A Lei Geral de Proteção de Dados Pessoais (LGPD) - Lei Federal nº 13.709, de 14 de agosto de 2018 - dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural. Suas normas gerais devem ser observadas pela União, Estados, Distrito Federal e Municípios (art. 1º, parágrafo único, Lei Federal n° 13.709/2018).

De forma a dar cumprimento à legislação nacional, a Prefeitura do Município de São Paulo editou o Decreto Municipal nº 59.767, de 16 de setembro de 2020, que regulamenta a aplicação da referida lei no âmbito da Administração Municipal direta e indireta. Conforme estipula o Decreto, o Controlador Geral do Município figura como o Encarregado pela Proteção de Dados Pessoais, ou seja, é a pessoa indicada pelo Chefe do Poder Executivo Municipal para servir como canal de comunicação entre a Prefeitura do Município de São Paulo, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).

Nesse sentido, a Controladoria Geral do Município de São Paulo disponibilizou suas “Diretrizes para o Programa de Privacidade e Proteção de Dados da Prefeitura do Município de São Paulo”, no intuito de estabelecer orientações à implementação das disposições da LGPD e do Decreto Municipal n° 59.767/2020, no âmbito da Administração Pública do Município.

Além disso, também está disponível a "Cartilha de Boas Práticas de Proteção de Dados e Privacidade" que elenca as boas práticas que dispõe a Prefeitura do Município de São Paulo para a tutela dos direitos e garantias dos titulares de dados pessoais.

Orientações gerais para a adequação da Administração Pública Municipal com a proteção de dados pessoais e privacidade

O Encarregado pela Proteção de Dados Pessoais da Prefeitura do Município de São Paulo, no uso de suas atribuições legais, conforme dispõe a Instrução Normativa nº 01, de 21 de julho de 2022, da Controladoria Geral do Município de São Paulo (CGM/SP), disponibiliza, para toda a Administração Pública do Município de São Paulo, layouts de “Mapeamento de Dados Pessoais” ("Registro das Operações de Tratamento de Dados Pessoais") e de “Relatório de Impacto à Proteção de Dados”.

O Anexo II - "Mapeamento de Dados Pessoais" ("Registro das Operações de Tratamento de Dados Pessoais"), a ser preenchido a partir do mapeamento de cada processo ou atividade realizada pelos órgãos ou entidades, tem a finalidade de subsidiá-los em seus planos de adequação ao sistema normativo de proteção de dados pessoais. Este mapeamento visa a identificar as operações de tratamento de dados pessoais realizadas no âmbito da Administração Pública Municipal e deve ser atualizado regularmente, com base nas alterações dos fluxos dos processos de cada órgão ou entidade e nos termos das normas aplicáveis sobre proteção de dados pessoais.

A guia "2 - Lista de Processos", presente neste Anexo II da Instrução Normativa, contém tabela a ser preenchida com os processos do órgão ou entidade. Processo, neste caso, diz respeito a um conjunto de atividades ou tarefas orientadas por um objetivo e não se confundem, por exemplo, com Processos SEI.

O mapeamento de cada processo deverá estar descrito como uma cópia da guia “3 - Mapeamento - Processo X”, com a substituição de "X" pelo Número de Identificação do Processo, especificado na guia "2 - Lista de Processos".

A guia “4 - Listas Úteis” contém exemplos para o preenchimento das guias. As guias "Base 1" e "Base 2" alimentam as demais com informações pré-definidas.

Os órgãos e entidades poderão se utilizar, para o preenchimento do Anexo II, "Mapeamento de Dados Pessoais", e do Anexo I, "Relatório de Impacto à Proteção de Dados Pessoais", bem como em todo o seu processo de adequação, das seguintes normas ABNT NBR ISO/IEC, dentre outras:

-ABNT NBR ISO/IEC 29100:2020 – Especifica uma terminologia comum de privacidade, os atores e os seus papéis no tratamento de dados pessoais e descreve considerações de salvaguarda de privacidade e fornece referências para princípios conhecidos de privacidade para Tecnologia da Informação;
-ABNT NBR ISO/IEC 27701:2019 – Especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI), sendo uma extensão da ABNT NBR ISO/IEC 27001:2013 e da ABNT NBR ISO/IEC 27002:2013;
-ABNT NBR ISO/IEC 27005:2019 – Trata da Gestão de Riscos da Segurança da Informação;
-ABNT NBR ISO/IEC 27001:2013 – Trata de Sistemas de Gestão da Segurança da Informação; e
-ABNT NBR ISO/IEC 27002:2013 – Código de Prática para Controles de Segurança da Informação.
Conforme dispõe o art. 16 da Instrução Normativa CGM/SP nº 01, de 21 de julho de 2022, são, a seguir, disponibilizados os seus Anexos I e II a fim de serem observados em seus planos de adequação à proteção de dados pessoais:

Anexo I - "Relatório de Impacto à Proteção de Dados Pessoais"

Anexo II - "Mapeamento de Dados Pessoais"

Acesse também o texto completo da Instrução Normativa - Portal de Legislação Municipal

Extrato do Diário Oficial de 22/07/2022 - Publicação Instrução Normativa 01/22 - págs 24 a 31