Art. 1º Fica instituída a Política de Proteção de Dados Pessoais - PPDP do Município de Juiz de Fora.

Art. 2º A presente Política de Proteção de Dados Pessoais (PPDP) do Município de Juiz de Fora constitui declaração formal acerca do seu compromisso com a proteção dos dados pessoais por ela tratados.

Art. 3º Esta Política estabelece as diretrizes e as responsabilidades para resguardo dos dados pessoais que venham a ser coletados, usados, armazenados, tratados e protegidos, com o objetivo de demonstrar transparência com relação aos tipos de dados que são coletados, os motivos e a forma como os titulares podem gerenciar ou excluir as suas informações pessoais, em consonância com disposto na Lei Geral de Proteção de Dados Pessoais (LGPD) e na legislação aplicável, da Autoridade Nacional de Proteção de Dados Pessoais e de demais autoridades competentes.

Parágrafo único. As disposições desta PPDP se referem a dados pessoais do meio físico ou digital, conforme indicado no artigo 1º da LGPD.

Art. 4º A PPDP deve ser lida em consonância com as obrigações previstas nos documentos abaixo relacionados e complementa o tema quando aplicável:

I - contratos e outros documentos comparáveis, que tratam das obrigações de confidencialidade em relação às informações mantidas pela Instituição;

II - políticas e normas de procedimentos de segurança da informação, assim como, termos e condições de uso, que dispõem sobre confidencialidade, integridade e disponibilidade de informações do Município de Juiz de Fora;

III - todas as normas municipais de proteção de dados que vierem a ser elaboradas e atualizadas.

Art. 5º São diretrizes da Política Municipal de Proteção de Dados Pessoais:

I - a definição de objetivos, metas e estratégias para adequação à LGPD e para elaboração, assim como, execução de programas de governança em privacidade e monitoramento de resultados;

II - o desenvolvimento contínuo do nível de maturidade no tratamento de dados pessoais;

III - o alinhamento com as políticas de segurança da informação do Município de Juiz de Fora;

IV - o alinhamento das boas práticas de transparência, de confidencialidade, de integridade, de disponibilidade e das regras definidas na Lei nº 12.527 de 2011 (Lei de Acesso à Informação - LAI) com as políticas de privacidade e as boas práticas relacionadas à proteção de dados pessoais e a prevenção de vazamentos de dados dispostas na LGPD;

V - a implementação de processos de gestão de risco pelos órgãos e pelas entidades contempladas pelo Decreto com o objetivo de determinar a adoção de boas práticas e de regras de governança associadas ao Programa de Governança em Privacidade;

VI - a manutenção da segurança jurídica e a segurança da informação dos instrumentos firmados;

VII - A proporcionalidade de medidas sobre proteção de dados, privacidade e segurança da informação;

VIII - o atendimento tempestivo, simplificado e de forma, preferencial, eletrônico relativo às demandas do titular de dados pessoais;

IX - a divulgação permanente e sensibilização dos gestores e dos servidores no que se refere à relevância da conformidade do tratamento de dados pessoais; e

X - outras diretrizes estabelecidas pelo Comitê Gestor de Proteção de Dados Pessoais.

Art. 6º A Política Municipal de Proteção de Dados Pessoais, suas normas complementares e procedimentos aplicam-se aos órgãos do Poder Executivo Municipal, devendo ser cumprida por todos os servidores ou prestadores de serviço ou que atuem em nome do Município de Juiz de Fora, em operações que envolvam o tratamento de dados pessoais, que sejam efetuadas no escopo das atividades conduzidas pelo Município de Juiz de Fora.

Art. 7º Todos aqueles mencionados no artigo anterior são responsáveis pela proteção dos dados pessoais de propriedade ou custodiados pelo Município de Juiz de Fora, e devem estar comprometidos com o cumprimento desta política, normas e procedimentos complementares.

Art. 8º Aplicam-se além da boa-fé no tratamento de dados pessoais ocorridos sob o controle do Município de Juiz de Fora, todos os princípios indicados no art. 6º da LGPD.

Parágrafo único. Aplicam-se ainda outros princípios constitucionais que regem a Administração Pública.

