Sou Servidor
Armazenamento seguro de documentos e mídias
Contexto:
Documentos físicos, mídias removíveis e dispositivos que contenham informações institucionais, dados administrativos ou dados pessoais devem ser protegidos contra acesso, uso ou divulgação não autorizados. O armazenamento inadequado desses materiais aumenta significativamente os riscos de incidentes de segurança da informação e de violação da LGPD.
Conduta esperada:
- Armazenar documentos físicos em gavetas, armários ou arquivos, preferencialmente com tranca, quando não estiverem em uso;
- Guardar mídias removíveis (pendrives, HDs externos, cartões de memória, CDs, DVDs) em locais seguros;
- Não deixar documentos, mídias ou dispositivos sobre a mesa de trabalho de forma desnecessária;
- Evitar deixar anotações, lembretes ou informações expostas em post-its, quadros ou divisórias;
- Nunca anotar senhas em papéis ou locais de fácil visualização.
Base legal:
- LGPD, art. 6º, VII e VIII; art. 46.
- Política de Segurança da Informação do Estado de MS.
Risco:
- Acesso indevido a informações, exposição de dados pessoais, violação de sigilo funcional e responsabilização administrativa.
Boas práticas de segurança e controle de acesso
Contexto:
A segurança da informação é um dos pilares para a proteção de dados pessoais no âmbito da Administração Pública. A LGPD exige que os órgãos implementem medidas técnicas e administrativas para proteger dados contra acessos não autorizados, perda, vazamento ou qualquer forma de tratamento inadequado. O controle de acesso, físico e lógico, é fundamental para garantir a privacidade e a integridade das informações.
Conduta esperada:
- Controle lógico (sistemas e dados):
- Conceder acesso somente a servidores que efetivamente necessitam das informações para o desempenho de suas atribuições (princípio do menor privilégio).
- Monitorar e registrar os acessos, mantendo logs auditáveis conforme prazos previstos em regulamentos.
- Bloquear a tela do computador ao se ausentar do posto de trabalho.
- Evitar o uso de nuvens pessoais ou dispositivos externos não autorizados para armazenar dados relacionados ao serviço público.
- Controle físico (instalações e documentos):
- Solicitar identificação com documento oficial de visitantes e registrar entrada e saída.
- Acompanhar visitantes em áreas restritas para evitar circulação indevida.
- Manter documentos físicos contendo dados pessoais em armários ou locais de acesso controlado.
- Boas práticas adicionais:
- Utilizar autenticação forte (como múltiplos fatores) quando disponível.
- Revisar periodicamente os perfis de acesso de servidores e revogar acessos de quem não mais necessita.
- Garantir a guarda segura de registros e logs, respeitando a Tabela de Temporalidade definida pela CADA (Comissão de Avaliação de Documentos de Arquivo).
Base legal:
- LGPD (Lei nº 13.709/2018): art. 6º, VII (segurança) e art. 46 (medidas técnicas e administrativas de proteção).
- Decreto Estadual nº 15.876/2022: Política de Arquivos Públicos, que estabelece regras para guarda, acesso e destinação de documentos.
- Resolução CD/ANPD nº 18/2024: diretrizes para programas de governança em privacidade, incluindo medidas de segurança da informação.
Risco:
- Ausência de controles de acesso pode resultar em vazamento de dados pessoais, responsabilização funcional dos servidores e sanções da ANPD.
- Incidentes de segurança comprometem a confiança institucional e podem gerar danos à imagem do órgão, além de ações administrativas e judiciais.
Campanhas de capacitação e cultura de privacidade
Contexto: A conscientização é fundamental para efetividade da LGPD.
Conduta esperada:
- Participar de treinamentos e campanhas da SEGOV/UCPDP e ESCOLAGOV;
- Replicar boas práticas nas rotinas de trabalho.
Base legal:
- LGPD (art. 50);
- Decreto nº 15.572/2020.
Risco: A falta de conhecimento gera incidentes e violações frequentes.
Canal de comunicação com a UCPDP
Contexto: A UCPDP é o núcleo central de governança em privacidade.
Conduta esperada:
- Utilizar apenas canais oficiais da UCPDP no portal do Governo de MS;
- Encaminhar dúvidas, incidentes e pedidos de orientação por esses canais.
Base legal:
- Decreto nº 16.166/2023.
Risco: Uso de canais não oficiais compromete a segurança e rastreabilidade.
Compartilhamento de dados pessoais
Contexto: Deve seguir fluxos formais e bases legais.
Conduta esperada:
- Formalizar pedidos via e-MS;
- Análise inicial pelo encarregado;
- Decisão do controlador;
- Análise da PGE e SETDIG, quando aplicável;
- Proibido uso de WhatsApp pessoal.
Base legal:
- LGPD (arts. 7º, 23 e 46);
- LAI (arts. 31 e 32);
- Código Penal (arts. 153 e 325).
