Baixe os Projetos

Aqui você encontra o modelo padrão do projeto e mais as versões apresentadas às câmaras de vereadores

Modelo do PL de Proteção de Dados Pessoais (docx)

PL apresentado em São Paulo (PL 807/2017 .pdf)

PL apresentado em Campinas (PL 297/2017 .pdf) acompanhe a tramitação aqui

Justificativa

Contextualização: sociedade e economia movida por dados

Desde 1980, a Organização para a Cooperação e Desenvolvimento Econômica destacava a importância dos dados pessoais para a economia e o planejamento ordenado da sociedade.1 Suas diretrizes sobre a matéria vieram a influenciar diversas legislações sobre proteção de dados pessoais ao redor do mundo2, com o objetivo de, ao haver uniformidade normativa, garantir o livre fluxo de dados para o progresso socioeconômico.

Com o avanço das tecnologias de informação de comunicação experimentado desde então, o diagnóstico de quase quatro décadas atrás encontra alta ressonância no que se convencionou a chamar atualmente de data-driven-economy e data-driven-society.3 Ambas as locuções pontuam justamente o papel de centralidade que a inteligência, gerada a partir do processamento de dados, exerce sobre a sociedade e a economia atual, orientando-as.

Contextualização no nível local-municipal: cidades inteligentes

Isso se faz sentir especialmente na agenda das chamadas cidades inteligentes. 4 Com a possibilidade dos objetos do cotidiano do cidadão se transformarem em sensores capazes de registrar os seus movimentos, hábitos e tendências, somado a “digitalização” dos serviços públicos, os seus registros (dados) podem ser convertidos em informação para a formulação de políticas públicas e a eficiência dos serviços públicos.

Por exemplo, os meios de transporte e parte da população com acessos a “smart phones” poderiam fornecer dados de geolocalização para melhorar a mobilidade urbana. Os semáforos poderiam estar sincronizados ao deslocamento dos veículos e das pessoas para desafogar e represar, respectivamente, as vias com maior e menor tráfego.5

Ainda, a “digitalização” dos serviços públicos permitiria observar as suas respectivas eficiências e deficiências para otimizá-los. Na saúde, por exemplo, a coleta e o processamento de dados dos usuários do sistema se converteriam em diagnóstico e prognóstico da própria saúde pública. Por exemplo, observar quando se dá o “pico” de um determinado tipo de doença informaria quando devem ser tomadas ações para tratá-la mais eficientemente.1

Em suma, cada vez mais a relação entre munícipe e município tende a ser intermediada pela coleta e processamento de dados. Essa nova fronteira reclama a arquitetação de novos direitos e deveres. Uma lei que pontue as garantias e obrigações para que esse fluxo informacional promova de fato uma melhoria na vida do cidadão e, ao final, seja nutrida e preservada a sua confiança junto à administração municipal.

Lei Municipal de Proteção de Dados Pessoais: assunto de interesse local

É, nesse contexto, que se encaixa uma lei municipal de proteção de dados pessoais. Ela regulará a coleta e o tratamento de dados por parte da gestão municipal que tem reflexos na vida do munícipe. Trata-se de um assunto de “interesse local” que está alinhado à competência legislativa dos municípios atribuída pela Constituição Federal.2

Aliás, esse movimento na esfera municipal é complementar ao que vem sendo feito no Congresso Nacional. No âmbito do legislativo federal, há, atualmente, três projetos de leis3 que dispõem sobre o tratamento de dados pessoais dentro do escopo da competência legislativa atribuída à União.4

Isso reforça a necessidade do legislativo municipal estar em sincronia com o Parlamento brasileiro, de sorte que o cidadão e os respectivos entes da federação tenham um norte legal para orientar e catalisar confiança nesse nova fronteira de suas relações.

Uma lei municipal de proteção de dados pessoais se debruça sobre todos os aspectos da relação entre munícipe e município que seja impactado pelo tratamento de dados pessoais. Das bases de dados de um serviço público, passando pelas políticas de abertura de dados para fins de transparência pública ao uso de dados para orientar a formulação de políticas públicas no Município.

Para que as informações sejam utilizadas com transparência e para fins legítimos, estabelecendo-se um conjunto de princípios e regras que assegurem ao cidadão controle sobre seus dados e, por parte do Município, parâmetros para que deles se possa beneficiar na gestão pública. Essa lei tem, portanto, uma dupla função: proteger o cidadão-titular dos dados e, simultaneamente, favorecer o seu uso pelos agentes responsáveis ao franquear segurança jurídica para tal propósito.

Atenção especial é voltada à interconexão de base dados na esfera da administração pública, a fim de se garantir que o dado pessoal seja utilizado dentro das legítimas expectativas do seu titular. Da mesma forma, na situação em que parcerias público-privadas se dirigem ao tratamento de dados do munícipe para a prestação de serviços públicos ou para a formulação de políticas públicas.

O conjunto de normas disposto traça um sistema de governança sobre todo o ciclo de vida dos dados pessoais do munícipe, sendo neutra tecnologicamente para ser atemporal e estar em sinergia com os avanços contínuos da tecnologia da informação. Por exemplo, o princípio da segurança determina a adoção das medidas técnicas e administrativas para garantir a integridade-inviolabilidade dos dados, em um contexto onde têm sido recorrentes os “vazamentos” de base de dados por alguns dos municípios brasileiros.5

Além disso, propõe-se a criação de um Conselho Municipal de Proteção de Dados Pessoais, composto por representantes do poder público, setor privado, academia, comunidade técnica e organizações não-governamentais. Com isso, há um arranjo institucional que permite a todos os atores interessados subsidiarem e participarem das ações da gestão pública-municipal sobre os dados pessoais de seus munícipes.

A consolidação de uma lei municipal de proteção de dados pessoais é fundamental para assegurar ao cidadão controle e transparência em relação ao tratamento de suas informações pessoais e, por outro lado, segurança jurídica para a administração pública deles se valer para tornar mais eficiente sua gestão. Cidades somente serão realmente inteligentes, se responderem6 a ambos os propósitos.

1 Veja-se, entre outros, o relatório da Casa Branca sobre “Big Data and privacy: a technological perspective”: < https://obamawhitehouse.archives.gov/blog/2014/05/01/pcast-releases-report-big-data-and-privacy>.