Art. 9º Para os fins deste Decreto considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal referente à origem ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado sobre saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, entre outros;

III - dado anonimizado: dado relacionado a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões relacionadas ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que efetua o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;

IX - agentes de tratamento: controlador e operador;

X - tratamento: toda operação efetuada com dados pessoais, como as que se referem à coleta, à produção, à recepção, à classificação, à utilização, ao acesso, à reprodução, à transmissão, à distribuição, ao processamento, ao arquivamento, ao armazenamento, à eliminação, à avaliação ou ao controle de informação, à modificação, à comunicação, à transferência, à difusão ou à extração;

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por intermédio dos quais um dado perde a possibilidade de associação direta ou indireta, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, por meio de guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - Relatório de Impacto de Proteção de Dados - RIPD: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais, que podem causar riscos às liberdades civis e aos direitos fundamentais, assim como, medidas, salvaguardas e mecanismos de mitigação de riscos.

Art. 10.  O tratamento de dados pessoais pelo Município de Juiz de Fora é efetuado para o atendimento de sua finalidade pública, na persecução do interesse público, com o intuito de executar suas competências legais ou cumprir as atribuições legais do serviço público, nos termos do disposto no artigo 23, da LGPD.

Art. 11.  A realização de operações de tratamento de dados pessoais pelo Município de Juiz de Fora poderá ser efetuada:

I - mediante o fornecimento de consentimento pelo titular de dados pessoais;

II - para o cumprimento da obrigação legal ou regulatória;

III - para a realização de estudos por órgãos de pesquisa;

IV - quando necessário para a execução de contrato ou de procedimentos preliminares referentes a contrato do qual seja parte o titular de dados pessoais;

V - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VI - para a proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;

VII - para a tutela de dados de saúde, exclusivamente, em procedimentos efetuados por profissionais de saúde, serviços de saúde ou autoridade sanitária, nos termos do disposto no art. 7º, inc. VIII, da LGPD.

§ 1º A hipótese disposta no item I será de uso extraordinário, sendo empregada somente nas eventuais atividades que ultrapassem o escopo da função legal ou regulatória pelo Município de Juiz de Fora, resguardados os direitos do titular.

§ 2º Nos casos em que o consentimento for requerido, esse será considerado nulo se as informações fornecidas ao titular tiverem conteúdo enganoso ou abusivo ou não tiverem sido apresentadas de forma prévia com transparência, de maneira clara e inequívoca, de acordo com o arts. 8º e 9º, da LGPD.

§ 3º O titular tem o direito de negar ou revogar o consentimento fornecido ao Município de Juiz de Fora, o que pode encerrar a consecução dos serviços referentes a essa base legal de tratamento de dados pessoais.

§ 4º O tratamento de dados pessoais disposto no inc. II é o principal fundamento para o tratamento de dados no âmbito da instituição, sendo determinante que cada operação seja passível de correspondência com autorização normativa determinada.

§ 5º A hipótese disposta no inc. III, aplica-se às operações de tratamento de dados pessoais relacionados com pesquisas institucionais, estabelecidas nos moldes dos atos normativos internos do Município de Juiz de Fora, garantida, sempre que possível, a anonimização de dados pessoais.

Art. 12.  Qualquer tratamento de dados pessoais no âmbito do Município de Juiz de Fora deve ser realizado considerando as melhores práticas administrativas, os cuidados necessários para alcançar a finalidade legal, assim como, os direitos dos titulares.

Art. 13.  A coleta de dados pessoais deve se ater ao que for necessário e essencial para a atuação administrativa ou prestação do serviço requerido.
Parágrafo único. Deve-se evitar ainda, a coleta de dados que já estejam no poder do Município de Juiz de Fora.

Art. 14.  O Município de Juiz de Fora reconhece que o tratamento de dados pessoais sensíveis representa maior risco ao titular do dado e, portanto, assume o compromisso de adotar cuidados especiais para garantir a proteção dos dados pessoais de acessos não autorizados.

Art. 15.  O tratamento de dados relacionados à criança e adolescentes também deve ser feito com cuidados especiais e deve respeitar o disposto no art. 14, da LGPD.