Risco: Violação de sigilo e responsabilização administrativa e penal
Compartilhamento de dados por WhatsApp particular
Contexto:
O uso de aplicativos de mensagens instantâneas, como o WhatsApp, é comum na comunicação cotidiana. No entanto, quando utilizados em aparelhos ou contas pessoais de servidores para tratar de dados pessoais relacionados à Administração Pública, esses meios expõem informações a riscos de segurança, ausência de rastreabilidade e uso inadequado.
Conduta esperada:
- Não é recomendado compartilhar documentos, informações administrativas ou dados pessoais por meio de WhatsApp particular (conta pessoal de servidor).
- Para comunicações oficiais que envolvam dados pessoais, devem ser utilizados canais institucionais e autorizados, como:
- Sistema e-MS (processos eletrônicos);
- E-mails institucionais de órgãos/entidades;
- Sistemas oficiais de gestão e comunicação do Estado.
- Evite ainda o uso de grupos informais para circulação de informações que contenham dados pessoais ou sensíveis.
- Caso seja necessária comunicação urgente, restrinja-se a informações mínimas e encaminhe o processo formal pelos canais adequados.
Base legal:
- LGPD (Lei nº 13.709/2018):
- Art. 6º, VII – segurança;
- Art. 6º, X – responsabilização;
- Art. 46 – medidas técnicas e administrativas para proteção de dados pessoais.
- LAI (Lei nº 12.527/2011): art. 31 – informações pessoais têm acesso restrito.
- Código Penal (Decreto-Lei nº 2.848/1940):
- Art. 325 – violação de sigilo funcional;
- Art. 153, §1º-A – divulgação de segredo protegido por sigilo legal.
Risco:
- Compartilhar dados por WhatsApp particular gera vazamento de informações, dificulta a rastreabilidade e compromete a responsabilização em caso de incidentes.
- Pode resultar em processo administrativo disciplinar, sanções da ANPD e até responsabilização penal.
- Além disso, enfraquece a confiança institucional e coloca em risco a segurança dos dados pessoais tratados pelo Poder Executivo.
Descarte de documentos físicos
Contexto:
O descarte inadequado de documentos pode permitir a recuperação de informações institucionais ou dados pessoais, mesmo após o uso administrativo, configurando falha grave de segurança.
Conduta esperada:
- Descartar documentos contendo informações por meio de fragmentadora (picotadeira) ou método equivalente;
- Certificar-se de que o descarte impossibilita a reconstrução das informações;
- Não descartar documentos inteiros ou apenas rasgados em lixo comum;
- Observar os prazos de guarda definidos na Tabela de Temporalidade Documental.
Base legal:
- LGPD, art. 6º, VII e VIII; arts. 15 e 16; art. 46.
- Decreto Estadual nº 15.876/2022 (Política de Arquivos Públicos).
Risco:
- Vazamento de informações, descumprimento de normas arquivísticas e responsabilização administrativa.
Gestão documental e ciclo de vida dos dados
Contexto: Documentos têm prazos de guarda definidos em tabelas de temporalidade.
Conduta esperada:
- Cada órgão deve instituir CADA;
- Atualizar tabelas de temporalidade;
- Encaminhar à CCADA e ao Arquivo Público.
Base legal:
- LGPD (arts. 15 e 16);
- Decreto nº 15.876/2022.
Risco: Retenção indevida aumenta risco de vazamento e responsabilização.
Identificação do servidor nas publicações – uso da matrícula em vez do CPF
Contexto:
Nos atos administrativos e publicações oficiais, é necessário identificar servidores públicos para garantir transparência e publicidade, mas sem expor dados pessoais em excesso. O número de matrícula funcional é suficiente para essa finalidade, enquanto o CPF e o RG são dados pessoais que, se divulgados, podem ser utilizados de forma indevida em fraudes ou cadastros não autorizados.
Conduta esperada:
- Sempre que possível, utilize a matrícula funcional como identificador do servidor em publicações e atos administrativos.
- Evite a divulgação do CPF e do RG, salvo quando expressamente exigida por lei.
- Não é necessário descaracterizar a matrícula dos servidores, pois esse número apenas os identifica no exercício de suas funções públicas, não possuindo relevância para a vida privada ou intimidade.
- A matrícula deve ser tratada como dado funcional e suficiente para cumprir a finalidade de identificação no serviço público.
Base legal:
- LGPD (art. 6º, II – adequação; art. 6º, III – necessidade; art. 46 – segurança da informação).
- LAI (Lei nº 12.527/2011, art. 31 – informações pessoais).
PARECER PGE/MS/PAA/Nº 019/2024
Risco:
- A divulgação de CPF na íntegra e RG em atos oficiais pode representar risco real de uso indevido por fraudadores, como abertura de cadastros ou contratos fraudulentos.
- A utilização da matrícula, ao contrário, não representa risco potencial de fraude, pois é um dado de uso estritamente funcional.
