Dispõe sobre as regras e os parâmetros para o compartilhamento e a categorização de dados no âmbito da administração pública municipal
RESOLUÇÃO CCGD nº 02, DE 22 DE MAIO DE 2022
COMITÊ CENTRAL DE GOVERNANÇA DE DADOS, INSTITUÍDO PELO DECRETO N.º 60.663, DE 25 DE OUTUBRO DE 2021
PREFEITURA DE SÃO PAULO
Dispõe sobre as regras e os parâmetros para o compartilhamento e a categorização de dados no âmbito da administração pública municipal
O COMITÊ CENTRAL DE GOVERNANÇA DE DADOS, no uso das atribuições conferidas pelo art. 6º, I, do Decreto nº. 60.663, de 25 de outubro de 2021,
RESOLVE aprovar regras e parâmetros para o compartilhamento e categorização de dados entre os órgãos da Administração Pública municipal:
Seção I
Das disposições gerais para o compartilhamento de dados
Art. 1º Todos os órgãos e entidades da Administração Direta e Indireta do Município de São Paulo deverão observar as regras gerais de compartilhamento de dados, conforme o disposto no art. 9º do Decreto nº 60.663, de 25 de outubro de 2021.
Art. 2º Fica dispensada a necessidade de celebração de convênio, de acordo de cooperação técnica, instrumentos congêneres para a efetivação do compartilhamento de dados entre os órgãos e as entidades de que trata o art. 1º, observadas as diretrizes do art. 9º do Decreto nº. 60.663, de 25 de outubro de 2021, e o disposto na Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais.
Art. 3º Os gestores de dados divulgarão os mecanismos de compartilhamento de seus dados e os cadastros base sob sua responsabilidade, sem prejuízo da obrigatoriedade da prestação de informações ao Cadastro Municipal de Base de Dados - CMBD.
Parágrafo único. O Comitê Central de Governança de Dados definirá os procedimentos para o atendimento ao disposto no caput.
Art. 4º Na hipótese de o mecanismo de compartilhamento de dados fornecido pelo custodiante de dados ser inadequado ao solicitante de dados, o recebedor de dados arcará com os eventuais custos de operacionalização, quando houver, exceto disposição contrária prevista em lei, regulamento ou acordo entre as entidades ou os órgãos envolvidos, sem prejuízo do disposto no art. 4º do Decreto Municipal n.º 60.663, de 25 de outubro de 2021.
Parágrafo único. O disposto no caput se limitará aos custos de operacionalização do compartilhamento dos dados e não acarretará ganhos ou benefícios de ordem financeira ou econômica para o órgão gestor de dados.
Art. 5º As plataformas de interoperabilidade contemplarão os requisitos de sigilo, confidencialidade, gestão, auditabilidade e segurança da informação necessária ao compartilhamento de dados, de acordo com os instrumentos da Política Municipal de Governança de Tecnologia da Informação e Comunicação - PMGTIC, instituída pelo Decreto n.º 57.653, de 2017, bem como eventuais orientações do Comitê Central de Governança de Dados, de acordo com suas atribuições.
Parágrafo único. As ferramentas de gestão da plataforma de interoperabilidade incluirão meios para que o gestor de dados tenha conhecimento sobre o controle de acesso e o consumo dos dados.
Art. 6º Os custodiantes de dados disponibilizarão aos órgãos e às entidades de que trata o art. 1º os dados de compartilhamento amplo e restrito hospedados em suas infraestruturas tecnológicas, por meio das plataformas de interoperabilidade, condicionado à existência de solicitação de interoperabilidade e à ciência ao gestor dos dados.
Parágrafo único. O compartilhamento de dados de que trata o caput só ocorrerá após a categorização do dado pelo seu gestor.
Art. 7º Atendidos os critérios necessários ao compartilhamento, o acesso aos dados ainda não disponibilizados nas plataformas de interoperabilidade ocorrerá no prazo de trinta dias, contado da data da solicitação.
Seção II
Da categorização dos dados
Art. 8º A categorização dos níveis de acesso será feita pelo gestor de dados com base na legislação, priorizando-se o compartilhamento de dados de maior abertura, e será detalhada de forma a tornar clara a situação de cada item de informação, inclusive quando realizada a partir da solicitação de permissão de acesso ao dado.
§ 1º A categorização do nível de compartilhamento será inserida pelo gestor de dados na planilha do CMBD (Catálogo Municipal de Bases de Dados) em até 90 (noventa) dias após a publicação da desta Resolução.
