DECRETO Nº 7.641, DE 11 DE DEZEMBRO DE 2025
“DISPÕE SOBRE A HOMOLOGAÇÃO DA POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DA ADMINISTRAÇÃO PÚBLICA DIRETA, NOS TERMOS DA LEI FEDERAL Nº 13.709, DE 14 DE AGOSTO DE 2018 E DECRETO MUNICIPAL Nº 6.884, DE 28 DE DEZEMBRO DE 2022, E DÁ OUTRAS PROVIDENCIAS”
KAUÃN BERTO SOUSA SANTOS, Prefeito do Município de Cajamar, Estado de São Paulo, no uso de suas atribuições legais, e especialmente as contidas no artigo 62, § 3º, incisos II e IV da Lei Orgânica do Município de Cajamar.
Considerando a Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Proteção de Dados Pessoais – LGPD), que dispõe sobre o tratamento de dados pessoais por pessoa jurídica de direito público e privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, regulamentada, em âmbito Municipal, pelo Decreto nº 6.884, de 28 de dezembro de 2022;
Considerando que a política de proteção de dados pessoais é conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais;
Considerando a instituição da Comissão Permanente da Lei Geral de Proteção de Dados e Informação, por meio da Portaria nº 819, de 10 de abril de 2023, competindo-lhe, nos termos do inciso I do art. 16 do Decreto nº 6.884/2022, a elaboração e manutenção da Política de Proteção de Dados Pessoais da Administração Pública Direta;
Considerando os trabalhos da Comissão Permanente da Lei Geral de Proteção de Dados e Informação, e documentos que constam no Processo Administrativo nº 4.771/2025.
DECRETA:
Art. 1º Ficahomologada a POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DA ADMINISTRAÇÃO PÚBLICA DIRETA, contida no Anexo Único a este Decreto, elaborada e apresentada pela Comissão Permanente da Lei Geral de Proteção de Dados e Informação, nos termos do inciso I, do art. 16 do Decreto nº 6.884, de 28 de dezembro de 2022.
Art. 2º Este Decreto entra em vigor na data de sua publicação.
Cajamar, 11 de dezembro de 2025.
KAUÃN BERTO SOUSA SANTOS
Prefeito Municipal
Publicado no Diário Oficial do Município e arquivado em pasta própria, no local de costume.
LUCIANA MARIA COELHO DE JESUS STELLA
Secretaria Municipal de Governo
ANEXO ÚNICO
“POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DA ADMINISTRAÇÃO PÚBLICA DIRETA DO MUNICÍPIO DE CAJAMAR”
CAPÍTULO I
Das Disposições Gerais
Art. 1º Fica instituída a POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DA ADMINISTRAÇÃO PÚBLICA DIRETA, com a finalidade de estabelecer princípios e diretrizes para a implementação de ações que garantam a proteção de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas.
Art. 2º A Política de Proteção de Dados Pessoais aplica-se à todas as Unidades Gestoras da Administração Pública Direta, no âmbito do Município de Cajamar, devendo ser observada por todos os usuários de informação, seja servidor ou equiparado, empregado, prestador de serviços ou pessoa habilitada pela administração para acessar os ativos de informação sob responsabilidade da Administração Pública Direta.
Parágrafo único. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) e Decreto Municipal nº 6.884 de 28 de dezembro de 2022.
CAPÍTULO II
Dos Objetivos e Responsabilidades
Seção I
Dos Objetivos
Art. 3º São objetivos da Política de Proteção de Dados Pessoais:
I – estabelecer medidas eficazes para o cumprimento das normas de proteção de dados pessoais e demonstrar a eficácia das mesmas;
II – estabelecer revisões de processos com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados pessoais;
III – promover a administração dos dados pessoais coletados e tratados, em qualquer meio, físico ou digital, custodiados ou sob orientação direta ou indireta da Administração Pública Direta, de acordo com as diretrizes especificadas;
IV – estabelecer a necessidade de criar e manter um registro de todas as operações de tratamento de dados pessoais realizados;
V – promover a adequada gestão do tratamento dos dados pessoais;
VI – promover a criação de programas de treinamento e conscientização para que os colaboradores entendam suas responsabilidades e procedimentos na proteção de dados pessoais;
VII – promover a formulação de regras de segurança, de boas práticas e de governança com objetivo de definir procedimentos e outras ações referentes a privacidade e proteção de dados pessoais.