- A má utilização de dados pessoais em atos administrativos pode resultar em sanções da ANPD, responsabilização do órgão e exposição indevida dos dados pessoais do servidor.
Inserção de informações e dados pessoais particulares de servidor em ambientes institucionais
Contexto:
Os ambientes institucionais do Poder Executivo Estadual, tais como computadores, notebooks, redes internas, pastas compartilhadas, sistemas oficiais e e-mails institucionais, existem exclusivamente para o desempenho das atribuições funcionais e para o tratamento de informações relacionadas à atividade administrativa.
A inserção voluntária de informações e dados pessoais do próprio servidor nesses ambientes, quando não vinculada a procedimento administrativo ou obrigação funcional, desvirtua a finalidade pública do ambiente institucional e cria riscos desnecessários à segurança da informação, à privacidade e à governança de dados.
Ressalta-se que o Estado não atua como repositório de dados pessoais privados de servidores, nem assume dever de guarda, confidencialidade ou proteção de informações particulares inseridas indevidamente em seus ambientes tecnológicos.
Conduta esperada:
- O servidor não deve inserir informações ou dados pessoais de caráter particular em ambientes institucionais, incluindo, entre outros:
- computadores e notebooks institucionais;
- pastas de rede, diretórios compartilhados e drives corporativos;
- sistemas e plataformas institucionais;
- e-mail institucional, quando não relacionado à atividade funcional.
- Consideram-se informações pessoais de caráter particular, entre outras:
- documentos pessoais (CPF, RG, CNH, passaporte);
- exames, laudos, receitas e informações de saúde de uso privado;
- fotografias, vídeos e arquivos pessoais;
- contratos, declarações, comprovantes ou arquivos da vida privada;
- quaisquer dados que não tenham relação direta com a atividade administrativa.
- A inserção de documentos pessoais do servidor só é admitida quando:
- houver necessidade administrativa (ex.: atestado, requerimento funcional);
- estiver vinculada a processo administrativo formal;
- ocorrer exclusivamente pelo sistema oficial, com classificação adequada de acesso.
- Fora dessas hipóteses, o uso do ambiente institucional para armazenamento ou gestão de informações pessoais é indevido.
Base legal:
- LGPD (Lei nº 13.709/2018):
- art. 6º, I – finalidade;
- art. 6º, III – necessidade;
- art. 6º, VII e VIII – segurança e prevenção;
- art. 46 – medidas técnicas e administrativas de proteção de dados pessoais.
- Política de Segurança da Informação do Estado de Mato Grosso do Sul.
Risco:
- Exposição indevida de dados pessoais do próprio servidor a outros usuários, equipes técnicas ou terceiros;
- Ausência de expectativa legítima de privacidade em ambientes institucionais;
- Incidentes de segurança da informação decorrentes de acesso, manutenção, auditoria ou substituição de equipamentos;
- Desvio da finalidade dos recursos públicos;
- Responsabilização administrativa do servidor e do órgão por uso inadequado dos ativos institucionais.
Instrução de processos
Contexto:
A instrução de processos administrativos é parte essencial da gestão documental e deve ser conduzida de forma a minimizar riscos de exposição de dados pessoais. Processos coletivos, com múltiplos titulares ou assuntos distintos, aumentam as chances de violação da LGPD, especialmente em situações de vistas ou de compartilhamento entre unidades.
Conduta esperada:
- Instruir processos de forma individualizada, sempre que possível e sem prejudicar a eficiência da Administração Pública, evitando a reunião de expedientes de diferentes titulares em um mesmo processo.
- Evite criar “processos mestre” que concentrem múltiplas demandas, pessoas ou assuntos. Essa prática aumenta riscos de exposição indevida e dificulta a gestão documental.
- Classifique corretamente processos e documentos como públicos ou sigilosos, conforme conteúdo e legislação aplicável.
- Inclua apenas documentos necessários para a finalidade administrativa, observando o princípio da necessidade.
- Em caso de dados pessoais sensíveis, adote anonimização ou tarja quando possível, para reduzir riscos de exposição.
Vistas ao processo
- Sempre que houver pedido de vistas ou acesso por terceiros, analise previamente a classificação dos documentos.
- Conceda acesso apenas ao estritamente necessário, aplicando tarjas ou anonimizando informações de terceiros que não sejam objeto do pedido.
- Prefira fornecer extratos, certidões ou cópias parciais quando o acesso integral colocar em risco dados pessoais.
- Registre a concessão da vista no e-MS, preservando rastreabilidade.
- Quando houver negativa total ou parcial, fundamente a decisão com base na LGPD e na LAI (ex.: LAI, art. 31 – informação pessoal; LAI, art. 7º, §3º – documento preparatório).
- Ao compartilhar processos entre unidades, encaminhe apenas às realmente competentes, minimizando a exposição.
