O PRESIDENTE DO DEPARTAMENTO ESTADUAL DE TRÂNSITO (DETRAN-SP), no uso das competências conferidas pelo art. 22 da Lei federal nº 9.503, de 23 de setembro de 1997, do inciso II, do artigo 10, da Lei Complementar estadual nº 1.195, de 17 de janeiro de 2013, e do inciso I, do artigo 32 do Decreto estadual nº 69.053, de 14 de novembro de 2024, tendo em vista o disposto na Lei federal nº 13.709, de 14 de agosto de 2018, e considerando o contido no processo SEI 140.00937319/2024-82,

RESOLVE:

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Portaria Normativa disciplina o acesso aos dados dos sistemas e subsistemas informatizados do Departamento Estadual de Trânsito de São Paulo (DETRAN-SP) por pessoas naturais e pessoas jurídicas de direito público ou privado, estabelecendo os requisitos, os critérios de acesso e o ambiente de governança para garantir a segurança e conformidade com a Lei federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD).

Art. 2º Para fins desta Portaria Normativa, consideram-se os conceitos definidos na LGPD, e especificamente:

I - sistemas e subsistemas informatizados: todas as soluções ou aplicações tecnológicas em que o DETRAN-SP seja o controlador dos dados;

II - dados controlados pelo DETRAN-SP: dados pessoais cujas decisões referentes ao tratamento são de competência do DETRAN-SP;

III - Operador de Acesso: pessoa natural ou jurídica contratada pelo DETRAN-SP, nos termos da Lei federal nº 14.133, de 1º de abril de 2021, observado o disposto no parágrafo único do artigo 7º do Decreto estadual nº 67.799, de 13 de julho de 2023, para realizar a gestão do acesso aos dados controlados pelo DETRAN-SP, de acordo com as diretrizes e finalidades estabelecidos pela autarquia;

IV - Gerenciador de Consentimento e Ciência: pessoa natural ou jurídica contratada pelo DETRAN-SP, nos termos da Lei federal nº 14.133, de 1º de abril de 2021, observado o disposto no parágrafo único do artigo 7º do Decreto estadual nº 67.799, de 13 de julho de 2023, responsável por garantir a obtenção, o registro e a gestão do consentimento dos titulares de dados pessoais, bem como assegurar sua ciência plena e contínua quanto ao tratamento de seus dados, nos termos da Lei federal nº 13.709, de 2018;

V - Usuário Final: pessoa natural ou jurídica, devidamente autorizada por instrumento jurídico específico, que acessa e utiliza os dados pessoais exclusivamente para os fins previamente informados e determinados, em conformidade com as normas e princípios estabelecidos;

VI - Application Programming Interface (API): conjunto de rotinas, protocolos e ferramentas que estabelecem padrões de comunicação e integração entre diferentes sistemas ou componentes de software;

VII - Web Service: mecanismo de comunicação que permite a interoperabilidade entre aplicações distintas através da internet, utilizando protocolos e padrões abertos.

Art. 3º O acesso aos dados dos sistemas e subsistemas informatizados do DETRAN-SP por órgãos e entidades integrantes do Sistema Nacional de Trânsito (SNT) e do Sistema Estadual de Trânsito (SISTRAN-SP) será disciplinado por norma específica.

Art. 4º O compartilhamento de dados entre o DETRAN-SP e as pessoas naturais ou pessoas jurídicas de direito público ou privado observará o disposto em acordos, convênios e instrumentos de cooperação técnica.

Art. 5º O acesso aos dados controlados pelo DETRAN-SP observará os direitos, princípios, diretrizes e definições da Lei federal nº 13.709, de 2018.

CAPÍTULO II

DO CONTROLADOR

Art. 6º O DETRAN-SP, na qualidade de controlador dos dados pessoais coletados em razão do exercício de suas competências legais, é responsável pelas decisões referentes ao tratamento desses dados, conforme o inciso VI, do art. 5º, da Lei federal nº 13.709, de 2018.

CAPÍTULO III

DO OPERADOR DE ACESSO

Art. 7º A gestão do acesso aos dados controlados pelo DETRAN-SP, de acordo com as diretrizes e finalidades estabelecidas pela autarquia, será exercida pelo Operador de Acesso.

Parágrafo único. A relação entre o DETRAN-SP e seu Operador de Acesso será estabelecida por meio de contratos, nos termos da Lei federal nº 14.133, de 1º de abril de 2021, e em conformidade com o disposto no parágrafo único do art. 7º do Decreto estadual nº 67.799, de 13 de julho de 2023, bem como com os princípios estabelecidos no art. 6º da Lei federal nº 13.709, de 2018.

