Definidas regras para compartilhar dados do Sistema Nacional de Informações de Registro Civil (SIRC)

COMITÊ GESTOR DO SISTEMA NACIONAL DE REGISTRO CIVIL

RESOLUÇÃO Nº 4, DE 28 DE MAIO DE 2019

Dispõe sobre o compartilhamento de dados do Sistema Nacional de Informações de Registro Civil – Sirc.

O COMITÊ GESTOR DO SISTEMA NACIONAL DE REGISTRO CIVIL – CGSirc, no uso das atribuições previstas no art. 3º do Decreto nº 8.270, de 26 de junho de 2014, e no art. 2º, incisos I, II e XII do Regimento Interno, , resolve:

Art. 1º Aprovar, na forma do Anexo, o Procedimento para Compartilhamento de Dados do Sistema Nacional de Informações de Registro Civil, previsto no art. 7º do Decreto nº 8.270, de 26 de junho de 2014.

Art. 2º Fica revogada a Resolução nº 3, de 4 de julho de 2016.

Art. 3º Esta Resolução entra em vigor:

I – quanto aos artigos 6º e 12 do Anexo, na data estipulada pelo inciso II do art. 65 da Lei nº 13.709, de 14 de agosto de 2018; e

II – quanto aos demais artigos, na data de sua publicação.

SÉRGIO PAULO DA SILVEIRA NASCIMENTO

Coordenador

ANEXO

PROCEDIMENTO PARA COMPARTILHAMENTO DE DADOS DO SISTEMA NACIONAL DE INFORMAÇÕES DE REGISTRO CIVIL – SIRC

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 1º Fica estabelecido o procedimento para compartilhamento de dados do Sistema Nacional de Informações de Registro Civil – Sirc, a pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), conforme art. 7º do Decreto nº 8.270, de 26 de junho de 2014.

§ 1º É vedado o compartilhamento de dados do Sirc com entidades privadas, mesmo que por batimentos de informações, excetuando-se a hipótese prevista no art. 7º, § 7º, do Decreto nº 8.270, de 2014.

§ 2º Para os fins desta Resolução, considera-se:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

III – base de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

IV – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

V – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VI – agentes de tratamento: o controlador e o operador;

VII – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

VIII – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

IX – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos;

X – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

XI – empresa de tecnologia: empresa contratada para desenvolvimento e manutenção do Sirc pelo Instituto Nacional de Seguro Social – INSS.

Art. 2º Fica autorizado o Instituto Nacional de Seguro Social – INSS a compartilhar os dados oriundos do Sistema Nacional de Informações de Registro Civil – Sirc com órgãos e entidades públicas da União, Estados, do Distrito Federal e dos Municípios que os solicitarem, e a manter e celebrar Acordos de Cooperação Técnica, observado o disposto na legislação aplicável e nos artigos 2º, incisos IV, V e VI e 6º, inciso I, do Regimento Interno do CGSirc (Portaria Conjunta nº 253, de 15 de junho de 2015).

CAPÍTULO II

DAS FINALIDADES

Art. 3º O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais da legislação aplicável.

CAPÍTULO III

DO COMPARTILHAMENTO DOS DADOS

Seção I

Do Fluxo

Art. 4º O órgão que necessite ter acesso aos dados do Sirc deverá enviar solicitação por ofício ao INSS, acompanhado dos Anexos I (Formulário para Solicitação de Dados) e II (Termo de Compromisso de Manutenção de Sigilo) dessa Resolução devidamente preenchidos e assinados.

§ 1º Após o recebimento da documentação referida no caput deste Artigo, o INSS formalizará processo administrativo e se manifestará a respeito da completude dos documentos apresentados.

§ 2º O INSS se manifestará pelo deferimento ou indeferimento, emitirá sua resposta e nos casos em que houver deferimento encaminhará ao órgão solicitante o Termo de Autorização de Acesso ao Sirc (Anexo III).

§ 3º Após o recebimento do Termo de Autorização de Acesso ao Sirc, o órgão solicitante deverá celebrar contrato ou outro instrumento com a empresa de tecnologia para remunerar os serviços, caso existam.

