Institui a Política Geral de Privacidade e Proteção de Dados Pessoais no âmbito do Poder Executivo de Magalhães de Almeida- MA. 

O PREFEITO MUNICIPAL DE MAGALHÃES DE ALMEIDA, ESTADO DO MARANHÃO, no uso de suas atribuições que lhe são conferidas por Lei, FAÇO SABER que a Câmara Municipal de Vereadores aprovou e eu SANCIONO a seguinte Lei:

CAPÍTULO I – DAS DISPOSIÇÕES PRELIMINARES

Art. 1° – Fica instituída a Política de Proteção de Dados Pessoais do Poder Executivo do Município de Magalhães de Almeida – MA, conjunto de normas, diretrizes e ações para que seja desenvolvida e integrada a Lei N° 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), no âmbito desta municipalidade.

Parágrafo Único: A política instituída deverá em conformidade com a Lei Federal, observar a boa fé e os seguintes princípios:

I- Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com a finalidade pretendida;

II- Adequação; compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III- Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV-  Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V- Qualidade dos dados: garantia aos titulares, da exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o comprimento da finalidade de seu tratamento;

VI- Transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial e a observância da Lei nº 12.527/2011- Lei de Acesso à Informação – LAI.

VII- Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII- Prevenção adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX- Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X- Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 2° – Para os fins desta Lei, considera-se:

I – Dado pessoal: Informação relacionada à pessoa natural identificada ou identificável;

II – Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III – Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de melos técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV- Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V – Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;

VI – Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento dedados pessoais;

VII – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII – Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX – Agentes de tratamento: o controlador e o operador;

X – Tratamento, toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um individuo;

XII- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII- Bloqueio: suspensão temporária de qualquer operação de tratamento, do dado pessoal ou do banco de dados;

XIV- Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV- Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI- Uso compartilhado de dados comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVII-  Relatório de Impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XVIII-  Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as Leis brasileiras, com sede e foro no país, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

XIX- Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar a cumprimento desta Lei em todo o território nacional.

Art. 3° – São diretrizes desta Política de Proteção de Dados:

I.  Esta Política estabelece diretrizes para o tratamento de dados pessoais pelo Poder Executivo município de Magalhães de Almeida – MA, garantindo a conformidade com a Lei Geral de Proteção de Dados, sempre no intuito de promover a transparência e proteger os direitos dos titulares de dados.

II. As regras de boas práticas e governança estabelecidas pelo controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
III. O atendimento simplificado das demandas de cidadão.
IV. O alinhamento e o equilíbrio com a promoção da transparência pública.

CAPÍTULO II – DAS RESPONSABILIDADES

Art. 4°- O Poder Executivo, nos termos da Lei federal n° 13.709/18, deve realizar e manter continuamente atualizados:

I.  Mapeamento dos dados pessoais existentes e dos fluxos dedados pessoais nesta unidade;

II. Análise de risco;

III. Relatório de impacto à proteção dos dados pessoais, quando solicitado;

IV. O plano de adequação;

V. Nomeação de um Encarregado de Dados Pessoais;

VI. Formação de um Comitê Gestor de Privacidade e Proteção de Dados;

Art. 5° – Será o Poder Executivo de Magalhães de Almeida, controladora de dados, e deverá:

I.  Manter registro das operações de tratamento de dados pessoais;

II. Elaborar Relatório de Impacto na proteção de dados pessoais, inclusive de dados sensíveis;

III. Orientar os operadores quanto aos tratamentos de dados pessoais segundo instruções internas, à legislação e as regulamentações da ANPD.

Art. 6º – O Encarregado é responsável por:

I- Receber as reclamações e comunicações dos titulares, respondê-las e adotar providências, nos prazos fixados em Lei.

II- Receber as comunicações da Autoridade Nacional em Proteção de Dados e adotar as providências necessárias;

·       Promover treinamentos e boas práticas de proteção de dados a todos os colaboradores do Poder Executivo Municipal;

·       Executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares da Autoridade Nacional em Proteção de Dados.

Art. 7° – Os operadores de dados são os prestadores de serviços contratados que realizam o tratamento de dados pessoais em nome e por ordem do controlador.

Art. 8°- Os servidores e demais colaboradores vinculados ao Poder Executivo de Magalhães de Almeida são responsáveis por:

I. Ler e cumprir de forma integral os termos desta Lei, e das demais normas e procedimentos de proteção de dados aplicáveis, instituídas pelo Poder Executivo Municipal.

II. Comunicar ao Encarregado qualquer tipo de evento que viole esta Lei ou coloque em risco os dados pessoais tratados por este Poder Executivo.