Exemplos de terceiros:
- Advogados constituídos pelas partes (quando pedem cópia integral do processo);
- Cidadãos em geral, via Lei de Acesso à Informação (LAI);
- Órgãos de controle (como TCE, MP, CGE, etc), quando não forem parte do processo;
- Outros servidores ou unidades administrativas que não tenham competência direta sobre aquele processo.
Base legal:
- LGPD: art. 6º, III (necessidade); art. 6º, VII (segurança); art. 46 (medidas de segurança); art. 11 (dados sensíveis).
- LAI (Lei nº 12.527/2011): art. 31 (informações pessoais); art. 7º, §3º (documento preparatório).
Risco:
- Instrução coletiva ou vistas sem tarja podem expor dados pessoais de terceiros, configurando violação à LGPD.
- Negar ou omitir resposta sem justificativa compromete a transparência, gera reclamações na Ouvidoria, pode ensejar sanções da ANPD e responsabilidade funcional.
- A não observância do devido cuidado compromete a segurança jurídica do processo e a imagem institucional.
Não deixar visíveis informações de acesso (login e senha)
Contexto:
As credenciais de acesso, como logins, senhas, tokens e códigos de autenticação, são de uso pessoal e intransferível. Quando essas informações ficam visíveis em mesas, monitores, agendas, cadernos ou arquivos desprotegidos, aumentam significativamente o risco de acessos não autorizados aos sistemas e às informações institucionais.
Conduta esperada:
- Não anotar logins, senhas ou códigos de autenticação em papéis, post-its, agendas ou locais visíveis;
- Não manter credenciais expostas sobre a mesa, próximas ao computador ou em qualquer ambiente de fácil visualização;
- Não compartilhar logins e senhas com colegas, terceirizados ou qualquer outra pessoa;
- Utilizar senhas fortes e exclusivas para os sistemas institucionais, conforme as diretrizes da área de Tecnologia da Informação;
- Sempre bloquear a estação de trabalho ao se ausentar, mesmo que por poucos minutos;
- Armazenar credenciais somente em meios autorizados pelo órgão, quando permitido.
Base legal:
- Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018):
- art. 6º, VII (princípio da segurança);
- art. 6º, VIII (princípio da prevenção);
- art. 46 (adoção de medidas técnicas e administrativas para proteção dos dados pessoais).
- Política de Segurança da Informação do Estado de Mato Grosso do Sul.
Riscos:
- Acesso não autorizado a sistemas e informações institucionais;
- Vazamento, alteração ou exclusão indevida de dados;
- Comprometimento da confidencialidade, integridade e disponibilidade das informações;
- Responsabilização administrativa do usuário e prejuízos à segurança da informação e à proteção de dados pessoais.
Organização e cuidado com a área de trabalho
Contexto:
A desorganização da área de trabalho facilita a visualização indevida de informações por terceiros e aumenta o risco de perda, extravio ou uso inadequado de documentos e ativos de informação.
Conduta esperada:
- Manter a mesa de trabalho organizada durante todo o expediente;
- Ao final do dia, deixar a mesa livre de documentos, pastas e mídias;
- Evitar a realização de refeições sobre mesas que contenham documentos ou equipamentos;
- Manter líquidos afastados de documentos e dispositivos eletrônicos;
- Garantir que informações não fiquem visíveis a partir de corredores, janelas ou áreas comuns.
Base legal:
- LGPD, art. 6º, VII e VIII; art. 46.
- Política de Segurança da Informação do Estado de MS.
Risco:
- Exposição acidental de informações institucionais ou dados pessoais e ocorrência de incidentes evitáveis.
Privacidade desde o início (Privacy by Design )e Privacidade por padrão (Privacy by Default)
Contexto: Privacidade deve estar incorporada desde o início.
Conduta esperada:
- Privacidade desde o início: a proteção dos dados deve ser planejada desde a criação do sistema ou serviço.
- Privacidade por padrão: solicitar e usar somente os dados pessoais indispensáveis, evitando coletar informações desnecessárias.
Base legal:
- LGPD (arts. 46 e 50);
- Resolução CD/ANPD nº 18/2024.
Risco: Sanções da ANPD e perda de confiança institucional.
Proibição do uso de e-mail pessoal nas atividades de trabalho
Contexto:
O uso de e-mails pessoais (como Gmail, Hotmail, Yahoo e outros) para atividades de trabalho, envio de documentos institucionais ou troca de informações administrativas representa risco elevado à segurança da informação. Esses serviços não possuem controle institucional, não garantem rastreabilidade adequada e podem armazenar dados pessoais fora do território nacional, além de comprometer a responsabilização do controlador.
Conduta esperada:
- É proibido utilizar e-mails pessoais para qualquer atividade de trabalho, incluindo:
- envio ou recebimento de documentos;
- tramitação de informações administrativas;
- comunicação com cidadãos, fornecedores ou outros órgãos;
- compartilhamento de dados pessoais ou sensíveis.
- Toda comunicação eletrônica deve ocorrer exclusivamente por meio de contas institucionais do Poder Executivo Estadual, com domínio @ms.gov.br.