2Ver anexo 1: Do Papel do município.

3 Os PLs nº 330/2013 (Senado), 5276/2016 (Executivo) e 4060/2012 estão sendo discutidos no Legislativo Federal. Um comparativo entre tais iniciativas legislativas foi feito por: BIONI, Bruno Ricardo. Xeque-mate: o tripé de proteção de dados pessoais no xadrez das iniciativas legislativas no Brasil. Disponível em: < http://www.academia.edu/28752561/Xeque-Mate_o_trip%C3%A9_de_prote%C3%A7%C3%A3o_de_dados_pessoais_no_xadrez_das_iniciativas_legislativas_no_Brasil>

4 Nesse sentido, o projeto de lei regula o setor privado por ser da competência da União legislar sobre relações civis (Artigo 22, inciso I, da CF).

5 Veja-se, por exemplo, a exposição de dados pessoais do sistema único de saúde no Município de São Paulo: <http://www1.folha.uol.com.br/cotidiano/2016/07/1788979-gestao-haddad-expoe-na-internet-dados-de-pacientes-da-rede-publica.shtml>

6 Em audiência pública realizada para debater “Políticas de comunicação, tecnologia e dados pessoais”, o pesquisador Bruno Bioni, da rede latino-americana de estudos sobre vigilância, tecnologia e sociedade salientou que a gestão municipal deve ser “responsiva” com relação aos dados pessoais de seu munícipe. Somente, assim, teríamos realmente cidades inteligentes.

1 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. elaboração: André-Pascal. França: OECD Publications Service, 2011. p. 32.

2 Ver Anexo II: “Legislação local de proteção de dados ao redor do mundo”.

3 Mais recentemente, no ano de 2007, a OECD revisitou suas guidelines e se utilizou do tema data-driven-society.The OECD Privacy Framework 2013, Disponível em:<http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf>.

4 No âmbito da Organização das Nações Unidas, cidades inteligentes é um dos fatores críticos para se alcançar um desenvolvimento sustentável. Veja-se o relatório do Conselho Econômico e Social sobre cidades inteligentes e infraestrutura. Disponível em: <http://unctad.org/meetings/en/SessionalDocuments/ecn162016d2_en.pdf>.

5 Veja-se, por exemplo, o estudo da consulotia McKinsey&Company sobre Urban Mobility at a tipping point: <http://www.mckinsey.com/business-functions/sustainability-and-resource-productivity/our-insights/urban-mobility-at-a-tipping-point>.

Projeto de Lei Complementar

Dispõe sobre o tratamento de dados pessoais no âmbito da

Administração Pública direta e indireta no Município de Campinas.

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Seção I

Escopo de Aplicação da Lei

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais por pessoa jurídica de direito público ou privado no âmbito da Administração Pública Municipal direta e indireta, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade do cidadão.

Art. 2º A disciplina da proteção de dados pessoais é condição para o pleno exercício da cidadania e tem como fundamento o respeito à privacidade, bem como:

I – a autodeterminação informativa;

II – a liberdade de expressão, comunicação e opinião e a inviolabilidade da intimidade e vida privada;

III – legalidade, impessoalidade, moralidade, publicidade e probidade administrativa;

IV – o desenvolvimento econômico e tecnológico; e

V – igualdade.

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento de dados pessoais no âmbito da Administração Pública Municipal Direta e Indireta, independentemente do país onde estejam localizados os dados, subordinado-se ao regime desta lei:

I – Os órgãos da administração direta, as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades vinculadas direta ou indiretamente ao Município;

II – Pessoa natural ou jurídica de direito privado quanto contratadas pela administração pública municipal:

a) considera-se todo e qualquer ajuste entre órgãos ou entidades da Administração Pública e particulares em que haja um acordo de vontades para a formação de vínculo e a estipulação de obrigações recíprocas, seja qual for a denominação utilizada;

b) os contratos administrativos firmados na forma Lei 8.666, de 21 de junho de 1993, bem como da Lei 11.079, de 30 de dezembro de 2014,

III -As entidades privadas sem fins lucrativos que utilizem dados da administração pública municipal para a realização de ações de interesse público, mediante termos de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres.

Art. 4º Esta Lei não se aplica ao tratamento de dados:

I – realizado por pessoa natural para fins exclusivamente pessoais fora do âmbito da administração pública municipal direta ou indireta; ou

II – realizado para fins exclusivamente jornalísticos, artísticos, literários ou acadêmicos;

Seção II

Definições

Art. 5º Para os fins desta Lei, considera-se:

I – dado pessoal: dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos;

II – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

III – dados sensíveis: dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, bem como dados genéticos ou biométricos;

IV – dados anonimizados: dados relativos a um titular que não possa ser identificado mediante esforços razoáveis;

V – banco de dados: conjunto estruturado de dados pessoais, localizado em um ou em vários locais, em suporte eletrônico ou físico;

VI – titular: a pessoa natural a quem se referem os dados pessoais objeto de tratamento;

VII – consentimento: manifestação livre e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade específica;

VIII – agentes do tratamento de dados pessoais: o responsável e o operador

IX – responsável: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

X – operador: a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do responsável;

XI – encarregado: pessoa natural, indicada pelo responsável, que atua como canal de comunicação perante os titulares ;

XII – anonimização: qualquer procedimento por meio do qual um dado deixa de poder ser associado mediante esforços razoáveis, direta ou indiretamente, a um indivíduo;

XIII – bloqueio: guarda do dado pessoal ou do banco de dados com a suspensão temporária de qualquer operação de tratamento;

XIV – eliminação: exclusão definitiva de dado ou de conjunto de dados armazenados em banco de dados, seja qual for o procedimento empregado; e

XV – uso compartilhado de dados: a comunicação, a difusão, a transferência internacional, a interconexão de dados pessoais ou o tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos, no cumprimento de suas competências legais, ou entre órgãos e entidades públicos e entes privados para a execução de políticas públicas, decentralização da atividade pública e ações de interesse público.

