Controladoria Geral do Município
Perguntas Frequentes
A Coordenadoria de Proteção de Dados Pessoais (CPD) reúne neste espaço perguntas frequentes sobre privacidade e proteção de dados pessoais, com respostas e orientações voltadas a encarregados, agentes públicos municipais, titulares de dados pessoais e cidadãos em geral.
As perguntas estão organizadas por temas. Se não encontrar sua dúvida em um tema específico, consulte também os demais. O conteúdo é atualizado periodicamente com base nas consultas recebidas pela CPD.
Em cada tema, para buscar por palavra-chave, use o atalho no seu navegador, pressionando juntas as teclas Ctrl+F ou usando as ferramentas "Localizar", "Buscar", "Pesquisar na página".
Privacidade e proteção de dados pessoais na Prefeitura de São Paulo
O que é a Lei Geral de Proteção de Dados Pessoais (LGPD) e por que ela se aplica à Prefeitura de São Paulo?
A LGPD (Lei Federal nº 13.709/2018) estabelece regras sobre como dados pessoais podem ser coletados, usados, armazenados e compartilhados por organizações privadas ou públicas, ou seja, empresas, órgãos públicos, entidades privadas etc. A própria lei determina que seus princípios e normas gerais se aplicam à União, aos estados, ao Distrito Federal e aos municípios. Para regulamentar sua aplicação na Administração Municipal, a Prefeitura de São Paulo promulgou o Decreto Municipal nº 59.767/2020.
O que são dados pessoais? E dados pessoais sensíveis?
Dado pessoal é qualquer informação que identifica diretamente ou pode identificar indiretamente uma pessoa, como nome completo, CPF, endereço residencial, número de telefone/celular etc. Dado pessoal sensível é uma categoria específica de dados pessoais que inclui informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, saúde, vida sexual, dados genéticos e dados biométricos. Esses dados pessoais sensíveis têm proteção legal reforçada pois podem gerar discriminação, constrangimento, perseguição ou tratamento injusto, e por isso exigem mais cuidados por parte de quem tem acesso e os utiliza.
O que é o titular de dados pessoais?
Titular de dados pessoais é a pessoa natural a quem os dados se referem. Em outras palavras, é o ser humano por trás de cada informação coletada, como por exemplo nome, CPF, endereço de moradia, endereço de e-mail, perfil em uma rede social, prontuário médico, imagem captada por uma câmera de segurança etc.
O que é o encarregado pelo tratamento de dados pessoais?
A LGPD exige que empresas, órgãos públicos e demais entidades ou organizações indiquem um encarregado pelo tratamento de dados pessoais, que atua como canal de comunicação entre o órgão/entidade, os titulares de dados pessoais e a Agência Nacional de Proteção de Dados (ANPD). Na Prefeitura de São Paulo, de acordo com o Decreto Municipal nº 59.767/2020 (Art. 5º, 10º), cada uma das secretarias, subprefeituras e demais entidades da administração municipal deve designar seu encarregado pelo tratamento de dados pessoais.
O que é a Agência Nacional de Proteção de Dados Pessoais (ANPD)?
É uma agência do Governo Federal que tem como missão zelar pela proteção de dados pessoais, orientada pela Lei Geral de Proteção de Dados Pessoais (LGPD). A ANPD tem entre suas atribuições a interpretação e a fiscalização da aplicação da LGPD e do Estatuto Digital da Criança e do Adolescente (ECA Digital), cabendo a ela estabelecer normas e diretrizes para a implementação dessas legislações e assegurar a garantia do direito de todos os brasileiros terem seus dados pessoais devidamente protegidos.
Programa de Governança em Privacidade e Proteção de Dados Pessoais (PGPP)
O que é o Programa de Governança em Privacidade e Proteção de Dados Pessoais (PGPP), referido na Portaria CGM nº 27/2026?
O Programa de Governança em Privacidade e Proteção de Dados Pessoais (PGPP) é um modelo de referência técnica que orienta os órgãos e entidades da Prefeitura de São Paulo a implementar, de forma gradual e estruturada, os controles necessários para adequação à LGPD. O programa organiza esse processo em 5 fases progressivas — do estágio preparatório até a plena institucionalização das práticas — e em 8 temas: estrutura organizacional, governança, tratamento de dados pessoais, direitos dos titulares, resposta a incidentes, transparência, segurança da informação e gestão de terceiros. Cada órgão ou entidade pode adaptar o modelo à sua realidade, levando em conta seu contexto, o volume de dados que trata e os riscos envolvidos nos tratamentos de dados pessoais que realiza. Consulte informações detalhadas na <página do Programa de Governança em Privacidade e Proteção de Dados Pessoais>.
