Decreto Executivo 3.314/2022
Tipo: Decreto Executivo
Ano: 2022
Data da Publicação: 07/02/2022
EMENTA
- REGULAMENTA A APLICAÇÃO DA LEI FEDERAL Nº 13.709, DE 14 DE AGOSTO DE 2018 – LEI DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) – NO ÂMBITO DO PODER EXECUTIVO MUNICIPAL.
Integra da Norma
DECRETO Nº 3.314, DE 07 DE FEVEREIRO DE 2022.
REGULAMENTA A APLICAÇÃO DA LEI FEDERAL Nº 13.709, DE 14 DE AGOSTO DE 2018 – LEI DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) – NO ÂMBITO DO PODER EXECUTIVO MUNICIPAL.
JORGE LUIZ STOLF, Prefeito de Rio dos Cedros, Estado de Santa Catarina, no uso das atribuições legais que lhe são conferidas pela Lei Orgânica do Município promulgada em 04 de abril de 1990,
CONSIDERANDO a Lei Federal nº 13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado visando a proteção de dados pessoais;
CONSIDERANDO a necessidade de proteção da privacidade e dos dados pessoais dos cidadãos, contribuintes, terceiros, servidores, agentes políticos e demais titulares de dados; e
CONSIDERANDO a necessidade de adequar os processos, ativos, serviços e políticas públicas, do Poder Executivo Municipal, em cumprimento a norma citada:
DECRETA:
Art. 1º Este decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais – LGPD, no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências, a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais.
Parágrafo único. No âmbito do Poder Executivo Municipal e, consoante definição dos incisos VI, VII e VIII do art.5º da Lei Federal nº 13.709, de 14 de agosto de 2018, considera-se:
I. Controlador: o Município de Rio dos Cedros por intermédio dos Secretários Municipais e dos dirigentes das entidades da Administração Indireta, respeitadas suas respectivas competências e campos funcionais;
II. Operador: o(s) agente(s) público(s), no sentido amplo, que exerça(m) o tratamento de dados, bem como pessoa(s) jurídica(s) diversa(s) daquela representada pelo Controlador, que exerça(m) atividade de tratamento no âmbito de contrato ou de instrumento congênere;
III. Encarregado: o(s) agente(s) público(s), formalmente designado(s), para o desempenho da comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), bem como das demais funções previstas no art. 41 da LGPD.
Art. 2º O tratamento de dados pessoais no âmbito do Poder Executivo Municipal, deverá observar a boa-fé e ser realizado para o atendimento da finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, observado as exigências do art. 23[U1] da LGPD, e art. 3º, XI, deste Decreto[U2] , e ainda:
I. As hipóteses legais de tratamento de dados pessoais dos processos, ativos, políticas públicas e serviços, oferecidos e mantidos no âmbito do Poder Executivo Municipal, serão identificados no processo de mapeamento dos dados pessoais, nos termos dos artigos 7º[U3] , 11[U4] , 14[U5] e 23, da Lei Federal nº 13.709/2018;
II. Fica definida a Carta de Serviço ao Usuário, estabelecida pelo Decreto Municipal nº 3950 [U6] de 13 de setembro de 2021, conforme Lei Federal nº 13.460/2017, como norma regulamentadora dos documentos pessoais necessários, para acesso a cada procedimento identificado no inciso I deste artigo;
III.No tratamento de dados pessoais cujo acesso é público será sempre considerado a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização;
IV. O tratamento posterior dos dados pessoais, cujo acesso é público ou tornados manifestadamente públicos, poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.
§ 1º Excetua-se do disposto no caput deste artigo, o tratamento de dados previsto no art. 4º[U7] da Lei Federal nº 13.709, de 14 de agosto de 2018.
§ 2º Considera-se como tratamento toda operação realizada com os dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
§ 3º Qualquer hipótese de tratamento, deve considerar, além da LGPD, a legislação de arquivos públicos, regulamentada pelo CONARQ, a Lei de Acesso à Informação – LAI (Lei nº 12.527, de 18 de novembro de 2018), e outras leis e regulamentos em vigor.
§ 4º O tratamento de dados pessoais de crianças e de adolescentes deverá ser informado e assistido pelos pais ou responsáveis da criança e adolescente e ser realizado em seu melhor interesse, nos termos do art. 14 da LGPD e da legislação pertinente.
