Regulamenta o parágrafo único do art. 35º do Decreto no 56.981, de 10 de maio de 2016, em relação à gestão, tratamento e proteção dos dados recebidos ou gerados a partir do uso intensivo do viário urbano municipal na exploração de atividade econômica privada de transporte individual remunerado de passageiros de utilidade pública.
RESOLUÇÃO SMT Nº 13, DE 18 DE NOVEMBRO DE 2016
COMITÊ MUNICIPAL DE USO DO VIÁRIO
Regulamenta o parágrafo único do art. 35º do Decreto no 56.981, de 10 de maio de 2016, em relação à gestão, tratamento e proteção dos dados recebidos ou gerados a partir do uso intensivo do viário urbano municipal na exploração de atividade econômica privada de transporte individual remunerado de passageiros de utilidade pública.
O Comitê Municipal de Uso do Viário, na forma do Decreto no 56.981, de 10 de maio de 2016, torna público que, em sessão realizada em 18 de novembro de 2016,
RESOLVEU:
CAPÍTULO I – DISPOSIÇÕES GERAIS
Art. 1º Esta resolução regulamenta o art. 35º, Parágrafo único, do Decreto no 56.981, de 10 de maio de 2016, para efeito de gestão, tratamento e proteção, pela Administração Pública Municipal, dos dados recebidos ou gerados a partir uso intensivo do viário urbano municipal na exploração de atividade econômica privada de transporte individual remunerado de passageiros de utilidade pública.
Parágrafo único. O disposto nesta Resolução não exclui a proteção legal estabelecida em legislação específica quanto à situação econômica ou financeira das pessoas privadas, sobre a natureza e o estado de seus negócios ou atividades, bem como sobre informações pessoais relativas à intimidade, vida privada, honra e imagem.
Art. 2º A informação recebida, gerada ou guardada pela Prefeitura com base no Decreto no 56.981/2016 devem ser protegidas, cuidadas e gerenciadas adequadamente de forma a garantir-lhe disponibilidade, integridade, confidencialidade, autenticidade e auditabilidade, independentemente do meio de armazenamento, processamento ou transmissão, de acordo com o art. 6º da Lei Federal 12.527.
CAPÍTULO II – DO GESTOR DA INFORMAÇÃO
Art. 3º Fica instituído, no âmbito do CMUV, a função de Gestor da Informação, responsável pela custódia, tratamento e proteção das informações relacionadas à regulamentação prevista no Decreto no 56.981/2016 e em resoluções do CMUV.(Revogado pela Resolução SMT/CMUV nº 21/2019)
§ 1º A função de que trata o caput será exercida por pessoa designada em ato próprio do Presidente da SP Negócios.
§ 1º A função de que trata o caput será exercida por pessoa designada em ato próprio do Presidente do CMUV.(Redação dada pela Resolução CMUV 15/2017)
§ 2º Compete ao Gestor da Informação, sem prejuízo da adoção de todas as medidas cabíveis para cumprimento desta Resolução:
I – analisar a natureza da informação, com base nas diretrizes estabelecidas nos artigos 5º, 6º e 7º desta Resolução;
II – assegurar o sigilo dos dados protegidos legalmente;
III – garantir a inviolabilidade dos dados sigilosos, por meio de autorização e controle de acesso;
IV – manter registro dos servidores autorizados no inciso anterior, assegurando a confidencialidade das senhas e usuários de acesso;
V – registrar e reportar todo e qualquer incidente de segurança ao CMUV, que tomará as providências cabíveis;
VI – limitar o acesso às informações estritamente indispensáveis;
VII – zelar sobre o compartilhamento dos dados sigilosos entre os órgãos e entes da Administração Pública Municipal;
VIII – subsidiar a autoridade competente nas respostas aos pedidos de acesso à informação, em consonância com o art. 18 do Decreto Municipal 53.623/12;
IX – apreciar os requerimentos de inclusão e exclusão do rol de informações sigilosas e, quando couber, encaminhar ao CMUV; e
X – garantir aos titulares dos dados disponibilizados pelas OTTCs a consulta sobre as modalidades de tratamento e sobre a integralidade de seus dados pessoais em poder da Prefeitura, bem como a retificação de informações incorretas ou desatualizadas a seu respeito.
