6.1 - Lei Geral de Proteção de Dados

6.1.1 - Pelo menos 25% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

Detalhes do Critério

O que: Os sistemas de informação do órgão setorial que lidam com dados pessoais comunicam aos usuários sobre a finalidade da coleta de seus dados dando a oportunidade de consentir com o tratamento.

Por que: Para atender aos requisitos da Lei Geral de Proteção de Dados (LGPD) e garantir a transparência e o respeito aos direitos dos titulares dos dados.

Onde: Nas interfaces dos sistemas de informação.

Quando: Durante a interação dos usuários com esses sistemas, no momento da coleta de dados.

Quem: Os responsáveis pela gestão e desenvolvimento dos sistemas de informação do órgão setorial.

Como: Implementando funcionalidades nos sistemas que exibem as informações sobre a coleta e solicitam o consentimento.

Quanto: Pelo menos 25% dos sistemas em conformidade aos requisitos da LGPD.

6.1.2 - 50% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

Detalhes do Critério

O que: Os sistemas de informação do órgão setorial que lidam com dados pessoais comunicam aos usuários sobre a finalidade da coleta de seus dados dando a oportunidade de consentir com o tratamento.

Por que: Maior abrangência no atendimento aos requisitos da Lei Geral de Proteção de Dados (LGPD) e garantir a transparência e o respeito aos direitos dos titulares dos dados.

Onde: Nas interfaces dos sistemas de informação.

Quando: Durante a interação dos usuários com esses sistemas, no momento da coleta de dados.

Quem: Os responsáveis pela gestão e desenvolvimento dos sistemas de informação do órgão setorial.

Como: Implementando funcionalidades nos sistemas que exibem as informações sobre a coleta e solicitam o consentimento.

Quanto: 50% dos sistemas em conformidade aos requisitos da LGPD.

6.1.3 - 75% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

Detalhes do Critério

O que: Os sistemas de informação do órgão setorial que lidam com dados pessoais comunicam aos usuários sobre a finalidade da coleta de seus dados dando a oportunidade de consentir com o tratamento.

Por que: Nível ainda mais elevado aos requisitos da Lei Geral de Proteção de Dados (LGPD) e garantir a transparência e o respeito aos direitos dos titulares dos dados.

Onde: Nas interfaces dos sistemas de informação.

Quando: Durante a interação dos usuários com esses sistemas, no momento da coleta de dados.

Quem: Os responsáveis pela gestão e desenvolvimento dos sistemas de informação do órgão setorial.

Como: Implementando funcionalidades nos sistemas que exibem as informações sobre a coleta e solicitam o consentimento.

Quanto: 75% dos sistemas em conformidade aos requisitos da LGPD.

6.1.4 - 100% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

Detalhes do Critério

O que: Os sistemas de informação do órgão setorial que lidam com dados pessoais comunicam aos usuários sobre a finalidade da coleta de seus dados dando a oportunidade de consentir com o tratamento.

Por que: Total conformidade aos requisitos da Lei Geral de Proteção de Dados (LGPD) e garantir a transparência e o respeito aos direitos dos titulares dos dados.

Onde: Nas interfaces dos sistemas de informação.

Quando: Durante a interação dos usuários com esses sistemas, no momento da coleta de dados.

Quem: Os responsáveis pela gestão e desenvolvimento dos sistemas de informação do órgão setorial.

Como: Implementando funcionalidades nos sistemas que exibem as informações sobre a coleta e solicitam o consentimento.

Quanto: 100% dos sistemas em conformidade aos requisitos da LGPD.

6.1.5 - Faz uso de clausulas contratuais de sigilo nas relações operacionais e nas prestações de serviços que envolvem dados pessoais.

Detalhes do Critério

O que: O órgão setorial utiliza acordos de confidencialidade em suas operações e contratos de serviço onde há tratamento de dados pessoais.

Por que: Para garantir a proteção e a confidencialidade dos dados pessoais compartilhados com terceiros ou manuseados por funcionários, em cumprimento à LGPD e às boas práticas de segurança da informação.

Onde: Nos documentos contratuais e nos acordos internos.

Quando: Na formalização de contratos e no estabelecimento de relações operacionais que envolvem dados pessoais.

Quem: A área jurídica ou de contratos do órgão é responsável por incluir essas cláusulas, e os funcionários e prestadores de serviço que lidam com dados pessoais.

