Legislação Correlata - Ato da Mesa Diretora 89 de 14/05/2025
Legislação Correlata - Ato da Mesa Diretora 325 de 05/12/2025
Legislação Correlata - Ato da Mesa Diretora 56 de 05/03/2026
ATO DA MESA DIRETORA Nº 85, DE 2022
Regulamenta a aplicação Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), no âmbito da Câmara Legislativa do Distrito Federal
A MESA DIRETORA DA CÂMARA LEGISLATIVA DO DISTRITO FEDERAL, no uso de suas atribuições regimentais e nos termos do art. 39, do Regimento Interno, RESOLVE:
Art. 1º Este Ato regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados – LGPD), no âmbito da Câmara Legislativa do Distrito Federal.
Art. 2º Para fins deste Ato, consideram-se as definições estabelecidas no art. 5° da Lei nº 13.709, de 2018.
Art. 3º As atividades de tratamento de dados pessoais realizadas pela Câmara Legislativa do DF devem ocorrer em atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais ou cumprir as atribuições legais do serviço público, nos termos do disposto no art. 23 da Lei nº 13.709, de 2018.
Art. 4° Este Ato não se aplica a atividades de tratamento de dados pessoais:
I - realizadas por gabinetes parlamentares, por lideranças partidárias, por frentes parlamentares e por quaisquer unidades cuja chefia seja exercida por parlamentares, quando relacionadas ao desempenho do mandato eletivo e protegidas por Lei;
II – realizadas exclusivamente para fins:
a) jornalísticos e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 da Lei Federal nº 13.709, de 2018.
III – realizadas exclusivamente para segurança interna da Câmara Legislativa ou de seus membros e colaboradores.
DO TRATAMENTO DE DADOS PESSOAIS
Art. 5° A Câmara Legislativa deve realizar tratamento de dados pessoais somente nas seguintes hipóteses:
I - mediante o fornecimento de consentimento escrito ou por outro meio que demonstre a manifestação da vontade do titular;
II - para o cumprimento de obrigação legal ou regulatória;
III - para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da Lei nº 13.709, de 2018;
IV - para a realização de estudos, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - para atender aos seus interesses legítimos ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Parágrafo único. Em caso de publicação de documento que contenha dado pessoal, este dado deve ser omitido ou hachurado do documento publicado, de maneira irreversível, salvo se a publicação do respectivo dado for essencial ao cumprimento de dispositivo legal.
Do Tratamento de Dados Pessoais Sensíveis
Art. 6° A Câmara Legislativa deve realizar tratamento de dados pessoais sensíveis somente nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei no 9.307, de 23 de setembro de 1996;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da Lei nº 13.709, de 2018, e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Parágrafo único. Em caso de publicação de documento que contenha dado pessoal sensível, este dado deve ser omitido ou hachurado do documento constante da publicação, de maneira irreversível, salvo se a publicação do respectivo dado for essencial ao cumprimento de dispositivo legal. (Parágrafo Revogado(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
§ 1º Considera-se sensível o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
§ 2º Não se considera sensível a identificação do partido político a que Deputado Distrital ou seus assessores estejam filiados. (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
§ 3º Em caso de publicação de documento que contenha dado pessoal sensível, esse dado deve ser omitido ou tarjado do documento constante da publicação, de maneira irreversível, salvo se a publicação do respectivo dado for essencial ao cumprimento de dispositivo legal. (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
§ 4º A identificação das pessoas em ato administrativo levado à publicação no Diário da Câmara Legislativa deve restringir-se ao nome e, se for o caso, à matrícula. (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
§ 5º Ao número do CPF ou a outro de identificação pessoal constante de documento a ser publicado no Diário da Câmara Legislativa devem ser adotadas as mesmas providências do § 3º. (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
§ 6º A responsabilidade pela observância das regras deste artigo e das demais disposições de proteção aos dados pessoais é da unidade organizacional que produziu o ato ou que tenha encaminhado o documento à Presidência com pedido de publicação. (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
Do Tratamento de Dados Pessoais de Crianças e de Adolescentes
Art. 7º O tratamento de dados pessoais de crianças e de adolescentes somente deve ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 1° No tratamento de dados de que trata o caput deste artigo, a Câmara Legislativa deve manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos estabelecidos no capítulo III deste Ato da Mesa Diretora.
§ 2° Em nenhuma hipótese deve ser dada publicidade a dado pessoal de criança ou de adolescente em meios de amplo acesso, tais como Diário da Câmara Legislativa, portal de acesso público ou redes sociais. § 3° Em caso de publicação de documento que contenha dado pessoal de criança ou de adolescente, este dado deve ser omitido ou hachurado do documento constante da publicação, de maneira irreversível.
Do Término do Tratamento de Dados
Art. 8º O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II - fim do período de tratamento; ou III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento.