Seção II
Das Responsabilidades
Art. 4º São responsabilidades das Unidades Gestoras:
I – atender ao disposto nos normativos e publicações da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) que disciplinam o tratamento e a governança dos dados pessoais;
II – elaborar, quando couber, o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) relacionados às operações de tratamento, e atualizá-lo quando necessário, em consonância com a alínea “b”, do inciso III do parágrafo único, do art. 10, do Decreto nº 6.884/2022;
III – realizar o desenvolvimento e a atualização das políticas/avisos de privacidade, que tem por finalidade o fornecimento de informações sobre o tratamento de dados pessoais em cada ambiente físico ou virtual, bem como, especificar as medidas de proteção de dados adotadas para salvaguardar esses dados pessoais. A Secretaria de Modernização, Tecnologia e Inovação estabelecerá normas específicas;
IV – observar as demais disposições estabelecidas no Decreto nº 6.884/2022, em especial aos artigos 10 e 11.
CAPÍTULO III
Do Tratamento de Dados Pessoais
Art. 5º O tratamento de dados pessoais deve ser sempre realizado para o atendimento de sua finalidade pública, conforme o interesse público, com o objetivo de executar competências legais e de cumprir as atribuições legais do serviço público.
Art. 6º As Unidades Gestoras devem adotar mecanismos para que os titulares de dados pessoais usufruam dos direitos assegurados pela Lei Federal nº 13.709, de 14 de agosto de 2018 e normativos correlatos.
Art. 7º O tratamento de dados pessoais sensíveis deve ser observado nos termos da LGPD e demais normativos.
Art. 8º O tratamento de dados pessoais de crianças e de adolescentes deve ser realizado nos termos da Lei Federal nº 13.709, de 14 de agosto de 2018.
Art. 9º O uso compartilhado de dados pessoais deve ocorrer em estrita observância ao art. 26 da Lei Federal nº 13.709, de 14 de agosto de 2018.
Parágrafo único. As operações remanescentes de uso compartilhado de dados devem seguir o disposto no art. 27 da Lei Federal nº 13.709, de 14 de agosto de 2018.
Art. 10. A transferência internacional de dados pessoais deve observar o disposto no Capítulo V da Lei Federal nº 13.709, de 14 de agosto de 2018.
CAPÍTULO IV
Da Conscientização, Capacitação e Sensibilização
Art. 11. Os servidores das Unidades Gestoras, com acesso a dados pessoais devem participar de programas de conscientização, capacitação e sensibilização em matérias de privacidade e proteção de dados pessoais, objetivando adequar o tema aos seus papeis e responsabilidades.
CAPÍTULO V
Da Segurança e Boas Práticas
Art. 12. Para mitigar incidentes com dados pessoais, devem ser adotadas as seguintes medidas técnicas e organizacionais de privacidade e proteção de dados:
I – o acesso aos dados pessoais deve estar limitado as pessoas que realizam o tratamento.
II – as funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais devem ser claramente estabelecidas e comunicadas;
III – devem ser estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores de dados pessoais;
IV – todos os dados pessoais devem estar armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los.
CAPÍTULO VI
Da Conformidade
Art. 13. As atividades, produtos e serviços desenvolvidos nas Unidades Gestoras devem observar os requisitos de privacidade e proteção de dados pessoais constantes de Leis e demais atos normativos vigentes, para estarem em conformidade.
CAPÍTULO VII
Das Funções e Responsabilidades
Art. 14. Qualquer pessoa natural ou jurídica de direito público ou privado que tenha interação em qualquer fase do tratamento de dados pessoais deve assegurar a privacidade e a proteção de dados pessoais que trata, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pelas Administração Pública Direta.
Art. 15. Compete à Comissão Permanente da Lei Geral de Proteção de Dados e Informação observar às disposições dos artigos 15 e 16, do Decreto nº 6.884/2022.