Quem é responsável por implementar o Programa de Governança em Privacidade e Proteção de Dados Pessoais (PGPP) nos órgãos e entidades municipais?
O grupo de trabalho do órgão ou entidade, referido no Art. 4º, § 3º, do Decreto Municipal nº 59.767/2020, sob orientação do respectivo encarregado pelo tratamento de dados pessoais.
Todos os órgãos e entidades municipais são obrigados a seguir exatamente o modelo do Programa de Governança em Privacidade e Proteção de Dados Pessoais (PGPP)?
Não, o PGPP é um modelo de referência técnica para orientar e apoiar os órgãos e entidades da administração municipal na implementação de controles que visam garantir a adequação do tratamento de dados pessoais ao que a LGPD determina. Os órgãos e entidades da administração municipal poderão, mediante justificativa expressa, adequar a implantação do modelo de Programa de Governança em Privacidade e Proteção de Dados Pessoais, considerando o contexto, o volume e o risco dos tratamentos de dados pessoais realizados.
Diagnóstico de Maturidade em Proteção de Dados Pessoais
O que é o Diagnóstico de Maturidade em Proteção de Dados Pessoais, referido na Portaria CGM nº 27/2026?
O Diagnóstico de Maturidade em Proteção de Dados Pessoais é uma autoavaliação anual que cada órgão/entidade da Prefeitura realiza para verificar em que fase do PGPP se encontra e identificar o que ainda precisa ser feito para avançar na adequação à LGPD. O preenchimento é conduzido pelo encarregado de cada órgão/entidade com apoio das demais unidades ou áreas, que indica, para cada controle previsto no programa, se ele foi implementado, se ainda não foi ou se não se aplica à sua unidade. Os resultados devem ser documentados em processo SEI específico do órgão e validados pelo chefe de gabinete do órgão e servem para orientar o planejamento de ações futuras. A Coordenadoria de Proteção de Dados Pessoais analisa as autoavaliações de forma amostral e presta apoio e orientação ao longo do processo. O descumprimento do prazo ou da forma estabelecida para a autoavaliação pode implicar responsabilização do órgão. Consulte informações detalhadas na <página do Diagnóstico de Maturidade em Proteção de Dados Pessoais>.
Como deve ser feito o preenchimento do Diagnóstico de Maturidade?
O processo deve ser centralizado em cada órgão/entidade municipal. Cada órgão/entidade deve usar um único processo SEI referente à autoavaliação anual do Diagnóstico de Maturidade e preencher apenas um formulário de autoavaliação enviado pela Coordenadoria de Proteção de Dados Pessoais (CPD), que contemple toda a sua estrutura. Embora o levantamento de dados possa ser feito por diversos agentes públicos e unidades do órgão/entidade, a resposta final deve ser consolidada em um único formulário, preenchido pelo encarregado pelo tratamento de dados pessoais e ratificada pelo Chefe de Gabinete.
Quem assina a autoavaliação antes do envio no SEI?
A autoavaliação anual do Diagnóstico de Maturidade deve ser assinada e ratificada pelo Chefe de Gabinete do respectivo órgão/entidade antes do envio final à CGM/CPD via sistema SEI. Embora o levantamento das informações e o preenchimento inicial possam ser realizados por agentes públicos designados como o encarregado pelo tratamento de dados pessoais, a responsabilidade formal pelo encaminhamento e pela validação das respostas é da chefia de gabinete. De forma geral o fluxo da autoavaliação anual é o seguinte: 1) As respostas devem ser consolidadas em um único formulário (enviado por CGM/CPD), junto com as evidências e registradas no processo SEI autuado para este fim; 2) Após essa consolidação, a Chefia de Gabinete deve inserir uma manifestação ou cota no processo realizando a ratificação das respostas; 3) Somente após essa assinatura/ratificação o processo SEI deve ser encaminhado de volta para a Coordenadoria de Proteção de Dados Pessoais (CGM/CPD).
Quando irá ocorrer a próxima autoavaliação do Diagnóstico de Maturidade?
O Diagnóstico de Maturidade possui periodicidade anual e teve seu primeiro ciclo de autoavaliação em 2025. A cada ano, a CPD organizará a nova rodada de autoavaliação e informará aos órgãos e entidades os prazos, procedimentos e orientações aplicáveis.
Encarregado Pelo Tratamento de Dados Pessoais
O encarregado pelo tratamento de dados pessoais a ser designado pelo órgão deve ser um servidor em posição de chefia ou liderança do órgão?