Art. 8º Compete ao Operador de Acesso do DETRAN-SP:

I - desenvolver, atualizar e manter o ambiente tecnológico necessário para os processos de acesso aos dados;

II - desenvolver, atualizar e manter soluções de gestão do consentimento e da ciência de uso dos dados pelos titulares;

III - desenvolver, manter e divulgar a documentação técnica dos sistemas, das aplicações, dos protocolos de comunicação e de outras soluções tecnológicas destinadas aos processos de acesso aos dados;

IV - registrar e armazenar todas as informações referentes aos processos de acesso a dados, nos prazos estabelecidos pelo DETRAN-SP;

V - garantir a segurança dos dados, monitorando, avaliando e reportando ao DETRAN-SP eventuais incidentes de segurança;

VI - orientar os interessados quanto às questões técnicas atinentes aos processos de acesso a dados; e

VII - estabelecer os contratos necessários com o Usuário Final, visando a remuneração pelos serviços de acesso a dados, arrecadando os valores e promovendo a desoneração financeira em favor do DETRAN-SP, conforme regras estabelecidas em contrato.

Parágrafo único. Na hipótese de informações de interesse público, será observado o disposto no art. 12 da Lei federal nº 12.527, de 18 de novembro de 2011.

CAPÍTULO IV

DO ACESSO AOS DADOS

Seção I

Da Disponibilização de Acesso aos Dados

Art. 9º O acesso aos dados dos sistemas e subsistemas informatizados do DETRAN-SP será realizado exclusivamente por meio de API ou Web Service desenvolvidos pelo Operador de Acesso do DETRAN-SP, condicionado à apresentação de requerimento pelo Usuário Final, contendo justificativa clara quanto à finalidade do tratamento dos dados pessoais, nos termos do art. 6º, inciso I, da Lei federal nº 13.709, de 2018.

§ 1º Os requerimentos poderão ser independentes entre si e serão avaliados individualmente dentro do mesmo processo de acesso a dados.

§ 2º Os requerimentos deverão conter as seguintes informações:

I - descrição clara e específica da finalidade de acesso;

II - hipótese legal de tratamento dos dados, conforme art. 7º da Lei federal nº 13.709, de 2018;

III - informações de interesse; e

IV - justificativa da necessidade para atender a finalidade pretendida, atendendo ao princípio da necessidade, estabelecido no inciso III, do art. 6º, da Lei federal nº 13.709, de 2018.

§ 3º O acesso a dados anonimizados será viabilizado pelo Operador de Acesso mediante a utilização de meios técnicos eficazes de tratamento que garantam a não identificação do titular.

Art. 10. Os casos de uso que envolvam acesso a dados pessoais sensíveis observarão as hipóteses legais de tratamento específicas definidas no art. 7º da Lei federal nº 13.709, de 2018.

Parágrafo único. O acesso a dados pessoais sensíveis somente será autorizado em casos excepcionais.

Seção II

Do Requerimento de Acesso aos Dados

Art. 11. Para acessar os dados dos sistemas e subsistemas informatizados do DETRAN-SP, o Usuário Final deverá apresentar requerimento instruído com os seguintes documentos e informações:

I - pessoa natural:

a) documento de identidade com número de inscrição no Cadastro de Pessoa Física (CPF);

b) número de telefone, endereço eletrônico e comprovante de residência;

c) certidão negativa do registro de distribuição e de execuções criminais referentes às práticas de crimes contra os costumes, fé pública, patrimônio, à administração pública, privada ou da justiça e os previstos na lei de entorpecentes;

d) comprovante de regularidade perante a Fazenda federal, estadual e/ou municipal do domicílio ou residência do interessado, ou outra equivalente, na forma da lei;

e) certificado digital e-CPF padrão ICP-Brasil;

f) breve descritivo das soluções que utilizarão dados dos sistemas e subsistemas informatizados do DETRAN-SP, demonstrando sua necessidade para atendimento da finalidade pretendida;

g) termo de Compromisso de Manutenção de Sigilo (TCMS), conforme modelo disponibilizado pelo DETRAN-SP, assinado eletronicamente por meio de assinatura eletrônica avançada ou assinatura eletrônica qualificada, conforme disposto no Decreto estadual nº 68.306, de 16 de janeiro de 2024;

h) Termo de Consentimento (TC), conforme modelo disponibilizado pelo DETRAN-SP, assinado eletronicamente por meio de assinatura eletrônica avançada ou assinatura eletrônica qualificada, conforme disposto no Decreto estadual nº 68.306, de 2024, no qual o Usuário Final se compromete a utilizar os dados exclusivamente para a finalidade informada, vedado o armazenamento, criação de banco de dados, comercialização ou repasse a terceiros dos dados dos sistemas e subsistemas informatizados do DETRAN-SP.

i) contrato com o Operador de Acesso para a prestação de serviços de gestão de acesso aos dados;

II - pessoa jurídica de direito privado:

a) comprovante de inscrição no Cadastro Nacional de Pessoa Jurídica (CNPJ);

b) contrato, estatuto social e/ou regimento e suas alterações, devidamente registro;

c) comprovante de endereço da matriz da empresa, contendo seu endereço completo;

d) cédula de identidade e Cadastro de Pessoa Física (CPF) do(s) representante(s) legal(is) e do responsável técnico;

e) número de telefone e endereço eletrônico do(s) representante(s) legal(is) e do responsável técnico;

f) cédula de identidade e informação de contato do encarregado pelo tratamento de dados pessoais;

g) certificado digital e-CNPJ padrão ICP-Brasil;

h) responsável técnico pelo acesso aos dados, com formação superior compatível às atividades de integração tecnológica necessárias;

i) canal de comunicação permanente disponível ao titular de dados;

j) Política de Privacidade e Termo de Uso de Dados;

k) Certificado ABNT NBR ISO/IEC 27001;

l) breve descritivo das atividades gerais da empresa e das soluções que utilizarão dados dos sistemas e subsistemas informatizados do DETRAN-SP, demonstrando sua necessidade para atendimento da finalidade pretendida;

m) Termo de Compromisso de Manutenção de Sigilo (TCMS), conforme modelo disponibilizado pelo DETRAN-SP, assinado eletronicamente pelo representante legal da requerente e pelo responsável técnico, por meio de assinatura eletrônica avançada ou assinatura eletrônica qualificada, conforme disposto no Decreto estadual nº 68.306, de 16 de janeiro de 2024;

n) Termo de Consentimento (TC), conforme modelo disponibilizado pelo DETRAN-SP, assinado eletronicamente por meio de assinatura eletrônica avançada ou assinatura eletrônica qualificada, conforme disposto no Decreto estadual nº 68.306, de 2024, no qual o Usuário Final se compromete a utilizar os dados exclusivamente para a finalidade informada, vedado o armazenamento, criação de banco de dados, comercialização ou repasse a terceiros dos dados dos sistemas e subsistemas informatizados do DETRAN-SP.

o) contrato com o Operador de Acesso para a prestação de serviços de gestão de acesso aos dados.

§ 1º O responsável técnico de que trata a alínea ‘h’, do inciso II, do caput deste artigo, deve zelar por todas as tratativas técnicas de sistema de responsabilidade do requerente.

§ 2º O Operador de Acesso poderá, excepcionalmente, permitir a substituição da apresentação do certificado previsto na alínea “k”, do inciso II deste artigo, por análise de riscos equivalente, devidamente fundamentada em justificativa técnica acompanhada das medidas compensatórias que garantam a segurança dos dados.

§ 3º Caberá ao Operador de Acesso:

I - certificar a autenticidade e a conformidade dos requisitos e documentos apresentados pelo Usuário Final, conforme incisos I e II do caput deste artigo;

II - realizar a imediata suspensão ou revogação do acesso aos dados na hipótese de perda de qualquer dos requisitos previstos nos incisos I e II do caput deste artigo.

§ 4º Não será concedido acesso aos dados dos sistemas e subsistemas informatizados do DETRAN-SP à pessoa jurídica de direito privado que esteja impedida de licitar ou contratar com a Administração Pública.

§ 5º O disposto nos incisos I e II do caput deste artigo não se aplica quando o requerimento for de acesso aos dados do próprio requerente ou à informações de interesse público, nos termos do inciso IV, do art. 6º, da Lei federal nº 13.709, de 2018, e do art. 12, da Lei federal nº 12.527, de 2011.

Seção III

Da Análise e Autorização de Acesso

Art. 12. Caberá ao DETRAN-SP a análise e autorização do requerimento de acesso aos dados dos seus sistemas e subsistemas informatizados, mediante parecer técnico.

Parágrafo único. A análise do requerimento de acesso e a produção do parecer técnico poderá ser delegada para o Operador de Acesso por intermédio de instrumento jurídico específico.