III. Responder no âmbito do Poder Executivo pela inobservância da política instituída, nesta Lei e nas demais normas e procedimentos legais ou regulatórios relacionados ao tratamento de dados pessoais.

Art. 9° – O descumprimento das normas e dos procedimentos legais desta Lei e da Legislação Federal de Proteção de Dados Pessoais, poderá acarretar, de forma isolada ou cumulada, as aplicações de sansões administrativas, pela Autoridade Nacional de Proteção de Dados-ANPD, bem como sanções administrativas internas.

Art. 10 – Deverá ser instituído Comitê Gestor de Privacidade que deverá ter as seguintes atribuições: São atribuições do Comitê Gestor de Privacidade e Proteção de Dados Pessoais:

I – Executar o Programa de Proteção de Dados, de acordo com a Lei Geral de Proteção de Dados e submeter à aprovação os documentos concernentes à gestão do Programa, como:

a) Política de Proteção de Dados;

b) Termos de Uso;

c) Política de Cookies para site dos Órgãos do Poder Executivo Municipal;

d) Política de Segurança da Informação;

e) Política de Descarte de Dados Pessoais;

f) Aviso de Privacidade;

g) Gestão de conformidade de fornecedores e prestadores de serviços;

h) Execução dos Direitos dos Titulares;

i) Governança de dados e de processos de tratamento;

j) Acompanhar mudanças regulatórias e setoriais sobre o tema;

k) Validar o Relatório de Impacto de Proteção de Dados Pessoais;

l) ofertar parecer sobre privacidade e proteção de dados pessoais nos casos em que for consultado pelo Encarregado de Dados;

m) formular propostas de aprimoramento da Política de Privacidade e Proteção de Dados;

n) deliberar sobre as propostas de alteração da Política de Privacidade e Proteção de Dados do Poder Executivo Municipal.

CAPÍTULO III – DO TRATAMENTO DE DADOS

Art. 11 – O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I- Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II- Sem fornecimento de consentimento do titular, nas hipóteses em que for Indispensável para:

a) Cumprimento de obrigação legal ou regulatória pelo controlador;

b) Tratamento compartilhado de dados necessários à execução, pela administração pública, de politicas públicas previstas em leis ou regulamentos;

c) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) Exercício regular de direitos, Inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei n° 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

e) Proteção da vida ou da incolumidade física do titular ou de terceiros;

f) Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9° desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

§1° – Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

§2° – Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput artigo, será dada publicidade à referida dispensa de consentimento.

Art. 12 – Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

§1° – A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.

§2° – Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

Art. 13 – O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.

§1º – O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico dado por pelo menos um dos pais ou pelo responsável legal.

§2° – No tratamento de dados de que trata o § 1° deste artigo, os controladores deverão manter pública a informação sobre os tipos dedados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 da Lei Geral de Proteção de Dados Pessoais.

§3° – Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1° deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1° deste artigo.

§4º – As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Art. 14 – O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

I – Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

III-  Fim do período de tratamento e compatibilidade com o cumprimento da Lei nº 12.527/2011 – Lei de Acesso à Informação – LAI.

IV- Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5° do art. 89 desta Lei, resguardado o interesse público e a observância de Lei ou Decreto federal autorizativo. Determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

Art. 15 – Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I. Cumprimento de obrigação legal ou regulatória pelo controlador;

II. Uso exclusivo do controlador, vedado seu acesso por terceiro.

III. Outras hipóteses autorizadas por Lei.

CAPÍTULO IV – DO ATENDIMENTO AO TITULAR

Art. 16 – O atendimento ao titular do dado, será prestado de forma presencial, na sede do Poder Executivo, ou de forma eletrônica pelos meios públicos de comunicação, através do E-mail: prefeitura.magdealmeida@gmail.com.

Art. 17 – o atendimento ao titular deverá ser prestado desde que haja a conferência física da pessoalidade entre o solicitante da informação e o titular do dado pessoal, mediante conferência de documento oficial.

§1° – Quando o titular for incapaz, o atendente deve conferir a Certidão de Nascimento do titular e o documento de identidade de um dos pais ou responsáveis legais.

§2° – O atendimento presencial ao procurador ou curador somente será aceito através do instrumento de outorga.

Art. 18 – Esta Lei entra em vigor na data de sua publicação. Revogam-se as disposições em contrários.

Palácio Benedito Lima e Silva, Gabinete do Prefeito Municipal de Magalhães de Almeida, Estado do Maranhão, em 01 de julho de 2025. RAIMUNDO NONATO CARVALHO, Prefeito Municipal