INSTRUÇÃO Nº 277, DE 12 DE ABRIL DE 2023
O DIRETOR-GERAL DO DEPARTAMENTO DE TRÂNSITO DO DISTRITO FEDERAL, no uso das atribuições que lhe confere o Artigo 100, inciso XLI do Regimento Interno, aprovado pelo Decreto nº 27.784, de 16 de março de 2007, publicado no DODF nº 54, de 19 de março de 2007, resolve:
Art. 1º Estabelecer a Política de Governança, Proteção e Acesso a Dados do Departamento de Trânsito do Distrito Federal, especificando os princípios, atribuições e responsabilidades, no âmbito do Departamento de Trânsito do Distrito Federal-DETRAN/DF.
Art. 2º São considerados termos técnicos para fins desta Instrução:
I - Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional;
II - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
III - dado confidencial: é um dado privado, identificação pessoal, dado capaz de contatar, localizar ou identificar um indivíduo;
IV - dado de uso interno: dado de coleta interna;
V - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, ligação a sindicato ou à organização de caráter religioso, ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
VI - dado pessoal: dado relacionado a pessoa natural identificada ou identificável;
VII - dado público: dado tornado manifestamente público pelo titular antes de disponibilizado;
VIII - dado restrito: dado acessível apenas por pessoas predefinidas;
IX - encarregado setorial: neste documento denominado apenas encarregado, é pessoa indicada pelo controlador e operador do DETRAN/DF, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
X - encarregado governamental: é pessoa indicada pelo controlador e operador, da área federal, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
XI - ID ou credencial de acesso: login e senha ou credenciais equivalentes, de posse do usuário.
XII - Lei Geral de Proteção de Dados Pessoais (LGPD): é a norma que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
XIII - mecanismo de acesso aos dados: sistemas de informação, banco de dados, webservices, view, API ou qualquer outro meio que possibilite o acesso aos dados;
XIV - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
XV - Relatório de Impacto a Proteção de Dados (RIPD): conforme a LGPD, é uma documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que tem o potencial de gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVI - tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XVII - usuário: pessoa jurídica ou natural que utilizarem os dados, sendo titulares dos dados ou não; e
XVIII - violação de dados pessoais: violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Art. 3º O Departamento de Trânsito do Distrito Federal – DETRAN/DF, entidade jurídica de direito público, no âmbito de suas competências, exerce a função de controlador, representado nos atos por seu dirigente máximo, o Diretor-geral.
Parágrafo único. Compete ao controlador:
I - controlar e gerir a atividade de tratamento de dados;
II - instruir os operadores sobre a realização do tratamento de dados;
III - permitir o direito de acesso aos dados que estão sob sua responsabilidade, por meio de sistemas de informação, relatórios, extração de dados, webservices ou qualquer outra tecnologia que permita acesso aos respectivos dados;
IV - gerenciar a coleta dos dados que são de sua responsabilidade;
V - acompanhar o armazenamento e guarda dos respectivos dados;
VI - fornecer instruções para o operador realizar o tratamento dos dados, devendo verificar a observância do marco legal e regulatório;
VII - adotar medidas de segurança, técnicas e administrativas a fim de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou lícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
VIII - comunicar às autoridades competentes a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante ao DETRAN/DF-DF ou aos titulares dos dados;
IX - realizar a interlocução com terceiros que fazem uso dos dados sob sua responsabilidade por meio de acordos formalmente instituídos;
X - nomear o encarregado e seu suplente;
XI - informar ao Encarregado Governamental os nomes do Encarregado Setorial e dos Operadores Internos e Externos da sua unidade gestora;
XII - fiscalizar a observância pelos operadores das instruções e das normas sobre a matéria;
XIII - elaborar e manter atualizado o relatório de impacto à proteção de dados pessoais - RIPD
XIV - instrumentalizar a portabilidade dos dados;
XV - garantir a transparência no tratamento de dados;
XVI - manter o registro das operações de tratamento de dados pessoais; e
XVII - manter atualizado o Portal Institucional da LGPD.
Art. 4º São considerados operadores no âmbito do Departamento de Trânsito do Distrito Federal, os responsáveis pelas unidades administrativas e finalísticas que, por natureza, quando os dados se associam à atividade precípua, inclusive dados pessoais, daquela unidade e cujos operadores sob sua hierarquia, atuam de maneira intensiva sobre aqueles dados.