- Sempre que necessário informar um e-mail em sistemas, plataformas, cadastros ou publicações, utilizar o endereço institucional do órgão, setor ou unidade, e não o e-mail nominal de um servidor.
- O órgão deve orientar seus servidores e revisar procedimentos para garantir que as comunicações administrativas ocorram apenas por meios oficiais e auditáveis.
Base legal:
- LGPD (Lei nº 13.709/2018):
- Art. 6º, VII — segurança;
- Art. 6º, X — responsabilização e prestação de contas;
- Art. 46 — medidas de proteção de dados.
- Política de Segurança da Informação do Estado de MS.
Risco:
- Vazamento, interceptação ou perda de documentos institucionais;
- Transferência internacional irregular de dados pessoais;
- Falta de rastreabilidade e impossibilidade de comprovar ações administrativas;
- Interrupção ou perda de continuidade do serviço público (ex.: servidor sai do órgão e leva consigo o histórico de comunicação);
Sanções da ANPD e responsabilização funcional do servidor e do controlador.
Proteção de telas, dispositivos e sistemas
Contexto:
Dispositivos e sistemas acessados sem bloqueio adequado permitem que terceiros visualizem, alterem ou utilizem informações em nome do servidor, comprometendo a segurança da informação e a rastreabilidade das ações administrativas.
Conduta esperada:
- Bloquear manualmente o computador sempre que se ausentar do posto de trabalho;
- Utilizar protetor de tela automático com senha;
- Encerrar sessões de sistemas quando não estiverem em uso;
- Posicionar monitores de forma a evitar visualização por pessoas não autorizadas;
- Desligar computadores e dispositivos ao final do expediente, quando aplicável.
Base legal:
- LGPD, art. 6º, VII; art. 46.
- Política de Segurança da Informação do Estado de MS.
Risco:
- Uso indevido de credenciais, adulteração de informações, quebra de sigilo funcional e responsabilização do agente público.
Publicação de atos administrativos – Licença Nojo
Contexto: Concessão prevista no art. 171, III, b, da Lei nº 1.102/1990 e demais normativas correlatas.
Conduta esperada:
- Publicar apenas matrícula, nome, cargo e período do afastamento (orientação SAD)
- Não divulgar o grau de parentesco do falecido.
Base legal:
- LGPD (art. 6º, III – necessidade);
- LAI (art. 31 – proteção da intimidade e vida privada).
Risco: Exposição de dados desnecessários e violação da privacidade do servidor e de seus familiares.
Publicação de gestores e fiscais de contratos
Contexto:
Na Administração Pública, a designação de gestores e fiscais de contratos deve ser publicada para garantir a transparência e a fiscalização da execução contratual. Contudo, a publicação deve respeitar a LGPD e limitar-se às informações estritamente necessárias, evitando a exposição de dados pessoais excessivos.
Conduta esperada:
- Nos atos de designação de gestores e fiscais de contratos, publique somente:
- Nome completo do servidor;
- Cargo/função exercida;
- Matrícula funcional.
- Não inclua: CPF, RG, endereço, telefone, e-mail pessoal, e-mail institucional nominal ou quaisquer outros dados que não tenham pertinência com a finalidade da designação.
- Reforce junto às áreas responsáveis (jurídico, contratos e RH) a necessidade de padronizar a publicação conforme o Decreto nº 15.530/2020.
Base legal:
- Decreto Estadual nº 15.530/2020, art. 7º, V – define que nome, cargo e matrícula são dados suficientes no ato de designação.
- LGPD (Lei nº 13.709/2018):
- Art. 6º, II – adequação;
- Art. 6º, III – necessidade (tratamento limitado ao mínimo necessário).
Risco:
- A publicação de dados pessoais além do necessário configura violação à LGPDe pode expor os servidores a riscos como fraudes e uso indevido de informações.
- O descumprimento pode gerar recomendações da Agência Nacional de Proteção de Dados Pessoais (ANPD) e responsabilização funcional do órgão.
Salas de reunião
Contexto:
Salas de reunião são ambientes temporários de circulação de informações e podem concentrar documentos, anotações e registros visuais com conteúdo institucional ou dados pessoais.
Conduta esperada:
- Apagar quadros brancos e painéis ao final das reuniões;
- Recolher todos os papéis, rascunhos, atas provisórias e materiais utilizados;
- Descartar adequadamente documentos que não precisem ser arquivados;
- Não deixar documentos ou dispositivos no ambiente após o encerramento da reunião.
Base legal:
- LGPD, art. 6º, VII e VIII; art. 46.
- Política de Segurança da Informação do Estado de MS.
Risco:
- Acesso indevido a informações por terceiros, perda de documentos e incidentes de segurança da informação.
Senhas
Contexto:
As senhas constituem a primeira barreira de proteção contra acessos não autorizados a sistemas que armazenam ou processam dados pessoais. Uma senha frágil ou compartilhada pode comprometer toda a segurança de informações institucionais e pessoais, resultando em incidentes graves.