Art. 16. A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais no âmbito da Administração Pública Direta, cabem ao Município de Cajamar, que exercerá as atribuições de Controlador por intermédio dos Secretários Municipais, nos termos do art. 8º do Decreto nº 6.884/2022.
Parágrafo único. O Controlador, no exercício das suas atribuições típicas, determina as medidas necessárias para executar a Política de Proteção de Dados Pessoais dentro de sua estrutura organizacional.
Art. 17. Compete ao Controlador, observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela LGPD e por normativos correlatos no momento de decidir sobre um futuro tratamento ou realizá-lo.
Art. 18. É vedado qualquer tratamento de dados pessoais para fins não relacionados com as atividades desenvolvidas pela organização ou por pessoa não autorizada formalmente pela Administração Pública Direta.
Art. 19. São considerados Operadores de dados pessoais as pessoas naturais ou jurídicas de direito público ou privado, que realizam operações de tratamento de dados pessoais em nome do Controlador.
Art. 20. Quaisquer fornecedores de produtos ou serviços que, por qualquer motivo, realizem o tratamento de dados pessoais a eles confiados, são considerados operadores e devem seguir as diretrizes estabelecidas nesta Política, em especial as disposições do Capítulo VIII, que tratam da obrigatoriedade de inserção de cláusulas contratuais específicas relativas à segurança da informação, à limitação de finalidades, à proteção de dados pessoais, à devolução ou descarte seguro após a execução do serviço e às condições para eventual uso de subcontratados.
Art. 21. Compete ao Operador:
I – observar os princípios estabelecidos no art. 6º da LGPD, ao realizar tratamento de dados pessoais;
II – seguir as diretrizes estabelecidas pelo Controlador;
III – verificar, antes de efetuar o tratamento, se as diretrizes estabelecidas pelo Controlador cumprem os requisitos legais presentes nos art. 7º, art. 11 e art. 23 da LGPD;
Parágrafo único. Não é competência do Operador decidir unilateralmente quanto aos meios e finalidades utilizados para o tratamento de dados pessoais.
Art. 22. Compete ao Encarregado de proteção de dados:
I – receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações e requisições da ANPD e adotar providências;
III – orientar os colaboradores da organização a respeito das práticas a serem adotadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.
V – observar as demais disposições estabelecidas no Decreto nº 6.884/2022, em especial aos artigos 12 e 13.
CAPÍTULO VIII
Dos Contratos, Convênios, Acordos e Instrumentos Congêneres
Art. 23. Os contratos, convênios, acordos e instrumentos similares atualmente em vigor, que de alguma forma envolvam o tratamento de dados pessoais, precisam incorporar cláusulas específicas em total conformidade com a presente Política de Proteção de Dados Pessoais e que contemplem minimamente:
I – requisitos mínimos de segurança da informação.
II – determinação de que o operador não processe os dados pessoais para finalidades diferentes das informadas pelo Controlador.
III – requisitos de proteção de dados pessoais que os Operadores devem atender;
IV – condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do Controlador.
V – diretrizes especificas sobre o uso de subcontratados pelo operador para execução contratual que envolva tratamento de dados pessoais.
Art. 24. As Unidades Gestoras devem adotar medidas rigorosas com o propósito de assegurar que os terceiros e processadores de dados pessoais contratados estejam plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração do acordo entre as partes envolvidas.
CAPÍTULO IX
Das Penalidades
Art. 25. Ações que violem a Política de Proteção de Dados Pessoais poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.
CAPÍTULO X
Das Disposições Finais
Art. 26. As dúvidas sobre a Política de Proteção de Dados Pessoais e seus documentos poderão ser enviadas à Comissão Permanente da Lei Geral de Proteção de Dados e Informação.
Art. 27. Este instrumento entra em vigor na data de publicação do Decreto de sua homologação.
Cajamar, 11 de dezembro de 2025.
Comissão Permanente da Lei Geral de Proteção de Dados da Informação – Portaria nº 819, de 10 de abril de 2023