Art. 13. O parecer técnico avaliará a adequação do requerimento ao disposto nesta Portaria Normativa, na Lei Federal nº 13.709, de 2018, e nas demais legislações e regulamentações pertinentes ao caso concreto, concluindo pelo:

I - deferimento total;

II - deferimento parcial;

III - indeferimento.

CAPÍTULO V

DOS MECANISMOS DE TRANSPARÊNCIA E DE GOVERNANÇA

Art. 14. Serão adotadas estratégias e ações de transparência ativa acerca do acesso aos sistemas e subsistemas informatizados do DETRAN-SP.

Art. 15. O DETRAN-SP publicará em seu endereço eletrônico, com apoio do Operador de Acesso, o inventário de dados de públicos e restritos de seus sistemas e subsistemas informatizados, visando transparência e objetividade nos requerimentos de acesso a dados por parte dos interessados.

Art. 16. O titular terá acesso gratuitamente, por meio das plataformas tecnológicas disponibilizadas pelo Operador de Acesso do DETRAN-SP, a todo o histórico de uso de seus dados.

§ 1º Incluem-se no histórico referido no caput todos os acessos a dados realizados, seja pelo fornecimento de consentimento, seja por outras hipóteses legais de tratamento que dispensem o consentimento prévio.

§ 2º O disposto no caput não se aplica aos acessos a dados realizados para desempenho de atividades de investigação, inteligência, segurança pública e segurança viária, nos termos do inciso III do art. 4º da Lei federal nº 13.709, de 2018.

Art. 17. O DETRAN-SP, por meio do seu Operador de Acesso, manterá em suas plataformas tecnológicas uma área de livre acesso ao titular e à Autoridade Nacional de Proteção de Dados (ANPD), destinada à comunicação de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.

Art. 18. A supervisão do acesso a dados compartilhados com fundamento nesta Portaria Normativa será exercida pelo DETRAN-SP, com apoio de seu Operador de Acesso, e consiste no planejamento, execução e avaliação de ações destinadas a garantir a conformidade, integridade e coibição de uso indevido.

Art. 19. A supervisão do acesso a dados será exercida em três níveis, de forma progressiva e ascendente:

I - nível um: monitoramento;

II - nível dois: auditoria remota;

III - nível três: auditoria in loco.

Parágrafo único. Em caso de denúncias de irregularidades no acesso a dados de sistemas e subsistemas informatizados do DETRAN-SP, a apuração não estará vinculada à progressão indicada no caput deste artigo.

Art. 20. O monitoramento será realizado de forma contínua pelo DETRAN-SP, com apoio de seu Operador de Acesso.

Art. 21. Para a execução da supervisão de nível dois, o Usuário Final deverá fornecer ao DETRAN-SP módulo de perfil de acesso de auditoria a todos os sistemas e aplicações que utilizem dados de seus sistemas e subsistemas informatizados.

Parágrafo único. O módulo de perfil de acesso de auditoria de que trata o caput deste artigo tem como objetivo o auxílio ao controlador no acompanhamento do uso de seus dados em conformidade com a Lei, aos regulamentos e ao disciplinado nesta Portaria Normativa.

Art. 22. A supervisão de nível três será executada nas instalações físicas do Usuário Final.

Parágrafo único. A realização de auditoria in loco será previamente agendada para a visita dos técnicos do DETRAN-SP.

CAPÍTULO VI

DO CONSENTIMENTO

Art. 23. Na hipótese de consentimento para acesso aos dados, os titulares poderão fornecê-lo, de forma livre, informada e inequívoca, por meio das plataformas tecnológicas disponibilizadas pelo Operador de Acesso do DETRAN-SP.

§ 1º A solicitação de fornecimento de consentimento ao titular deverá conter as seguintes informações mínimas:

I - nome do Usuário Final;

II - finalidade no uso dos dados;

III - dados que serão acessados; e

IV - tempo necessário para o tratamento de dados de forma a cumprir a finalidade estabelecida.

§ 2º É vedado o tratamento de dados pessoais mediante vício de consentimento.

§ 3º O Usuário Final deverá informar, de maneira clara e concisa, as consequências ao titular no caso de negativa no fornecimento do consentimento, obedecido o disposto no § 2º.

§ 4º O consentimento de que trata o caput deste artigo poderá ser revogado pelo titular a qualquer momento, ratificados os tratamento realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.

§ 5º Quando solicitado pelo DETRAN-SP, a comprovação do consentimento para acesso aos dados deverá ser apresentada no prazo máximo de 5 (cinco) dias.