XVI – perfil comportamental: qualquer forma de tratamento automatizado de dados pessoais destinada a avaliar aspectos ou a segmentação de uma pessoa natural, ainda que não identificada ou identificável, tais como para analisar ou prever características socioeconômicas, estado de saúde, localização, deslocamento

Art. 6º As atividades de tratamento de dados pessoais deverão observar a moralidade, impessoalidade, legalidade, publicidade e a probidade administrativa e os seguintes princípios:

I – finalidade: pelo qual o tratamento deve ser realizado para finalidades legítimas, específicas, explícitas e informadas ao titular;

II – adequação: pelo qual o tratamento deve ser compatível com as suas finalidades e com as legítimas expectativas do titular, de acordo com o contexto do tratamento;

III – necessidade: pelo qual o tratamento deve se limitar ao mínimo necessário para a realização das suas finalidades, abrangendo dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: pelo qual deve ser garantida aos titulares consulta facilitada e gratuita sobre as modalidades de tratamento e sobre a integralidade dos seus dados pessoais;

V – qualidade dos dados: pelo qual devem ser garantidas aos titulares a exatidão, a clareza, relevância e a atualização dos dados, de acordo com a periodicidade necessária para o cumprimento da finalidade de seu tratamento;

VI – transparência: pelo qual devem ser garantidas aos titulares informações claras, adequadas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;

VII – segurança: pelo qual devem ser utilizadas medidas técnicas e administrativas constantemente atualizadas, proporcionais à natureza das informações tratadas e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: pelo qual devem ser adotadas medidas capazes de prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; e

IX – não discriminação: pelo qual o tratamento não pode ser realizado para fins discriminatórios, salvo se fizer parte da essência de determinada atividade ou política pública.

CAPÍTULO II

REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS

Seção I

Requisitos para o tratamento

Art. 7º O tratamento de dados pessoais somente poderá ser realizado após o consentimento livre, específico e inequívoco do titular, salvo nas seguintes hipóteses:

I – para o cumprimento de uma obrigação legal pelo responsável;

II – pela administração pública para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas e prestação de serviços públicos previstos em leis ou regulamentos;

III – para a realização de pesquisa histórica, científica ou estatística;

IV – para o exercício regular de direitos em processo judicial ou administrativo;

V – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VI – para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

§ 1º Nos casos de aplicação do disposto nos incisos I e II, o responsável deverá informar ao titular as hipóteses em que será admitido o tratamento de seus dados, nos termos do artigo 12 e seguintes.

§ 2º A forma de disponibilização das informações previstas no parágrafo anterior deverá levar em consideração as recomendações da Ouvidoria, considerada as diretrizes do Conselho Municipal.

Art. 8º O consentimento previsto no art. 7º, caput, deverá ser livre, específico, inequívoco e fornecido por escrito ou por qualquer outro meio que o certifique.

§ 1º Caso o consentimento seja fornecido por escrito, este deverá ser fornecido em cláusula destacada das demais cláusulas contratuais.

§ 2º Caso o consentimento seja obtido por outro meio, este deverá ser fornecido forma clara, adequada e ostensiva, bem como com a adoção de padrões técnicos que facilitem o controle dos titulares sobre seus dados pessoais.

§ 3º Cabe ao responsável o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.

§ 4º É vedado o tratamento de dados pessoais quando o consentimento tenha sido obtido mediante erro, dolo, coação, estado de perigo ou simulação.

§ 5º O consentimento deverá se referir a finalidades específicas, sendo nulas as autorizações genéricas para o tratamento de dados pessoais.

§ 6º O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular.

§ 7º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 13, o responsável deverá obter novo consentimento do titular, após destacar de forma específica o teor das alterações.

§ 8º O titular deverá ser informado da possibilidade de não fornecer o consentimento, na hipótese em que o consentimento é requerido, mediante o fornecimento de informações sobre as consequências da negativa.

a) o consentimento será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou não tenham sido apresentadas previamente de forma clara, adequada e ostensiva.

b) quando o consentimento para o tratamento de dados pessoais for condição para o fornecimento de produto ou serviço ou para o exercício de direito, o titular será informado com destaque sobre tal fato e sobre os meios pelos quais poderá exercer controle sobre o tratamento de seus dados.

Art. 9º. É vedado o tratamento de dados pessoais sensíveis, salvo:

I – com fornecimento de consentimento inequívoco, expresso e específico pelo titular:

a) mediante manifestação própria, distinta da manifestação de consentimento relativa a outros dados pessoais; e

b) com informação prévia e específica sobre a natureza sensível dos dados a serem tratados, com alerta quanto aos riscos envolvidos no seu tratamento.

II -sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de uma obrigação legal pelo responsável;

b) tratamento e uso compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de pesquisa histórica, científica ou estatística, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos em processo judicial ou administrativo;

e) proteção da vida ou da incolumidade física do titular ou de terceiro; ou

f) tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.

§ 1º O disposto neste artigo aplica-se a qualquer tratamento de dados pessoais capaz de revelar dados pessoais sensíveis.

§ 2º O tratamento de dados pessoais sensíveis não poderá ser realizado em detrimento do titular, ressalvado o disposto em legislação específica.

§ 3º O disposto na alínea ‘c’ do inciso II não se aplica caso as atividades de pesquisa estejam vinculadas a qualquer das seguintes atividades:

I – comercial;

II – de administração pública, quando a pesquisa não for a atividade principal ou legalmente estabelecida do órgão; ou

III – relativa a investigação criminal ou inteligência,

§ 4º O disposto nas hipóteses do parágrafo anterior garantirá, sempre que possível, a anonimização dos dados pessoais.

§ 5º Nos casos de aplicação do disposto nas alíneas ‘a’ e ‘b’ do inciso II pelos órgãos e entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos seção III deste Capítulo.

§ 6º Medidas adicionais de segurança e de proteção aos dados pessoais sensíveis deverão ser adotadas pelo responsável ou por outros agentes do tratamento, mediante a elaboração de relatório de impacto à privacidade.

Art. 10. Nas hipóteses de dispensa do consentimento para o tratamento de dados pessoais, o responsável deverá, respeitado os direitos e liberdades fundamentais do titular, observar:

§ 1º os princípios gerais e da garantia dos direitos do titular, em particular:

I- as legítimas expectativas do titular quanto ao tratamento de seus dados, de acordo com o disposto no art. 6º, II.