§ 2º A categorização do nível de compartilhamento será revista sempre que identificadas alterações nas diretrizes que a ensejaram, sendo mantida atualizada de acordo com as solicitações de atualização do CMBD (Catálogo Municipal de Bases de Dados) ou anualmente, o que ocorrer primeiro.
§ 3º A categorização do nível de compartilhamento como restrito ou específico especificará o conjunto de bases de dados por ele administrado com restrições de acesso e as respectivas motivações.
§ 4º As orientações e as diretrizes para a categorização de compartilhamento de dados, a forma e o meio de publicação dessa categorização, observada a legislação pertinente à proteção de dados pessoais, estão presentes no Anexo desta Resolução.
Seção III
Do compartilhamento amplo de dados
Art. 9º O compartilhamento amplo de dados dispensa autorização prévia pelo gestor de dados e será realizado preferencialmente pelos canais existentes para dados abertos e para transparência ativa, na forma da legislação.
§ 1º Na hipótese de o dado de compartilhamento amplo de que trata o caput não estar disponível em formato aberto, o solicitante de dados poderá requerer sua abertura diretamente junto ao custodiante de dados, dando ciência ao gestor dos referidos dados.
§ 2º A Controladoria Geral do Município e o Comitê Central de Governança de Dados poderão recomendar, quando econômica e operacionalmente viável, a abertura dos dados de compartilhamento amplo em transparência ativa.
§ 3º Os solicitantes e recebedores de dados adotarão medidas para manter a integridade e a autenticidade das informações recebidas.
§ 4º Os dados de compartilhamento amplo serão catalogados no Portal de Dados Abertos da Prefeitura de São Paulo em formato aberto.
Seção IV
Do compartilhamento restrito de dados
Art. 10 O compartilhamento restrito de dados pelos gestores de dados ocorrerá com base nas regras do Decreto Municipal nº 60.663/2021, e eventuais dúvidas ou esclarecimentos serão providas pelo Comitê Central de Governança de Dados.
§ 1º Os solicitantes e recebedores de dados, para ter acesso a dados por compartilhamento restrito, se responsabilizarão por implementar e seguir as regras de sigilo e de segurança da informação vigentes à época, de acordo com a Política Municipal de Governança de Tecnologia da Informação e Comunicação - PMGTIC e, adicionalmente, na hipótese de dados disponíveis em uma das plataformas de interoperabilidade, pelo respectivo gestor.
§ 2º Os dados recebidos por compartilhamento restrito poderão ser retransmitidos ou compartilhados com outros órgãos ou entidades municipais que comprovem a necessidade de acesso, exceto se proibido expressamente na autorização concedida pelo gestor de dados ou se houver posterior revogação da permissão desse, mediante fundamentação, nas duas hipóteses.
§ 3º A solicitação de acesso deverá ser feita diretamente ao operador dos dados, de acordo com a classificação da Lei Geral de Proteção de Dados, que verificará a modalidade de compartilhamento no Catálogo Municipal de Bases de Dados – CMBD, sendo concedido o acesso em caso de modalidade restrita.
§ 4º Não será necessária autorização expressa do gestor de dados para a efetivação do compartilhamento restrito, que deverá ser comunicado pelo solicitante a partir do momento do pedido.
§ 5º O Comitê será a instância a ser demandada no caso de o operador não responder à solicitação de acesso, devendo definir as providências necessárias para eventual efetivação.
Seção V
Do compartilhamento específico de dados
Art. 11 O compartilhamento específico de dados está condicionado:
I - à concessão de permissão expressa de acesso pelo gestor de dados através da instrução de processo eletrônico no Sistema Eletrônico de Informações (SEI), dentro de 30 dias a partir da data de solicitação; e
II - ao atendimento dos requisitos definidos pelo gestor de dados como condição para o compartilhamento.
§ 1º Os requisitos de que trata o inciso II do caput contarão com procedimentos ao menos equivalentes aos adotados pelo próprio gestor de dados no tratamento interno dos dados solicitados, no que concerne à segurança da informação.
§ 2º Os dados recebidos por compartilhamento específico não serão retransmitidos ou compartilhados com outros órgãos ou entidades, exceto quando previsto expressamente na autorização concedida pelo gestor de dados ou se houver posterior permissão desse.
Art. 12 O órgão interessado em acessar dados sujeitos a compartilhamento específico enviará a solicitação de permissão de compartilhamento para o gestor de dados, observadas as normas, as condições e os requisitos de acesso por ele definidos, nos termos do inciso II do art. 13º, e deverá fundamentar o pedido e especificar os dados solicitados no maior nível de detalhamento possível.
§ 1º O gestor de dados se manifestará quanto à solicitação de que trata o caput no prazo de trinta dias, contado da data do recebimento da solicitação.
