ESTADO DO RIO GRANDE DO NORTE
PREFEITURA MUNICIPAL DE AREZ
GABINETE DO PREFEITO
DECRETO N° 793/2025
O PREFEITO CONSTITUCIONAL DO MUNICÍPIO DE AREZ, ESTADO DO RIO GRANDE DO NORTE, no uso das atribuições que lhe confere a Lei Orgânica do Município, e tendo em vista o disposto na Lei Federal nº 13.709/2018:
DECRETA:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º. – Este Decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências correlatas a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais.
Art. 2º. – Para os fins deste Decreto, considera-se:
– Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
– Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
– Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
– Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;
– Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
– Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
– Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
-Encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
– Agentes de tratamento: o controlador e o operador;
– Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
– Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
– Consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
– Plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas aos incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.
Art. 3º. – As atividades de tratamento de dados pessoais pelos órgãos e entidades municipais deverão observar a boa fé e os seguintes princípios:
-Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
-Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
– Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
– Livre acesso: garantia aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
– Qualidade dos dados: garantia aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
– Transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos, comercial e industrial;
– Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
– Prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais;
– Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
– Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO II
DAS RESPONSABILIDADES
Art. 4º. – O Poder Executivo Municipal, por meio de seus órgãos e entidades, nos termos da Lei Federal nº 13.709/2018, deve realizar e manter continuamente atualizados:
– O mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
– A análise e o relatório de risco e impacto à proteção de dados pessoais;
– O plano de adequação, observadas as exigências do art. 17 deste Decreto.
Art. 5º. – Os órgãos e entidades da Administração Pública Municipal ficam designados como controlador, devendo o Prefeito Municipal indicar o seu encarregado pelo tratamento de dados, para os fins doart. 41 da Lei Federal nº 13.709/2018.
Parágrafo único. A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, em algum dos meios oficiais de divulgação do Município de Arez/RN, sendo preferencialmente no site oficial, em seção específica sobre tratamento de dados pessoais.
Art. 6º. – Compete à entidade ou ao órgão controlador:
– Aprovar, prover condições e promover ações para efetividade do Plano de Adequação de Proteção de Dados Pessoais do órgão e/ou entidade;
– Nomear encarregado para conduzir o Plano de Adequação e sua manutenção, através de ato próprio;
– Elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade; e
– Fornecer aos operadores termos de uso, manuais de instruções e treinamento dos tratamentos sob sua responsabilidade.
§ 1º – Os atos do controlador público são de responsabilidade do titular de mais alta hierarquia do órgão ou entidade.
§ 2º – A nomeação do encarregado deverá atender prerrogativas e qualificações necessárias ao exercício dessa função.
Art. 7º. – Compete ao encarregado e sua equipe de apoio:
– Gerenciar o Plano de Adequação para:
Inventariar os tratamentos do controlador, inclusive os eletrônicos;
Analisar a maturidade dos tratamentos em face dos objetivos e metas estabelecidos e do consequente risco de incidentes de privacidade;
Avaliar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
Adotar as providências cabíveis para implementar as medidas de segurança avaliadas;
Cumprir os objetivos e metas previstas no Plano de Adequação do seu órgão e/ou entidade.
– Receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, em articulação com a Ouvidoria da entidade;
– Receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais – ANPD e adotar providências;
– Orientar os funcionários e os contratados no cumprimento das práticas necessárias à privacidade de dados pessoais;
– Quando provocado, entregar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade;
– Atender às normas complementares da Agência Nacional de Proteção de Dados Pessoais;
– Informar à Agência Nacional de Proteção de Dados Pessoais e aos titulares dos dados pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um plano de respostas a incidentes.
Art. 8º. – Compete ao operador de dados pessoais e sua equipe de apoio:
– Manter registro das operações de tratamento de dados pessoais que forem realizadas;
– Realizar o tratamento de dados segundo as instruções fornecidas pelo controlador e de acordo com as normas aplicáveis;
– Adotar, em conformidade às instruções fornecidas pelo controlador, medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
– Subsidiar o controlador no intuito de dar cumprimento às solicitações, orientações e às recomendações do encarregado;
– Executar outras atribuições correlatas.