II – a finalidade e adequação pelo qual o tratamento dos dados é realizado para uma finalidade específica, informadas e com as legítimas expectativas do titular, de acordo com o contexto do tratamento;

III – a necessidade pela qual o tratamento dos dados pessoais limita-se ao estritamente necessários para a finalidade pretendida, abrangendo dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados, o que envolve;

a) anonimização sempre que compatível com a finalidade do tratamento.

§ 2º A adoção de medidas para garantir a transparência do tratamento de dados, devendo fornecer aos titulares mecanismos eficazes para que possam manifestar sua oposição ao tratamento, de acordo com o disposto no artigo 17, §1º;

§ 3º A emissão de relatório de impacto à privacidade.

Seção II

Dados Anonimizados

Art 11. Os dados anonimizados serão considerados dados pessoais para os fins desta Lei quando o processo de anonimização ao qual foram submetidos for revertido ou quando, com esforços razoáveis, puder ser revertido.

§ 1º Poderão ser igualmente considerados como dados pessoais para os fins desta Lei os dados utilizados para a formação do perfil comportamental de uma determinada pessoa natural, ainda que não identificada ou identificável

§ 2º Consideradas as diretrizes do Conselho Municipal, a Ouvidoria poderá emitir diretrizes sobre padrões e técnicas utilizadas em processos de anonimização.

§ 3º O compartilhamento e o uso que se faz de dados anonimizados deve ser objeto de publicidade e de transparência, bem como antecedida por relatório de impacto à privacidade referente aos riscos de reversão do processo de anonimização e demais aspectos de seu tratamento;

§ 4º A reversão do processo de anonimização é proibida, salvo mediante consentimento expresso dos próprios titulares dos dados pessoais;

Seção III

Da Transparência no Tratamento dos Dados

Art. 12. Cabe aos entes sujeitos ao regime dessa lei adotar procedimentos e medidas de transparência das suas atividades de tratamento de dados pessoais e que devem ser executados em conformidade com os princípios básicos da administração pública e com a seguintes diretrizes:

I – observância da publicidade como preceito geral e sigilo como exceção;

II – divulgação de informações, independentemente de solicitações, em locais e veículos de fácil acesso;

III – utilização de meios de comunicação viabilizados pela tecnologia da informação;

IV – fomento ao desenvolvimento da cultura de transparência no tratamento dos dados pessoais;

§ 1º Deverão informar de forma clara e atualizada em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos:

I – as hipóteses em que realizam o tratamento de dados pessoais;

II – as políticas organizacionais para garantir que o tratamento de dados pessoais está em conformidade com os princípios estabelecidos pelo artigo 6º desta Lei;

III – o uso compartilhado de dados;

V – os relatórios de impacto à privacidade;

§ 2º Considerada as diretrizes do Conselho Municipal, o Ouvidor emitirá recomendações para o cumprimento do disposto neste artigo.

§ 3º Aplicam-se as normas e os procedimentos previstos na Lei 12.527, de 18 de novembro de 2011, para se assegurar uma gestão transparente dos dados pessoais.

Art. 13. O titular deverá ter acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva sobre, entre outros:

I – finalidade específica do tratamento;

II – forma e duração do tratamento;

III – identificação do responsável;

IV – informações de contato do responsável;

V – sujeitos ou categorias de sujeitos para os quais os dados podem ser comunicados, bem como âmbito de difusão;

VI – responsabilidades dos agentes que realizarão o tratamento; e

VII – direitos do titular, com menção explícita a:

a) possibilidade de acessar os dados, retificá-los ou revogar o consentimento, por procedimento gratuito e facilitado;

§ 1º Em caso de alteração de informação referida no inciso IV do caput, o responsável deverá comunicar ao titular as informações de contato atualizadas.

§ 2º Nas atividades que importem em coleta continuada de dados pessoais, o titular deverá ser informado periodicamente sobre as principais características do tratamento, observando-se as diretrizes definidas pelo Conselho Municipal.

Seção IV

Término do Tratamento

Art. 14. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes para o alcance da finalidade específica almejada;

II – fim do período de tratamento;

III – comunicação do titular, inclusive no exercício do seu direito de revogação do consentimento conforme disposto no art. 7º, § 6º.

Art. 15.  Os dados pessoais serão eliminados após o término de seu tratamento, autorizada a conservação para as seguintes finalidades:

I – cumprimento de obrigação legal do responsável;

II – pesquisa histórica, científica ou estatística, garantida, quando possível, a anonimização dos dados pessoais.

CAPÍTULO III

DIREITOS DO TITULAR

Art. 16.  Toda pessoa natural tem assegurada a titularidade de seus dados pessoais, garantidos os direitos fundamentais de liberdade, intimidade e privacidade, nos termos desta Lei.

Art. 17.  O titular dos dados pessoais tem direito a obter, em relação aos seus dados:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou;

V eliminação, a qualquer momento, de dados pessoais com cujo tratamento o titular tenha consentido; e

§ 1º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

§ 2º Os direitos previstos neste artigo serão exercidos mediante requerimento do titular a um dos agentes de tratamento, que adotará imediata providência para seu atendimento.

§ 3º Em caso de impossibilidade de adoção imediata da providência de que trata o § 2º, o responsável enviará ao titular, em até sete dias a partir da data do recebimento do requerimento, resposta em que poderá:

I – comunicar que não é agente de tratamento dos dados, indicando, sempre que possível, quem o seja; ou

II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

§ 4º A providência de que trata o § 2º será realizada sem custos para o titular.

§ 5º O responsável deverá informar aos terceiros a quem os dados tenham sido comunicados sobre a realização de correção, eliminação, anonimização ou bloqueio dos dados, para que repitam idêntico procedimento.

Art. 18. A confirmação de existência ou o acesso a dados pessoais serão providenciados, a critério do titular:

I – em formato simplificado, imediatamente; ou

II – por meio de declaração clara e completa, que indique a origem dos dados, data de registro, critérios utilizados e finalidade do tratamento, fornecida no prazo de até sete dias, a contar da data do requerimento do titular.

§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.