Conduta esperada:
- Pessoal e intransferível: cada senha é de uso individual e não deve ser compartilhada, nem com colegas de trabalho.
- Complexidade: crie senhas fortes, contendo letras maiúsculas, minúsculas, números e caracteres especiais.
- Troca periódica: altere senhas regularmente, especialmente em sistemas críticos.
- Não reutilização: não utilize a mesma senha em sistemas diferentes, principalmente se envolver acesso a sistemas com dados pessoais sensíveis.
- Sigilo: nunca anote senhas em locais de fácil acesso (como post-its ou cadernos deixados em mesas).
- Autenticação complementar: sempre que possível, utilize autenticação em duas etapas (MFA/2FA) para reforçar a proteção.
Base legal:
- LGPD (art. 6º, VII – segurança; art. 46 – medidas técnicas e administrativas de proteção de dados pessoais).
- Política de Segurança da Informação do Estado de MS.
Risco:
- Senhas fracas ou compartilhadas podem permitir acesso indevido a dados pessoais por terceiros não autorizados.
- Comprometimento de contas institucionais pode gerar incidentes de segurança, como vazamento de informações, fraudes ou manipulação indevida de dados.
A falha na proteção de senhas pode resultar em responsabilização administrativado servidor e do órgão, além de sanções da ANPD e perda de confiança institucional.
Sistema e-MS
Contexto:
O Sistema de Processos Eletrônicos do Estado (e-MS) é de uso obrigatório, destinado à gestão processual e documental no âmbito da Administração Pública Estadual. Seu uso adequado é essencial para resguardar dados pessoais, proteger a legalidade dos atos administrativos e garantir eficiência e rastreabilidade nos procedimentos.
Conduta esperada:
- Devolução imediata:
- Se receber processo que contenha dados pessoais e não seja de sua competência ou da unidade, devolva-o imediatamente ao remetente.
- Criação de processos:
- Crie um processo específico para cada expediente que demande providências de outro setor/órgão/entidade.
- Evite criar “processos mestre” que concentrem múltiplas demandas, pessoas ou assuntos. Essa prática aumenta os riscos de exposição indevida e dificulta a gestão documental.
- Encerramento e tramitação:
- Não deixe processos parados sem necessidade em sua caixa de entrada ou na da unidade.
- Após a conclusão das providências, finalize o processo utilizando as funções adequadas do e-MS.
- Classificação quanto ao nível de acesso (Resolução Conjunta SAD/SEGOV nº 2/2026):
- Ao iniciar um processo ou incluir um documento, o usuário deve classificá-lo como:
- Público: quando o acesso for garantido sem restrição para qualquer usuário do sistema ou à sociedade, quando solicitado.
- Sigiloso: quando o acesso for exclusivo a usuários com credenciais específicas para atuar no processo.
- Regra geral: os processos devem ser públicos, sendo a restrição aplicada apenas de forma excepcional, conforme legislação.
- O detentor do processo é responsável por definir ou redefinir o grau de sigilo sempre que houver alteração da situação de fato ou de direito que justifique a restrição.
- Ao iniciar um processo ou incluir um documento, o usuário deve classificá-lo como:
- Hipóteses de restrição de acesso (art. 54 da Resolução Conjunta SAD/SEGOV nº 02/2026):
O acesso deve ser restrito quando o processo ou documento envolver, entre outros:- I – direito autoral;
- II – dados pessoais;
- III – dados pessoais sensíveis;
- IV – livros e registros contábeis empresariais;
- V – propriedade intelectual de software;
- VI – restrição de acesso a documento preparatório;
- VII – segredo de justiça em processo judicial;
- VIII – segredo industrial;
- IX – sigilo: a) comercial e empresarial; b) bancário; c) fiscal; d) de inquérito policial; e) de acordo de leniência; f) de procedimento administrativo de responsabilização; g) de procedimento administrativo para apuração de infrações e aplicação de sanções administrativas; h) de procedimento disciplinar;
- X – outras hipóteses legais de sigilo.
Envio de processos:
- Minimize a exposição dos dados pessoais: envie processos apenas para as unidades competentes para dar seguimento à atividade.
- Evite o envio a múltiplas unidades quando não houver certeza sobre a competência.
- Incidentes e dúvidas:
- Caso receba processo classificado como sigiloso que não seja de sua alçada, registre um incidente no e-MS junto à SETDIG.
- Os canais oficiais estão disponíveis em: www.setdig.ms.gov.br.
Base legal:
- LGPD (arts. 6º, III, VII e VIII – necessidade, segurança e prevenção; art. 46 – medidas de segurança).
- LAI (Lei nº 12.527/2011: art. 31 – informações pessoais; art. 7º, §3º – documentos preparatórios).
- Resolução Conjunta SAD/SEGOV nº 1/2023 (Capítulo VIII – Da Restrição de Acesso).