Art. 4º Os dados e informações sigilosas, obtidos em razão do Decreto no 56.981/2016 e de resoluções do CMUV, deverão ser de acesso restrito aos agentes públicos autorizados pelo Gestor da Informação, conforme estabelecido nesta Resolução.
Parágrafo único. A divulgação, bem como sua permissão, e o acesso indevido às informações sigilosas ou pessoais constitui-se em conduta ilícita que enseja responsabilidade do agente público, com base no inciso IV do art. 32 da Lei Federal nº 12.527.
CAPÍTULO III – DOS DADOS CUSTODIADOS
Art. 5º São passíveis de transferência, troca, uso, divulgação e transparência as seguintes informações:
I – que tenham natureza pública em virtude de lei, ou que forem de domínio público, no País ou no exterior, ou que tiverem sido previamente divulgadas pelo interessado;
II – objeto de processo administrativo para imposição de sanções administrativas por infrações a regulação estabelecida cujo sigilo ou acesso restrito puder implicar cerceamento de defesa;
III – forem relacionados a estudos, pesquisas ou dados compilados por instituto, associação, sindicato ou qualquer outra entidade que congregue concorrentes, ressalvados aqueles encomendados individualmente ou com cláusula de sigilo;
IV – linhas de produtos ou serviços ofertados;
V – dados de mercado relativos a terceiros;
VI – quaisquer contratos celebrados por escritura pública ou arquivados perante notário público ou em junta comercial, no País ou no exterior;
VII – informações que a empresa deva publicar ou divulgar em virtude da norma legal ou regulamentar a que esteja sujeita no Brasil ou em outra jurisdição;
VIII – informações de domínio ou de conhecimento público;
IX – padrões de funcionamento do sistema, sem discriminação por OTTC e mediante providências temporais ou metodológicas que preservem o valor comercial, em relação a horários, regiões e outras informações relevantes das viagens de forma agregada; ou
X – informações agregadas sobre origem, destino, horário de viagens realizadas e aspectos qualitativos da frota de veículos e de condutores, em formato que não permita inferir estratégias comerciais das OTTCs ou viole a privacidade dos usuários e condutores.
XI – receitas públicas totais obtidas por meio do preço público da outorga dos créditos de quilômetros, sem discriminação por OTTC;
Parágrafo Único. O CMUV divulgará ao final de cada semestre um relatório contendo as informações gerais sobre o sistema de maneira agregada, assegurado o sigilo comercial das OTTCs e a privacidade e confidencialidade dos dados pessoais dos usuários e dos motoristas, nos termos dos normativos existentes.
Art. 6o São considerados protegidos por sigilo legal, independentemente de classificação:
I – todos os dados e informações pessoais de passageiros e condutores ou que possam ferir a sua privacidade, de acordo com o art. 31 da Lei Federal 12.527;
II - todos os dados ou informações que revelem ou permitam inferir as estratégias comerciais das OTTCs, em especial aqueles que revelem a participação no mercado de cada OTTC, os planos de expansão de suas operações, que demonstrem os níveis de serviço por ela mantidos, ou que de qualquer modo possam interferir na avaliação do valor de mercado da OTTC;
Parágrafo Único. Podem ainda ser consideradas sigilosas as informações que em razão de circunstâncias fáticas, temporais ou mercadológicas possam violar o sigilo comercial das OTTCs
Art. 7º Especificamente, ficam abrangidos pelos incisos I e II do art. 6º desta Resolução, os seguintes dados e informações:
I – dados quantitativos e qualitativos dos veículos que operam no sistema, discriminados por OTTC;
II – quantidade de quilômetros percorridos por cada OTTC;
III – dados quantitativos e qualitativos dos condutores que operam no sistema, por cada OTTC;
IV – dados individualizados das viagens realizadas, por cada OTTC;
V – dados relativos aos valores pagos por cada OTTC.
