3524 DECRETO N° 793/2025 – Regulamenta a Lei Federal Nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados, no âmbito do Município de Arez/RN. Decretos content 11/04/2025 publicado decreto-n-793-2025 ESTADO DO RIO GRANDE DO NORTE PREFEITURA MUNICIPAL DE AREZ GABINETE DO PREFEITO DECRETO N° 793/2025 Regulamenta a Lei Federal Nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados, no âmbito do Município de Arez/RN. O PREFEITO CONSTITUCIONAL DO MUNICÍPIO DE AREZ, ESTADO DO RIO GRANDE DO NORTE, no […] <h1>ESTADO DO RIO GRANDE DO NORTE PREFEITURA MUNICIPAL DE AREZ</h1> <h5>GABINETE DO PREFEITO DECRETO N° 793/2025</h5> Regulamenta a Lei Federal Nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados, no âmbito do Município de Arez/RN. O PREFEITO CONSTITUCIONAL DO MUNICÍPIO DE AREZ, ESTADO DO RIO GRANDE DO NORTE, no uso das atribuições que lhe confere a Lei Orgânica do Município, e tendo em vista o disposto na Lei Federal nº 13.709/2018: DECRETA: CAPÍTULO I DAS DISPOSIÇÕES PRELIMINARES Art. 1º. – Este Decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências correlatas a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais. Art. 2º. – Para os fins deste Decreto, considera-se: – Dado pessoal: informação relacionada à pessoa natural identificada ou identificável; – Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; – Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; – Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico; – Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento; – Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais; – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; -Encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); – Agentes de tratamento: o controlador e o operador; – Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; – Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; – Consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada; – Plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas aos incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais. Art. 3º. – As atividades de tratamento de dados pessoais pelos órgãos e entidades municipais deverão observar a boa fé e os seguintes princípios: -Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; -Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; – Livre acesso: garantia aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; – Qualidade dos dados: garantia aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; – Transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos, comercial e industrial; – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; – Prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais; – Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. CAPÍTULO II DAS RESPONSABILIDADES Art. 4º. – O Poder Executivo Municipal, por meio de seus órgãos e entidades, nos termos da Lei Federal nº 13.709/2018, deve realizar e manter continuamente atualizados: – O mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades; – A análise e o relatório de risco e impacto à proteção de dados pessoais; – O plano de adequação, observadas as exigências do art. 17 deste Decreto. Art. 5º. – Os órgãos e entidades da Administração Pública Municipal ficam designados como controlador, devendo o Prefeito Municipal indicar o seu encarregado pelo tratamento de dados, para os fins doart. 41 da Lei Federal nº 13.709/2018. Parágrafo único. A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, em algum dos meios oficiais de divulgação do Município de Arez/RN, sendo preferencialmente no site oficial, em seção específica sobre tratamento de dados pessoais. Art. 6º. – Compete à entidade ou ao órgão controlador: – Aprovar, prover condições e promover ações para efetividade do Plano de Adequação de Proteção de Dados Pessoais do órgão e/ou entidade; – Nomear encarregado para conduzir o Plano de Adequação e sua manutenção, através de ato próprio; – Elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade; e – Fornecer aos operadores termos de uso, manuais de instruções e treinamento dos tratamentos sob sua responsabilidade. § 1º – Os atos do controlador público são de responsabilidade do titular de mais alta hierarquia do órgão ou entidade. § 2º – A nomeação do encarregado deverá atender prerrogativas e qualificações necessárias ao exercício dessa função. Art. 7º. – Compete ao encarregado e sua equipe de apoio: – Gerenciar o Plano de Adequação para: Inventariar os tratamentos do controlador, inclusive os eletrônicos; Analisar a maturidade dos tratamentos em face dos objetivos e metas estabelecidos e do consequente risco de incidentes de privacidade; Avaliar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; Adotar as providências cabíveis para implementar as medidas de segurança avaliadas; Cumprir os objetivos e metas previstas no Plano de Adequação do seu órgão e/ou entidade. – Receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, em articulação com a Ouvidoria da entidade; – Receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais – ANPD e adotar providências; – Orientar os funcionários e os contratados no cumprimento das práticas necessárias à privacidade de dados pessoais; – Quando provocado, entregar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade; – Atender