§ 2º As informações e dados poderão ser fornecidos, a critério do titular:

I – por meio eletrônico, seguro e idôneo para tal fim; ou

II – sob forma impressa, situação em que poderá ser cobrado exclusivamente o valor necessário ao ressarcimento do custo dos serviços e dos materiais utilizados.

§ 3º Quando o tratamento tiver origem no consentimento do titular ou em um contrato, o titular poderá solicitar cópia eletrônica integral dos seus dados pessoais em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

§ 4º Consideradas as diretrizes do Conselho Municipal, o Ouvidor emitirpa recomendações sobre os formatos em que serão fornecidas as informações e os dados ao titular.

Art. 19. O titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive as decisões destinadas a definir o seu perfil comportamental

§ 1º O responsável deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e procedimentos utilizados para a decisão automatizada.

§ 2º O responsável deverá emitir relatório de impacto à privacidade, levando-se em consideração os direitos e liberdades fundamentais do titular;

Art. 20.  Os dados pessoais referentes a exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.

Art. 21.  A defesa dos interesses e direitos dos titulares de dados poderá ser exercida em juízo individual ou coletivamente, na forma do disposto na Lei nº 9.507, de 12 de novembro de 1997, nos arts. 81 e 82 da Lei nº 8.078, de 11 de setembro de 1990, na Lei nº 7.347, de 24 de julho de 1985, e nos demais instrumentos de tutela individual e coletiva.

Art. 22. Aplicam-se as normas e os procedimentos previstos na Lei 12.527, de 18 de novembro de 2011, para facilitar o acesso à informação sobre o tratamento dos dados pessoais pelo seu titular.

CAPITULO VI

DO USO COMPARTILHADO DE DADOS

Art. 23. O uso compartilhado de dados por órgãos e entidades públicos ou entre órgãos e entidades públicos e entes privados deverá:

I – observar os princípios de proteção de dados elencados no art. 6º dessa Lei, em particular:

a) as finalidades específicas de execução de políticas públicas ou para a prestação de serviços públicos, no cumprimento das competências legais dos órgãos e entidades públicos;

b) as legítimas expectativas do titular, de acordo com o disposto no art. 6º, II, frente à finalidade para a qual o seu dado foi coletado originariamente;

c) aos dados pessoais estritamente necessários para a finalidade pretendida, devendo ser anonimizados sempre que compatível com a finalidade do tratamento.

II – ser antecedido pela emissão de relatório de impacto à privacidade;

III – ser objeto de publicidade nos termos do art. 13, sendo fornecida informações claras e atualizadas sobre:

a) data;

b) periodicidade e frequência;

c) as finalidades do tratamento realizados com os dados;

d) a necessidade do compartilhamento;

e) descrição dos dados;

f) descrição de eventual formação do perfil comportamental de uma pessoa natural, ainda que não identificada ou identificável;

d) medidas de segurança adotadas para a proteção dos dados

Art. 24. É vedado aos órgãos e entes da Administração Pública transferir dados pessoais constantes das suas bases de dados a entidades privadas, exceto em casos de execução descentralizada de atividade pública e nas hipóteses previstas na Lei nº 12.527 de 18 de novembro de 2011.

§ 1º Aplicam-se as normas e os procedimentos previstos na Lei 8.666, de 21 de junho de 1993, bem como a Lei 11.079, de 30 de dezembro de 2014, para que o uso compartilhado dos dados esteja em estrita conformidade com os princípios básicos da administração pública, devendo ser precedida de licitação que:

I – não será sigilosa, sendo públicos e acessíveis os atos de seu procedimento;

II – não admitirá prever, incluir ou tolerar, nos atos de convocação, cláusulas ou condições que comprometam, restrinjam ou frustrem o seu caráter competitivo;

III – priorizará:

a) bens e serviços com tecnologia desenvolvida no País;

b) programas de computação de código aberto, livres de restrições quanto à cessão, alteração e distribuição de suas cópias eletrônicas, nos termos do artigo 38;

c) adoção de medidas técnicas e administrativas constantemente atualizadas, proporcionais à natureza dos dados compartilhados e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

d) a adoção de padrões técnicos que facilitem o controle dos titulares sobre seus dados pessoais.

IV – não admitirá que os dados compartilhados sejam:

a) utilizados para outras finalidades estranhas à execução descentralizada da atividade pública;

b) como parte do preço ou como qualquer tipo de contraprestação a favor da contratada para a execução descentralizada da atividade pública, observando-se o princípio da moralidade na administração pública;

VI – O instrumento de convocação deverá levar em consideração medidas técnicas de segurança e de boas práticas, nos termos do artigo 38.

Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado para a execução de políticas públicas, prestação de serviços públicos e a descentralização da atividade pública.

Art. 26. Considerada as diretrizes do Conselho Municipal, o Ouvidor estipulará diretrizes para o cumprimento do disposto nesta seção.

CAPÍTULO VI

AGENTES E RESPONSABILIDADE NO TRATAMENTO DE DADOS PESSOAIS

Seção I

Responsável e Operador

Art. 27. O responsável e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem.

Parágrafo único. Considerada as diretrizes do Conselho Municipal, o Ouvidor poderá estipular recomendações sobre formato, estrutura e tempo de guarda do registro.

Art. 28. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo responsável, que verificará a observância das próprias instruções e do quanto disposto neste Lei.

Art. 30.  O Ouvidor poderá solicitar aos agentes do tratamento de dados pessoais que publiquem relatórios de impacto de privacidade e sugerir adoção de padrões e boas práticas aos tratamentos de dados pessoais.

Art. 31. Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, o Ouvidor poderá enviar informe com medidas cabíveis para fazer cessar a violação.

§ 1º As punições cabíveis a agente público no âmbito desta Lei serão aplicadas pessoalmente aos operadores de órgãos públicos, conforme disposto na Lei nº 1.399, de 08 de novembro de 1995, e na Lei nº8.429, de 2 de junho de 1992.

§ 2º – Aplicam-se no que couber as normas e os procedimentos previstos na Lei 12.846, de 1º de agosto de 2013, para as punições cabíveis e a responsabilização administrativa e civil das pessoas jurídicas sujeitas ao regime dessa lei.