VI – situação econômico-financeira da empresa;
VII – segredos comerciais;
VIII – faturamento das empresas;
IX – preço público pago por OTTC;
X – valor e quantidade de viagens por OTTC;
XI – clientes e fornecedores;
XII – capacidade instalada; e
XIII – custos de produção e despesas com pesquisa e desenvolvimento de novos produtos ou serviços.
§ 1º As OTTCs poderão formular, fundamentadamente e por escrito, requerimento de restrição de acesso a informações compartilhadas com a Prefeitura, desde que esteja em conformidade com o estabelecido no art. 6º, indicando o dispositivo legal ou regimental autorizador do requerimento.
§ 2º O requerimento deverá ser formulado com destaque e de forma separada, instruído com as informações cujo acesso se pretende limitar e será apreciado pelo Gestor da Informação.
§ 3º A decisão do requerimento de acesso restrito poderá ser revista a qualquer tempo, de ofício ou a requerimento do interessado, cabendo, em qualquer caso, recurso ao CMUV no prazo regulamentar.
§ 4º O requerimento de acesso restrito para informação de caráter manifestamente público sujeitará o requerente as penalidades previstas no Decreto 56.981/16 e nas resoluções do CMUV por descumprimento da regulação.
CAPÍTULO IV – DO TRATAMENTO DOS DADOS
Art. 8º. Com fulcro no art. 25 da Lei Federal 12.527, a Prefeitura adotará as medidas técnicas, operacionais, tecnológicas e organizativas destinadas a proteger os dados disponibilizados pelas OTTCs de qualquer destruição, perda, alteração, disponibilização ou acesso não autorizado, acidental ou ilegal, especialmente nos casos em que o tratamento envolver a transmissão de dados por rede ou dispositivo eletrônico (flash drive).
§1º A política de segurança e tratamento da informação deverá prevenir, proteger e corrigir fatores internos e externos de vulnerabilidade.
§2º As medidas de que trata este artigo poderão envolver controles de acesso físico, lógico e remoto, bem como procedimentos de credenciamento, habilitação, validação e autenticação diferenciados por perfil.
§3º São medidas de proteção e segurança dos dados sigilosos e pessoais:
I – cada usuário deve acessar apenas as informações e os ambientes previamente autorizados, sendo considerada violação da norma qualquer acesso ou tentativa de acesso a ambiente ou informação não autorizado.
II – o acesso da informação armazenada e processada é individual e intransferível, mediante identificação e autenticação do usuário.
Art. 9º. A São Paulo Negócios habilitará, ouvida a recomendação do Gestor da Informação, os agentes da administração pública municipal autorizados a ter acesso aos dados e responsáveis por realizar o tratamento dos dados disponibilizados pelas OTTCs.
§ 1º O acesso a informação considerada sigilosa poderá, excepcionalmente e de forma fundamentada, ser permitido a Agente Público não credenciado ou habilitado mediante assinatura de Termo de Compromisso de Sigilo – TCS, pelo qual a pessoa se obrigará a preservar o sigilo da informação sob o risco das sanções administrativas, civis e criminais aplicáveis.
§ 2º Os agentes designados obrigam-se ao dever de sigilo e confidencialidade, mesmo após término do processo de análise desses dados, nos termos da legislação e regulamentação aplicáveis.
§ 3º O usuário da informação sigilosa é responsável pela sua guarda e proteção, sob pena das sanções legais.
