Em 22/07/2022, a Controladoria Geral do Município de São Paulo publicou a Instrução Normativa n. 1, que tem como objetivo estabelecer disposições sobre o tratamento de dados pessoais no âmbito da Administração Pública Municipal de São Paulo. A norma entrará em vigor em 180 dias contados de sua publicação, ou seja, em janeiro de 2023.
O texto foi elaborado com base na LGPD e no Decreto Municipal n. 59.767/2020, trazendo melhores explicações sobre quem seria responsável por implementar as normas de proteção de dados no âmbito municipal. Nesse contexto, deve-se recordar que o Decreto Municipal n. 59.767/2020 havia estabelecido a responsabilidade dos Chefes de Gabinete das Secretarias e Subprefeituras municipais de realizar atividades de adequação para auxiliar o Controlador Geral do Município em relação às demandas de proteção de dados pessoais, bem como estabelecer que este seria o encarregado de proteção de dados pessoais.
A Instrução Normativa prevê que os Chefes de Gabinete poderão ser responsabilizados pelo descumprimento das determinações do Controlador Geral do Município, bem como por não cooperar com este, disponibilizando as informações solicitadas no tempo determinado, não encaminhar o relatório de impacto à proteção de dados pessoais ou não disponibilizar informações sobre o fluxo de dados. A responsabilização deverá ser apurada pela Corregedoria Geral do Município.
A instrução é acompanhada de dois anexos: o mapeamento de dados pessoais e o modelo de relatório de impacto, sugerindo que será necessário que as secretarias e subsecretarias adotem as medidas administrativas necessárias para proceder ao mapeamento e estejam aptas a responder os questionamentos do Controlador Geral do Município.
Ainda, ficou clara a responsabilidade das secretarias e subprefeituras municipais em disponibilizar informações sobre proteção de dados pessoais nos sites próprios e nas instalações físicas. Dentre as informações que devem ser disponibilizadas, têm-se: as hipóteses de tratamento de dados pessoais, meio de exercício de direitos, como a manifestação de consentimento.
Por fim, é certo que deverá haver um grande esforço organizacional nas secretarias e subprefeituras, uma vez que passa a ser necessário (artigo 13) que estas:
(i) realizem o mapeamento de dados pessoais, identificando o fluxo de tratamento, sistemas utilizados e riscos relacionados;
(ii) analisem os riscos identificados em relação aos sistemas usados por fornecedores e provedores de terceiros;
(iii) adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados pessoais tratados;
(iv) criem um plano de adequação que descreva todas as tarefas a serem desenvolvidas para a implementação do sistema normativo de proteção de dados pessoais em vigor;
(v) adotem tecnologias inovadoras e especializadas, consultando a Secretaria Municipal de Inovação e Tecnologia (SMIT) sobre soluções que possam auxiliar a analisar os riscos sobre os dados pessoais compartilhados; e
(vi) promovam a capacitação de responsáveis e de equipes em relação à proteção de dados pessoais.
Considerando as novas obrigações das secretarias e subprefeituras municipais de São Paulo, é recomendável que os fornecedores da Administração Pública municipal se preparem para fornecer as informações necessárias para que os órgãos públicos realizem o mapeamento de dados e a identificação de riscos. Por fim, deve-se acompanhar como o tema será regulamentado nas demais prefeituras municipais, uma vez que a Prefeitura de São Paulo é frequentemente utilizada como modelo legislativo.