Política de Proteção de Dados

Esta Política de Proteção de Dados estabelece o programa de governança em privacidade da Câmara Municipal de Jaguariúna, em atendimento ao art. 50 da Lei nº 13.709/2018 (LGPD), com o objetivo de:

• Demonstrar o compromisso institucional com a proteção dos dados pessoais sob sua tutela;
• Definir responsabilidades, processos e controles técnicos e administrativos para o tratamento de dados pessoais;
• Assegurar a conformidade contínua com a LGPD, com a Lei Federal nº 12.527/2011 (LAI) e com a Lei nº 14.129/2021 (Lei do Governo Digital);
• Garantir o exercício efetivo dos direitos do titular (art. 18 da LGPD).

Esta política aplica-se a todos os agentes públicos, servidores, colaboradores, estagiários, prestadores de serviço e terceiros que, no exercício de suas atividades, tratem dados pessoais sob a responsabilidade desta Casa.

Toda atividade de tratamento de dados pessoais conduzida pela Câmara Municipal de Jaguariúna observa os princípios do art. 6º da LGPD:

• Finalidade — tratamento para propósitos legítimos, específicos, explícitos e informados ao titular.
• Adequação — compatibilidade do tratamento com as finalidades informadas.
• Necessidade — limitação do tratamento ao mínimo necessário para realização das finalidades.
• Livre acesso — consulta facilitada e gratuita do titular sobre seus dados.
• Qualidade dos dados — exatidão, clareza, relevância e atualização.
• Transparência — informações claras, precisas e facilmente acessíveis sobre o tratamento.
• Segurança — medidas técnicas e administrativas aptas a proteger os dados.
• Prevenção — adoção de medidas para prevenir danos em razão do tratamento.
• Não discriminação — impossibilidade de tratamento para fins discriminatórios ilícitos ou abusivos.
• Responsabilização e prestação de contas — demonstração da adoção de medidas eficazes capazes de comprovar a observância e o cumprimento das normas de proteção de dados.

A estrutura de governança em privacidade desta Casa é composta por:

• Autoridade máxima — responsável pela aprovação da política e pela alocação de recursos humanos, financeiros e tecnológicos necessários à sua execução.
• Encarregado pelo Tratamento de Dados Pessoais (DPO) — agente designado nos termos do art. 41 da LGPD, com as atribuições de:
  • Aceitar reclamações e comunicações dos titulares;
  • Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;
  • Orientar funcionários e contratados sobre práticas de proteção de dados;
  • Executar demais atribuições definidas pelo controlador ou em normas complementares.
• Setores e agentes públicos — responsáveis por aplicar esta política nas atividades cotidianas, reportar incidentes e participar das ações de capacitação.
• Setor de tecnologia da informação — responsável pela implementação técnica dos controles de segurança, monitoramento e resposta a incidentes.

Nos termos dos arts. 46 a 49 da LGPD, são adotadas medidas técnicas de segurança proporcionais aos riscos do tratamento, incluindo:

• Controle de acesso — autenticação individual, perfis de permissão com privilégio mínimo, segregação de funções e revisão periódica de acessos.
• Criptografia em trânsito — uso obrigatório de HTTPS/TLS em todas as comunicações entre o cidadão e o portal, e entre o portal e seus serviços auxiliares.
• Proteção das senhas — armazenamento por hash com algoritmo de função unidirecional consagrado, jamais em texto claro.
• Registro de operações (auditoria) — manutenção de trilhas de auditoria para operações sensíveis (acessos administrativos, alterações de configuração, acesso a dados de e-SIC/Ouvidoria), com retenção por prazo compatível com a finalidade.
• Cópias de segurança — rotinas regulares de backup com testes periódicos de restauração.
• Atualização e correção de vulnerabilidades — manutenção das versões de software dentro de janelas de suporte de segurança e aplicação tempestiva de correções.
• Monitoramento e detecção — controles para identificar atividades anômalas, ataques automatizados e acessos não autorizados.
• Anonimização e pseudonimização — quando tecnicamente viável e compatível com a finalidade, os dados são tratados de forma anonimizada para análises estatísticas e fins de pesquisa.

Complementarmente às medidas técnicas, são adotadas:

• Capacitação contínua — agentes públicos e colaboradores recebem orientação periódica sobre LGPD, segurança da informação e procedimentos internos.
• Termos de confidencialidade — exigência de compromisso formal de sigilo de todos os agentes com acesso a dados pessoais.
• Procedimentos formais — fluxos documentados para coleta, armazenamento, compartilhamento e descarte de dados, com pontos de controle definidos.
• Cláusulas contratuais específicas — todos os contratos firmados com operadores e fornecedores que tratam dados pessoais em nome desta Casa contêm cláusulas de proteção de dados, atribuição de responsabilidades e obrigação de comunicação de incidentes.
• Revisão periódica — esta política e os controles implementados são revisados ao menos anualmente ou diante de mudanças legislativas, tecnológicas ou operacionais relevantes.