Art. 10. Compete aos órgãos e entidades da Administração Pública Municipal que tenham competência sobre o uso intensivo do viário urbano no sistema municipal de mobilidade:
I – garantir o sigilo, a confidencialidade, a inviolabilidade e a proteção dos dados disponibilizados pelas OTTCs;
II – impedir qualquer forma de difusão, combinação, extração ou confusão dos dados disponibilizados pelas OTTCs que viole o sigilo;
III – impedir que qualquer terceiro não autorizado acesse e trate os dados disponibilizados pelas OTTCs;
IV – assegurar que os dados disponibilizados pelas OTTCs sejam tratados única e exclusivamente para finalidade de política pública de maneira agregada ou de fiscalização do atendimento aos artigos 8º, §2o, e 15º do Decreto Municipal 56.981/2016, abrangendo somente dados, pertinentes, proporcionais e não excessivos;
V – assegurar que os dados disponibilizados pelas OTTCs não sejam tratados para fins discriminatórios aos respectivos titulares;
VI – garantir aos titulares dos dados disponibilizados pelas OTTCs a consulta sobre as modalidades de tratamento e sobre a integralidade de seus dados pessoais em poder da Prefeitura, bem como a retificação de informações incorretas ou desatualizadas a seu respeito;
Art. 11. Todas as informações abrangidas por sigilo deverão ser mantidas em ambiente seguro, com medidas de controle de acesso físico, lógico e remoto, acesso individual, intransferível e limitado às pessoas especificamente autorizadas ou habilitadas.
Art. 12. Qualquer comunicação interna ou externa envolvendo informação sigilosa deverá ser feita com registro da confidencialidade e compartilhamento explícito da responsabilidade pelo sigilo.
Art. 13. A proteção do sigilo envolve a recepção, criação, aquisição, transmissão, manuseio, transporte, armazenamento e custódia, até sua específica destruição e descarte.
Art. 14. As informações confidenciais não poderão ser apresentadas, discutidas ou comentadas em ambiente com pessoas estranhas à informação que possam comprometer a sua proteção e sigilo.
CAPÍTULO V – DISPOSIÇÕES FINAIS
Art. 15. Os pedidos de utilização e divulgação dos dados recebidos pela Prefeitura para fins acadêmicos ou quaisquer outros fins que contribuam para o interesse público deverão ser submetidos à apreciação do CMUV e sujeitar-se-ão às diretrizes e obrigações previstas nesta resolução.
Art. 16. A Prefeitura poderá utilizar informações sigilosas recebidas da OTTCs para políticas públicas de mobilidade urbana e outras, desde que não viole o dever de preservar o sigilo.
Art. 17. Os órgão e entidades da Administração Pública Municipal adotarão providências para que os agentes públicos conheçam as normas e observem os procedimentos de segurança e de tratamento da informação previstos nesta resolução.
Art. 18. Na hipótese das informações protegidas por sigilo serem objeto de requisição em razão de lei, ordem judicial ou autoridade pública, deverá o Gestor da Informação, certificar-se de que a requisição atende os requisitos previstos na legislação e nesta resolução, bem como da legalidade do procedimento, bem como informar a OTTC afetada dos encaminhamentos tomados pelo Poder Público.
Parágrafo Único. Sem prejuízo do disposto no caput deste artigo, só serão fornecidas as informações legal, estrita e especificamente requisitadas.
Art. 19. A infração parcial ou total ao disposto nesta resolução ensejará a responsabilização administrativa, civil e criminal das pessoas jurídicas e físicas envolvidas, nos termos da legislação aplicável.
Art. 20. Esta resolução entra em vigor na data de sua publicação.
JILMAR AUGUSTINHO TATTO
Secretário Municipal de Transportes
Presidente do Comitê Municipal de Uso Viário (CMUV)
ROGÉRIO CERON DE OLIVEIRA
Secretário Municipal de Finanças e Desenvolvimento Econômico
Membro do Comitê Municipal de Uso Viário (CMUV)
ROBERTO NAMI GARIBE FILHO
Secretário Municipal de Infraestrutura Urbana e Obras
Membro do Comitê Municipal de Uso Viário (CMUV)
RODRIGO PIRAJÁ WIENSKOSKI
Diretor Presidente da São Paulo Negócios S/A
Membro do Comitê Municipal de Uso Viário (CMUV)
Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo