Ministério da Educação ​UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANÁ GABINETE DA REITORIA

INSTRUÇÃO NORMATIVA GABIR/UTFPR nº 56, de  12 de agosto de 2024 

REITOR DA UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANÁ, no uso das atribuições que lhe foram conferidas conforme o Decreto datado de 22 de setembro de 2020, publicado no D.O.U. de 23 subsequente, considerando:

• a Lei nº 12.527, de 18 de novembro de 2011, que trata sobre os procedimentos para garantir o acesso a informações (Lei de Acesso a Informações - LAI);
• o Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei de Acesso a Informações;
• considerando a Lei nº 13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais (Lei Geral de Proteção de Dados Pessoais – LGPD);
• o Estatuto da Universidade Tecnológica Federal do Paraná - Deliberação COUNI N° 06/2007, de 29/06/2007 (e alterações subsequentes);
• o Regimento Geral da Universidade Tecnológica Federal do Paraná - Deliberação COUNI N° 07/2009, de 05/06/2009 (e alterações subsequentes);
• a Política de Segurança da Informação e Comunicações da UTFPR - POSIC/UTFPR - Deliberação COUNI N° 9/2014, de 06/06/2014;
• o Regulamento de Gestão e Utilização de Recursos de TI da UTFPR - Deliberação COUNI N° 11/2013, de 08/11/2013;
• o que consta no processo SEI nº 23064.021122/2024-76.

RESOLVE:

CAPÍTULO I
Do Objeto

Art. 1º Esta Instrução Normativa estabelece as normas e as diretrizes para a gestão do processo de compartilhamento de dados – interoperabilidade – das bases de dados corporativas da UTFPR mantidas pela DIRGTI.

§ 1º A interoperabilidade referida no caput deve ter alinhamento institucional e visar maior celeridade, economia, dinamismo e modernidade no desenvolvimento de sistemas locais e centralizados, além de maior confiabilidade no compartilhamento geral de informações, mantendo a segurança, a integridade, a confidencialidade, a autenticidade e a disponibilidade necessárias.

§ 2º A presente instrução normativa aplica-se somente aos dados das bases de dados corporativas mantidas pela DIRGTI.

CAPÍTULO II
Dos Conceitos e definições

Art. 2º Para fins desta instrução normativa, considera-se:

I - Ativo: "tudo aquilo que tem valor tangível ou intangível, como dados, sistemas de informação, equipamentos, serviços, imagem institucional e processos internos"(POSIC/UTFPR);

II - Ativo de Informação: "os meios de produção, armazenamento, transmissão e processamento de dados, além das informações em si, bem como os locais físicos onde se encontram esses meios" (POSIC/UTFPR);

III - Autenticidade: "característica que comprova que o dado foi produzido, expedido, modificado ou destruído por uma determinada pessoa, sistema, órgão ou entidade" (POSIC/UTFPR);

IV - Bases de Dados Corporativas: bases de dados que suportam os sistemas institucionais da UTFPR (exemplo: Sistemas Corporativos Integrados - SCI, Sistema Eletrônico de Informações - SEI etc.);

V - Categoria Sistêmica de Acesso: credencial de acesso a dados designada a usuários que permite níveis de acesso e ações sobre dados específicos;

VI - Comunidade Universitária: constituída pelos docentes, discentes e técnicos-administrativos, diversificados em suas atribuições e funções e unificados nos princípios, finalidades e objetivos da Universidade (Estatuto UTFPR, Art. 45);

VII - Confidencialidade: "garantia do resguardo dos dados para que estejam disponíveis ou sejam revelados somente à pessoa física, sistema, órgão ou entidade autorizada, ou credenciada" (POSIC/UTFPR);

VIII - Controlador de Dados: "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais" (Lei nº 13.709/2018, Art. 5º, inciso VI);