§ 1º Os seguintes dados são de responsabilidade dos operadores:
I - Diretor de Administração Geral: dados de pessoal, dados de materiais permanentes e patrimônio, dados de licitação e contratos, dados de manutenção predial;
II - Diretor de Planejamento, Orçamento e Finanças: dados de planejamento e modernização administrativa, dados de projetos estratégicos, dados de orçamento, dados financeiros, dados contábeis, dados da dívida;
III - Diretor de Tecnologia da Informação e Comunicação: dados de segurança da informação, dados de usuários e de acessos à rede de computadores corporativa, a sistemas e banco de dados, dados de arquitetura e de desenvolvimento de software;
IV - Diretor Controle de Veículos e Condutores: dados de veículos automotores, dados de condutores, dados de registro e controle de infrações, dados de atendimento presencial ao cidadão;
V - Diretor de Educação de Trânsito: dados de educação no trânsito, dados de formação de condutores;
VI - Diretor de Policiamento e Fiscalização de Trânsito: dados de policiamento e fiscalização de trânsito;
VII - Diretoria de Engenharia de Trânsito: Dados de engenharia, tráfego e sinalização de trânsito.
§ 2º É competência dos operadores:
I - habilitar acesso aos dados a usuários, por meio dos mecanismos de acesso disponíveis, garantido a segurança do acesso, conforme solicitação do controlador dos respectivos dados;
II - realizar o tratamento e a guarda dos dados em ambiente seguro, bem como garantir meios para que sejam disponibilizados, sob demanda dos respectivos controlador;
III - registrar e manter os registros das operações de acesso, tratamento e disponibilização de dados;
IV - operacionalizar o gerenciamento de identidade e acesso a partir das solicitações de usuários e controladores.
Art. 5º O encarregado é o indivíduo responsável por garantir a conformidade do DETRAN/DF à Lei Geral de Proteção de Dados Pessoas - LGPD.
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 2º O encarregado setorial e seu suplente devem, preferencialmente, possuir capacidade de articulação institucional dentro da unidade gestora, detendo, entre outros, os seguintes conhecimentos multidisciplinares essenciais a sua atribuição:
I - privacidade e proteção de dados pessoais;
IV - acesso à informação no setor público;
V - legislação pertinente ao tema.
§ 3º O encarregado setorial e seu suplente não deverão se encontrar lotados nos operadores internos, nas unidades de Tecnologia da Informação e Comunicação, serem gestores de contratos relacionados à Tecnologia da Informação e Comunicação ou serem gestores responsáveis por sistemas de informação em geral.
Art. 6º Para efeito desta Instrução, considera-se acesso a dados, o acesso por qualquer mecanismo, seja ele sistema de informação, webservice, extração de dados ou qualquer outro meio permitido por controlador competente e executado por meio do operador responsável.
Art. 7º Podem ter acesso aos dados do Departamento de Trânsito do Distrito Federal, pessoas físicas ou jurídicas de acordo com a classificação e níveis de acesso concedidos por autoridade competente e/ou instrumento formalmente instituído para esse fim:
I - O acesso a dados confidenciais, restritos e de uso interno a terceiros, só será concedido existindo instrumento formalmente instituído e assinado pelo Diretor-Geral do Departamento de Trânsito e o responsável pela instituição requisitante.
II - O instrumento formal, de que trata o inciso I deste artigo, deverá conter, além dos termos necessários, taxa de cobrança e forma de pagamento pelo acesso aos dados, número de acessos a serem concedidos, tipo de dado e meios de acesso a serem disponibilizados.
III - As contas de acesso, sempre que possível, devem ser configuradas para expiração automática concomitante à vigência de acordo formal.
IV - Após formalização do instrumento, o controlador deverá solicitar formalmente o acesso para o operador, para cada usuário, conforme instrumento formal, de modo a operacionalizar o acordo.
V - O acesso aos dados será concedido mediante solicitação do controlador dos respectivos dados ao operador.
VI - A solicitação de que trata o inciso IV deste artigo deverá ser realizada via sistema de abertura de chamados, quando o operador for a Diretoria de Tecnologia da Informação do Departamento de Trânsito do Distrito Federal.
VII - A solicitação para acesso a dados para as demais unidades deverá ser formalizada por meio de Requerimento no Sistema Eletrônico de Informações – SEI e encaminhada à diretoria correspondente;
VIII - O controlador deverá indicar os dados que terão o acesso concedido, bem como o meio de concessão e os níveis de acesso dos usuários.