Art. 9° Os dados pessoais devem ser eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação constitucional, legal ou regulatória;
II – elaboração de estudos, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiros, desde que respeitados os requisitos de tratamento dispostos na legislação vigente; ou
IV - uso exclusivo da Câmara Legislativa, vedado seu acesso por terceiros, e desde que anonimizados.
Art. 10. A Câmara Legislativa deve disponibilizar ao titular dos dados pessoais por ela tratados, a qualquer momento e mediante requisição:
I - a confirmação da existência de tratamento;
II - o acesso aos dados pessoais submetidos a tratamento;
III - a possibilidade de correção de dados incompletos, inexatos ou desatualizados;
IV - a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei nº 13.709, de 2018, e neste Ato da Mesa Diretora;
V - a eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 9° deste Ato da Mesa Diretora;
VI - a informação das entidades públicas e privadas com as quais realizou uso compartilhado de dados;
VII - a informação sobre a possibilidade de não consentir no tratamento de seus dados pessoais e sobre as consequências da negativa;
VIII - a revogação do consentimento de tratamento de seus dados pessoais, nos termos do § 5º do art. 8º da Lei nº 13.709, de 2018.
Parágrafo único. A eliminação dos dados pessoais, quando cabível, deve ser realizada com a eliminação dos arquivos ou documentos que os contenham ou com a omissão seletiva dos dados, por meio de hachuras irreversíveis ou substituição por indicativo de dado omitido.
Art. 11. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, fornecida no prazo de até 15 dias, contado da data do requerimento do titular.
Art. 12. O titular dos dados pessoais tem o direito de peticionar, em relação aos seus dados, contra a unidade administrativa que realizou o tratamento, mediante requerimento endereçado à autoridade que desempenhe a atribuição de Encarregado, a qual deverá respondê-lo no prazo de 30 dias.
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Art. 13. A Câmara Legislativa, na condição de Controladora, deve manter registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse. Parágrafo Único. Competem ao Controlador as decisões referentes ao tratamento de dados pessoais.
Art. 14. Operadores são pessoas naturais que realizam tratamento de dados pessoais em qualquer interface no âmbito:
I - dos órgãos integrantes da estrutura administrativa da Câmara Legislativa do DF; ou
II - de empresas com vínculo contratual com a Câmara Legislativa do DF.
Parágrafo único. Cabe aos operadores zelar pela segurança dos dados.
Art. 15. As empresas contratadas que realizem tratamento de dados pessoais, nos termos deste Ato da Mesa Diretora, devem fazê-lo segundo as instruções fornecidas pela Câmara Legislativa.
§ 1º O instrumento contratual utilizado para firmar as relações de serviço mencionadas no caput deste artigo deve estabelecer, expressamente, todos os requisitos necessários ao cumprimento da legislação vigente sobre proteção de dados durante a execução de seu objeto.
§ 2º O instrumento contratual deve garantir a possibilidade de adequação do objeto às alterações normativas que eventualmente ocorram durante a vigência do contrato, observando-se, em qualquer caso, a manutenção do equilíbrio econômico-financeiro inicial.
§ 3º Cabe à Câmara Legislativa do DF exercer a fiscalização permanente das empresas contratadas acerca do cumprimento da legislação vigente sobre proteção de dados pessoais.
DA SEGURANÇA E DAS BOAS PRÁTICAS
Art. 16. A Câmara Legislativa e aqueles que, sob sua determinação, atuarem na condição de Operadores de tratamento de dados pessoais, devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Art. 17. A Câmara Legislativa deve elaborar regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais, nos termos do art. 50 da Lei nº 13.709, de 2018.
Art. 18. Os Sistemas de Informação que tratem dados pessoais devem armazenar metadados sobre os dados pessoais tratados, incluindo:
I – a identificação do titular do dado pessoal;
II – o registro de cada tratamento realizado, identificando a finalidade, o operador do tratamento e o momento do tratamento;
III – a referência ao documento de consentimento para o respectivo tratamento, bem como a data de autorização e de revogação, caso haja;
IV – a identificação específica dos dados sensíveis.
Art. 19. A transmissão eletrônica de dados pessoais sempre deve ocorrer em meio seguro, conforme as melhores práticas de Segurança da Informação.
§ 1º Os Sistemas de Informação que forem utilizados para tratamento de dados pessoais devem contar com transmissão segura desses dados, garantindo-se:
§ 2º A Seção de Infraestrutura de TI deve providenciar os recursos de infraestrutura necessários à observância deste artigo.
Art. 20. O armazenamento de dados pessoais deve ser feito de acordo com as melhores práticas de Segurança da Informação.
Parágrafo Único. Os registros de dados pessoais em bases de dados devem fazer referência aos metadados constantes dos incisos do art. 18, bem como dispor de tecnologias aptas a impedir o acesso aos dados para finalidades não permitidas pela legislação vigente.
Art. 21. É vedado o uso de dados pessoais para realização de testes de sistemas, ressalvados dados anonimizados ou cujo consentimento de tratamento abranja as atividades específicas de testes.
