No dia 16 de setembro de 2020 foi publicado o Decreto nº 59.767/20 que visa regulamentar a aplicação da LGPD no âmbito da Administração Municipal direta e indireta em São Paulo.
Entre outras coisas, o Decreto reforça algumas das definições trazidas na LGPD para dado pessoal, dado pessoal sensível, titular, controlador, entre outros; bem como os princípios que devem ser observados nas atividades de tratamento de dados pessoais.
Como responsabilidade da administração pública municipal direta, o Decreto estabelece que deve ser feito um mapeamento dos dados pessoais e seus fluxos em todas as unidades de Secretarias e Subprefeituras, além de uma análise de risco, plano de adequação e relatório de impacto à proteção de dados pessoais quando solicitado. O encarregado pelo tratamento destes dados, conforme prevê o art. 41 da LGPD, será o Controlador Geral do Município, sendo também dispostas as suas atribuições no Decreto.
No caso da administração pública municipal indireta, caberá às entidades designar o encarregado pela proteção de dados pessoais e elaborar, bem como manter, um plano de adequação.
Sobre o uso compartilhado de dados pessoais, o Decreto estabelece que a Administração Pública Municipal pode compartilhar os dados com outros órgãos e entidades públicas para “atender a finalidades específicas de execução de políticas públicas“, respeitando os princípios da LGPD. É vedado, porém, a transferência de dados pessoais à entidades privadas, havendo exceções para casos de execução descentralizada de atividade pública que exija tal transferência; dados que forem acessíveis publicamente; casos onde haja previsão legal ou respaldo por meio de cláusula específica em contratos, convênios ou instrumentos congêneres e na hipótese de tal transferência objetivar exclusivamente a prevenção de fraudes e irregularidades ou proteger e resguardar a segurança e integridade do titular dos dados.
Em suas disposições finais, o Decreto traz que as Secretarias e Subprefeituras terão até 180 dias para comprovar ao Controlador Geral do Município que já estão em conformidade com o planejamento de implantação da LGPD, sendo que para as entidades de administração indireta o prazo é de noventa dias para apresentar o plano de adequação.
MAS E NO ÂMBITO PRIVADO?
É importante destacar que o Decreto supracitado visa regulamentar a aplicação da Lei nº 13.709/18 no âmbito da Administração Municipal direta e indireta, porém a LGPD é uma Lei Federal que deve ser observada por todas as esferas. Ainda que as sanções e multas trazidas pelo dispositivo só tenham vigência a partir de 2021 – o que, na realidade, nem está tão distante – existem casos e jurisprudências onde os seus princípios já aparecem sendo observados. No âmbito privado, ações no sentido de planejamento para o início da vigência da LGPD, mesmo que em pequenos atos, tornam-se importantes desde já ainda que em sinal de boa fé às adequações que a Lei determina.
Mais do que nunca, é tempo de agir de forma cautelosa e consciente, de modo aproveitar o tempo e promover as adequações necessárias com segurança.