IX - Disponibilidade: "garantia de que os dados estejam acessíveis e utilizáveis para o uso legítimo, ou seja, por aqueles usuários devidamente autorizados pelo titular ou responsável pelos dados" (POSIC/UTFPR);

X - Área de Negócio: área responsável pela gestão e manipulação dos dados armazenados nas bases de dados corporativas mantidas pela DIRGTI (exemplo: área acadêmica, área de pesquisa, área de planejamento etc.);

XI - Diretoria de Gestão de Tecnologia da Informação (DIRGTI): órgão superior da Reitoria, responsável pelas atividades relacionadas ao planejamento, à supervisão, à execução e à avaliação da política de tecnologia da informação da UTFPR (Regimento UTFPR, Art. 134), atuando como operadora dos dados das bases de dados corporativas;

XII - Dados Pessoais: "informação relacionada a pessoa natural identificada ou identificável" (Lei nº 13.709/2018, Art. 5º, inciso I);

XIII - Dados Pessoais Sensíveis: "dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural" (Lei nº 13.709/2018, Art. 5º, inciso II);

XIV - Dado Anonimizado: "dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento" (Lei nº 13.709/2018, Art. 5º, inciso III);

XV - Encarregado de Dados: "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)" (Lei nº 13.709/2018, Art. 5º, inciso VIII);

XVI - Incidente de Segurança: "qualquer evento, confirmado ou sob suspeita, que gere dano ou ameace a integridade, confidencialidade, disponibilidade e autenticidade dos dados" (POSIC/UTFPR);

XVII - Integridade: "característica do dado não ter sido modificado, destruído ou perdido de forma não autorizada ou acidental" (POSIC/UTFPR);

XVIII - Interoperabilidade: capacidade de diversos sistemas e organizações trabalharem em conjunto (interoperar) de modo a garantir que pessoas, organizações e sistemas computacionais interajam para trocar dados de maneira eficaz e eficiente;

XIX - Operador de Dados: "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador" (Lei nº 13.709/2018, Art. 5º, inciso VII);

XX - Projeto Externo: projeto com alinhamento e interesse institucional, não desenvolvido nem mantido pela DIRGTI, compreendendo projeto externo computacional (sistema externo) e não computacional;

XXI - Serviço web (webservice): módulo de software que torna compatíveis entre si diferentes aplicativos, independente da tecnologia utilizada para desenvolvê-los e executá-los, permitindo a comunicação transparente e o intercâmbio de dados entre diferentes redes, tecnologias e sistemas;

XXII - Sistema Externo: sistema com alinhamento e interesse institucional, não desenvolvido nem mantido pela DIRGTI (exemplo: sistema desenvolvido por outros órgãos, departamentos, servidores, bolsistas, estagiários etc.);

XXIII - Sistema Mantenedor de Dados: sistema que mantém cópia dos dados, seja de forma parcial ou total, temporária (exemplo: em memória) ou permanente (exemplo: em disco);

XXIV - Titular: "pessoa natural a quem se referem os dados pessoais que são objeto de tratamento" (Lei nº 13.709/2018, Art. 5º, inciso V).

CAPÍTULO III
Do Acesso aos Dados

Art. 3º Para fins de interoperabilidade de dados das bases de dados corporativas, o acesso aos dados armazenados nas bases de dados sob responsabilidade da DIRGTI ocorrerá, em observância às normas e disposições contidas na legislação vigente, após solicitação oficial da chefia da equipe responsável pelo projeto externo, seguido pela análise, parecer e autorização dos setores abaixo, na seguinte ordem:

I - DIRGTI: parecer técnico;

II - encarregado(a) de dados na instituição (Lei nº 13.709/2018, Art. 5º): parecer sob a ótica da proteção de dados institucionais;

III - área de negócio: parecer sob a ótica da área de negócio com autorização/rejeição formal do uso/compartilhamento dos dados necessários para interoperabilidade.

Art. 4º Para disponibilização de acesso referente a projeto externo, o acesso aos dados pode ser concretizado na forma de serviço web ou em arquivo de dados em formato digital.