Art. 22. Os Sistemas de Informação da Câmara Legislativa do DF e os recursos de infraestrutura não podem armazenar ou processar dados pessoais não necessários aos tratamentos legítimos à luz da Lei nº 13.709, de 14 de agosto de 2018 e deste Ato da Mesa Diretora.
Art. 22-A. A cópia da Declaração de Ajuste Anual do Imposto de Renda, exigida pelo art. 13 da Lei federal nº 8.429, de 2 de junho de 1992, deve receber tratamento sigiloso e observar o seguinte: (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
I – tratando-se de Deputado Distrital, a cópia deve ser encaminhada, via SEI, ao Gabinete da Mesa Diretora – GMD; (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
II – tratando-se de servidor efetivo da Câmara Legislativa do Distrito Federal, a cópia deve ser encaminhada, via SEI, ao Setor de Recrutamento e Seleção – Seres; (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
II - tratando-se de servidor, a cópia deve ser encaminhada via sistema Kopera. (Inciso Alterado(a) pelo(a) Ato da Mesa Diretora 88 de 10/04/2026)
III – tratando-se de servidor ocupante de cargo em comissão, ainda que requisitado, a cópia deve ser encaminhada, via SEI, ao Setor de Lotação e Movimentação de Pessoal – SLMP. (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023) (Inciso Revogado(a) pelo(a) Ato da Mesa Diretora 88 de 10/04/2026)
§ 1º Presume-se verdadeira, independentemente de assinatura de Deputado Distrital ou de servidor, a cópia da Declaração de Ajuste Anual do Imposto de Renda extraída do Programa da Receita Federal do Brasil. (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
§ 2º Para cumprir o disposto no art. 19, § 3º, da Lei Orgânica do Distrito Federal, e nos arts. 6º e 14 do Regimento Interno da Câmara Legislativa, o servidor com acesso à cópia da Declaração de Ajuste Anual do Imposto de Renda apresentada por Deputado Distrital deve: (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
I – extrair a ficha de bens e direitos, a ficha de dívidas e ônus reais e todas as fichas de rendimento; (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
II – descaracterizar, nas fichas referidas no inciso I, antes de encaminhá-las à publicação: (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
a) os dados sensíveis existentes; (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
b) o número do CPF ou de qualquer outro documento de identificação pessoal. (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
§ 3º Salvo para cumprir as disposições do § 2º, nenhuma cópia de Declaração de Ajuste Anual do Imposto de Renda pode ser acessada, manuseada ou copiada sem prévia autorização da Mesa Diretora ou sem determinação judicial. (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
§ 4º O disposto neste artigo não interfere nas exigências normativas para comprovação de dependentes junto ao Fundo de Assistência à Saúde dos Deputados Distritais e dos servidores da Câmara Legislativa do Distrito Federal – Fascal. (Acrescido(a) pelo(a) Ato da Mesa Diretora 43 de 28/03/2023)
DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 23. As solicitações do titular sobre o tratamento de seus dados pessoais não se confundem com os requerimentos de informações realizados no âmbito da Lei Distrital nº 4.990, de 12 de dezembro de 2012 (Lei de Acesso à Informação do DF).
Art. 24. Este Ato da Mesa Diretora entra em vigor na data de sua publicação, ressalvados os seguintes casos específicos:
I - as disposições dos arts. 18, 19, 20, 21 e 22 devem ser aplicadas, no que couber, aos Sistemas de Informação que forem desenvolvidos ou adquiridos a partir de 60 dias após a publicação deste Ato;
II - as disposições dos arts. 18, 19, 20, 21 e 22 devem ser aplicadas, no que couber, aos Serviços de Infraestrutura que forem adquiridos a partir de 60 dias após a publicação deste Ato;
Parágrafo Único. Considera-se, para efeitos deste artigo, a data de aquisição como data de edição do respectivo Termo de Referência ou Projeto Básico.
Art. 25. Os Sistemas de Informação que tratem dados pessoais que não se enquadrem na hipótese do art. 24, I, deste Ato, deverão ser modificados para guardar conformidade com os arts. 18, 19, 20, 21 e 22:
I - em até 6 meses após a publicação deste Ato, caso tenham sido desenvolvidos pela Câmara Legislativa ou tenham sido adquiridos e possuam contrato de suporte vigente;
II - em até 1 ano após a publicação deste Ato, nos demais casos.
Art. 26. Os Serviços de Infraestrutura utilizados para tratamento de dados pessoais que não se enquadrem na hipótese do art. 24, II, deste Ato, devem ser ajustados para guardar conformidade com os arts. 18, 19, 20, 21 e 22 em até 1 ano após a publicação deste Ato.
Art. 27. Fica estabelecido, nos termos do Anexo I deste Ato da Mesa Diretora, o Modelo de Requisitos Práticos Associados ao Cumprimento da Lei Geral de Proteção de Dados.
Sala de Reuniões, 30 de junho de 2022
Este texto não substitui o publicado no DCL nº 134, seção 1 e 2 de 04/07/2022 p. 12, col. 1