XI - Não será efetivado o acesso a usuários que não sejam do quadro do Departamento de Trânsito ou que não tenham nenhum instrumento formal regulamentando o acesso aos dados.
X - O controlador poderá solicitar extração ou geração de relatórios referentes aos dados de sua responsabilidade, que não sejam considerados confidenciais, a qualquer tempo, obedecendo o mesmo procedimento formal.
XI - O acesso a dados pessoais ou dados pessoais sensíveis só será concedido por meio de autorização formal do Diretor-Geral e solicitação do controlador dos respectivos dados.
XII - Os registros de atividades com a respectiva identificação dos responsáveis pela requisição, aprovação, concessão, comprovação e revogação de acesso devem ser armazenados para fins de análise de segurança da informação e auditoria interna.
DO GERENCIAMENTO DE IDENTIDADE E ACESSOS
Art. 8º É de responsabilidade do controlador a solicitação de ativação, bloqueio e desativação ordinária dos acessos aos dados de sua responsabilidade, por qualquer mecanismo de acesso.
Art. 9º Fica o operador autorizado a empreender medidas de segurança, inclusive o bloqueio do acesso, a qualquer momento que identificado riscos à segurança dos dados.
Art. 10. O operador deverá notificar formalmente o controlador sobre quaisquer riscos ou incidente de segurança identificado.
Art. 11. Para concessão do acesso o usuário deverá ter ciência e concordar com termo de responsabilidade, considerando a natureza dos dados, o meio de acesso e o nível de acesso.
Art. 12. Os acessos poderão ser bloqueados ou desativados:
I- no período de 60 dias de inatividade;
II- em caso de mais de cinco tentativas sucessivas de acesso malsucedidas;
III- entre outras possibilidades que envolvam riscos de segurança.
Art. 13. É de responsabilidade do controlador solicitar o cancelamento de acesso de servidores aposentados ou desligados de suas funções/instituições.
Art. 14. É proibido aos usuários compartilharem suas credenciais de acesso (IDs), bem como realizarem qualquer ação utilizando ID de acesso individual ou de grupo para o qual não tenham sido autorizados.
Art. 15. Toda concessão de acesso aos dados deve ser controlada por um método que envolva, identificação, autenticação e autorização.
Art. 16. Os direitos de acesso aos dados devem ser revisados periodicamente pelo controlador, conforme processo determinado.
Art. 17. A cada 90 dias o controlador responsável pelos respectivos dados deverá encaminhar ao operador uma relação dos agentes públicos afastados ou usuários desligados, para que seja efetuado os respectivos bloqueios de acesso.
ACESSOS DE OPERADORES INTERNOS
Art. 18. Cada área de negócio definirá os perfis de acesso aos dados que são de sua responsabilidade, para os diferentes tipos de usuários.
§ 1º Cada diretoria criará o perfil de acesso aos seus dados e os informará à Diretoria de Tecnologia da Informação e Comunicação (DIRTEC).
Parágrafo único. Os perfis de usuários poderão sofrer atualizações de acordo com a necessidade.
Art. 19. A Gerência de Gestão de Pessoas (GERPES) fica responsável por informar à DIRTEC, por meio de processo SEI, em periodicidade mínima mensal, no qual também deverá constar o número do chamado aberto:
I - o ingresso e desligamento, no DETRAN/DF, de servidores/estagiários e demais colaboradores que façam acesso aos sistemas da organização;
II - a aposentadoria de servidores;
III - as licenças, afastamentos, férias e demais ausências ou impedimentos legais ou regulamentares de servidores e estagiários, que superem o período de 60 dias.
ACESSOS DE OPERADORES EXTERNOS
Art. 20. O acesso a usuários de outros órgãos se dará por meio da assinatura prévia de Acordo de Cooperação Técnica entre a entidade interessada e o Departamento de Trânsito do Distrito Federal, em cujo instrumento constarão os tipos de credenciais a que terão acesso e a anuência do operador correspondente e da assinatura de cada usuário, do Termo de Responsabilidade Correspondente.
Parágrafo único. Os acessos atuais terão prazo de até 90 dias para regularização da situação em conformidade com o disposto nesta norma, após esse prazo os acessos serão cancelados.
Art. 21. Cada área de negócio do DETRAN/DF definirá os perfis de acesso possíveis aos dados que são de sua responsabilidade, para operadores externos.