Como: Incluindo cláusulas específicas de confidencialidade nos contratos e formalizando acordos internos de sigilo.

Quanto: Refere-se à prática geral do órgão.

6.1.6 - Pelo menos 25% dos contratos vigentes possuem as cláusulas de confidencialidade.

Detalhes do Critério

O que: Uma parcela de pelo menos 25% dos contratos atualmente em vigor no órgão setorial contém cláusulas que tratam da confidencialidade de dados pessoais.

Por que: Pode ser uma fase inicial de adequação à LGPD ou uma aplicação seletiva das cláusulas a contratos mais sensíveis.

Onde: Nos documentos contratuais vigentes.

Quando: Na edição das minutas ou aditivos contratuais.

Quem: Área jurídica ou de contratos do órgão setorial.

Como: Incluindo as cláusulas em uma parte dos contratos.

Quanto: Até 25% dos contratos possuem cláusula de confidencialidade.

6.1.7 - Pelo menos 50% dos contratos vigentes possuem as cláusulas de confidencialidade.

Detalhes do Critério

O que: Pelo menos metade dos contratos ativos do órgão setorial contêm as cláusulas de confidencialidade para dados pessoais.

Por que: Indica um avanço na inclusão dessas cláusulas em comparação com o item anterior.

Onde: Nos documentos contratuais vigentes.

Quando: Na edição das minutas ou aditivos contratuais.

Quem: Área jurídica ou de contratos do órgão setorial.

Como: Inclusão das cláusulas em mais da metade dos contratos.

Quanto: Até 50% dos contratos possuem cláusula de confidencialidade.

6.1.8 - Pelo menos 75% dos contratos vigentes possuem as cláusulas de confidencialidade.

Detalhes do Critério

O que: Pelo menos 75% dos contratos atualmente em vigor no órgão incluem as cláusulas de confidencialidade para dados pessoais.

Por que: Demonstra um esforço significativo para garantir a proteção de dados em grande parte das relações contratuais.

Onde: Nos documentos contratuais vigentes.

Quando: Na edição das minutas ou aditivos contratuais.

Quem: Área jurídica ou de contratos.

Como: Inclusão das cláusulas em um número maior de contratos.

Quanto: Até 75% dos contratos possuem cláusula de confidencialidade.

6.1.9 - Pelo menos 100% dos contratos vigentes possuem as cláusulas de confidencialidade.

Detalhes do Critério

O que: A totalidade dos contratos atualmente em vigor no órgão contém cláusulas específicas sobre a confidencialidade de dados pessoais

Por que: Garante a proteção de dados em todas as relações contratuais do órgão que envolvam tratamento de dados pessoais, representando a melhor prática em conformidade com a LGPD.

Onde: Nos documentos contratuais vigentes.

Quando: Na edição das minutas ou aditivos contratuais.

Quem: Área jurídica ou de contratos.

Como: Inclusão das cláusulas em todos os contratos.

Quanto: 100% dos contratos possuem cláusula de confidencialidade.

6.1.10 - Em atendimento ao plano de adequação à LGPD, conforme decreto municipal vigente, foi elaborado o ROTDP (Registros das Operações de Tratamento de Dados Pessoais).

Detalhes do Critério

O que: Em cumprimento ao plano de adequação à Lei Geral de Proteção de Dados (LGPD), e conforme o decreto municipal nº 59767/20, o órgão elaborou o Registros das Operações de Tratamento de Dados Pessoais (ROTDP).

Por que: O ROTDP é um documento exigido pela LGPD em certas situações, com o objetivo de identificar e avaliar os possíveis riscos à privacidade e à proteção de dados decorrentes de atividades de tratamento.

Onde: O ROTDP é um documento interno do órgão setorial.

Quando: Em algum momento após a publicação do decreto e como parte do plano de adequação à LGPD.

Quem: A equipe responsável pela adequação à LGPD no órgão setorial, envolvendo a área de TIC e a Controladoria Geral do Município.

Como: Realizando a análise dos processos de tratamento de dados e documentando as conclusões no formato do ROTDP.

Quanto: Na elaboração do ROTDP.

6.1.11 - Tem contribuído com revisão e atualização periódica do ROTDP.

Detalhes do Critério

O que: O órgão setorial mantém um processo contínuo de revisão e atualização do Registros das Operações de Tratamento de Dados Pessoais (ROTDP).