às normas complementares da Agência Nacional de Proteção de Dados Pessoais; – Informar à Agência Nacional de Proteção de Dados Pessoais e aos titulares dos dados pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um plano de respostas a incidentes. Art. 8º. – Compete ao operador de dados pessoais e sua equipe de apoio: – Manter registro das operações de tratamento de dados pessoais que forem realizadas; – Realizar o tratamento de dados segundo as instruções fornecidas pelo controlador e de acordo com as normas aplicáveis; – Adotar, em conformidade às instruções fornecidas pelo controlador, medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; – Subsidiar o controlador no intuito de dar cumprimento às solicitações, orientações e às recomendações do encarregado; – Executar outras atribuições correlatas. Art. 9º. – Compete à Administração Municipal: – Orientar a aplicação de soluções de TIC (Tecnologia da Informação e Comunicação) relacionadas à proteção de dados pessoais; – Adequar as arquiteturas e as operações compartilhadas de TIC hospedadas no datacenter e na rede corporativa às exigências daLei Federal nº 13.709/2018; – Propor padrões de desenvolvimento de novas soluções de TIC, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução. Parágrafo único. As arquiteturas e as operações de que trata o inciso II poderão ter seu escopo alterado por meio de acordo entre as partes responsáveis pelo compartilhamento. Art. 10º. – Compete à Secretaria Municipal de Administração, Comunicação e Segurança Pública: – Coordenar e orientar a rede de encarregados responsáveis pela implementação do Plano de Adequação; – Consolidar os resultados e apoiar o monitoramento da Proteção de Dados Pessoais implementados no Município; – Disponibilizar canal de atendimento ao titular do dado, considerando as atividades desempenhadas pela Ouvidoria Geral do Município; – Coordenar a qualidade do atendimento ao titular do dado; – Estabelecer sistemática de auditoria interna com vistas a aumentar e proteger o valor organizacional do Município, fornecendo avaliação, assessoria e conhecimento objetivos baseados em riscos; – Encaminhar o atendimento ao encarregado responsável pelos dados e acompanhar sua resolutividade, nos termos do art. 19 deste Decreto; – Produzir e manter atualizados manuais de implementação das Políticas de Proteção de Dados Pessoais Locais e modelos de documentos, bem como capacitações para os agentes públicos. Art. 11 º. – Compete ao Departamento Jurídico do Município: – Disponibilizar aos agentes de tratamento e ao encarregado consultoria jurídica para dirimir questões e emitir pareceres do significado e alcance da Lei Federal nº 13.709/2018; – Disponibilizar modelos de contratos, convênios e acordos aderentes à Lei Federal nº 13.709/2018, a serem utilizados pelos agentes de tratamento; – Disponibilizar modelo de termo de uso de sistema de informação da Administração Pública; – Adotar as medidas jurídicas necessárias à adequação dos instrumentos já firmados a LGPD. CAPÍTULO III DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA MUNICIPAL Art. 12º. – O tratamento de dados pessoais pelos órgãos e entidades da Administração Pública Municipal deve: – Objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público; – Observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução. Art. 13º. – O tratamento de dados pessoais deve ser restrito à sua finalidade, executado de forma adequada e pelo prazo necessário. § 1º – A adequação a que se refere ocaputdeve obedecer à Política de Segurança da Informação adotada no Município. § 2º – A necessidade de armazenamento dos dados pessoais observará as obrigações legais ou judiciais de mantê-los protegidos. § 3º – Os responsáveis pelos tratamentos devem registrar as operações realizadas com dados pessoais. § 4º – O controlador deve adotar medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis no âmbito e nos limites técnicos de seus serviços, para não serem acessados por terceiros não autorizados e, sempre que possível, proceder à sua anonimização. Art. 14º. – Os órgãos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados noart. 6º da Lei Federal nº 13.709/2018. § 1º – O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública poderá ser realizado nas seguintes hipóteses: – Execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; e – Cumprir obrigação legal ou judicial. § 2º – O controlador deve manter o registro do compartilhamento dos dados pessoais para efeito de comprovação prevista no inciso VII do art. 18 da Lei Federal nº 13.709/2018. Art. 15º. – É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto: – Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527/2011; – Nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709/2018; – Quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Controlador Geral do Município para comunicação à autoridade nacional de proteção de dados; – Na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades. Parágrafo único.Em quaisquer das hipóteses previstas neste artigo: – A transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada; – As entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal. Art. 16º. – Os órgãos e entidades da Administração Pública Municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que: – Os encarregados informem à Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente; – Seja obtido o consentimento do titular, salvo: Nas hipóteses de dispensa de consentimento previstas naLei Federal nº 13.709/2018; Nos casos de uso compartilhado de dados, em que será dada a devida publicidade; Nas hipóteses do art. 13 deste Decreto. Parágrafo único – Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e o órgãos e entidades municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento. Art. 17º. – Os planos de adequação devem observar, no mínimo, o seguinte: – Publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet; – Atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos doart. 