Seção II 

Encarregado pelo Tratamento de Dados Pessoais

Art. 32. O responsável e as pessoas jurídicas de direito privado sujeitas ao regime dessa Lei indicarão um encarregado pelo tratamento de dados pessoais, devendo:

§ 1º Divulgar publicamente de forma clara e objetiva, preferencialmente na página eletrônica na Internet, a identidade e as informações de contato do encarregado;

§ 2º Assegurar que o encarregado:

I – esteja envolvido em todas as operações relativas ao tratamento de dados pessoais;

II – exerça com autonomia sua função, não podendo ser penalizado por não seguir instruções ou diretrizes não estejam em conformidade com o disposto nesta Lei;

Art. 33. As atividades do encarregado consistem em:

I – receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações do Ouvidor e do Conselho Municipal e adotar providências;

III – orientar os funcionários e contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, de acordo com o disposto neste Lei;

IV – demais atribuições determinadas pelo responsável ou estabelecidas em normas complementares.

V – orientação para a elaboração dos relatórios de impacto à privacidade e a observância dos parâmetros nele estabelecidos para o tratamento dos dados pessoais;

CAPÍTULO VII

SEGURANÇA E BOAS PRÁTICAS

Seção I 

Segurança e Sigilo de Dados

Art. 34.  O operador deve adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§ 1º Consideradas as diretrizes do Conselho Municipal, o Ouvidor poderá recomendar padrões técnicos e organizacionais para tornar aplicável o disposto no caput, levando-se em consideração a natureza das informações tratadas, características específicas do tratamento e o estado atual da tecnologia, em particular no caso de dados sensíveis.

§ 2º As medidas de segurança deverão ser observadas desde a fase de concepção do produto ou serviço até a sua prestação.

Art. 35. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se ao dever de sigilo em relação aos dados pessoais, mesmo após o seu término.

Seção II

Incidente de Segurança

Art. 36. O responsável deverá comunicar ao Ouvidor e ao Conselho Municipal a ocorrência de qualquer incidente de segurança que possa acarretar risco ou prejuízo relevante aos titulares.

Parágrafo único. A comunicação será feita em prazo razoável, conforme definido pelo órgão competente, e deverá mencionar, no mínimo:

I – descrição da natureza dos dados pessoais afetados;

II – informações sobre os titulares envolvidos;

III – indicação das medidas de segurança utilizadas para a proteção dos dados, inclusive procedimentos de encriptação;

IV – riscos relacionados ao incidente;

V – no caso da comunicação não ter sido imediata, os motivos da demora; e

VI – medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos de prejuízo.

Art. 37. O Ouvidor verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, recomendar ao responsável a adoção de outras providências, tais como:

I – pronta comunicação aos titulares;

II – ampla divulgação do fato em meios de comunicação; e

III – medidas para reverter ou mitigar os efeitos do incidente.

§ 1º A pronta comunicação aos titulares afetados pelo incidente de segurança será obrigatória, independente de recomendação do Ouvidor, nos casos em que for possível identificar que o incidente coloque em risco a segurança pessoal dos titulares ou lhes possa causar danos.

Seção III

Sistemas de Proteção de Dados Pessoais e Software Livres

Art. 38. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

§ 1º Os estabelecimentos públicos municipais da Administração Direta e Indireta e entidades privadas sujeitas ao regime deste Lei deverão utilizar em seus sistemas e equipamentos de informática, prioritariamente, programas de computação de código aberto, livres de restrições quanto à cessão, alteração e distribuição de suas cópias eletrônicas

I – o formato padrão de documentos que operam nos equipamentos de informática dos estabelecimentos dispostos no caput deste artigo deverão ser livres de restrição proprietária.

II – caso exista a necessidade de aquisição de programas de propriedade de entidades privadas, mediante justificativa prévia, será dada preferência para aquelas que possibilitem a conversão dos arquivos e o intercambio entre os sistemas, permitindo sua execução sem restrições em sistemas operacionais baseados em código aberto.

III – entende-se por programa de computação de código aberto aquele cuja licença de propriedade industrial ou intelectual não restrinja sob nenhum aspecto a sua cessão, distribuição, utilização ou alteração de suas características originais, assegurando, ao usuário, acesso irrestrito e sem custos adicionais ao seu código fonte, permitindo a alteração parcial ou total do programa para seu aperfeiçoamento ou adequação.

a) o código fonte deve ser o recurso preferencial utilizado pelo programador para modificar o programa, não sendo permitido ofuscar a sua acessibilidade

IV – a licença de utilização dos programas abertos deve permitir modificações e trabalhos derivados e a sua livre distribuição sob os mesmos termos da licença do programa origina, não podendo ser utilizados programas cujas licenças:

a) impliquem em qualquer forma de discriminação a pessoas ou grupos;

b) sejam específicas para determinado produto impossibilitando que programas derivados deste tenham a mesma garantia de utilização, alteração e distribuição;

c) restrinjam outros programas distribuídos conjuntamente.

V – quando houver justificativa técnica comprobatória da ineficiência dos programas abertos em determinada contratação, a Administração Pública poderá adquirir, mediante concorrência prévia, programas de informática não caracterizados como abertos, desde que haja a apresentação de justificativa técnica, nos termos da Lei nº 8.666, de 21 de junho de 1993,

Seção IV

Boas Práticas

Art. 39. O responsável pelo tratamento de dados pessoais e o operador deverão formular diretrizes de boas práticas que estabeleçam condições de organização, regime de funcionamento, procedimentos, normas de segurança, padrões técnicos, obrigações específicas para os diversos envolvidos no tratamento, ações educativas, mecanismos internos de supervisão e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, deverá ser levado em consideração a natureza, escopo e finalidade do tratamento e dos dados, bem como a probabilidade e gravidade dos riscos de danos aos indivíduos.

§ 2º As regras de boas práticas serão disponibilizadas publicamente e atualizadas.

§ 3º Devem ser priorizados a adoção de padrões técnicos que facilitem o controle dos titulares sobre seus dados pessoais.