§ 1º Para projeto externo não computacional, o acesso se dará exatamente uma única vez por solicitação e na forma de arquivo digital.

§ 2º Para sistema externo, o acesso poderá se dar na forma de arquivo digital ou de serviço web.

Art. 5º Os serviços web disponibilizados pela DIRGTI a sistemas externos para acesso aos dados das bases de dados corporativas são disponibilizados de acordo com a classificação dos dados acessados e com as categorias sistêmicas de acesso.

§ 1º A classificação dos dados é feita de acordo com a amplitude e a natureza dos dados acessados, considerando:

I - Amplitude: refere-se à abrangência dos dados, englobando desde dados coletivos (comuns a várias pessoas) até dados individuais (dados de pessoa única ou de múltiplas pessoas);

II - Natureza: refere-se à sensibilidade do dado, englobando desde dados públicos até dados sigilosos.

§ 2º As categorias sistêmicas de acesso são agrupadas em dois tipos:

I - Funcional: permite ações pontuais sobre os dados;

II - Agregadora: agrega uma ou mais categorias, permitindo, portanto, um conjunto de ações.

§ 3º As categorias sistêmicas são agrupadas e designadas a um usuário, que pode ser de dois tipos:

I - Usuário Padrão: reflete uma pessoa física, a qual pode acumular os papéis de usuário final e de usuário administrador, considerando que:

a) Usuário Final: possui acesso apenas aos próprios dados, sendo o único e real titular de seus dados;

b) Usuário Administrador: possui acesso a sub-conjuntos dos dados de outros usuários, sendo tais dados essenciais para a execução de sua função como administrador do sistema em questão, não sendo, portanto, titular dos dados que administra.

II - Usuário de Sistema: reflete um módulo de um sistema computacional específico, o qual pode possuir o papel de módulo de repasse (dispatcher) ou de módulo de acesso em lote (batch), considerando:

a) Dispatcher: repassa ao serviço web da DIRGTI a requisição de um usuário padrão. Este tipo de usuário possui acesso mais restrito e deve ser utilizado por módulos não mantenedores, ou seja, módulos que não mantém cópias dos dados trafegados e/ou processados de/para as bases de dados corporativas, seja de forma parcial ou total, temporária (exemplo: em memória) ou permanente (exemplo: em disco);

b) Batch: possui acesso mais amplo, sendo utilizado principalmente por módulos de tratamento em lote e por módulos mantenedores, ou seja, módulos que mantêm cópias dos dados trafegados e/ou processados de/para as bases de dados corporativas, devendo seguir os padrões de controle de dados da DIRGTI, além de seguir as legislações obrigatórias pertinentes (como a Lei nº 13.709/2018 - LGPD).

Art. 6º O acesso aos serviços web disponibilizados pela DIRGTI a sistemas externos é dado atrávés de uma estrutura padronizada de controle de acesso (padrão tecnológico JWT).

§ 1º Para que um usuário (padrão ou de sistema) possa acessar um serviço web disponibilizado pela DIRGTI, seus dados de acesso (nome de usuário, categorias etc.) devem ser agregados em uma estrutura de controle de acesso (padrão tecnológico JWT), a qual deve ser gerada por serviço web específico a ser disponibilizado pela DIRGTI à equipe responsável pelo sistema externo que tenha sua solicitação aprovada.

§ 2º Chaves de acesso (tokens) serão fornecidas ao sistema externo, com vigência limitada para cada chave, seguindo a periodicidade definida no parecer técnico da DIRGTI (Art. 3º, inciso I desta instrução normativa).

§ 3º A DIRGTI manterá catálogo atualizado dos serviços web disponibilizados para esta finalidade, que será disponibilizado oportunamente à equipe responsável pelo sistema externo.