Risco:
- Exposição indevida de dados pessoais, com violação da privacidade dos titulares;
- Quebra de sigilo funcional, sujeitando o agente público a responsabilização administrativa e até penal;
- Invalidação de atos administrativos por falhas na gestão documental;
- Sanções da ANPD em razão da não observância da LGPD.
Tratamento e Restrições de Acesso a Dados Pessoais Sensíveis
Contexto:
Dados pessoais sensíveis são informações que, por sua natureza, podem gerar riscos significativos aos direitos fundamentais, à privacidade e à integridade do titular. Incluem origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados referentes à saúde ou vida sexual, dados genéticos ou biométricos.
A LGPD exige tratamento rigoroso e excepcional para esse tipo de dado. No âmbito da Administração Pública Estadual, todo acesso deve ser estritamente controlado, limitado às pessoas cuja atuação funcional justifique a necessidade, e sempre compatível com a finalidade administrativa prevista em lei ou regulamento.
A exposição, o compartilhamento informal ou o acesso indevido a dados sensíveis pode causar discriminação, estigmatização, danos à imagem e violações graves aos direitos fundamentais do titular.
Conduta esperada:
- Restrição de acesso: somente servidores cuja atividade funcional exija o uso desses dados podem acessá-los. O acesso deve seguir o princípio do menor privilégio.
- Não divulgação a terceiros: é vedado compartilhar dados pessoais sensíveis com pessoas não autorizadas, incluindo:
- outros servidores sem necessidade funcional;
- terceiros contratados sem previsão contratual;
- cidadãos;
- imprensa;
- uso informal em grupos de WhatsApp, e-mail pessoal ou sistemas não oficiais.
- Ambiente seguro: dados sensíveis devem ser armazenados exclusivamente em sistemas autorizados e protegidos, evitando-se pastas compartilhadas de acesso amplo, nuvens pessoais ou ferramentas não homologadas.
- Envio formal: qualquer compartilhamento deve ocorrer apenas:
- via processo no e-MS com acesso restrito;
- mediante base legal e justificativa documentada;
- com avaliação prévia do encarregado setorial, quando necessário.
- Anonimização e tarja: sempre que possível, utilizar anonimização, tarja ou extratos para reduzir a circulação desnecessária de informações sensíveis.
- Treinamento e sigilo: servidores que lidam com dados sensíveis devem observar dever de sigilo funcional, mantendo confidencialidade e adotando medidas de proteção reforçadas.
- Cuidado na divulgação em publicações oficiais: Atos administrativos e publicações oficiais devem conter apenas as informações estritamente necessárias para o cumprimento da finalidade de publicidade administrativa. Dados pessoais sensíveis não podem ser divulgados em Diário Oficial, portais institucionais, relatórios públicos, editais ou qualquer meio de divulgação oficial, salvo quando houver exigência expressa e específica em lei que determine essa publicidade.
Base legal:
- LGPD (Lei nº 13.709/2018):
- Art. 5º, II — definição de dado pessoal sensível;
- Art. 6º — princípios da necessidade, segurança e prevenção;
- Art. 11 — regras específicas para tratamento de dados pessoais sensíveis;
- Art. 23 — regras do setor público;
- Art. 46 — medidas de segurança da informação.
- LAI (Lei nº 12.527/2011):
- Art. 31 — informações pessoais têm acesso restrito.
- Código Penal (arts. 153 e 325) — sigilo funcional e divulgação de informação sigilosa.
- Política de Segurança da Informação do Estado de MS.
Risco:
- Exposição indevida pode gerar discriminação, constrangimento e danos morais ao titular.
- Violação grave da LGPD com possibilidade de:
- sanções da ANPD;
- responsabilização administrativa, civil e penal do agente público;
- nulidade de atos administrativos e irregularidades em processos.
- Perda de confiança do cidadão na Administração Pública.
Riscos amplificados quando dados sensíveis são manipulados em sistemas inadequados, armazenados em pastas compartilhadas ou divulgados por canais informais.
Uso de ChatGPT e outras ferramentas de Inteligência Artificial (IA)
Contexto:
Ferramentas de Inteligência Artificial Generativa (como ChatGPT, Gemini, Copilot, Bard e outras) estão cada vez mais presentes no dia a dia. Contudo, quando usadas em sua forma aberta ou gratuita, essas plataformas não oferecem garantias contratuais de sigiloe podem armazenar, reutilizar ou compartilhar informações inseridas pelos usuários. Por isso, a utilização inadequada para tratar dados pessoais representa um risco elevado de violação da LGPD.
Conduta esperada:
- Nunca insira dados pessoais, identificáveis ou sensíveis em interações com ferramentas de IA abertas, incluindo e não se limitando a estes:
- Nome, CPF, RG, endereço, telefone ou e-mail;
- Dados de saúde, origem racial, convicções religiosas, filiações políticas ou sindicais;
- Informações de servidores públicos ou de cidadãos vinculadas a processos administrativos.