§ 2º O recebedor de dados por compartilhamento específico é responsável por implementar e seguir as regras de segurança da informação estabelecidas pelo gestor de dados de compartilhamento específico, conforme o disposto no inciso II do caput do art. 13º.
Seção VI
DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 13 As controvérsias no compartilhamento de dados entre órgãos e entidades públicas municipais solicitantes de dados e o gestor de dados serão decididas pelo Comitê Central de Governança de Dados.
§ 1º As resoluções do Comitê Central de Governança de Dados a respeito de controvérsias observarão as normas que protegem os dados objeto da controvérsia.
§ 2º O Comitê Central de Governança de Dados atuará de forma a buscar a composição de interesses entre as partes envolvidas na solução das controvérsias que lhe forem encaminhadas e se manifestará por meio de resolução.
§ 3º A revisão da categorização dos níveis de compartilhamentos de dados pelo Comitê Central de Governança de Dados, que apenas poderá ocorrer entre os níveis restrito e específico, será de ofício ou mediante provocação do solicitante de dados.
Art. 14 Esta Resolução entra em vigor na data de sua publicação.
ANEXO
REGRAS PARA COMPARTILHAMENTO DE DADOS
1. INTRODUÇÃO
Este documento foi elaborado pelo Comitê Central de Governança de Dados, segundo o art. 6 do Decreto nº 60.663, de 25 de outubro de 2021. As orientações presentes são válidas para o compartilhamento de dados entre os órgãos e as entidades da administração pública municipal direta e indireta.
Este documento poderá ser alterado para se adequar às regulamentações e às orientações produzidas pela Autoridade Nacional de Proteção de Dados (ANPD), quando isso ocorrer.
A redução nos obstáculos para troca de dados entre as agências governamentais visa potencializar o uso da informação para orientar melhorias nos serviços prestados aos cidadãos. Entre os benefícios esperados, destacam-se:
a) Redução nos custos e nos esforços para levantamento de informações necessárias à gestão governamental. Atualmente, diversos agentes públicos e processos são empreendidos para levantar informações, gerando uma multiplicidade de iniciativas desarticuladas, ampliando redundâncias, sobreposições e ineficiências. Ao enxergar que informações outros órgãos já dispõem, será mais fácil repensar processos e reaproveitar informações já coletadas.
b) Melhoria na qualidade dos dados e das informações. Ao reduzir as barreiras para recepção e entrega de informações de outros órgãos, a tendência é que estes optem pela obtenção das fontes de dados mais confiáveis, fidedignas, padronizadas e tempestivas. Naturalmente, as bases de dados mais qualificadas e certificadas tenderão a ser as mais requisitadas e prevalentes, fortalecendo as melhores práticas de coleta e de processamento das informações e estimulando melhorias na forma como estes são gerados e mantidos.
c) Maior transparência aos cidadãos, quanto à forma como seus dados são mantidos e compartilhados pelos órgãos públicos. Atualmente, não há procedimentos e práticas comuns e transparentes sobre como os dados dos cidadãos podem ser compartilhados e mantidos pelas agências governamentais. Diversos são os níveis de maturidade organizacional e as formas como são tratados esses dados. Com as diretrizes de compartilhamento, os órgãos passam a ter orientação comum, fundamentada em padrões de segurança e em boas práticas de governança.
d) Qualificação do processo decisório nos diversos níveis das agências governamentais, em prol da melhoria dos serviços públicos ao cidadão. A obtenção e a disponibilização de informações com mais facilidade, velocidade e confiança, constituem condições essenciais para promoção de uma nova cultura de gestão, em que as decisões são tomadas com base em evidências. O uso de informações contextualizadas, integradas e tempestivas deve ampliar a capacidade de diagnóstico dos problemas públicos, oferecer novos insights para desenho de políticas, de práticas e de procedimentos, viabilizar ações de monitoramento, de auditoria e de avaliação de programas governamentais, estimular inciativas inovadoras, entre outros benefícios.
2. OBJETIVOS
O objetivo deste documento é facilitar o compartilhamento de dados dentro do governo, esclarecendo conceitos e procedimentos operacionais básicos para cumprimento do Decreto nº 60.663, de 25 de outubro de 2021. Nesta fase, está sendo abordado a categorização dos dados para facilitar o compartilhamento.
A categorização visa separar os compartilhamentos em três grandes grupos: amplo, restrito e específico.
Amplo são os dados que deveriam estar em transparência ativa, ou que são cedidos sempre que solicitados pelo Serviço de Informações ao Cidadão (SIC). Não deve haver qualquer restrição no compartilhamento de tais dados entre os órgãos municipais.