Parágrafo único. Os perfis de usuários, de cada entidade solicitante, serão definidos no Acordo de Cooperação Técnica, poderão sofrer atualizações de acordo com a necessidade, mediante os respectivos aditivos para registro.
Art. 22. O representante da entidade ficará responsável por informar ao DETRAN/DF alterações na identificação dos operadores (nome, endereço e outros) e em sua lotação ou afastamentos.
Art. 23. Os acessos deverão ser renovados anualmente, por meio de documento oficial emitido pelo representante da organização, ratificando os nomes dos usuários.
Art. 24. Os acessos de colaboradores contratados, conveniados ou credenciados pelo DETRAN/DF deverão ser realizados por meio de assinatura de instrumento específico, com identificação do responsável por prestar as informações sobre os afastamentos e demais alterações na relação da empresa e dos empregados alocados para trabalharem no DETRAN/DF.
Art. 25. Cada entidade usuária dos dados do DETRAN/DF, deverá enviar semestralmente o Relatório de Controle de Acesso (Anexo II), com o objetivo de limitar os acessos indevidos ao sistema.
Parágrafo único. Em caso de ingresso ou saída de usuários na entidade, cabe ao encarregado de dados da área (chefe da área), informar imediatamente à ULGPD, à DIRTEC/COSIN/GESIN e à DIRAG/GERPES, o nome e matrícula do usuário, bem como o setor para onde foi transferido ou se foi desligado do quadro do DETRAN/DF, via SEI, independente do Relatório de Controle de Acesso, que é semestral.
DOS PROCEDIMENTOS EM CASOS DE INCIDENTES
Art. 26. Ao identificar um possível incidente de vazamento ou roubo de dados, as seguintes providências deverão ser adotadas:
I - Comunicar imediatamente o ocorrido:
a) À DIRTEC/COSIN/GESIN, por meio de chamado técnico no SOSTI e processo SEI, constando o número do chamado, que procederá conforme procedimentos técnicos internos, inclusive procedendo bloqueios de acesso, caso necessário;
1. O comunicante precisa relatar o suposto incidente com a maior quantidade possível de dados tanto no SOSTI quanto no SEI, podendo as áreas responsáveis solicitarem mais dados.
b) À UNLGPD – Encarregado, que informará o Controlador e a ANPD, se for o caso;
c) Ao operador responsável pelos dados, que verificará o incidente em conjunto com a GESIN.
II - Quanto a resposta a incidentes:
1. O atendimento primário ao incidente de tentativa ou vazamento de dados será feito pela equipe técnica do SOC, sob supervisão da GESIN, conforme orientação da DIRTEC.
i) Após detecção do incidente por parte do SOC, as ações de solução ou mitigação necessárias devem ser tomadas imediatamente;
ii) A GESIN deve ser informada imediatamente através de grupo específico de mensageria;
iii) Será feito um relato preliminar do incidente e enviado à GESIN;
iv) Caberá à GESIN informar à DIRTEC e à UNLGPD/DETRAN/DF.
b) Do ponto de vista de governança:
1. Após ser informada pela GESIN, cabe à UNLGPD:
i) Informar ao Controlador e ao Grupo de Resposta à Incidentes (à ser formado pela UNLGPD);
ii) Caso seja necessário, o Encarregado deve convocar reunião do Grupo de Resposta a Incidentes, via remota ou presencial, para deliberações.
Art. 27. As sanções administrativas, no caso de descumprimento da presente Norma, serão aplicadas de acordo com que estabelece a Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).
Art. 28. Esta Instrução entra em vigor na data de sua publicação.
MARCELO RODRIGUES PORTELA NUNES
ANEXO I - TERMO DE RESPONSABILIDADE
Departamento de Trânsito do Distrito Federal – DETRAN/DF
TERMO DE RESPONSABILIDADE PELO USO DE DADOS PESSOAIS
|
|
||
|
|
||
_____________________, ______ de ___________________ de ________
________________________________________________
RELATÓRIO DE CONTROLE DE ACESSO
|
Relatório de Controle de Acesso
|
||||||
|
|
||||||
|
|
|
|
||||
|
|
|
|
||||
|
|
|
|
||||
|
|
|
|
||||
|
|
|
|
||||
|
|
|
|
||||
|
|
|
|
||||
|
* Informar área de destino para os usuários que saíram da unidade:
|
||||||
Este texto não substitui o publicado no DODF nº 73, seção 1, 2 e 3 de 18/04/2023 p. 12, col. 1