Por que: Para garantir que o ROTDP reflita as práticas atuais de tratamento de dados do órgão setorial, identifique e avalie adequadamente os riscos em constante mudança. A LGPD exige a revisão periódica do relatório.

Onde: O ROTDP é um documento interno que passa por revisões.

Quando: Regularmente, em intervalos definidos ou sempre que houver mudanças significativas nos processos de tratamento de dados.

Quem: A equipe responsável pela adequação à LGPD no órgão setorial, envolvendo a área de TIC e a Controladoria Geral do Município.

Como: Realizando análises periódicas e documentando as alterações no ROTDP.

Quanto: As revisões e atualizações periódicas.

6.1.12 - O órgão setorial concluiu a etapa de autoavaliação para o diagnóstico amplo da LGPD.

Detalhes do Critério

O que: Aplicar uma autoavaliação estruturada sobre a maturidade do órgão em relação à LGPD, com base em controles definidos pela CGM - Controladoria Geral do Município.

Por que: Identificar o nível de conformidade do órgão setorial, orientar ações corretivas e subsidiar a atuação da CGM - Controladoria Geral do Município.

Onde: Realizada internamente em cada órgão setorial, com consolidação e envio à CGM por sistema ou formulário oficial.

Quando: Anualmente ou conforme cronograma definido pela CGM; preferencialmente no início de cada exercício de planejamento.

Quem: Realizada por equipe responsável pela LGPD no órgão setorial, com apoio do encarregado local e da área de TIC, quando aplicável.

Como: Preenchimento do diagnóstico

Quanto: Sem custo financeiro direto; requer alocação de tempo da equipe. Capacitações podem ser exigidas em caso de baixa maturidade.

6.1.13 - Em atendimento ao plano de adequação à LGPD, conforme decreto municipal vigente, foi elaborado o RIPD.

Detalhes do Critério

O que: Em cumprimento ao plano de adequação à Lei Geral de Proteção de Dados (LGPD), e conforme o decreto municipal nº 59767/20, o órgão elaborou o Relatório de Impacto à Proteção de Dados Pessoais (RIPDP).

Por que: O RIPDP é um documento exigido pela LGPD, com o objetivo de identificar e avaliar os possíveis riscos à privacidade e à proteção de dados decorrentes de atividades de tratamento dos dados.

Onde: O RIPDP é um documento interno do órgão.

Quando: Em algum momento após a publicação do decreto e como parte do plano de adequação à LGPD.

Quem: A equipe responsável pela adequação à LGPD no órgão setorial, envolvendo a área de TIC, jurídica e outras relevantes.

Como: Realizando a análise dos processos de tratamento de dados e documentando as conclusões no formato do RIPDP.

Quanto: A elaboração do RIPDP.

6.1.14 - Tem contribuído com revisão e atualização periódica do RIPD.

Detalhes do Critério

O que: O órgão setorial mantém um processo contínuo de revisão e atualização do Relatório de Impacto à Proteção de Dados Pessoais (RIPDP).

Por que: Para garantir que o RIPDP reflita as práticas atuais de tratamento de dados do órgão setorial, identifique e avalie adequadamente os riscos em constante mudança. A LGPD exige a revisão periódica do relatório.

Onde: O RIPDP é um documento interno que passa por revisões.

Quando: Regularmente, em intervalos definidos ou sempre que houver mudanças significativas nos processos de tratamento de dados.

Quem: A equipe responsável pela adequação à LGPD no órgão setorial, envolvendo a área de TIC e a Controladoria Geral do Município.

Como: Realizando análises periódicas e documentando as alterações no RIPDP.

Quanto: As revisões e atualizações periódicas.

6.1.15 - RIPD foi direcionado para repositório CGM.

Detalhes do Critério

O que: O Relatório de Impacto à Proteção de Dados Pessoais (RIPDP) do órgão foi encaminhado para um repositório da Controladoria Geral do Município (CGM).

Por que: Para cumprir requisitos de transparência ou fiscalização da CGM em relação à adequação dos órgãos à LGPD.

Onde: No repositório da CGM.

Quando: Após a elaboração ou atualização do RIPDP.

Quem: A equipe responsável pela adequação à LGPD no órgão setorial, envolvendo a área de TIC e a Controladoria Geral do Município.