Art. 16.  O compartilhamento de dados pessoais pelo Município de Juiz de Fora apenas será permitido para o cumprimento de suas obrigações legais ou para atendimento de políticas públicas aplicáveis, em observância do princípio da necessidade e da segurança, assim como, o tratamento de dados pessoais deve ser alinhado ao desenvolvimento de atividades autorizadas pela municipalidade.

Art. 17.  O Município de Juiz de Fora, apenas poderá realizar o compartilhamento dos dados pessoais nas seguintes hipóteses:

I - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

II - entre órgãos e entidades públicas, respeitados os princípios de proteção de dados pessoais dispostos no art. 6º, da LGPD e legislação correlata;

III - entre entidades privadas e pessoa jurídica de direito público, será informado à Autoridade Nacional de Proteção de Dados e dependerá do consentimento do titular do dado pessoal, salvo, nos casos indicados nos arts. 26 e 27 da LGPD.

Parágrafo único. Caso o Município de Juiz de Fora necessite comunicar ou compartilhar dados pessoais com outros controladores deverá obter o consentimento específico do titular para esse fim, salvo as hipóteses de dispensa de consentimento, previstas em lei.

Art. 18.  O Município de Juiz de Fora é o Controlador dos dados pessoais por ele tratados, nos termos das suas competências.

Art. 19.  Compete ao Controlador:

I - indicar o encarregado pelo tratamento de dados pessoais, nos termos do art. 41, da LGPD;

II - manter o registro das operações de tratamento de dados pessoais que efetuarem, principalmente, quando baseado no legítimo interesse;

III - elaborar relatório de impacto à proteção de dados pessoais, inclusive, de dados sensíveis, referente a suas operações de tratamento de dados pessoais, nos termos de regulamento, considerados os segredos comercial e industrial;

IV - disseminar a cultura de proteção de dados;

V - efetuar consultorias, capacitações e outras ações para apoiar os órgãos na adequação à LGPD;

VI - garantir a proteção, a integridade, a disponibilidade, a confidencialidade e a autenticidade dos dados pessoais sobre sua guarda;

VII - aprovar normas que auxiliem na disseminação das boas práticas;

VIII - comprovar que o consentimento do titular atende ao disposto no art. 8º, § 2º, da LGPD;

IX - comunicar à Autoridade Nacional de Proteção de Dados a ocorrência de incidente de segurança, que possa causar risco ou dano relevante aos titulares, nos termos do art. 48, da LGPD.

Art. 20.  Compete ao Operador:

I - manter o registro das operações de tratamento de dados pessoais que forem efetuadas;

II - efetuar o tratamento de dados de acordo com as instruções fornecidas pelo controlador e com base nas normas aplicáveis;

III - adotar de acordo com as instruções fornecidas pelo controlador, medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas que causem a destruição, a perda, a alteração, a comunicação ou qualquer forma de tratamento inadequado ou ilícito;

IV - subsidiar o controlador com o objetivo de dar cumprimento às solicitações, às orientações e às recomendações do encarregado;

V - executar outras atribuições relacionadas.

Art. 21.  O encarregado pelo tratamento de dados pessoais será designado dentre os servidores efetivos do Município de Juiz de Fora, por intermédio de Portaria emitida pelo (a) Chefe do Executivo Municipal.

Parágrafo único.  A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de maneira clara e objetiva, especialmente, no sítio eletrônico do controlador, nos termos do art. 41, § 1º, da LGPD.

Art. 22 Compete ao encarregado:

I - receber as comunicações e as reclamações dos titulares, assim como, prestar esclarecimentos e adotar providências;

II - receber as comunicações da Autoridade Nacional de Proteção de Dados Pessoais e adotar providências;

III - orientar os funcionários e os contratados da entidade no que se refere às práticas a serem adotadas em relação à proteção de dados pessoais;

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas por normas complementares;

V - monitorar o cumprimento das legislações de proteção de dados pessoais aplicáveis, com base nas políticas do Município de Juiz de Fora;

VI - atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados;

VII - orientar os destinatários da Política de Proteção de Dados do Município e acompanhar o tratamento de dados referente à eliminação dos dados pessoais;

VIII - auxiliar em auditorias ou qualquer outra medida de avaliação e monitoramento envolvendo a proteção de dados pessoais;

IX - atender às normas complementares da Autoridade Nacional de Proteção de Dados.

Parágrafo único. Cabe ao Controlador aparelhar o encarregado com ferramentas, autoridade e capacitações necessárias ao desempenho de suas atividades.

Art. 23.  Deve ser garantido ao Encarregado, pela autoridade máxima do órgão ou de entidade ao qual está vinculado:

I - acesso aos dirigentes do órgão ou de entidade a que está vinculado;

II - apoio dos setores jurídico, tecnológico, de controle interno do órgão ou de entidade e da ouvidoria para o desempenho de suas funções;

III - acesso motivado as operações de tratamento de dados pessoais no âmbito do órgão ou entidade;

IV - capacitação permanente em temas relevantes para o desempenho de suas competências, como os definidos no art. 22 deste Decreto.

Art. 24.  Fica instituído o Comitê Gestor de Proteção de Dados Pessoais do Município de Juiz de Fora, com o intuito de avaliar as ações de tratamento de dados com relação à adequação à LGPD, nos termos do Decreto Municipal nº 15.140, de 1º de abril de 2022.

Art. 25.  O titular do dado pessoal trata-se de pessoa natural a quem se referem os dados pessoais que são objetos de tratamento.

Parágrafo único. As atividades de tratamento de dados pessoais devem observar os princípios da finalidade, da adequação, da necessidade, do livre acesso, da qualidade dos dados, da transparência, da segurança, da prevenção, da não discriminação, da responsabilização e da prestação de contas, dispostos no art. 6º e incisos, da LGPD.

Art. 26.  O Município de Juiz de Fora reforça o compromisso e zela para que o titular do dado pessoal possa usufruir dos seus direitos.

Art. 27.  O titular dos dados pessoais tem o direito de obter do Município de Juiz de Fora, em relação aos dados por ele tratados, a qualquer momento e por intermédio de requisição:

I - direito de confirmar a existência de operações de tratamento relativo aos seus dados pessoais a qualquer momento;

II - direito de acesso aos seus dados pessoais que são mantidos pelo Município de Juiz de Fora;

III - direito de alterar ou corrigir o seu dado pessoal que estiver incompleto, inexato ou desatualizado. O Município de Juiz de Fora poderá solicitar documentação comprobatória da respectiva alteração;

IV - direito de eliminação de dados pessoais tratados com o seu consentimento, exceto nas hipóteses previstas no art. 16, da LGPD;

V - direito de solicitar a qualquer momento a suspensão de tratamento ilícito de dados pessoais, que tenham sido reconhecidos como desnecessários, excessivos ou tratados em desconformidade com as disposições da LGPD;

VI - direito à portabilidade dos dados a outro fornecedor de serviço ou de produto, por meio de requisição expressa por meio de protocolo formal - Plataforma Prefeitura Ágil, considerando a regulamentação da Autoridade Nacional de Proteção de Dados (ANPD), observados os segredos comercial e industrial, assim como, os limites técnicos de sua infraestrutura;

VII - direito à revogação do consentimento, mediante manifestação expressa do titular, por meio de protocolo formal - Plataforma Prefeitura Ágil.

Parágrafo único. É imprescindível que a verificação da identificação do titular do dado seja confirmada pelo Município de Juiz de Fora antes do atendimento de qualquer solicitação realizada pelo titular do dado.

Art. 28.  O Plano de Conformidade às Leis de Proteção de Dados Pessoais é o documento elaborado pelo Comitê Gestor de Proteção de Dados Pessoais do Município de Juiz de Fora com a finalidade de concretizar as atribuições descritas neste Decreto.

Art. 29.  O Plano de Conformidade às Leis de Proteção de Dados Pessoais objetiva garantir o compromisso do Município de Juiz de Fora em zelar pelo tratamento adequado dos dados pessoais, reforçando o seu comprometimento com boas práticas de privacidade e proteção de dados pessoais.

Art. 30.  O Plano de Conformidade às Leis de Proteção de Dados Pessoais deverá conter, no mínimo, uma avaliação do estado de implementação das normas referentes à proteção de dados pessoais no âmbito do Município de Juiz de Fora, assim como, a descrição das ações a serem tomadas pelo controlador, para o aprimoramento da adequação e, ainda, as ações que o Comitê objetiva efetuar no ano.