Art. 7º É de responsabilidade exclusiva da equipe responsável pelo sistema externo, independente do tipo de acesso efetuado pelo sistema externo aos serviços web da DIRGTI, manter a disponibilidade do sistema externo, desenvolver e manter todas as rotinas computacionais necessárias para acessar, manter e atualizar os dados, além de garantir a devida adequação do sistema externo aos padrões da DIRGTI e responsabilizar-se pelas solicitações via LAI e demais mecanismos oficiais de solicitação de acesso a dados públicos, referente aos dados mantidos pelo sistema externo.

§ 1º Consideram-se os padrões da DIRGTI para garantir a devida adequação do sistema externo, no mínimo:

I - Em relação à Segurança, são responsabilidades do sistema externo:

a) controlar o acesso aos seus próprios dados e aos dados que foram compartilhados das bases de dados corporativas da UTFPR, tanto localmente (como, por exemplo, no banco de dados e sistemas adjacentes) quanto remotamente (rede, páginas web, aplicações web e demais);

b) manter a rotina de atualização de software (exemplo: aplicação de correções conhecidas - "fixpacks");

c) responsabilizar-se pela devida obtenção das licenças dos softwares utilizados;

d) observar o Regulamento de Gestão e Utilização de Recursos de TI da UTFPR e a Política de Segurança da Informação e Comunicações da UTFPR - POSIC/UTFPR, bem como demais normativas informadas pela UTFPR.

II - Em relação à Consistência, são responsabilidades do sistema externo manter a consistência de seus próprios dados e dos dados trafegados e/ou processados de/para as bases de dados corporativas, devendo, no que couber, utilizar-se dos serviços web disponibilizados pela DIRGTI;

III - Em relação à Rastreabilidade, o registro dos acessos aos serviços web são classificados em dois grupos:

a) registros internos: por questões de segurança de acesso aos dados, todas as requisições de login e de usuários de sistema sempre são registradas pelos serviços web em controles especificamente desenvolvidos pela DIRGTI para o monitoramento permanente;

b) registros externos: é de responsabilidade do sistema externo manter registro das atividades de seus usuários, independente da forma como o sistema externo acessa os dados das bases de dados corporativas (dispatcher ou batch).

Art. 8º É responsabilidade da chefia da equipe responsável pelo sistema externo solicitar tanto o acesso aos dados quanto a exclusão do acesso aos dados, devendo a referida chefia acompanhar o andamento do pedido.

§ 1º A solicitação de acesso aos dados deve seguir o seguinte procedimento:

I - A chefia da equipe responsável pelo sistema externo deve enviar uma requisição formal à DIRGTI (Art. 3º, inciso I desta instrução normativa) que, para cada dado solicitado, avaliará a necessidade do tráfego (dispatcher) via sistema externo e, principalmente, do armazenamento do dado (batch) em sistema externo (Lei nº 13.709/2018, Art. 6º);

II - Após o devido parecer da DIRGTI, caso o pedido tenha sido aprovado, um pedido de autorização de acesso aos dados será submetido pela DIRGTI diretamente à pessoa encarregada de dados oficialmente constituída na instituição (Lei nº 13.709/2018, Art. 5º), que complementará as análises e conduzirá as consultas necessárias às respectivas áreas de negócio na UTFPR;

III - Caso o pedido não seja aprovado pela pessoa encarregada de dados ou pelas respectivas áreas de negócio na UTFPR, os dados não poderão trafegar e nem ser armazenados no sistema externo;

IV - Fica vedado o armazenamento externo de qualquer dado sensível do usuário, portanto, para ter acesso a dados desta natureza, o sistema externo deverá seguir o fluxo pré-definido para usuários dispatcher.

§ 2º A solicitação da exclusão do acesso aos dados deve ser feita pela chefia da equipe responsável pelo sistema externo, por meio de uma requisição formal à DIRGTI.