DO PROGRAMA MUNICIPAL DE ADEQUAÇÃO À
LEI GERAL DE PROTEÇÃO DOS DADOS (LGPD)
Art. 3º Fica instituído, no âmbito do Poder Executivo Municipal, o Programa Municipal de Adequação à Lei Geral de Proteção dos Dados – LGPD, definido como um conjunto de ações e boas práticas, contendo no mínimo:
I. Designação, por ato específico do Chefe do Poder Executivo, de um Encarregado de Proteção de Dados Pessoais no Município, Servidor Público Municipal, em atendimento ao art. 41[U8] da Lei Federal nº 13.709/2018.
II. Constituição, por ato específico do Chefe do Poder Executivo, de um Comitê Interdisciplinar de Proteção de Dados Pessoais (CIPDP) composto por Servidores Públicos Municipais, nos termos do art. 8º deste Decreto.
III. Realização de treinamentos de capacitação e conscientização dos Servidores Públicos Municipais;
IV. Realização de Mapeamento do tratamento de dados pessoais, de que trata o Art. 2º, I, de todos os processos, ativos, políticas públicas e serviços oferecidos e mantidos no âmbito do Poder Executivo Municipal;
V. Revisão e proposta de alterações necessárias nas políticas de privacidade, políticas e procedimentos de segurança e proteção de dados pessoais, adotadas pelo Poder Executivo.
VI. Adoção de medidas de gerenciamento de riscos no tratamento de dados pessoais, de incidentes e de riscos em Segurança da Informação, Segurança Cibernética, indicando também, os recursos tecnológicos necessários;
VII. Gerenciamento dos Termos de Consentimento das demandas recebidas dos titulares dos dados;
VIII. Adequação regulamentar e de procedimentos, quanto a aspectos legais vinculados à Proteção de Dados Pessoais;
IX. Elaboração do Relatório de Impacto a Proteção de Dados – RIPD, com base na análise de riscos;
X. Elaboração do Programa de Governança em Privacidade;
XI. Divulgar no sítio oficial do Município, informações das hipóteses de tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, nos termos do art. 23, I[U9] , da LGPD.
§ 1º A condução de todo o processo de adequação a LGPD,de que trata o caput do deste artigo, será de responsabilidade da Secretaria Municipal de Fazenda.
§ 2º Caso haja necessidade, tendo em vista a limitação de recursos humanos e de capacidade técnica, por meio do Comitê e do Encarregado, poderá ser solicitado ao Chefe do Poder Executivo, a contratação de assessoramento ou apoio técnico especializado, no processo de implantação e adequação à Lei Geral de Proteção de Dados – LGPD.
DO MAPEAMENTO DO TRATAMENTO DE DADOS PESSOAIS
Art. 4º O Mapeamento do tratamento dos dados pessoais, de que trata o art. 37[U10] da LGPD e art. 3º, IV, deste Decreto, consiste no registro das operações de tratamento dos dados pessoais, no âmbito do Poder Executivo Municipal, e deve ser realizado no prazo máximo de 06 (seis) meses, a contar da data de publicação deste Decreto, devendo demonstrar no mínimo:
I. Nome do tratamento;
II. Operador do dado;
III. Volume dos dados;
IV. Origem dos dados;
V. Titular dos dados pessoais;
VI. Classificação dos dados;
VII. Dados pessoais tratados;
VIII. Finalidade do tratamento do dado;
IX. Tipos de tratamentos;
X. Forma de armazenamento;
XI. Local de armazenamento;
XII. Período de retenção do armazenamento;
XIII. Forma de descarte;
XIV. Política do backup;
XV. Controles existentes;
XVIBase legal.
§ 1º Nas fases do ciclo de vida do tratamento dos dados pessoais com ativos organizacionais, de que trata inciso IX, deste artigo, deve-se considerar:
I. Na fase de Coleta deve-se identificar os ativos envolvidos na coleta de dados pessoais. Esses dados podem entrar na organização por algum documento, algum sistema hospedado em algum equipamento localizado em local físico do órgão público. Podem ser coletados pela prestação de algum serviço externo ou serviço prestado pelo próprio órgão público por meio de alguma de suas unidades organizacionais.
II. Na fase de Retenção, deve-se avaliar os ativos utilizados para armazenar os dados pessoais. Esses dados podem estar armazenados em bases de dados, documentos, equipamentos ou sistemas. É preciso considerar também as secretarias municipais, responsáveis pelo armazenamento e guarda dos dados, bem como os locais físicos onde estão localizados os ativos que armazenam esses dados. Se o armazenamento for em “nuvem”, por exemplo, é necessário considerar o serviço de armazenamento contratado e/ou utilizado.