Os demais tipos são dados abrangidos por normas que lhes garantem proteção ou sigilo. Mas isso não implica necessariamente a proibição de compartilhamento dentro da Administração. Os órgãos geralmente separam esses dados em dois grupos. O primeiro é o que habitualmente é cedido aos órgãos públicos e o segundo é um grupo de informações críticas, capazes de trazer problemas graves, como por exemplo os capazes de violar a privacidade de seus titulares, ensejando eventual penalização do gestor dos dados, conforme a legislação aplicável, para seus titulares ou para o gestor dos dados.
O gestor de dados decidirá quais informações estão em cada grupo, aplicando as orientações deste documento e a legislação específica.
Os dados restritos são aqueles que, apesar de protegidos por sigilo, devem ser fornecidos a qualquer outro órgão da administração municipal, sempre que solicitado para a execução de políticas públicas.
Já os dados específicos, que são igualmente sigilosos, só podem ser compartilhados para determinados órgãos municipais, que possuem previsão legal de acesso. Neste caso o gestor dos dados deve analisar se a justificativa do pedido de acesso se enquadra nas hipóteses legais específicas.
3. GESTOR DE DADOS, ÁREA DE TI E INTERLOCUTOR
De acordo com o art. 2º, inciso VIII, do Decreto nº 60.663, de 2021, gestor de dados é o órgão ou a entidade responsável pela governança de determinado conjunto de dados, normalmente representado pelo líder da unidade administrativa capaz de tomar decisões sobre o conjunto de dados. Deve-se evitar indicar o topo hierárquico do órgão ou da entidade como gestor de todas as bases. Decisões, nesse contexto, não se tratam de decisões envolvendo tecnologia, mas decisões gerais sobre a base, o sistema e os processos envolvidos.
4. CATEGORIAS DE COMPARTILHAMENTO DE DADOS
A categorização da informação visa reduzir ambiguidades sobre os dados referidos nas normas legais.
A categorização e suas implicações somente se aplicam às informações que estão custodiadas pelo governo, sejam coletadas, sejam produzidas por este.
Estão definidas três categorias no Decreto nº 60.663, de 2021:
CATEGORIA DESCRIÇÃO REGRAS DE COMPARTILHAMENTO
Ampla Dados não protegidos por norma, portanto, públicos. Dispensa autorização prévia pelo gestor de dados e será realizada pelos canais existentes para dados abertos e transparência ativa. (art. 10 da Resolução nº 02)
Restrita Dados protegidos por norma e compartilhados dentro da Administração sempre que solicitados para execução de políticas públicas Regras estabelecidas pelo Comitê Central de Governança de Dados. (art. 11 da Resolução nº02)
Específica Dados protegidos por norma, cujo compartilhamento depende de decisão do gestor de dados. Condicionado à permissão de acesso pelo gestor de dados e ao atendimento dos requisitos definidos por este como condição para o compartilhamento. Os dados recebidos por compartilhamento específico não serão retransmitidos ou compartilhados com outros órgãos ou entidades, exceto quando previsto expressamente na autorização concedida pelo gestor de dados ou se houver posterior permissão deste. (art. 13 da Resolução nº02)
5. REGRAS E REQUISITOS DE COMPARTILHAMENTO
1. Regras gerais
1. Recomenda-se priorizar a categorização dos dados seguindo a seguinte ordem:
1. Primeiro os dados estruturados, depois os não estruturados.
2. Primeiro as informações mais solicitadas, depois as demais informações.
2. Os dados que forem categorizados como Restritos ou Específicos devem ter uma justificativa para tal categorização.
3. Os órgãos que recebem dados deverão manter um histórico de que bases receberam e de quais órgãos.
4. Identificação de pessoa física
1. Todas as identificações de pessoas físicas na categoria Ampla serão com nome e CPF mascarado no formato ***.999.999-**.
2. Todas as identificações de pessoas físicas na categoria Restrita e Específica serão com nome e CPF completo e todos os demais identificadores disponíveis (PIS, Carteira de trabalho, PASEP, Identidade estadual, etc.).
5. Identificação de pessoa jurídica
1. Todas as identificações de pessoas jurídicas, em qualquer categoria, serão com razão social e CNPJ.
6. Dados recebidos não devem ser recategorizados. Vale a categorização recebida.
7. Caso a categorização de um conjunto de dados mude com o tempo, os dados já distribuídos e presentes em outros órgãos também mudarão.
8. No caso de dados combinados - isto é, aqueles constituídos pela junção de um ou mais conjunto de dados, quando não for viável sua separação, para efeito de categorização, deve-se classificar o conjunto na categoria mais privativa.