Art. 31.  As normas de segurança da informação e prevenção contra incidentes de dados pessoais estarão contidas na Política de Segurança da Informação do Município de Juiz de Fora e nas normativas e documentos correlatos ao tema.

Art. 32.  A prevenção da violação de dados é de responsabilidade de todos.

Art. 33.  É dever de todos os servidores comunicarem ao Encarregado sempre que verificarem suspeitas de irregularidade em relação às atividades de tratamento de dados pessoais ou de ocorrência efetiva das seguintes condutas:

I - tratamento de dados pessoais sem autorização do Município de Juiz de Fora na finalidade das atividades que realiza;

II - operação de tratamento de dados pessoais efetuada sem base legal que a justifique;

III - operação de tratamento de dados pessoais que seja efetuada em desconformidade com a Política de Segurança da Informação do Município de Juiz de Fora, com os normativos internos e demais documentos correlatos;

IV - eliminação, alteração ou destruição não autorizada pelo Município de Juiz de Fora de dados pessoais de plataformas digitais ou de acervos físicos;

V - qualquer outra violação desta Política de Proteção de Dados ou de qualquer um dos princípios de proteção de dados dispostos no art. 6º da LGPD.

Art. 34.  O Encarregado e o Comitê Gestor de Proteção de Dados Pessoais - CGPD definirão os procedimentos e mecanismos de fiscalização do cumprimento da política de segurança.

Art. 35.  Denúncias ou reclamações sobre ilegalidades no tratamento de dados pessoais ou incidente de segurança que possa acarretar risco ou dano relevante aos titulares, devem ser recebidas pelo Encarregado de dados pessoais do Município de Juiz de Fora, que apoiado pelo Comitê Gestor de Proteção de Dados Pessoais, tomará as seguintes providências:

I - notificar à Autoridade Nacional de Proteção de Dados - ANPD;

II - notificar o Controlador do Município de Juiz de Fora;

III - notificar o titular do dado;

IV - notificar ao órgão responsável para abertura de processo de sindicância ou processo administrativo disciplinar;     

V - identificar o impacto do dano ou da violação à legislação de proteção de dados pessoais e elaborar medidas técnicas para a proteção de dados pessoais, caso sejam necessárias.

Parágrafo único. O canal institucional para recebimento de denúncias ou reclamações é a Ouvidoria da Controladoria Geral do Município, em que as demandas são peticionadas de forma presencial na Ouvidoria Geral do Município ou digital por meio do Portal Oficial da Prefeitura de Juiz de Fora.

Art. 36.  É vedado aos agentes que efetuarem tratamento de dados em nome do Município de Juiz de Fora a utilização de dados pessoais para fins particulares, transferência de dados para terceiros não autorizados ou conceder acesso de qualquer outra forma imprópria para pessoas não autorizadas.

Parágrafo único. A inobservância da presente Política de Proteção de Dados Pessoais acarretará a apuração das responsabilidades dispostas nas normas internas do Município de Juiz de Fora e na legislação em vigor, podendo existir responsabilização penal, civil e administrativa.

Art. 37.  A presente Política deverá ser revisada e atualizada periodicamente a cada no máximo dois anos ou quando houver alteração substancial na legislação.

Art. 38.  Independentemente da revisão ou da atualização desta Política de Proteção de Dados Pessoais, deverá ser elaborado no mínimo anualmente um Plano de Gestão de Riscos relacionados à proteção de dados pessoais para subsidiar a realização de Relatório de Impacto de Proteção de Dados Pessoais, identificando vulnerabilidades e Planos de Ação.

Art. 39. As solicitações de informações pelos titulares, os pedidos voluntários de revogação do consentimento ou de eliminação de dados onde existiu consentimento, deverão ser efetuados por intermédio dos meios de comunicação formal do Município - Plataforma Prefeitura Ágil - Módulo Protocolo, e deverão ser encaminhados ao Encarregado do Município de Juiz de Fora.

Art. 40.  Este Decreto entra em vigor na data de sua publicação.