III. A fase de Processamento segue a mesma linha de raciocínio das anteriores. Identifica-se os ativos onde são realizados os tratamentos dos dados. O tratamento pode ser realizado em documento, pode ser feito por um sistema interno ou contratado pelo órgão. É preciso identificar as pessoas (papeis organizacionais), unidades organizacionais e equipamentos envolvidos nesse tratamento. Onde estão localizadas fisicamente essas unidades organizacionais e os equipamentos envolvidos nesse tratamento também são importantes.
IV. Na fase de Compartilhamento é preciso mapear os ativos envolvidos na distribuição ou divulgação dos dados pessoais para dentro e para fora do órgão público. Quais sistemas são usados para transmitir, exibir ou divulgar dados pessoais? Quais pessoas são destinatárias dessas informações? Quais unidades organizacionais, quais equipamentos são usados para tal?
V. No que se refere à fase de Eliminação, nos termos do art. 16 [U11] da LGPD, deve-se avaliar os ativos que armazenam os dados pessoais que possam ser objeto de solicitação de eliminação ou descarte. Os dados pessoais a serem eliminados podem estar armazenados em ativos relacionados com bases de dados, documentos, equipamentos ou sistemas. É necessário considerar também as unidades organizacionais responsáveis pelo armazenamento e guarda dos dados que possam ser objeto de eliminação ou descarte, bem como os locais físicos onde estão localizados os ativos que contenham dados a serem eliminados ou descartados. Se a eliminação do dado pessoal ou descarte do ativo tiver relação com solução em “nuvem”, por exemplo, é preciso considerar o serviço de armazenamento contratado ou utilizado.
§ 2º Considera-se como ativos organizacionais, nos termos do § 1º, bases de dados, documentos, equipamentos, locais físicos, pessoas, sistemas, secretarias, departamentos, e, outros ativos.
§ 3º O Mapeamento de que trata o caput deste artigo, deve abranger inclusive a revisão de documentos administrativos, a exemplo de Editais, Contratos, Aditivos, Convênios, Termos de Parcerias, e outros, que envolvam dados pessoais, visando a adequação aos princípios, direitos e normas contidas na LGPD.
§ 4º Na conclusão do processo de mapeamento dos dados, de que trata o caput deste artigo, será elaborado, Relatório de Impacto de Proteção de Dados Pessoais – RIPD.
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Art. 5º O Controlador é a pessoa jurídica de direito público, Ente Federativo, Município de Rio dos Cedros responsável pelo cumprimento da Lei Geral de Proteção de Dados, e por tomar as decisões referentes ao tratamento de dados pessoais, conforme art. 5º, VI[U12] , e 39[U13] da LGPD.
Art. 6º O operador é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada, nos termos do art. 5º, VII [U14] e art. 39 da LGPD.
§1° Com base no Mapeamento do tratamento de dados pessoais, de que trata o art. 3º, IV, deste Decreto, deverá ser identificado, todos os ativos, softwares, sistemas informatizados, aplicativos e outros que, realizam o tratamento de dados pessoais, em nome do Município de Rio dos Cedros, entendidos, nos termos da LGPD, como Operadores.
§2° Contempla a revisão dos documentos administrativos, para adequação das exigências da LGPD, no âmbito do Poder Executivo, a revisão de todos os contratos, convênios, termos de parcerias ou documentos congêneres, mantidas entre o Controlador e Operadores, com inclusão de cláusulas de proteção de dados e exigência de Termos de acordos de confidencialidade e sigilo com prestadores de serviço e Terceiros.
DO ENCARREGADO E DO COMITÊ INTERDISCIPLINAR DE PROTEÇÃO DE DADOS PESSOAIS
Art. 7º A designação do servidor público que cumulará a função de Encarregado de Proteção de Dados, para os fins de atendimento do art. 41 [U15] da Lei Federal nº 13.709/2018, o art. 3º, I, deste Decreto, deverá ocorrer por ato do Chefe do Poder Executivo, no prazo de até 20 dias a contar da data de publicação deste Decreto, como responsável por garantir a conformidade do Poder Executivo Municipal à LGPD.
§ 1º A identidade e as informações de contato do Encarregado de Proteção de Dados, como canal de atendimento, devem ser divulgadas publicamente, de forma clara e objetiva, no sítio oficial do Município, em seção específica sobre tratamento de dados pessoais.
§ 2º O encarregado da proteção de dados está vinculado à obrigação de sigilo e de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 13.709 de 2018 e com a Lei Federal n° 12.527 de 2011.