Art. 9º. – Compete à Administração Municipal:
– Orientar a aplicação de soluções de TIC (Tecnologia da Informação e Comunicação) relacionadas à proteção de dados pessoais;
– Adequar as arquiteturas e as operações compartilhadas de TIC hospedadas no datacenter e na rede corporativa às exigências daLei Federal nº 13.709/2018;
– Propor padrões de desenvolvimento de novas soluções de TIC, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução.
Parágrafo único. As arquiteturas e as operações de que trata o inciso II poderão ter seu escopo alterado por meio de acordo entre as partes responsáveis pelo compartilhamento.
Art. 10º. – Compete à Secretaria Municipal de Administração, Comunicação e Segurança Pública:
– Coordenar e orientar a rede de encarregados responsáveis pela implementação do Plano de Adequação;
– Consolidar os resultados e apoiar o monitoramento da Proteção de Dados Pessoais implementados no Município;
– Disponibilizar canal de atendimento ao titular do dado, considerando as atividades desempenhadas pela Ouvidoria Geral do Município;
– Coordenar a qualidade do atendimento ao titular do dado;
– Estabelecer sistemática de auditoria interna com vistas a aumentar e proteger o valor organizacional do Município, fornecendo avaliação, assessoria e conhecimento objetivos baseados em riscos;
– Encaminhar o atendimento ao encarregado responsável pelos dados e acompanhar sua resolutividade, nos termos do art. 19 deste Decreto;
– Produzir e manter atualizados manuais de implementação das Políticas de Proteção de Dados Pessoais Locais e modelos de documentos, bem como capacitações para os agentes públicos.
Art. 11 º. – Compete ao Departamento Jurídico do Município:
– Disponibilizar aos agentes de tratamento e ao encarregado consultoria jurídica para dirimir questões e emitir pareceres do significado e alcance da Lei Federal nº 13.709/2018;
– Disponibilizar modelos de contratos, convênios e acordos aderentes à Lei Federal nº 13.709/2018, a serem utilizados pelos agentes de tratamento;
– Disponibilizar modelo de termo de uso de sistema de informação da Administração Pública;
– Adotar as medidas jurídicas necessárias à adequação dos instrumentos já firmados a LGPD.
CAPÍTULO III
DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA MUNICIPAL
Art. 12º. – O tratamento de dados pessoais pelos órgãos e entidades da Administração Pública Municipal deve:
– Objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;
– Observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.
Art. 13º. – O tratamento de dados pessoais deve ser restrito à sua finalidade, executado de forma adequada e pelo prazo necessário.
§ 1º – A adequação a que se refere ocaputdeve obedecer à Política de Segurança da Informação adotada no Município.
§ 2º – A necessidade de armazenamento dos dados pessoais observará as obrigações legais ou judiciais de mantê-los protegidos.
§ 3º – Os responsáveis pelos tratamentos devem registrar as operações realizadas com dados pessoais.
§ 4º – O controlador deve adotar medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis no âmbito e nos limites técnicos de seus serviços, para não serem acessados por terceiros não autorizados e, sempre que possível, proceder à sua anonimização.
Art. 14º. – Os órgãos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados noart. 6º da Lei Federal nº 13.709/2018.
§ 1º – O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública poderá ser realizado nas seguintes hipóteses:
– Execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; e
– Cumprir obrigação legal ou judicial.
§ 2º – O controlador deve manter o registro do compartilhamento dos dados pessoais para efeito de comprovação prevista no inciso VII do art. 18 da Lei Federal nº 13.709/2018.
Art. 15º. – É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
– Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527/2011;
– Nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709/2018;
– Quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Controlador Geral do Município para comunicação à autoridade nacional de proteção de dados;
– Na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Parágrafo único.Em quaisquer das hipóteses previstas neste artigo:
– A transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada;
– As entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.
Art. 16º. – Os órgãos e entidades da Administração Pública Municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:
– Os encarregados informem à Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;
– Seja obtido o consentimento do titular, salvo:
Nas hipóteses de dispensa de consentimento previstas naLei Federal nº 13.709/2018;
Nos casos de uso compartilhado de dados, em que será dada a devida publicidade;
Nas hipóteses do art. 13 deste Decreto.
Parágrafo único – Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e o órgãos e entidades municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.
Art. 17º. – Os planos de adequação devem observar, no mínimo, o seguinte:
– Publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet;
– Atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos doart. 23, § 1º, e do art. 27, parágrafo único, da Lei Federal nº 13.709/2018;
– Manutenção de dados para o uso compartilhado com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral;
– Elaboração de inventário de dados, assim entendido o registro de operações de tratamento de dados pessoais, realizados pelo órgão ou entidade;
– Elaboração do Relatório de Impacto de Proteção de Dados Pessoais, assim entendida a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos;
– Elaboração de Plano de Resposta a Incidentes, assim entendido o plano de resposta para tratar ocorrências de situações que venham a lesar a segurança de dados pessoais mantidos sob a responsabilidade do órgão ou entidade;
– Instrumentalização da adequação de Contratos, conforme orientações expedidas pelo Departamento Jurídico;
–Implementação da utilização de Termos de Uso conforme orientações expedidas pelo Departamento Jurídico;
Art. 18º. – As entidades integrantes da Administração Municipal indireta que atuarem em regime de concorrência, sujeitas ao disposto noart. 173 da Constituição Federal, deverão observar o regime relativo às pessoas jurídicas de direito privado particulares, exceto quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, nos termos doart. 24 da Lei nº 13.709/2018.
CAPÍTULO IV
DO ATENDIMENTO AO TITULAR DO DADO
Art. 19º. – O atendimento ao titular do dado será formalizado nos canais eletrônicos de atendimento da Ouvidoria do Município e direcionado a cada órgão ou entidade competente, nos termos do inciso II do art. 7º deste Decreto.
§ 1º – A identificação do titular ou procurador deverá ser idônea, emitida por autoridade certificadora.
§ 2º – O canal de atendimento deve prover funções de registro e gerenciamento para servir ao acompanhamento dessa forma de atendimento.
Art. 20º. – O atendimento ao titular poderá ser prestado de forma presencial na entidade em que os dados são encontrados, desde que haja a conferência de documento oficial e infraestrutura adequada.
§ 1º – Quando o titular for incapaz, o atendente deve conferir a certidão de nascimento do titular e o documento de identidade de um dos pais ou responsáveis legais.
§ 2º – Atestada a legitimidade do titular ou de seu procurador, o atendente coletará dados de identificação e de contato do solicitante, protocolará e transcreverá a solicitação através dos canais de atendimento da Ouvidoria do Município.
§ 3º – O atendimento presencial ao procurador ou curador somente será aceito através do instrumento de outorga.
Art. 21º. – A Ouvidoria do Município encaminhará o atendimento ao encarregado responsável pelos dados e acompanhará sua resolutividade.
§ 1º – O encarregado deverá adotar as providências para apensar os dados solicitados ao atendimento.
§ 2º – Os dados pessoais solicitados no atendimento deverão ser entregues ao titular ou seu representante legal, através de meio eletrônico protegido ou pessoalmente.
Art. 22º. – Em qualquer forma de atendimento, o encarregado observará que as informações pessoais produzidas pelo órgão ou entidade não devem ser providas quando estiverem vinculadas a tratamento sigiloso nos termos da legislação vigente.
Parágrafo único – O encarregado informará o fundamento legal que fundamenta o indeferimento de entrega da informação sigilosa solicitada.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Art. 23º. – Os órgãos e entidades da Administração Pública Municipal deverão estar em conformidade com o disposto no art. 4º deste Decreto até o dia 31 de dezembro de 2025.
Art. 24º. – Poderão ser expedidas normas complementares a este Decreto, conjuntamente, pela Secretaria Municipal de Administração, Comunicação e Segurança Pública e pela Procuradoria Geral do Município, aos quais compete também, em conjunto, dirimir os casos omissos.
Art. 25º. – Este Decreto entra em vigor na data de sua publicação revogando disposições em sentido contrário.
Registre. Publique-se e cumpra-se.
Gabinete do Prefeito Municipal de Arez/RN, 10 de abril de 2025.
BERGSON IDUINO DE OLIVEIRA
Prefeito Municipal
Hugo Galvão da Cunha
Código Identificador:7E0697B9
