Essa publicação está na edição do(s) dia(s): 12 de Novembro de 2024.

DECRETO Nº 1.071, DE 06 DE NOVEMBRO DE 2024

DECRETO Nº 1.071, DE 06 DE NOVEMBRO DE 2024

Institui o Comitê de Segurança da Informação e Privacidade (CSIP) no âmbito do Poder Executivo Municipal.

ALTAMIR KÜRTEN, Prefeito Municipal de Cláudia,Estado de Mato Grosso, no uso de suas atribuições legais que lhe são conferidas e,

Considerando a necessidade de criar um comitê de caráter tático-operacional em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD), com a finalidade de, entre outras atribuições, gerenciar a adequação à LGPD e tratar de questões relativas ao tratamento de dados pessoais, bem como a necessidade de implementar boas práticas de gestão de segurança da informação, em observância aos controles aplicáveis estabelecidos pela ABNT NBR ISO/IEC 27001:2022 (Sistemas de gestão da segurança da informação – Requisitos) e descritos na ABNT NBR ISO/IEC 27002:2022 (Controles de segurança da informação, segurança cibernética e proteção à privacidade).

DECRETA:

CAPÍTULO I

Da Composição

Art. 1º Fica criado a CSIP no âmbito do Poder Executivo Municipal, que funcionará em estrita observância do que dispõe a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), e, no que couber, observando os controles aplicáveis apresentados pela ABNT NBR ISO/IEC 27001:2022 (Segurança da informação, segurança cibernética e proteção à privacidade – Sistemas de gestão da segurança da informação – Requisitos) e descritos ABNT NBR ISO/IEC 27002:2022 (Segurança da Informação, segurança cibernética e proteção à privacidade – Controles de segurança da informação), no âmbito do Poder Executivo Municipal.

Art. 2º Por indicação do Chefe do Poder Executivo, de que trata o artigo precedente, o CSIP será integrado por 12 (doze) servidores públicos, de ilibada conduta.

Art. 3º O CSIP possuirá a seguinte composição mínima:

I - O encarregado de dados pessoais nomeado;

II - Suplente do encarregado de dados;

III - Um representante do Gabinete Municipal;

IV - Um representante da Secretaria Municipal de Saúde;

V - Um representante da Secretaria Municipal de Assistência Social;

VI - Um representante da Secretaria Municipal de Educação;

VII - Um representante da Secretaria Municipal de Meio Ambiente;

VIII - Um representante da Secretaria Municipal de Desenvolvimento Econômico e Rural;

IX - Um representante da Secretaria Municipal de Obras e Serviços Públicos;

X - Um representante da Secretaria Municipal de Finanças e;

XI - Um representante da Procuradoria Geral do Município;

XII - Profissional Técnico de Tecnologia da Informação.

CAPÍTULO II

Das Atribuições

Art. 4º São responsabilidades dos membros do CSIP: comparecer às reuniões sempre que convocados, analisar previamente os temas a serem discutidos, participar ativamente das discussões e votações, sugerir a inclusão de novos assuntos nas reuniões, podendo apresentá-los a qualquer momento em situações de urgência, e manter a confidencialidade das discussões realizadas. Além disso:

I - O(a) Presidente deve liderar os trabalhos do CSIP, assegurar o andamento adequado das atividades, apresentar as deliberações documentadas à Alta Direção, convocar as reuniões dos membros e, quando necessário, exercer o voto de desempate e garantir que as decisões tomadas sejam encaminhadas à alta gestão para a devida adoção das medidas pertinentes;

II - O(a) Vice-presidente assistirá o(a) Presidente em todas as suas funções, substituindo-o(a) na sua ausência;

III - O(a) Secretário(a) deve registrar todas as deliberações e decisões do CSIP em ata, coletar as assinaturas dos presentes e encaminhá-las formalmente a todos os membros, além de auxiliar o(a) Presidente e o(a) Vice-presidente em todas as tarefas necessárias;

IV - O(a) Consultor da Assessoria Jurídica é responsável por emitir pareceres sobre os aspectos legais e jurídicos das deliberações do C SIP, registrando em ata as razões e fundamentos do seu parecer técnico;

V - O(a) Encarregado(a) de Dados ou seu suplente, conforme previsto na LGPD, deve promover as ações necessárias para o cumprimento adequado de suas responsabilidades legais;

VI - O Profissional Técnico de Tecnologia da Informação, ao identificar qualquer anomalia nos sistemas da Prefeitura ou suspeitas de incidentes de Segurança da Informação e/ou Dados, garantir que o CSIP seja informado por meio de comunicação direta.