§ 3º O encarregado terá liberdade na realização de suas atribuições, e, preferencialmente, qualificações profissionais considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.
Art. 8º A constituição do Comitê Interdisciplinar de Proteção de Dados Pessoais (CIPDP), de que trata o art. 3º, II, deste Decreto, deverá ocorrer no prazo de até 20 dias a contar da data de publicação deste Decreto, por ato do Chefe do Poder Executivo, com ao menos um representante de cada uma das seguintes áreas:
I. Controladoria Municipal
II. Assessoria Jurídica
III. Secretaria de Educação
IV. Secretaria de Saúde
V. Secretaria de Fazenda
§1º Compete ao Comitê Interdisciplinar de Proteção de Dados Pessoais apoiar o encarregado e deliberar, dentre outras, sobre as orientações e as diretrizes referente à proteção de dados pessoais, buscando preservar integridade, confidencialidade, disponibilidade, autenticidade, privacidade da informação e a Proteção de dados, e ainda:
I. Avaliar os mecanismos de tratamento e proteção dos dados existentes e propor políticas, estratégias e metas para a conformidade do Poder Executivo Municipal com as disposições da LGPD;
II. Realizar o mapeamento de dados no Poder Executivo Municipal, identificando o seu fluxo e os riscos inerentes;
III. Planejar e sugerir diretrizes e definições estratégicas, e supervisionar as ações e projetos relacionados à atividade de Segurança da Informação, Privacidade e Proteção de Dados no Poder Executivo Municipal;
IV.Sugerir políticas internas, protocolos de segurança, termos de confidencialidade, entre outros procedimentos para fortalecer a segurança da informação, privacidade e proteção de dados no Poder Executivo Municipal;
V. Promover campanhas de conscientização dos usuários e operadores de dados e informações;
VI. Recomendar as demais ações que o CIPDP identificar como necessárias para que o Poder Executivo Municipal atenda em sua plenitude a LGPD.
§1º O CIPDP se reunirá mensalmente para dar andamento aos trabalhos, devendo registrar seus encontros e o andamento de suas ações em documento próprio.
§2º O CIPDP contará com Facilitadores em apoio ao Encarregado, servidores responsáveis pela interlocução e comunicação entre o encarregado e todas as áreas envolvidas naquele setor, com o objetivo de estruturar a operacionalizando da proteção de dados pessoais e colaborar com as modificações necessárias que deverão ser feitas para a implementação da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados – LGPD.
DAS POLÍTICAS DE SEGURANÇA E PRIVACIDADE
Art. 9º As medidas técnicas, administrativas e de segurança, adotadas pelo Poder Executivo, nos termos do art. 46 [U16] da LGPD, devem contemplar a revisão e proposta de alterações necessárias nas políticas de privacidade e nas políticas e procedimentos de segurança, para proteção dos dados pessoais, de que trata o art. 3º, IV, deste Decreto, será realizada, com base no mapeamento do tratamento dos dados pessoais, com o objetivo de garantir a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na LGPD.
§ 1º A política de privacidade de dados pessoais, deve permanecer durante todas as fases do tratamento, que deve ser limitado quanto a quantidade de dados pessoais coletados, extensão do tratamento, período de armazenamento e acessibilidade ao mínimo necessário para a concretização da finalidade do tratamento dos dados pessoais, considerado:
I. Especificação da finalidade – os objetivos para os quais os dados pessoais são coletados, usados, retidos e divulgados devem ser comunicados ao titular dos dados antes ou no momento em que as informações são coletadas. As finalidades especificadas devem ser claras, limitadas e relevantes em relação ao que se pretende ao tratar os dados pessoais.
II. Limitação da coleta – a coleta de dados pessoais deve ser legal e limitada ao necessário para os fins especificados.
III. Minimização dos dados – a coleta dos dados pessoais que possa identificar individualmente o titular de dados deve obter o mínimo necessário de informações pessoais. A concepção de programas, tecnologias e sistemas de informação e comunicação deve começar com interações e transações não identificáveis, como padrão. Qualquer vinculação de dados pessoais e a possibilidade de informações serem usadas para identificar o titular de dados, deve ser minimizada.
IV. Limitação de uso, retenção e divulgação – o uso, retenção e divulgação de dados pessoais devem limitar-se às finalidades relevantes identificadas para o titular de dados, para as quais ele consentiu ou é exigido ou permitido por lei. Os dados pessoais serão retidos apenas pelo tempo necessário para cumprir as finalidades declaradas e depois eliminados com segurança.
