. (Dispositivo
incluído pela Lei nº 6.358/2022)
CAPÍTULO VII
SEGURANÇA E BOAS PRÁTICAS
Seção I
Segurança e Sigilo de Dados
Art. 34 O operador deve adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º As medidas de segurança deverão ser observadas desde a fase de concepção do produto ou serviço até a sua prestação.
Art. 35 Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se ao dever de sigilo em relação aos dados pessoais, mesmo após o seu término.
Seção II
Incidente de Segurança
Art. 36 O responsável deverá comunicar imediatamente a ocorrência de qualquer incidente de segurança que possa acarretar risco ou prejuízo relevante aos titulares.
Parágrafo único. A comunicação será feita em prazo razoável, conforme definido pelo órgão competente, e deverá mencionar, no mínimo:
I - Descrição da natureza dos dados pessoais afetados;
II - Informações sobre os titulares envolvidos;
III - indicação das medidas de segurança utilizadas para a proteção dos dados, inclusive procedimentos de encriptação;
IV - Riscos relacionados ao incidente;
V - No caso de a comunicação não ter sido imediata, os motivos da demora; e
VI - medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos de prejuízo.
Art. 37 Verificando-se gravidade no incidente e caso necessário para a salvaguarda dos direitos dos titulares, o Ouvidor recomendará ao orgão responsável a adoção de outras providências, tais como:
I - Pronta comunicação aos titulares;
II - Ampla divulgação do fato em meios de comunicação; e
III - medidas para reverter ou mitigar os efeitos do incidente.
§ 1º A pronta comunicação aos titulares afetados pelo incidente de segurança será obrigatória nos casos em que for possível identificar que o incidente coloque em risco a segurança pessoal dos titulares ou lhes possa causar danos.
Seção III
Sistemas de Proteção de Dados Pessoais e Software Livre
Art. 38 Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
§ 1º Os estabelecimentos públicos municipais da Administração Direta e Indireta e entidades privadas sujeitas ao regime desta Lei deverão utilizar em seus sistemas e equipamentos de informática, prioritariamente, programas de computação de código aberto, livres de restrições quanto à cessão, alteração e distribuição de suas cópias eletrônicas.
I - O formato padrão de documentos que operam nos equipamentos de informática dos estabelecimentos dispostos no caput deste artigo deverão ser livres de restrição proprietária.
II - Caso exista a necessidade de aquisição de programas de propriedade de entidades privadas, mediante justificativa prévia, será dada preferência para aquelas que possibilitem a conversão dos arquivos e o intercâmbio entre os sistemas, permitindo sua execução sem restrições em sistemas operacionais baseados em código aberto.
III - entende-se por programa de computação de código aberto aquele cuja licença de propriedade industrial ou intelectual não restrinja sob nenhum aspecto a sua cessão, distribuição, utilização ou alteração de suas características originais, assegurando, ao usuário, acesso irrestrito e sem custos adicionais ao seu código fonte, permitindo a alteração parcial ou total do programa para seu aperfeiçoamento ou adequação.
a) o código fonte deve ser o recurso preferencial utilizado pelo programador para modificar o programa, não sendo permitido ofuscar a sua acessibilidade.
IV - A licença de utilização dos programas abertos deve permitir modificações e trabalhos derivados e a sua livre distribuição sob os mesmos termos da licença do programa original, não podendo ser utilizados programas cujas licenças:
a) impliquem em qualquer forma de discriminação a pessoas ou grupos;
b) sejam específicas para determinado produto impossibilitando que programas derivados deste tenham a mesma garantia de utilização, alteração e distribuição;
c) restrinjam outros programas distribuídos conjuntamente.