Seção V – Relatório de Impacto à Privacidade

Art. 40. O operador deverá emitir relatório de impacto à privacidade quando o tratamento de dados pessoais implicar em alto risco para os direitos e liberdades fundamentais do titular, tais como em:

I – decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses;

II – traçar perfil comportamental;

III – monitoramento sistemático de áreas públicas;

IV – uso de novas tecnologias para prevenir a ocorrência de danos, nos termos do artigo 6º, inciso VIII

V – nas demais hipóteses previstas nesta Lei, em particular:

a) no tratamento de dados sensíveis;

b) no uso compartilhado de dados;

Art. 41. O relatório de impacto à privacidade de ser composto ao menos dos seguintes elementos:

I – descrição de que o tratamento dos dados respeita os princípios de proteção de dados elencados no art. 6º dessa Lei, em particular:

a) finalidade e adequação pelo qual o tratamento dos dados é realizado para uma finalidade específica, informadas e com as legítimas expectativas do titular, de acordo com o contexto do tratamento;

b) necessidade pelo qual o tratamento dos dados pessoais limita-se ao estritamente necessários para a finalidade pretendida, abrangendo dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados, o que envolve;

c) anonimização sempre que compatível com a finalidade do tratamento.

d) qualidade com a implementação de mecanismos que garantam a exatidão, a clareza, relevância e a atualização dos dados, de acordo com a periodicidade necessária para o cumprimento da finalidade de seu tratamento;

II – adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos indevidos nos termos desta Lei, particularmente para se evitar acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

III – Considerada as diretrizes do Conselho Municipal, o Ouvidor poderá estipular diretrizes complementares para o cumprimento do disposto nesse artigo.

Art. 42. O operador deverá tornar pública uma lista sobre quais tipos de tratamento de dados estão sujeitos ou não à exigência de relatórios de impacto à privacidade, sem prejuízo de publicá-los nos termos do artigo 12, inciso V, desta Lei.

CAPÍTULO VIII

FISCALIZAÇÃO

Seção I

Ouvidoria da Proteção de Dados Pessoais

Art. 43. Fica criada a Ouvidoria de Proteção de Dados do Município de Campinas, como órgão autônomo de controle da administração pública, vinculado ao Poder Legislativo Municipal, para defesa dos direitos e interesses dos cidadãos quanto a proteção de seus dados pessoais no âmbito da Administração Pública Direta e Indireta, nos termos da Lei.

Art. 44. A Ouvidoria será exercida pelo Ouvidor, eleito pela Câmara Municipal pelo voto da maioria absoluta de seus membros, após arguição pública, entre cidadãos de notório conhecimento sobre proteção de dados pessoais, de idoneidade moral e reputação ilibada, indicados por lista tríplice por uma Comissão Eleitoral, composta de membros da Sociedade Civil Organizada, do Executivo e Legislativo Municipais.

§ 1º A Comissão Eleitoral de nove membros, funcionará com presidente e relator, escolhidos dentre estes e terá a composição:

I – três Vereadores representando o Legislativo;

II – três Secretários Municipais representando o Executivo; e

III – três Membros representando a Sociedade Civil Organizada.

§ 1º A formação da Comissão Eleitoral se dará por indicação da Presidência da Câmara Municipal, do Prefeito Municipal e, no caso da representação da Sociedade Civil Organizada, serão enviadas cartas convites a no mínimo 9 (nove) entidades representativas, bem como a publicação de edital em jornal de grande circulação, para indicar dentre elas os três representantes da Sociedade Civil Organizada.

§ 2º O chamamento dos candidatos será por edital de formação de lista tríplice para o preenchimento do cargo de Ouvidor e os meios de divulgação, prazos e trâmites do processo eleitoral, requisitos para candidatar-se, serão definidos em Resolução da Câmara Municipal a ser aprovada após a publicação da presente lei.

§ 3º A eleição para o cargo de Ouvidor será realizada logo após as eleições a nível municipal e estadual, para a posse em janeiro do ano subsequente.

§ 4º É incompatível com o cargo de Ouvidor o exercício de outra atividade pública ou privada, ressalvado o de cargo de magistério e no que couber nos termos da Lei nº 1.399, de 08 de novembro de 1995.

§ 5º O mandato do Ouvidor é de dois anos, podendo candidatar-se por igual período uma única vez consecutiva.

§ 7º Recebida a lista tríplice constando a relação dos candidatos e acompanhada de justificativa com dados suficiente para comprovar os requisitos exigidos pelo artigo 2º, a Mesa marcará a data da eleição, comunicando aos Vereadores, através de publicação no Diário da Câmara, com no mínimo dois dias de antecedência.

§ 8º O Ouvidor tomará posse de seu cargo perante a Câmara Municipal, prestando o compromisso de bem desempenhar as atribuições previstas na lei.

Art. 45. Ao Ouvidor compete zelar pela implementação e fiscalização da presente Lei e terá as seguintes atribuições:

I – zelar pela proteção dos dados pessoais, nos termos da legislação;

II – formular recomendações para uma Política Municipal de Proteção de Dados Pessoais e Privacidade;

III – realizar auditoria nos tratamentos de dados pessoais e processos envolvidos com dados pessoais visando garantir a sua conformidade aos princípios e regras desta lei;

IV – promover entre a população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais, bem como das medidas de segurança;

V – recomendar a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais;

VI – coordenar ações integradas com os diversos órgãos e entidades no âmbito da municipalidade, a fim de encaminhar, de forma intersetorial, as reclamações dos munícipes, mecanismos e procedimentos para a proteção dos dados pessoais;

VII – receber e apurar as reclamações e denúncias, no âmbito da Administração Pública Direta e Indireta, ou agir de ofício, recomendando as providências cabíveis, nos casos de morosidade, ilegalidade, má administração, abuso de poder, omissão, negligência, erro ou violação aos princípios, direitos e deveres estabelecidos nessa Lei;

VIII – representar aos órgãos e instâncias competentes, quando constatar irregularidades ou ilegalidades do quanto previsto nesta Lei, sob pena de responsabilidade solidária;

IX – apresentar anualmente relatório circunstanciado das atividades e dos resultados obtidos à Câmara Municipal.

X – recomendações para a elaboração de relatórios de impacto à privacidade;

XI – realizar demais ações dentro de sua esfera de competência, inclusive as previstas nesta Lei e em legislação específica.