CAPÍTULO III

Dos Deveres e Competências

Art. 5º São atribuições do CSIP:

I - Avaliar os mecanismos atuais de tratamento e proteção de dados pessoais na Prefeitura, propondo políticas, procedimentos, estratégias e metas que assegurem a conformidade da Prefeitura com a Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados - LGPD);

II - Deliberar sobre questões relacionadas à Segurança da Informação, observando os controles aplicáveis apresentados pela ABNT NBR ISO/IEC 27001:2022 (Segurança da informação, segurança cibernética e proteção à privacidade – Sistemas de gestão da segurança da informação – Requisitos) e descritos ABNT NBR ISO/IEC 27002:2022 (Segurança da Informação, segurança cibernética e proteção à privacidade – Controles de segurança da informação);

III - Formular princípios e diretrizes para a gestão de dados pessoais;

IV - Estabelecer políticas, procedimentos e planos que regulamentem a gestão de dados pessoais por agentes internos e externos que tratam dados em nome da Prefeitura ou em função de contratos firmados com esta;

V - Supervisionar a execução dos planos, projetos, políticas, procedimentos e diretrizes aprovados pelo CSIP;

VI - Orientar sobre o tratamento e proteção de dados pessoais, em conformidade com a LGPD e demais documentos internos pertinentes;

VII - Promover a comunicação interna e externa sobre as medidas de proteção de dados adotadas, seja por iniciativa própria ou mediante solicitação de outros órgãos ou interessados;

VIII - Auxiliar o(a) Encarregado(a) de Dados na auditoria do tratamento realizado pelos operadores de dados pessoais;

IX - Aplicar sanções administrativas em casos de violação às práticas estabelecidas;

X - Direcionar as atividades do(a) Encarregado de Dados, garantindo-lhe a autonomia necessária para o cumprimento de suas funções legais.

Art. 6º Quando um incidente de segurança da informação e/ou privacidade for identificado ou reportado, o CSIP deverá realizar as seguintes atividades:

I - Receber as notificações de incidentes, realizar a triagem e garantir uma resposta imediata aos notificantes;

II - Conduzir uma avaliação preliminar, analisando o histórico de tratamento dos dados, sistemas afetados, dados comprometidos, quantidade de titulares impactados, potenciais danos materiais ou morais, e as medidas de mitigação adotadas;

III - Verificar a validade das notificações, identificando possíveis notificações inválidas ou improcedentes;

IV - Identificar o sistema afetado e, se necessário, solicitar suporte dos responsáveis pelo sistema, requisitando informações e orientações para a contenção, erradicação ou mitigação dos danos relacionados ao incidente;

V - Fornecer as informações obtidas aos responsáveis pelo desenvolvimento e implementação da solução para o incidente;

VI - Após o controle do incidente, reunir-se para deliberar sobre melhorias nas práticas de contenção, mitigação ou eliminação de riscos associados ao incidente de segurança identificado.

CAPÍTULO IV

Do Funcionamento

Art. 7º O CSIP se reunirá mensalmente ou mediante convocação do Encarregado de Dados Pessoais.

Art. 8º As reuniões serão convocadas através de e-mail, destinado a cada membro do CSIP, devendo constar dia, hora e local da reunião, bem como pauta dos assuntos a serem discutidos.

Art. 9º As reuniões do CSIP serão instaladas e realizadas, mediante a presença da maioria simples dos seus membros. Não havendo o quórum mínimo, sendo 6 (seis), deverá ser convocada nova reunião no prazo máximo de 5 (cinco) dias úteis.

Art. 10. O CSIP será consultivo e deliberativo para opinar sobre os temas pertinentes às suas atribuições, cabendo nas reuniões:

I - Sendo a reunião ordinária, a maioria simples dos votos de seus membros definirá o parecer favorável ou negativo a determinada demanda, o que constará em ata;

II - Sendo a reunião extraordinária, a maioria simples dos votos de seus membros definirá se será aprovada ou não determinada medida;

III - Caso o mesmo consultor ocupe mais de uma função dentro do comitê, contar-se-á um voto por função ou cargo desempenhado;

IV - Cada membro terá direito a 1 (um) voto, sendo as recomendações aprovadas por maioria dos presentes;

V - As recomendações emitidas versarão exclusivamente sobre os assuntos constantes da pauta;

VI - A abstenção será permitida ao membro do CSIP, caso seja indicado existência de potencial conflito de interesses.

Parágrafo único. Poderão ser convocados profissionais técnicos, sem direito a voto, para assessorar os trabalhos do CSIP em razão da matéria a ser discutida, aplicando-se, na hipótese de assuntos sigilosos, o Código de Ética e Conduta Municipal.

Art. 11. É vedado que qualquer membro realize ações ou tome decisões de forma individualizada sem que essas sejam previamente submetidas ao CSIP, apreciadas, votadas e com os próximos passos definidos para a sua execução.

CAPÍTULO V

Da Disposição Geral

Art. 12. O decreto do CSIP poderá ser alterado por decisão do Poder Executivo, com base ou não em recomendação devidamente fundamentada do próprio CSIP.

Art. 13. O CSIP terá prazo de duração indeterminado e iniciará suas atividades a partir da publicação deste decreto.

GABINETE DO PREFEITO MUNICIPAL DE CLÁUDIA,

ESTADO DE MATO GROSSO,

Em 06 de novembro de 2024.

ALTAMIR KÜRTEN

Prefeito Municipal