§ 4º Órgãos ou entidades de pesquisa que necessitem acesso aos dados do Sirc deverão enviar projeto de estudo ou pesquisa que justifique a disponibilização por meio de extração específica, respeitando a anonimização dos dados, às expensas do solicitante, acompanhado dos Anexos I (Formulário para Solicitação de Dados) e II (Termo de Compromisso de Manutenção de Sigilo) dessa Resolução devidamente preenchidos e assinados.

§ 5º As solicitações que tenham finalidade diversa da prevista no art. 3º serão encaminhadas para deliberação do Comitê Gestor, na forma prevista no seu Regimento.

§ 6º O órgão interessado em solicitar o acesso aos dados do Sirc disponíveis em plataformas de interoperabilidade do Governo Federal submetem-se às regras próprias destas plataformas e estão dispensados do envio de solicitação de permissão de acesso ao INSS.

Art. 5º A disponibilização dos dados contidos no Sirc a órgãos e entidades integrantes do Comitê Gestor independerá de autorização, devendo o órgão solicitante enviar ao INSS tão somente o Termo de Compromisso de Manutenção de Sigilo devidamente assinado pelos operadores que realizarão o tratamento de dados, nos termos do art. 7º, § 1º, do Decreto nº 8.270, de 2014.

Seção II

Do Formato

Art. 6º Os dados serão mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos e à descentralização da atividade pública, nos termos do art. 25, da Lei nº 13.709, de 14 de agosto de 2018.

Art. 7º Os dados serão compartilhados com os órgãos membros do Comitê Gestor por meio de:

I – extração de dados: arquivo único contendo as informações dos registros da base de dados; e

II – download de atualização: arquivos incrementais, disponibilizados mensalmente, para atualização periódica da base e acessados a partir de interface segura e com controle de acesso.

Parágrafo único. O INSS custeará um único serviço de extração de dados para os membros do Comitê Gestor, em data a ser comunicada em reunião ordinária do CGSirc, através do orçamento específico constante do art. 9º do Decreto nº 8.270, de 2014.

Art. 8º O INSS e o Conselho Nacional de Justiça, por meio de suas Corregedorias Estaduais, terão acesso direto aos dados do Sirc com intuito de auxiliar na fiscalização das serventias e assegurar o envio dos dados.

Art. 9º Os dados do Sirc poderão ser compartilhados com os órgãos e entidades públicas da União, Estados, do Distrito Federal e dos Municípios, por meio de:

I – API/WEB Services (Interface de Programação de Aplicativos): integração direta entre sistemas de informação a partir de chamadas diretas ao banco de dados, através de barramento de serviços, que permite o compartilhamento ordenado de dados em modelo de serviço pela internet, por meio de canais seguros e criptografados;

II – batimento de dados: batimento, previamente definido, entre os dados contidos no Sirc e as informações derivadas de outra(s) base(s) de dados, com a finalidade de qualificar, certificar ou complementar as informações contidas nos cadastros;

III – extração de dados: arquivo único contendo as informações dos registros da base de dados; ou

IV – download de atualização: arquivos incrementais, disponibilizados mensalmente, para atualização periódica da base e acessados a partir de interface segura e com controle de acesso.

Art. 10. O INSS informará a empresa de tecnologia sobre a autorização de acesso e a forma de sua operacionalização.

CAPÍTULO IV

DA SEGURANÇA E RESTRIÇÕES DE ACESSO

Art. 11. O órgão solicitante ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação dos dados pessoais, mesmo após o término da operação, nos termos da Lei nº 13.709, de 2018.

§ 1º O tratamento dos dados deverá atender às finalidades específicas de execução das políticas públicas e atribuição legal do órgão solicitante, conforme disposto no art. 3º.

§ 2º O tratamento dos dados poderá ser realizado para efeitos de estudos por órgãos de pesquisa, sendo vedada a identificação das pessoas a que os dados se referirem, conforme disposto no § 7º do art. 7º do Decreto nº 8.270, de 2014.

§ 3º O acesso aos dados poderá ser concedido somente aos agentes públicos do respectivo órgão, mediante assinatura do Termo de Compromisso e Manutenção do Sigilo – TCMS (Anexo II), que deverá ser encaminhado ao INSS, conforme art. 4º.

§ 4º O órgão solicitante deverá requerer imediatamente ao INSS a substituição do agente público citado no parágrafo anterior, nos casos de desligamento ou afastamento das atividades de tratamento dos dados objeto desta Resolução.