Art. 9º O acesso do sistema externo aos dados das bases de dados corporativas pode ser cancelado a qualquer tempo, de acordo com o interesse institucional, desde que devidamente motivado, quando se constatar qualquer das seguintes violações:

I - o não atendimento aos requisitos de segurança, disponibilidade, integridade, confidencialidade e autenticidade;

II - o desvio ou mudança de finalidade na utilização dos dados;

III - a utilização indevida dos dados compartilhados, independente de natureza (inclusão, alteração, exclusão, recompartilhamento etc. não autorizados), com o fim de obter vantagem indevida ou causar dano;

IV - quaisquer alterações legais que impossibilitem o acesso aos dados;

V - o descumprimento desta instrução normativa ou de quaisquer regulamentações pertinentes.

Art. 10. O acesso aos dados para o sistema externo se dará em caráter periódico, de acordo com o período e condições definidos em termo firmado (Art.11, inciso IV desta instrução normativa) entre o solicitante e as áreas listadas no Art. 3º desta instrução normativa, alinhados aos pareceres e aprovações emitidos e aos interesses institucionais.

Parágrafo Único. A renovação do período de acesso poderá ser solicitada pela chefia da equipe responsável pelo sistema externo.

CAPÍTULO IV
Das Diretrizes

Art. 11. O acesso, utilização e disponibilização de dados de qualquer natureza das bases de dados corporativas da UTFPR mantidas pela DIRGTI, sejam pertinentes à UTFPR ou à Comunidade Universitária, deverá ser feito:

I - estritamente segundo o que for descrito, delimitado e aprovado na solicitação de acesso;

II - de forma a garantir sua segurança, disponibilidade, integridade, confidencialidade e autenticidade;

III - nos termos da Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709/2018):

a) dados pessoais e, principalmente, dados pessoais sensíveis, requerem atenção especial com relação aos aspectos legais da LGPD;

b) para a realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, é necessária a anonimização dos dados pessoais (Lei nº 13.709/2018, Art. 7º e Art. 11), de forma que não seja possível a identificação, direta ou indiretamente (como por técnicas de engenharia reversa), dos indivíduos;

IV - somente após a devida complementação processual pelos mecanismos vigentes para cada finalidade (projetos internos à UTFPR: termo de responsabilidade, termo não divulgação etc.; projetos externos à UTFPR: convênio, acordo de cooperação técnica etc.).

CAPÍTULO V
Das Disposições Finais

Art. 12. Excetuadas as determinações legais, o acesso aos dados de qualquer natureza, pertinente à UTFPR ou à Comunidade Universitária, não garante direito sobre eles nem confere autoridade para liberar o acesso para pessoas não autorizadas.

Seção I
Da Institucionalização

Art. 13. Os casos omissos nesta Instrução Normativa serão tratados em reunião colegiada do Comitê de Governança Digital (CGD), solicitada pela DIRGTI.

Art. 14. Fica revogada a Instrução Normativa/DIRGTI nº 1/2019, de 27 de junho de 2019.

Art. 15. Esta instrução normativa estará disponível no sítio da UTFPR no endereço: https://portal.utfpr.edu.br/documentos/tecnologia-da-informacao/dirgti/instrucoes-normativas-1.

Art. 16. A presente Instrução Normativa será publicada em Boletim de Serviço Eletrônico e entrará em vigor na data de sua publicação.

Publique-se. Registre-se. Cumpra-se.

---

Documento assinado eletronicamente por (Document electronically signed by) MARCOS FLAVIO DE OLIVEIRA SCHIEFLER FILHO, REITOR, em (at) 14/08/2024, às 10:31, conforme horário oficial de Brasília (according to official Brasilia-Brazil time), com fundamento no (with legal based on) art. 4º, § 3º, do Decreto nº 10.543, de 13 de novembro de 2020.

---

A autenticidade deste documento pode ser conferida no site (The authenticity of this document can be checked on the website) https://sei.utfpr.edu.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador (informing the verification code) 4332401 e o código CRC (and the CRC code) E764378A.

---