§ 2º O Poder Executivo Municipal, deve manter, dentro das suas possibilidades e estágios de desenvolvimento tecnológico, reconhecida política de segurança da informação, com um definido conjunto mínimo de premissas, políticas e especificações técnicas, considerando interconexões, segurança, meios de acesso, organização e intercâmbio de informações, áreas de integração e ainda, sempre que possível, as normas:
I. ABNT NBR ISO/IEC 27001:2013. Sistemas de gestão da segurança da informação
II. ABNT NBR ISO/IEC 27002: 2013. Código de Prática para controles de segurança da informação
III. ABNT NBR ISO/IEC 27005:2019. Gestão de riscos de segurança da informação
IV. ABNT NBR ISO/IEC 31000:2018. Gestão de riscos – Diretrizes.
V. ABNT NBR ISO/IEC 27701:2019. Técnicas de segurança — Extensão da ABNT NBR ISO/ IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes.
VI. Resoluções do CONARQ.
VII.Normas emitidas pelo Poder Executivo Municipal.
RELATÓRIO DE IMPACTO A PROTEÇÃO DE DADOS PESSOAIS
Art. 10 Nos termos do art. 4º, § 4º, deste Decreto, e, art. 38 da LGPD, a elaboração dos Relatórios de Impacto a Proteção de Dados Pessoais – RIPD é de responsabilidade do Controlador, e deverão considerar os resultados apurados no mapeamento do tratamento de dados pessoais de que trata deste Decreto, e conter ainda, no mínimo:
I. a descrição dos tipos de dados coletados;
II. a metodologia utilizada para a coleta e para a garantia da segurança das informações
III.a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Parágrafo único. O Relatório de Impacto a Proteção de Dados – RIPD visa a identificação das necessidades de adequação no tratamento de dados pessoais, apontando se há desvios entre o cenário atual e as exigências da Lei Federal nº 13.709/2018, como identificação de eventuais dados pessoais que não atendam aos critérios de finalidade de processamento ou do mínimo necessário, necessidades de alteração de processos dentro de cada estrutura organizacional, entre outros, e deverá ser divulgado no sítio oficial do Município.
ELABORAÇÃO DO PROGRAMA DE GOVERNANÇA EM PRIVACIDADE
Art. 11 O Programa de Governança em Privacidade do Poder Executivo Municipal, nos termos do art. 50 da LGPD[U17] , terá como objetivo a adequação aos requisitos da LGPD, dispondo de um conjunto de atividades que serão traduzidas em ações concretas a serem atingidas, considerando ainda a estrutura organizacional do Município de Rio dos Cedros, de forma a construir uma lista de atividades que se adeque à realidade deste Ente, contendo no mínimo as seguintes atividades:
I. Treinamento e Conscientização;
II. Composição do Comitê Interdisciplinar de Proteção de Dados Pessoais e da Equipe de Proteção de Dados Pessoais;
III. Definição da Estratégia de Proteção de Dados Pessoais;
IV. Avaliação da Realidade Organizacional;
V. Elaboração dos Documentos de Privacidade;
VI. Implementação do Programa de Governança em Privacidade;
VII. Monitoramento do Programa de Governança em Privacidade.
Parágrafo único. O Programa de Governança em Privacidade deve conter ainda planos de resposta a incidentes e remediação e, políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade.
Art. 12 Fazem parte das medidas de boas práticas, todas as ações e mecanismos, nas áreas de segurança da informação, privacidade, governança, e outras, com objetivo de reduzir o risco e fomentar a cultura institucional de proteção de dados pessoais, protejendo os direitos dos titulares e atendendo os princípios e exigências da Lei Geral de Porteção de Dados – LGPD.
Art. 13 Este Decreto entrará em vigor na data de sua publicação.
Rio dos Cedros, 07 de fevereiro de 2022.
JORGE LUIZ STOLF
Prefeito de Rio dos Cedros
Este Decreto foi devidamente registrado e publicado na forma regulamentar,
aos 07 de fevereiro de 2022.
MARGARET SILVIA GRETTER
Diretora de Gabinete
[U1]Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
[U2]Divulgar no sítio oficial do Município, informações das hipóteses de tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, nos termos do art. 23, I, da LGPD.
[U3]Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
[U4]Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
[U5]Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
[U6]https://diariomunicipal.sc.gov.br/?r=site/acervoView&id=3288839
[U7]Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
[U8]Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
[U9]I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
[U10]Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
[U11]Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
[U12]VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
[U13]Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
[U14]VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
[U15]Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
[U16]Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
[U17]
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