CAPÍTULO VII

DA GESTÃO DO CONSENTIMENTO E DA CIÊNCIA

Art. 24. O Gerenciador de Consentimento e Ciência (GCC) dos dados controlados pelo DETRAN-SP, terá a competência de atuar como operador responsável pela gestão do consentimento fornecido pelo titular e pela ciência do uso dos dados, em hipóteses de tratamento que dispensem o consentimento do titular, contribuindo com a observância da boa-fé e dos princípios definidos no art. 6º da Lei nº 13.709, de 2018.

§ 1º O GCC, será remunerado pela prestação dos seus serviços diretamente pelo Usuário Final.

§ 2º Os titulares deverão ter acesso às soluções da GCC definidas pelo DETRAN-SP de forma gratuita e facilitada.

Art. 25. Compete ao GCC:

I - desenvolver, atualizar e manter o ambiente tecnológico necessário para a gestão do consentimento e ciência do titular;

II - desenvolver, atualizar e manter soluções de gestão do consentimento e da ciência de uso dos dados pelo titular, garantindo a interoperabilidade com plataformas governamentais e Usuário Final;

III - desenvolver, manter e divulgar a documentação técnica dos sistemas, das aplicações, dos protocolos de comunicação e de outras soluções tecnológicas destinadas à gestão do consentimento e ciência do titular;

IV - registrar e armazenar todas as informações referentes à gestão do consentimento e ciência do titular, nos prazos estabelecidos pelo DETRAN-SP;

V - garantir a segurança dos dados, monitorando, avaliando e reportando ao DETRAN-SP suspeitas de uso indevido; e

VI - auxiliar o encarregado pelo tratamento de dados pessoais no recebimento de reclamações e comunicações dos titulares.

§ 1º O GCC poderá estabelecer nos contratos com o Usuário Final, a remuneração pelos serviços de gestão do consentimento e ciência do titular, arrecadando os valores respectivos, conforme disposto nesta Portaria Normativa e regras do contrato com o DETRAN-SP.

§ 2º As atribuições do GCC não o exime de outras responsabilidades definidas em contrato e outros normativos.

§ 3º O GCC deverá observar estritamente as diretrizes e definições do DETRAN-SP, mantendo canal de comunicação direto e eficiente, e atendendo às suas solicitações de informações, na forma definida em contrato.

CAPÍTULO VIII

DAS MEDIDAS DE CONFORMIDADE

Art. 26. O Usuário Final deve adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme art. 46 da Lei federal nº 13.709, de 2018.

Art. 27. O Usuário Final estará sujeito às seguintes medidas administrativas pelo DETRAN-SP:

I - limitação no volume de acesso a dados;

II - bloqueio parcial ou total dos acessos;

III - suspensão parcial ou total dos acessos; e

IV - revogação parcial ou total de acessos.

§ 1º As medidas administrativas a que se refere o caput deste artigo não elide o Usuário Final de responder cível e penalmente pelos danos causados ao titular, nos termos do § 1º, inciso I, do art. 42, da Lei federal nº 17.709, de 2018.

§ 2º O Operador de Acesso deverá monitorar continuamente os volumes de acesso, as conexões e os riscos de não conformidade no uso dos dados, com o objetivo de apoiar o DETRAN-SP na adoção de medidas de prevenção e proteção.

§ 3º O Operador de Acesso deverá fornecer relatórios mensais detalhados ao DETRAN-SP sobre os volumes de acesso e conexões.

Art. 28. A limitação no volume de acesso a dados poderá ser aplicada pelo DETRAN-SP sempre que for detectada volumetria de acessos que enseje risco à conformidade do processo de acesso a dados.

Art. 29. O bloqueio dos acessos será aplicado:

I - na hipótese de inadimplemento no pagamento dos valores devidos ao Operador de Acesso;

II - como medida cautelar preparatória quando da instrução de processo de suspensão de acessos.

Art. 30. A suspensão dos acessos ocorrerá por abertura de processo administrativo no DETRAN-SP para apurar eventuais desconformidades ou irregularidades nos procedimentos de acesso a dados.

Art. 31. A revogação dos acessos implica na retirada unilateral, pelo DETRAN-SP, da autorização de acesso a dados concedidos, de maneira parcial ou total, e será precedida pela instauração de processo administrativo de suspensão dos acessos.

Art. 32. As denúncias de desconformidade ou irregularidades no acesso e uso dos dados controlados pelo DETRAN-SP serão tratadas pelo encarregado de dados pessoais, resguardado o sigilo da fonte.

CAPÍTULO IX

DAS DISPOSIÇÕES FINAIS

Art. 33. Esta Portaria Normativa entra em vigor em XX de janeiro de 2025.