O tratamento de dados pessoais por esta Casa observa o princípio da necessidade em todas as etapas do ciclo de vida:

1. Coleta — apenas dos dados estritamente necessários, sempre com informação clara da finalidade.
2. Armazenamento — em infraestrutura segura, com controles de acesso e criptografia compatíveis com o risco.
3. Uso — restrito às finalidades originais ou compatíveis e ao âmbito das atribuições legais do controlador.
4. Compartilhamento — quando previsto em lei ou em hipóteses do art. 7º/11 da LGPD, com registro formal e base legal documentada.
5. Retenção — pelo prazo estritamente necessário à finalidade, observados os prazos legais de guarda documental.
6. Descarte — eliminação segura ao final do ciclo, ressalvadas as hipóteses do art. 16 da LGPD.

Esta Casa mantém canais formais para o exercício dos direitos previstos no art. 18 da LGPD:

• Canal direto com o Encarregado (DPO) — para comunicação rápida e personalizada.
• e-SIC — para pedidos formais de acesso, correção, eliminação ou portabilidade, com protocolo público e SLA estabelecido pela LAI.
• Ouvidoria — para reclamações sobre o tratamento e sugestões de melhoria.

A resposta ao titular é dada em até 15 (quinze) dias, salvo impossibilidade justificada, conforme o art. 19 da LGPD.

Para fins desta política, considera-se incidente de segurança com dados pessoais qualquer evento confirmado ou suspeito de acesso não autorizado, perda, alteração indevida, comunicação ou difusão não autorizada de dados pessoais sob a responsabilidade desta Casa.

Em caso de incidente, são adotadas as seguintes etapas:

1. Detecção e registro — identificação, classificação e registro formal do incidente.
2. Contenção — adoção imediata de medidas para interromper o evento e mitigar danos.
3. Avaliação de risco — análise da gravidade, do volume e do tipo de dados afetados e do risco aos titulares.
4. Comunicação à ANPD e aos titulares — quando o incidente puder acarretar risco ou dano relevante, a notificação é feita em prazo razoável, conforme o art. 48 da LGPD.
5. Investigação e remediação — apuração das causas e adoção de medidas corretivas e preventivas.
6. Lições aprendidas — revisão de procedimentos e controles para evitar recorrência.

A Câmara Municipal de Jaguariúna elabora e mantém atualizado o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no art. 38 da LGPD, sempre que o tratamento envolver:

• Dados pessoais sensíveis;
• Operações em larga escala ou que possam gerar risco às liberdades civis e aos direitos fundamentais;
• Decisões automatizadas com impacto significativo sobre o titular;
• Novas tecnologias ou inovações nos processos de tratamento.

O RIPD pode ser solicitado pela ANPD a qualquer tempo, na forma do art. 38, parágrafo único da LGPD.

Quando o tratamento envolver operadores ou prestadores de serviço (hospedagem, e-mail transacional, ferramentas antifraude, sistemas externos contratados), são adotadas as seguintes salvaguardas:

• Cláusulas contratuais específicas que estabelecem a obrigação de tratar os dados estritamente conforme as instruções desta Casa;
• Compromisso de manter sigilo e adotar medidas de segurança equivalentes às desta política;
• Obrigação de comunicar incidentes de segurança em tempo hábil;
• Vedação de subcontratação não autorizada;
• Devolução ou eliminação segura dos dados ao término do contrato.

A Câmara Municipal de Jaguariúna assume o compromisso público de aperfeiçoar continuamente o programa de governança em privacidade, por meio de:

• Acompanhamento das orientações e regulamentos editados pela ANPD;
• Monitoramento da jurisprudência e das melhores práticas nacionais e internacionais;
• Avaliação periódica da efetividade dos controles implementados;
• Atenção às demandas da sociedade civil e aos canais de participação social.

Esta política é aprovada pela autoridade máxima desta Casa e revisada ao menos anualmente, ou imediatamente, em caso de:

• Alterações legislativas ou regulatórias relevantes;
• Mudança significativa nos serviços públicos digitais oferecidos;
• Ocorrência de incidente de segurança com dados pessoais;
• Recomendação formal da ANPD, do Tribunal de Contas ou de órgão de controle.

A versão vigente desta política está sempre disponível no portal oficial e na seção LGPD.

Veja também a Política de Privacidade desta Casa, que descreve em detalhe quais dados são coletados, com que finalidade e por quanto tempo são mantidos.

Em última instância, o titular pode dirigir-se à Autoridade Nacional de Proteção de Dados (ANPD).