23, § 1º, e do art. 27, parágrafo único, da Lei Federal nº 13.709/2018; – Manutenção de dados para o uso compartilhado com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral; – Elaboração de inventário de dados, assim entendido o registro de operações de tratamento de dados pessoais, realizados pelo órgão ou entidade; – Elaboração do Relatório de Impacto de Proteção de Dados Pessoais, assim entendida a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos; – Elaboração de Plano de Resposta a Incidentes, assim entendido o plano de resposta para tratar ocorrências de situações que venham a lesar a segurança de dados pessoais mantidos sob a responsabilidade do órgão ou entidade; – Instrumentalização da adequação de Contratos, conforme orientações expedidas pelo Departamento Jurídico; –Implementação da utilização de Termos de Uso conforme orientações expedidas pelo Departamento Jurídico; Art. 18º. – As entidades integrantes da Administração Municipal indireta que atuarem em regime de concorrência, sujeitas ao disposto noart. 173 da Constituição Federal, deverão observar o regime relativo às pessoas jurídicas de direito privado particulares, exceto quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, nos termos doart. 24 da Lei nº 13.709/2018. CAPÍTULO IV DO ATENDIMENTO AO TITULAR DO DADO Art. 19º. – O atendimento ao titular do dado será formalizado nos canais eletrônicos de atendimento da Ouvidoria do Município e direcionado a cada órgão ou entidade competente, nos termos do inciso II do art. 7º deste Decreto. § 1º – A identificação do titular ou procurador deverá ser idônea, emitida por autoridade certificadora. § 2º – O canal de atendimento deve prover funções de registro e gerenciamento para servir ao acompanhamento dessa forma de atendimento. Art. 20º. – O atendimento ao titular poderá ser prestado de forma presencial na entidade em que os dados são encontrados, desde que haja a conferência de documento oficial e infraestrutura adequada. § 1º – Quando o titular for incapaz, o atendente deve conferir a certidão de nascimento do titular e o documento de identidade de um dos pais ou responsáveis legais. § 2º – Atestada a legitimidade do titular ou de seu procurador, o atendente coletará dados de identificação e de contato do solicitante, protocolará e transcreverá a solicitação através dos canais de atendimento da Ouvidoria do Município. § 3º – O atendimento presencial ao procurador ou curador somente será aceito através do instrumento de outorga. Art. 21º. – A Ouvidoria do Município encaminhará o atendimento ao encarregado responsável pelos dados e acompanhará sua resolutividade. § 1º – O encarregado deverá adotar as providências para apensar os dados solicitados ao atendimento. § 2º – Os dados pessoais solicitados no atendimento deverão ser entregues ao titular ou seu representante legal, através de meio eletrônico protegido ou pessoalmente. Art. 22º. – Em qualquer forma de atendimento, o encarregado observará que as informações pessoais produzidas pelo órgão ou entidade não devem ser providas quando estiverem vinculadas a tratamento sigiloso nos termos da legislação vigente. Parágrafo único – O encarregado informará o fundamento legal que fundamenta o indeferimento de entrega da informação sigilosa solicitada. CAPÍTULO V DISPOSIÇÕES FINAIS Art. 23º. – Os órgãos e entidades da Administração Pública Municipal deverão estar em conformidade com o disposto no art. 4º deste Decreto até o dia 31 de dezembro de 2025. Art. 24º. – Poderão ser expedidas normas complementares a este Decreto, conjuntamente, pela Secretaria Municipal de Administração, Comunicação e Segurança Pública e pela Procuradoria Geral do Município, aos quais compete também, em conjunto, dirimir os casos omissos. Art. 25º. – Este Decreto entra em vigor na data de sua publicação revogando disposições em sentido contrário. Registre. Publique-se e cumpra-se. Gabinete do Prefeito Municipal de Arez/RN, 10 de abril de 2025. BERGSON IDUINO DE OLIVEIRA Prefeito Municipal Publicado por: Hugo Galvão da Cunha Código Identificador:7E0697B9 <a href="http://arez.rn.gov.br/transparente/index/wp-json/wp/v2/posts?page=5&print=pdf#038;per_page=100&orderby=date&order=desc&_embed=1&status=publish" target="_blank" rel="noopener noreferrer"></a><a href="http://arez.rn.gov.br/transparente/index/wp-json/wp/v2/posts?page=5&print=print#038;per_page=100&orderby=date&order=desc&_embed=1&status=publish" target="_blank" rel="noopener noreferrer"></a>