V - Quando houver justificativa técnica comprobatória da ineficiência dos programas abertos em determinada contratação, a Administração Pública poderá adquirir, mediante concorrência prévia, programas de informática não caracterizados como abertos, desde que haja a apresentação de justificativa técnica, nos termos da Lei n° 8.666, de 21 de junho de 1993;
VI - É obrigatória a utilização de programa de computação de código aberto para decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem interesses do titular, inclusive as decisões destinadas a definir o seu perfil comportamental;
VII - A Administração Pública deverá promover educar e promover a utilização de programas de computação de código aberto para o exercício do controle parental dos dados pessoais de crianças e adolescentes, nos termos dos princípios desta Lei e da Lei n° 8.069, de 13 de julho de 1990 - Estatuto da Criança e do Adolescente.
Seção IV
Boas Práticas
Art. 39 O responsável pelo tratamento de dados pessoais e o operador deverão formular diretrizes de boas práticas que estabeleçam condições de organização, regime de funcionamento, procedimentos, normas de segurança, padrões técnicos, obrigações específicas para os diversos envolvidos no tratamento, ações educativas, mecanismos internos de supervisão e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, deverá ser levado em consideração à natureza, escopo e finalidade do tratamento e dos dados, bem como a probabilidade e gravidade dos riscos de danos aos indivíduos.
§ 2º As regras de boas práticas serão disponibilizadas publicamente e atualizadas.
§ 3º Devem ser priorizados a adoção de padrões técnicos que facilitem o controle dos titulares sobre seus dados pessoais.
Seção V
Relatório de Impacto à Privacidade
Art. 40 O operador deverá emitir relatório de impacto à privacidade quando o tratamento de dados pessoais implicar em alto risco para os direitos e liberdades fundamentais do titular, tais como em.
I - Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses;
II - Traçar perfil comportamental;
III - monitoramento sistemático de áreas públicas;
IV - Uso de novas tecnologias para prevenir a ocorrência de danos nas hipóteses previstas nesta Lei, em particular:
a) no tratamento de dados sensíveis;
b) no uso compartilhado de dados;
Art. 41 O relatório de impacto à privacidade de ser composto ao menos dos seguintes elementos:
I - descrição de que o tratamento dos dados respeita os princípios de proteção de dados elencados no art. 6º dessa Lei, em particular:
a) finalidade e adequação pelo qual o tratamento dos dados é realizado para uma finalidade específica, informadas e com as legítimas expectativas do titular, de acordo com o contexto do tratamento;
b) necessidade pelo qual o tratamento dos dados pessoais limita-se ao estritamente necessário para a finalidade pretendida, abrangendo dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados, o que envolve;
c) anonimização sempre que compatível com a finalidade do tratamento.
d) qualidade com a implementação de mecanismos que garantam a exatidão, a clareza, relevância e a atualização dos dados, de acordo com a periodicidade necessária para o cumprimento da finalidade de seu tratamento;
II - adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos indevidos nos termos desta Lei, particularmente para se evitar acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Art. 42 O operador deverá tornar pública uma lista sobre quais tipos de tratamento de dados estão sujeitos ou não à exigência de relatórios de impacto à privacidade, sem prejuízo de publicá-los nos termos do artigo 12, inciso V, desta Lei.
CAPÍTULO VIII MONITORAMENTO
Seção I
DA OUVIDORIA
Art. 43 As Ouvidorias do Poder Executivo e Legislativo do Município de Cariacica – ES terão, entre suas atribuições, a função de garantia ao cumprimento desta lei, a finalidade de descentralizar, tornar acessível, inclusive para pessoas com deficiência, bem como dar publicidade a relatórios e encaminhamento, por meio de ações integradas e acordos com instituições competentes do sistema de justiça, todas as informações que forem demandas visando a defesa dos direitos e interesses dos cidadãos com relação a proteção de dados pessoais.
Art. 44 Esta Lei entra em vigor no prazo de 90 dias contados da data da sua publicação.
Art. 45 Esta Lei revoga todas as disposições contrárias.
Cariacica (ES), de 02 de janeiro de 2019.
GERALDO LUZIA DE OLIVEIRA JUNIOR
PREFEITO MUNICIPAL
Este texto não substitui o original publicado e arquivado na Prefeitura Municipal de Cariacica.