§1º O Ouvidor tem amplos poderes de investigação, devendo as informações por ele solicitadas ser prestadas em quinze dias úteis, sob pena de responsabilidade, e goza de independência, autonomia administrativa e financeira, estando compreendidos, nos fins para os quais é instituído, os meios para o cumprimento de sua função.

I – a intervenção do Ouvidor não suspenderá ou interromperá quaisquer prazos administrativos

§2º Poderá dirigir-se ao Ouvidor qualquer pessoa brasileira ou estrangeira, física ou jurídica, que se considere lesada ou ameaçada por ato do Poder Público Municipal.

I – as reclamações e representações formuladas ao Ouvidor não dependem de interesse direto e pessoal, podendo ser apresentadas a qualquer época.

II – não serão exigidas maiores formalidades para a apresentação de reclamações ou representações, podendo ser escrita ou oral, reduzida a termo, bastando a apresentação de documento com nome, a inserção do endereço exato e a assinatura;

III – as reclamações e denúncias recebidas pelo Ouvidor serão registradas no sistema eletrônico da Câmara Municipal;

IV – o Ouvidor, mediante despacho fundamentado, poderá determinar arquivamento de reclamação ou denúncia que lhe seja dirigida, devendo tais expedientes constar no relatório anual.

§3º O Ouvidor terá remuneração no mesmo valor do subsídio estabelecido para Secretário Municipal, estando sujeito as mesmas atribuições e prerrogativas do cargo de Secretário Municipal e aos servidores municipais, no que couber.

§4º A Câmara Municipal disponibilizará espaço físico e a infra-estrutura de apoio necessária ao exercício das atribuições do Ouvidor:

I – fica criada na estrutura organizacional da Câmara Municipal de Campinas, a Coordenadoria Técnica da Ouvidoria da Proteção de Dados Pessoais, com as seguintes atribuições:

a) assessorar o Ouvidor nos assuntos que lhe são inerentes, no sentido de integrar as ações da Ouvidoria;

b) promover as relações institucionais entre a Ouvidoria e os órgãos da Administração Direta e Indireta; c) promover o atendimento das autoridades em geral e a comunicação social da Ouvidoria;

d) encaminhar documentos e representações aos órgãos competentes promover o atendimento pessoal dos cidadãos identificando e analisando problemas e necessidades;

e) realizar análise dos dados apresentados, organizar e manter banco de dados relativos aos atendimentos;

f) elaborar relatórios, emitir pareceres sobre assuntos que lhe forem submetidos pelo Ouvidor;

g) promover a comunicação com os demais órgãos do Poder Público e entidades privadas sujeitas ao regime desta Lei, buscando os entendimentos e meios necessários à viabilização da solução dos casos apresentados;

h) receber, expedir, controlar e elaborar todos os expedientes, correspondências, protocolos e processos em trâmite na Ouvidoria;

i) promover o registro e arquivamento de notícias e documentos relativos à Ouvidoria;

j) outras atividades correlatas.

II – A estrutura administrativa da Coordenadoria Técnica da Ouvidoria de Proteção de Dados Pessoais do Município de Campinas está descrita no Anexo I da presente Lei;

§5º A substituição temporária do Ouvidor em casos de licenças ou afastamentos será exercida pelo Coordenador Técnico, desde que atendidos os requisitos de conhecimento e idoneidade exigidos no artigo 2º desta lei.

§6º Nos casos de exoneração a pedido ou por decisão aprovada pela maioria absoluta dos Vereadores, afastamento definitivo por doença ou morte do ocupante da função de Ouvidor, será realizada nova eleição para concluir o período até o final do mandato, no prazo de trinta dias contados da vacância.

Seção II

Conselho Municipal de Proteção de Dados e da Privacidade

Art. 46. Fica criado o Conselho Municipal de Proteção de Dados Pessoais e da Privacidade que é um órgão consultivo, deliberativo e normativo.

Art. 47. Compete ao Conselho Municipal de Proteção de Dados Pessoais e da Privacidade:

I – participar e fornecer subsídios para a elaboração da Política Municipal de Proteção de Dados Pessoais e da Privacidade;

II – elaborar relatórios anuais de avaliação da execução das ações da Política Municipal de Proteção de Dados Pessoais e da Privacidade;

III – sugerir ações a serem realizadas pela Ouvidoria da Proteção de Dados Pessoais;

IV – realizar estudos e debates sobre a proteção de dados pessoais e da privacidade;

V – disseminar o conhecimento sobre proteção de dados pessoais e privacidade à população em geral;

VI – ser instância de democratização nas ações educativas executadas pelo Poder Público Municipal;

VII – estabelecer diretrizes relacionadas à proteção de dados pessoais;

VII – estabelecer diretrizes para a elaboração de relatórios de impacto à privacidade;

VIII – elaborar e alterar seu Regimento Interno;

§1º O Regimento Interno do Conselho será elaborado em sua primeira reunião ordinária, que será convocada pelo Ouvidor da Proteção de Dados Pessoais, em até 30 (trinta) dias após a sua nomeação no Diário Oficial.

I – para a aprovação de qualquer dos dispositivos do Regimento Interno é necessária a maioria absoluta de seus membros.

Art. 48. O Conselho Municipal de Proteção de Dados Pessoais e da Privacidade será comporto por quinze representantes titulares e quinze suplentes designados, com mandato de dois anos, podendo ser renovado uma única vez por igual período, sendo:

I – Ouvidor da Proteção de Dados Pessoais, que o preside;

II – 02 (dois) representantes da Câmara Municipal;

III – 04 (quatro) representantes do Poder Executivo;

III – 01 (um) representante do Poder Judiciário;

IV – 01 (um) representante do Ministério Público;

V – 02 (dois) representantes da academia;

VI – 02 (dois) representantes do setor privado;

VII – 02 (dois) presentantes do terceiro setor;

§ 1º A participação no Conselho Municipal de Proteção de Dados Pessoais e da Privacidade será considerada atividade de relevante interesse público, não remunerada.

§2º As reuniões do Conselho serão públicas e transmitida pela rede mundial de computadores.

CAPÍTULO IX

DISPOSIÇÕES TRANSITÓRIAS E FINAIS

Art. 49. Esta Lei entrará em vigor no prazo de 180 dias contados da data da sua publicação.