9. Os dados recebidos por compartilhamento restrito poderão ser retransmitidos ou compartilhados com outros órgãos ou entidades que comprovem a necessidade de acesso, exceto se proibido expressamente na autorização concedida pelo gestor de dados ou se houver posterior revogação da permissão desse.
10. Qualquer retransmissão e compartilhamento de dados continuam sujeitos aos termos do Decreto nº 60.663, de 2021, inclusive entre as entidades abrangidas: órgãos e entidades da administração pública municipal direta e indireta.
11. Prazos - atendidos os critérios e regras necessárias ao compartilhamento, o acesso aos dados ocorrerá no prazo de trinta dias, contado da data da solicitação.
12. Casos não previstos deverão ser encaminhados ao CCGD.
2. Regras para Compartilhamento Restrito
1. Ponto de contato. O gestor de dados deve indicar o ponto de contato (órgão com telefone e e-mails institucionais) para informações sobre as bases. Este ponto de contato pode ser único para todo o órgão ou por base de dados. Este contato deve ser da área que irá fornecer o acesso, incluindo a área de TI ou da empresa pública onde os dados estão hospedados.
2. Identificação do Solicitante. O solicitante deve enviar um ofício por meio de processo eletrônico no SEI, indicando seu interesse nos dados e finalidade do acesso. Este ofício deve ser assinado por um dirigente do órgão, designado pela Alta Administração do órgão ou entidade, e é suficiente para a identificação do solicitante como representante de órgão ou entidade pública municipal.
3. Controle de acessos feitos. O gestor de dados deverá manter um controle sobre todos os órgãos que acessam os seus dados. Esse controle deve prever plataformas de interoperabilidade e repasses de informação entre órgãos. Nessa fase, este controle deverá incluir, no mínimo todos os novos pedidos. Posteriormente, serão tratados os acessos anteriores.
4. Formulários de acesso. A chefia da unidade solicitante deverá preencher um Ofício do pedido com as seguintes informações:
1. Órgão solicitante com identificação do nome, do endereço, do nome do titular e do substituto e dos telefones e e-mails respectivos.
2. Motivo concreto da solicitação. Descrição do motivo da solicitação e do uso que será feito dos dados, em conformidade com o art. 23 da Lei nº 13.709, de 2018.
3. Compromisso da chefia dos servidores do órgão solicitante de que os dados serão de fato acessados.
4. Informação sobre se o órgão solicitante realizará algum tipo de cópia, replicação ou publicação dos dados solicitados, ou de análises de informações deles resultantes.
3. Dados Específicos - os dados específicos somente são acessíveis em caso de permissão do gestor de dados. Critérios para aprovar ou para recusar o acesso, bem como detalhes do processo, são de total responsabilidade do gestor dos dados.
1. Regras gerais
1. Ponto de contato. O gestor de dados deve indicar um ponto de contato (órgão com telefone e e-mails institucional) para informações sobre as bases. Este ponto de contato pode ser único para todo o órgão ou por base de dados.
2. Regras de acesso, opcional. O gestor pode publicar antecipadamente regras esclarecendo em que casos, e para quais entidades, é concedido acesso a dados ou não. É recomendável para reduzir pedidos que não poderão ser atendidos.
3. Controle de acessos feitos. O gestor de dados deve manter histórico de todos os órgãos que acessam os dados. Nessa fase, este controle deve incluir, no mínimo, todos os novos acessos. Posteriormente serão tratados os acessos anteriores.
6. CATEGORIZAÇÃO
A categorização dos dados é decidida pelo gestor de dados. Para isso, ele deve seguir os seguintes passos:
1. Rigor na aplicação das normas legais - qualquer categorização deve estar totalmente de acordo com as normas legais existentes.
2. Conhecimento sobre a base - o gestor é aquele que tem o melhor conhecimento sobre as bases de dados e é o mais capaz para categorização, pois ele conhece as particularidades de sua base e as consequências de um possível vazamento.
3. Maior dano potencial - nos casos onde as normas são ambíguas, deve se aplicar uma restrição proporcional ao dano que pode ser causado por um vazamento da informação. Quanto maior o dano, maior o nível de restrição. O dano pode ser moral, financeiro, legal ou de qualquer outra natureza.
7. PUBLICAÇÃO
A categorização deverá ser publicada através da inclusão das informações no Cadastro Municipal de Base de Dados – CMBD, através da inserção das seguintes informações nas respectivas bases:
1. Categorização: Ampla, Restrita ou Específica;
2. Canais de acesso - são os canais existentes para acessar as informações incluindo WebServices, APIs, download, etc.
3. Informações de contato do Gestor da Base.
Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo