Política Geral de Privacidade e Proteção de Dados Pessoais
Aprovado pela Resolução nº 019, de 26 de Dezembro de 2024.
CAPÍTULO 1
DISPOSIÇÕES GERAIS
Art. 1º. Fica instituída a Política Geral de Privacidade e Proteção de Dados Pessoais, em meios físicos ou digitais, no âmbito do Poder Legislativo do Município de Nova Mamoré-RO, como parte integrante de sua estrutura normativa, que seguirá os princípios, as diretrizes e os objetivos compatíveis com os requisitos previstos na legislação brasileira, além de boas práticas e normas internacionalmente aceitas.
§ 1º A política instituída nesta resolução se aplica a qualquer operação de tratamento de dados pessoais realizada pela Câmara Municipal de Nova Mamoré, independentemente do meio ou do país onde estejam localizados os dados, desde que tenham sido coletados em território nacional.
§ 2º Os servidores, colaboradores internos e externos e quaisquer outras pessoas que realizam tratamento de dados pessoais na Câmara Municipal de Nova Mamoré se sujeitam às diretrizes, às normas e aos procedimentos previstos nesta resolução e são responsáveis por garantir a proteção de dados pessoais a que tenham acesso.
Art. 2º. Para os efeitos desta resolução, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer informação que permita identificar, direta ou indiretamente, um indivíduo;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a um indivíduo que não possa ser identificado, pois passou por algum meio técnico de tratamento para garantir sua desvinculação, direta ou indireta, a uma pessoa;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em meio físico ou eletrônico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre este, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
IX - tratamento de dados pessoais: toda operação exercida sobre dados pessoais, compreendendo a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, o processamento, o arquivamento, o armazenamento, a eliminação, a avaliação ou o controle da informação, a modificação, a comunicação, a transferência, a difusão ou a extração;
X - agentes de tratamento: o controlador e o operador;
XI - anonimização: utilização de meios técnicos razoáveis que impossibilitem que um dado seja associado, direta ou indiretamente, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI - compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais entre órgãos públicos e privados;
XVII - relatório de impacto na proteção de dados pessoais: documentação do controlador com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como das medidas e mecanismos de mitigação de risco; e
XVIII - autoridade Nacional de Proteção de Dados - ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da legislação de proteção de dados pessoais em todo o território nacional.
Art. 3º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade legítima, específica e explícita, que deverá ser informada ao titular, sendo vedado o tratamento posterior dos dados para outras finalidades e fins discriminatórios, ilícitos ou abusivos;
II - adequação do tratamento dos dados pessoais, compatível com as finalidades informadas ao titular;
III - necessidade do tratamento dos dados pessoais limitada aos objetivos para os quais serão processados, abrangendo somente os dados pertinentes, proporcionais e não excessivos, em relação à finalidade do tratamento dos dados para a qual foram coletados;
IV - garantia, ao titular, de livre acesso, de forma gratuita e facilitada, ao tratamento de seus dados pessoais;
V - garantia, ao titular, de exatidão, clareza, relevância e atualização de seus dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - garantia, ao titular, de acesso facilitado a informações claras e precisas sobre a realização do tratamento de seus dados pessoais e os respectivos agentes de tratamento;
VII - utilização de medidas técnicas e administrativas de segurança e prevenção adequadas ao tratamento e à proteção de dados pessoais nos casos de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - proibição do tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos; e
IX - responsabilização e prestação de contas dos agentes de tratamento quanto ao dever de cumprir as normas legais e regulatórias de proteção de dados pessoais.
Art. 4º. O objetivo geral desta resolução é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos de seus titulares no âmbito da Câmara Municipal de Nova Mamoré.
Parágrafo único. São objetivos específicos desta resolução:
I - assegurar níveis adequados de proteção aos dados pessoais tratados pela Câmara Municipal de Nova Mamoré;
II – orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos de proteção de dados pessoais;
III - garantir aos titulares de dados pessoais os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
IV - prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais; e
V - minimizar os riscos de violação de dados pessoais tratados pela Câmara Municipal de Nova Mamoré e qualquer impacto negativo que resulte dessa violação.
Art. 5º. São direitos do titular de dados pessoais tratados pela Câmara Municipal de Nova Mamoré:
I - confirmar a existência de tratamento;
II - acessar os dados;
III - corrigir dados incompletos, inexatos ou desatualizados;
IV - solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com as normas legais e regulatórias;
V - requisitar, de forma expressa e justificada, a portabilidade dos dados a outro órgão público;
VI - garantir a eliminação dos dados pessoais tratados com seu consentimento, exceto nas hipóteses previstas no art. 17 desta resolução;
VII - receber informação sobre o compartilhamento de seus dados pessoais;
VIII - receber informação sobre as consequências da negativa de consentimento para o tratamento de seus dados pessoais;
IX - revogar o consentimento a qualquer momento mediante manifestação expressa, ratificados e preservados os tratamentos realizados anteriormente;
X - opor-se ao tratamento de seus dados pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação;
XI - solicitar cópia eletrônica integral de seus dados pessoais com relação ao tratamento realizado com seu consentimento ou em contrato com a Câmara Municipal de Nova Mamoré; e
XII - solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.
Parágrafo único. O titular de dados pessoais poderá obter informações sobre o tratamento de seus dados e exercer os direitos previstos neste artigo a qualquer tempo, de forma facilitada e gratuita, em requisição expressa e específica, preferencialmente por meio do formulário eletrônico disponível no portal institucional na internet.
CAPÍTULO II
DOS ATORES E DAS RESPONSABILIDADES
Art. 6º. No Poder Legislativo do município de Nova Mamoré-RO, o Controlador é a Câmara Municipal de Nova Mamoré e deverá:
I - manter registro das operações de tratamento de dados pessoais;
II - elaborar relatório de impacto na proteção de dados pessoais, inclusive de dados sensíveis, relativo ao tratamento de dados; e
III - orientar os operadores quanto aos tratamentos de dados pessoais segundo instruções internas, a legislação e as regulamentações da ANPD.
Art. 7º. O encarregado é responsável por:
I - receber as reclamações e comunicações dos titulares, respondê-las e adotar providências;
II - receber as comunicações da ANPD e adotar as providências necessárias;
III - orientar todos os colaboradores da Câmara Municipal de Nova Mamoré sobre as práticas a serem adotadas em relação à proteção de dados pessoais; e
IV - executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares da ANPD.
Art. 8º. Os operadores de dados são servidores da Câmara Municipal de Nova Mamoré e prestadores de serviços contratados que por ventura realizarem o tratamento de dados pessoais em nome e por ordem do controlador.
Parágrafo único. Os operadores são responsáveis por tratar os dados pessoais de acordo com as instruções estabelecidas pelo controlador, além de manter o devido registro das ações realizadas para o tratamento desses dados.
Art. 9º. São atribuições da Comissão de Proteção de Dados e Transparência:
I - avaliar os mecanismos de tratamento e proteção de dados existentes, propor políticas, estratégias e metas para a conformidade do Poder Legislativo do Município de Nova Mamoré-RO com as disposições da Lei no 13.709, de 14 de agosto de 2018;
II - formular princípios e diretrizes para a gestão de dados pessoais e propor sua regulamentação;
III - supervisionar a execução dos planos, projetos e ações aprovados para viabilizar a implantação das diretrizes previstas na Lei no 13.709, de 14 de agosto de 2018;
IV - prestar orientações sobre o tratamento e a proteção de dados pessoais de acordo com as diretrizes estabelecidas na Lei n. 13.709, de 14 de agosto de 2018 e nas normas internas; e
V - promover o intercâmbio de informações sobre a proteção de dados pessoais com outros órgãos.
Art. 10. Os servidores e demais colaboradores vinculados a Câmara Municipal de Nova Mamoré são responsáveis por:
I - ler e cumprir integralmente os termos desta resolução e as demais normas e procedimentos de proteção da privacidade e de dados pessoais aplicáveis;
II - comunicar ao encarregado qualquer evento que viole esta resolução ou coloque em risco os dados pessoais tratados pela Câmara Municipal de Nova Mamoré; e
III - responder no âmbito da Câmara Municipal de Nova Mamoré pela inobservância da
política instituída nesta resolução e das demais normas e procedimentos legais ou regulatórios relacionados ao tratamento de dados pessoais.
Art. 11. O descumprimento das normas e dos procedimentos referentes à proteção de dados pessoais, nos termos desta resolução e da legislação, poderá acarretar, isolada ou cumulativamente, a aplicação de sanções administrativas, civis e penais, assegurados o contraditório, a ampla defesa e o devido processo legal.
Art. 12. O tratamento de dados pessoais somente poderá ser realizado, em conjunto ou isoladamente, nas seguintes hipóteses:
I - mediante o consentimento do titular;
II - para o cumprimento de obrigação legal ou regulatória;
III - para a execução de políticas públicas, incluindo o tratamento e uso compartilhado de dados;
IV - para a realização de estudos por órgão de pesquisa, assegurada a anonimização dos dados pessoais sempre que possível;
V - para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII - para a proteção da vida ou da segurança física do titular ou de terceiro;
VIII - para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender a legítimo interesse do controlador ou de terceiro;
X - para a proteção de crédito, inclusive quanto ao disposto na legislação pertinente; e
XI - para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências do serviço judicial ou cumprir suas atribuições legais.
§ 1º O consentimento para a coleta de dados pessoais deverá ser obtido de forma livre, expressa, individual, clara, específica e legítima e poderá ser revogado a qualquer momento pelo titular.
§ 2º O consentimento é dispensado para o tratamento de dados pessoais tornados manifestamente públicos pelo titular, desde que o tratamento seja realizado de acordo com a finalidade, a boa-fé e o interesse público, resguardados os direitos do titular.
Art. 13. O tratamento de dados sensíveis será realizado com o consentimento do titular ou de seu responsável legal de forma específica e destinado a finalidades específicas.
§ 1º O consentimento de que trata o caput deste artigo será dispensado:
I - nas hipóteses previstas nos incisos II a VIII do Art. 12 desta resolução; e
II - nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, para prevenir a fraude e garantir a segurança dos dados pessoais do titular, resguardados todos os direitos de privacidade e de proteção desses dados.
§ 2º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
§ 3º Quando o tratamento de dados pessoais envolver os incisos II e III do Art. 12, deverá ser dada publicidade à dispensa de consentimento.
§ 4º É vedada a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica, exceto se houver regulamentação por parte da ANPD ou nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, nos termos de legislação específica.
Art. 14. Os dados anonimizados não serão considerados dados pessoais para os fins das diretrizes previstas nesta resolução, salvo quando for revertido o processo de anonimização ao qual foram submetidos.
Parágrafo único. Para os efeitos deste artigo, a pseudonimização é o tratamento que impossibilita que um dado seja associado, direta ou indiretamente, a um indivíduo, exceto pelo uso de informação adicional.
Art. 15. O tratamento de dados pessoais de crianças e de adolescentes tem a finalidade de atender a seu melhor interesse e deverá ser realizado com o consentimento expresso e em destaque de um dos pais ou responsável legal, bem como ser específico quanto à finalidade do tratamento.
Parágrafo único. A informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos de tratamento dos dados pessoais de que trata o caput deste artigo deverá ser mantida pública.
Art. 16. O tratamento de dados pessoais deverá ser finalizado quando:
I - for alcançada a finalidade para a qual os dados foram coletados ou quando esses dados deixarem de ser necessários ou pertinentes para essa finalidade;
II - o período de tratamento chegar ao fim;
III - houver pedido de revogação do consentimento feito pelo titular, resguardado o interesse público; ou
IV - por determinação da ANPD, houver violação à Lei n. 13.709, de 14 de agosto de 2018.
Art. 17. Os dados pessoais serão eliminados após o término de seu tratamento, exceto nas seguintes hipóteses:
I - cumprimento de obrigação legal ou regulatória;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos legais de tratamento de dados pessoais; ou
IV - uso exclusivo pela Câmara Municipal de Nova Mamoré, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Art. 18. O uso compartilhado de dados pela Câmara Municipal de Nova Mamoré deverá ocorrer no cumprimento de suas obrigações legais ou regulatórias, com organizações públicas ou privadas, de acordo com a finalidade admitida na legislação pertinente, resguardados os princípios de proteção de dados pessoais.
Parágrafo único. Na prestação dos serviços de sua competência, a Câmara Municipal de Nova Mamoré compartilhará dados pessoais de acordo com a interoperabilidade de seus sistemas e serviços de tecnologia da informação, observada a norma administrativa pertinente.
Art. 19. A transferência internacional de dados pela Câmara Municipal de Nova Mamoré será realizada observando-se a política instituída nesta resolução e os termos da legislação nos seguintes casos, em conjunto ou isoladamente:
I - transferência de dados para países ou organismos internacionais com grau de proteção de dados pessoais adequado;
II - comprovação de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados pessoais, como cláusulas contratuais específicas, cláusulas padrão dos contratos, normas corporativas globais, selos e certificações regularmente emitidos;
III - cooperação jurídica internacional entre órgãos públicos de inteligência para fins de investigação;
IV - proteção da vida ou da incolumidade física do titular ou de terceiro;
V - autorização pela ANPD;
VI - compromisso assumido em acordo de cooperação internacional;
VII - execução de política pública ou de atribuição legal do serviço público;
VIII - mediante consentimento específico e em destaque do titular dos dados pessoais;
IX - cumprimento de obrigação legal ou regulatória;
X - execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e
XI - exercício regular de direitos em processo judicial, administrativo ou arbitral.
Art. 20. São atividades que deverão ser realizadas no tratamento de dados pessoais:
I - garantir ao titular a opção de permitir ou não o tratamento de seus dados pessoais, excetuando-se os casos de tratamento sem a necessidade de seu consentimento;
II - assegurar que o objetivo do tratamento de dados pessoais esteja em conformidade com esta resolução e com a legislação vigente;
III - comunicar de forma clara o tratamento de dados pessoais ao titular antes do momento em que forem coletados ou usados pela primeira vez para nova finalidade;
IV - quando forem requisitadas, fornecer ao titular explicações sobre o tratamento de seus dados pessoais;
V - limitar a coleta, o uso, a divulgação e a transferência de dados pessoais ao necessário para o cumprimento da finalidade consentida pelo titular ou da base legal específica para o tratamento sem o consentimento;
VI - reter dados pessoais apenas pelo tempo necessário para cumprir sua finalidade e posteriormente destruí-los, bloqueá-los ou anonimizá-los com segurança, observado o disposto no art. 17 desta resolução;
VII - bloquear o acesso a dados pessoais quando, expirado o período de seu tratamento e sua manutenção, for exigido pela legislação;
VIII - fornecer informações claras sobre as políticas, os procedimentos e as práticas de tratamento de dados pessoais a seus titulares;
IX - cientificar os titulares quando ocorrerem alterações significativas no tratamento de seus dados pessoais;
X - garantir aos titulares o acesso e a revisão de seus dados pessoais por meio da técnica de autenticação de identidade, desde que não haja restrição legal ao acesso ou à revisão;
XI - assegurar a rastreabilidade e a prestação de contas durante todo o tratamento de dados pessoais, inclusive daqueles compartilhados com terceiros;
XII - gerenciar eventual violação aos dados tratados, mantendo o registro de incidentes e da resposta efetuada;
XIII - adotar controles técnicos e administrativos de segurança da informação suficientes para garantir níveis de proteção adequados; e
XIV - assegurar que a elaboração e a publicação das decisões da Câmara Municipal de Nova Mamoré estejam em conformidade com a Lei n. 13.709, de 14 de agosto de 2018, no que se refere à minimização da utilização de dados pessoais.
CAPÍTULO IV
DISPOSIÇÕES FINAIS
Art. 21. A Câmara Municipal de Nova Mamoré dispõe de uma Política de Segurança da Informação que especifica e determina a adoção de um conjunto de medidas técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados e situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.
Art. 22. As normas complementares de proteção de dados pessoais deverão abranger regras de boas práticas e de governança que estabeleçam os procedimentos e as condições de organização e de funcionamento, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas e o gerenciamento de riscos.
Parágrafo único. Os termos e as condições do Aviso de Privacidade do Portal (Sítio na internet) da Câmara Municipal de Nova Mamoré deverão ser aprovados pela Presidência da Câmara e disponibilizados de forma ostensiva e acessível.
Art. 23. As diretrizes estabelecidas nesta resolução não se esgotam em razão da contínua evolução tecnológica, da alteração legislativa e do constante surgimento de novas ameaças e requisitos e poderão ser complementadas por outras medidas de segurança.