Com base no Decreto Municipal nº 59.767/2020, na Lei Geral de Proteção de Dados Pessoais (LGPD) e nas orientações da Autoridade Nacional de Proteção de Dados (ANPD), o encarregado não precisa pertencer a uma categoria funcional, cargo ou carreira específica. O essencial é que tenha autonomia, independência técnica e ausência de conflito de interesses. Em cumprimento à Resolução CD/ANPD nº 18/2024, o órgão deve evitar a indicação de pessoa com potencial conflito de interesses relacionados às atribuições do encarregado e as decisões relacionadas ao tratamento de dados pessoais. Essa avaliação é sempre concreta: identificado o conflito, o órgão deve não indicar a pessoa, adotar medidas de mitigação ou substituí-la. Segundo o Guia da Atuação do Encarregado da ANPD, o encarregado deve atuar de forma autônoma e não pode exercer funções que envolvam decisões estratégicas sobre o tratamento de dados pessoais. Em geral, há risco de conflito quando a pessoa acumula cargos de chefia ou direção responsáveis por definir meios e finalidades do tratamento, como nas áreas de recursos humanos, tecnologia da informação, finanças e saúde. Assim, a designação de ocupantes de cargos de chefia ou liderança do órgão (como Chefes de Gabinete, Secretários, Secretários Adjuntos etc.) tende a não ser recomendada, especialmente quando suas atribuições incluem decisões estratégicas, gestão de pessoas, tecnologia ou orçamento, pois aumenta o risco de conflito de interesses relativos ao tratamento de dados pessoais. Para mais informações, ver o manual do Controle 01 – Encarregado, do <Programa de Governança em Privacidade e Proteção de Dados Pessoais>.
O encarregado pelo tratamento de dados pessoais a ser designado pelo órgão ou entidade deve ser um servidor de alguma carreira específica ou que já exerce a atribuição de Responsável pelo Controle Interno (RCI)?
Com base no Decreto Municipal nº 59.767/2020, na Lei Geral de Proteção de Dados Pessoais (LGPD) e nas orientações da Autoridade Nacional de Proteção de Dados (ANPD), o encarregado não precisa pertencer a uma categoria funcional, cargo ou carreira específica. O essencial é que tenha autonomia, independência técnica e ausência de conflito de interesses relacionados às atribuições do encarregado e as decisões referentes ao tratamento de dados pessoais. A indicação de servidor em posição de RCI não é obrigatória, mas pode ser adequada, desde que não exerça, no caso concreto, funções relacionadas à definição dos meios e finalidades do tratamento de dados pessoais ou outras atividades que gerem conflito de interesses relacionados ao assunto. Para mais informações, ver o manual do Controle 01 – Encarregado, do <Programa de Governança em Privacidade e Proteção de Dados Pessoais>.
O encarregado pelo tratamento de dados pessoais a ser designado pelo órgão ou entidade deve ter alguma formação específica ou certificação profissional na área?
Não há exigência legal quanto às qualificações profissionais do encarregado, de modo que cabe ao próprio órgão ou entidade definir o perfil adequado para o seu contexto, observando apenas que a indicação de encarregado deve recair preferencialmente sobre servidores ou empregados públicos detentores de reputação ilibada. Também não é exigido que o encarregado tenha formações ou certificações profissionais relacionadas à proteção de dados pessoais e nem tenha registro ou seja membro de entidades ou organizações de qualquer tipo, cabendo ao órgão ou entidade avaliar se este tipo de característica é desejável na indicação do seu encarregado. Para mais informações, ver o manual do Controle 01 – Encarregado, do <Programa de Governança em Privacidade e Proteção de Dados Pessoais>.
A CGM oferece algum curso ou certificação para os encarregados pelo tratamento de dados pessoais dos órgãos e entidades da Prefeitura?
A CGM oferece, por meio do seu Centro de Formação em Controle Interno (CFCI), cursos relacionados à privacidade e proteção de dados pessoais, dirigidos aos agentes públicos da Prefeitura de São Paulo, que são validados para fins de progressão funcional. A conclusão dos cursos também evidencia a implementação dos Controles do Programa de Maturidade em Proteção de Dados Pessoais: 03 – Sensibilização, 16 – Capacitação do Encarregado e 17 – Capacitação do Grupo de Trabalho. Por sua vez, a ENAP - Escola Nacional de Administração Pública, do Governo Federal, oferece cursos online e gratuitos sobre proteção de dados pessoais no setor público. Para mais informações, ver a <página Capacitação e conscientização> e o <portal da ENAP>.
Recomenda-se também consultar as informações e orientações nas páginas sobre a Legislação e o Programa de Governança em Privacidade e Proteção de Dados Pessoais.
HAND TALK
Clique neste componente para ter acesso as configurações do plugin Hand Talk