Art. 12. O INSS, por meio da empresa de tecnologia deverá:

I – manter o registro das operações de tratamento de dados do Sirc;

II – adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; e

III – assegurar que os sistemas utilizados para o tratamento de dados pessoais sejam estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nas normas regulamentares.

Parágrafo único. O INSS deverá implementar, por meio da empresa de tecnologia, os ambientes destinados a execução do compartilhamento de dados observando os seguintes procedimentos operacionais:

I – acesso controlado aos ambientes de download de dados, com uso de credenciais de segurança fortes e mecanismos de rastreabilidade de acessos e eventos;

II – mecanismos de comunicação via protocolo seguro e criptografado de dados (HTTPS) com uso de certificado digital ICP-Brasil, emitido em nome do órgão solicitante dos dados do Sirc;

III – estabelecer procedimentos de filtragem de endereços IP atribuídos aos órgãos receptores dos dados; e

IV – controle de eventos nas camadas de interoperabilidade entre sistemas (API/Web Services) permitindo controle de bilhetagem de uso e auditoria nas informações solicitadas pelos sistemas parceiros.

Art. 13. Os órgãos solicitantes devem observar e implementar os seguintes requisitos mínimos de segurança nos sistemas receptores dos dados e informações oriundos do Sirc:

I – manter o registro das operações de tratamento de dados do Sirc;

II – adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; e

III – assegurar que os sistemas utilizados para o tratamento de dados pessoais sejam estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nas normas regulamentares.

Parágrafo único. Os órgãos solicitantes deverão implementar os ambientes destinados a execução do tratamento de dados observando os seguintes procedimentos operacionais:

I – acesso identificado por meio de credenciais de segurança compostas de no mínimo usuário e senha pessoal, fornecidas pelo órgão solicitante;

II – uso de protocolos criptografados para tráfego e armazenamento de dados;

III – registro de todos os eventos de logs que envolvam os dados objetos do convênio ou autorização, permitindo identificar individualmente a operação efetuada, o usuário, estação de trabalho e data/hora das transações realizadas, devendo ser armazenados registros por até cinco anos;

IV – adoção dos meios necessários para promover criptografia dos backups operacionais;

V – estabelecimento de perfis de acesso com definição de atribuições e responsabilidades dos usuários neles habilitados; e

VI – acesso regulamentado mediante processos formais para a solicitação de acesso aos perfis dos sistemas, permitindo verificar, inclusive, os autorizadores que concederam as permissões ao usuário.

Art. 14. A autorização de compartilhamento de dados será revogada quando:

I – houver alteração normativa ou de interpretação a afastar o motivo invocado para a sua concessão;

II – forem descumpridas as regras de utilização dos dados; ou

III – o órgão solicitante formalizar interesse em revogar a autorização.

Parágrafo único. A revogação da autorização não exime os agentes de tratamento dos dados das sanções administrativas aplicáveis em razão de infrações às normas previstas na legislação.

Art. 15. Os convênios, acordos de cooperação técnica e termos de execução descentralizada, celebrados pelo Instituto Nacional de Seguro Social – INSS, anteriores a presente resolução, que tratam da utilização dos dados de óbito, terão até 12 (doze) meses, a contar da data de publicação desta Resolução do Comitê Gestor do Sirc, para se adequarem à forma de compartilhamento de dados prevista nesta norma.

Art. 16. O INSS, por meio da empresa de tecnologia, fica autorizado a implementar os mecanismos tecnológicos necessários para viabilizar a operacionalização do compartilhamento de dados e verificar o cumprimento dos requisitos mínimos de segurança de que trata o art. 13 junto aos sistemas dos órgãos solicitantes.

CAPÍTULO V

DAS DISPOSIÇÕES FINAIS

Art. 17. A assinatura do Termo de Autorização de Acesso ao Sirc (Anexo III) não acarretará transferência de recursos financeiros entre os partícipes.

Art. 18. A vigência das autorizações de que trata esta Resolução será, em regra, por prazo indeterminado.

Obs.: Os Anexos I (Formulário para Solicitação de Dados), II (Termo de Compromisso de Manutenção de Sigilo) e III (Termo de Autorização de Acesso ao Sirc) estão disponíveis para download no sítio do SIRC: http://www.sirc.gov.br.