Como: Seguindo os procedimentos definidos pela CGM para o envio e armazenamento do RIPDP.

Quanto: O envio do RIPDP para o repositório.

6.1.16 - A equipe de TIC possui membros capacitados em cursos relacionados a Lei Geral de Proteção de Dados (LGPD)

Detalhes do Critério

O que: Capacitar membros da equipe de TIC em temas relacionados à Lei Geral de Proteção de Dados (LGPD).

Por que: Garantir a conformidade legal com a LGPD, reduzir riscos no tratamento de dados pessoais e aumentar a maturidade em proteção de dados no órgão.

Onde: Preferencialmente em ambiente institucional (escola de governo, cursos EAD oficiais) ou por meio de plataformas reconhecidas (ENAP, SENAC, etc.).

Quando: Sempre que necessário, quando houver mudanças relevantes na legislação ou diretrizes internas.

Quem: Servidores da área de TIC indicados pela chefia imediata ou coordenação de tecnologia; prioridade para os que atuam diretamente com tratamento de dados.

Como: Por meio de cursos presenciais ou a distância, com carga horária mínima recomendada para conhecimento de fundamentos da LGPD, princípios, bases legais, direitos dos titulares, segurança da informação e governança de dados.

Quanto: Preferencialmente com uso de recursos gratuitos (ENAP, Controladoria Geral, outros órgãos públicos); caso necessário, orçamento previsto no plano de capacitação da secretaria.

6.1.17 - Membro da equipe de TIC participa formalmente do grupo de trabalho da LGPD

Detalhes do Critério

O que: Designar formalmente pelo menos um membro da equipe de TIC para participar do grupo de trabalho responsável pela implementação e acompanhamento da LGPD no órgão setorial.

Por que: Garantir integração entre a área de tecnologia e as ações de proteção de dados, promovendo suporte técnico e segurança nas decisões do grupo de trabalho, conforme boas práticas de governança de dados.

Onde: No âmbito do órgão setorial e, se necessário, em articulação com o órgão central de proteção de dados da Prefeitura (CGM/CPD).

Quando: Sempre que necessário, quando houver alterações na equipe de TIC. A participação deve ser contínua durante o funcionamento do grupo de trabalho.

Quem: Membro da equipe de TIC, preferencialmente com conhecimento técnico em sistemas, segurança da informação e gestão de dados. Nomeado por ato administrativo (ex.: portaria interna).

Como: Por meio de documento formal (portaria ou ofício) que designe o representante da TIC no GT da LGPD, com participação em reuniões, apoio técnico e elaboração de planos de ação e relatórios.

Quanto: Custo indireto, relativo ao tempo do servidor. Sem necessidade de orçamento adicional, salvo em casos de capacitação específica ou ampliação da equipe.

6.1.18 - Membro da equipe de TIC é o encarregado da LGPD no órgão setorial

Detalhes do Critério

O que: Designar formalmente um membro da equipe de TIC como Encarregado pelo tratamento de dados pessoais (Data Protection Officer – DPO) do órgão, conforme previsto na LGPD.

Por que: Cumprir o art. 41 da LGPD e o Decreto Municipal nº 59.767/2020, garantindo a existência de um canal de comunicação com os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), além de orientar a organização sobre práticas de tratamento de dados.

Onde: No âmbito de cada órgão setorial, com comunicação oficial à Controladoria Geral do Município (CGM) e registro no sistema municipal (como o portal LGPD da CGM).

Quando: A designação deve ocorrer formalmente assim que o órgão iniciar a estruturação da sua governança de proteção de dados. Recomenda-se reavaliar periodicamente, especialmente em caso de mudanças de pessoal ou estrutura.

Quem: Membro da equipe de TIC com perfil técnico e institucional, preferencialmente com conhecimento em proteção de dados, segurança da informação e governança. Deve ser nomeado por ato oficial (portaria ou equivalente).

Como: Atribuição formal via portaria do dirigente máximo do órgão, publicada internamente e, se necessário, enviada à CGM. O encarregado deve atuar como ponto de contato, participar de comitês, responder a solicitações e promover a conscientização interna sobre a LGPD.

Quanto: Custo indireto relacionado à alocação de tempo e responsabilidades do servidor. Pode envolver capacitações específicas, que podem ser realizadas com recursos próprios, gratuitos (como ENAP) ou via orçamento de capacitação.