- Utilize apenas informações genéricas ou anonimizadas, quando a ferramenta for empregada para apoio em tarefas internas (ex.: rascunhos de textos ou simulações).
- Caso um órgão ou entidade venha a contratar oficialmente uma solução de IA, o controlador (órgão contratante) será integralmente responsável pelo tratamento de dados pessoais realizado, devendo observar:
- A base legal aplicável;
- As garantias de segurança e confidencialidade contratualmente previstas;
- O repositório onde os dados pessoais serão armazenados, especialmente no caso de servidores internacionais.
- O uso dessas ferramentas deve ser sempre compatível com as normas de segurança da informação do Estado e com a LGPD.
Fundamentos legais e normativos:
- LGPD (Lei nº 13.709/2018):
- Art. 6º – princípios da segurança, necessidade e prevenção;
- Art. 11 – regras específicas para tratamento de dados sensíveis;
- Art. 33 – hipóteses de transferência internacional de dados pessoais;
- Art. 46 – medidas de segurança da informação.
- Política de Segurança da Informação do Estado de MS.
Risco:
- Inserção de dados pessoais em ferramentas abertas pode resultar em armazenamento indevido e reutilização pela plataforma, configurando violação da LGPD.
- Possibilidade de transferência internacional irregular de dados, sem garantias de proteção.
- Exposição de dados sensíveis de cidadãos ou servidores, com potencial para sanções da ANPD, responsabilização do controlador e danos à imagem da Administração Pública.
- Uso sem regulamentação pode comprometer a confiança institucional e gerar passivos administrativos ou judiciais.
Uso de e-mails institucionais
Contexto:
O uso de e-mails pessoais de servidores, os chamados e-mails institucionais nominais (endereços eletrônicos vinculados ao nome do servidor), não é recomendado como forma de contato oficial em plataformas, sistemas ou cadastros do Poder Executivo Estadual. Isso porque o atendimento ao cidadão é uma responsabilidade da instituição, e não do indivíduo (servidor).
Conduta esperada:
- Sempre que houver necessidade de disponibilizar endereço eletrônico em plataformas, sistemas ou cadastros, utilize o e-mail institucional do órgão, entidade ou setor (por exemplo: setor@orgao.ms.gov.br).
- Não utilize e-mails pessoais de servidores (e-mails institucionais nominais) (ex.: joao.silva@orgao.ms.gov.br).
- Essa prática garante que o atendimento seja institucionalizado, assegurando a continuidade do serviço mesmo em situações de vacância, licença, cessão ou desligamento de servidores.
- O uso do e-mail institucional do órgão/setor previne interrupções e assegura maior rastreabilidade, eficiência e transparência na comunicação com o cidadão.
Base legal:
- LGPD (art. 6º, X – responsabilização e prestação de contas; art. 46 – segurança da informação).
- Política de Segurança da Informação do Estado de MS.
Risco:
- Gera risco de descontinuidade no atendimento ao cidadão, transferência indevida de responsabilidade para o servidor individual e exposição desnecessária de dados pessoais.
Uso de ferramentas gratuitas do Google
Contexto:
O uso de ferramentas do Google em sua forma gratuita (como Google Forms, Google Docs, Google Sheets, Google Drive, entre outras) não é recomendado para o tratamento de dados pessoais no âmbito do Poder Executivo Estadual. Isso porque tais ferramentas não são homologadas institucionalmente, não oferecem garantias contratuais adequadas e podem expor informações sensíveis a riscos de armazenamento em servidores localizados em outros países.
Conduta esperada:
- Não utilize ferramentas gratuitas do Google para coleta, armazenamento, compartilhamento ou tratamento de dados pessoais.
- Utilize apenas ferramentas oficiais e homologadas pelo Poder Executivo Estadual, em conformidade com a Política de Segurança da Informação do Estado.
- Em caso de contratação individual de ferramentas do Google por órgãos ou entidades, o controlador(órgão/entidade contratante) será o total responsável pelo tratamento dos dados pessoais, devendo observar rigorosamente:
- a base legal utilizada;
- a política de privacidade da ferramenta;
- e o repositório onde os dados pessoais ficarão armazenados.
- Lembre-se de que o armazenamento em território internacional caracteriza transferência internacional de dados pessoais, situação que só é admitida pela LGPD em hipóteses específicas (art. 33).
Fundamentos legais e normativos:
- LGPD (Lei nº 13.709/2018):
- Art. 6º – princípios da segurança, necessidade e prevenção;
- Art. 33 – hipóteses para transferência internacional de dados pessoais.
- Política de Segurança da Informação do Estado de MS, item 6.12 – que veda o uso de serviços de hospedagem gratuita e não autorizados.
Risco:
- Possibilidade de transferência internacional irregular de dados pessoais, sem garantias adequadas de proteção.
- Armazenamento de informações em repositórios de localização desconhecida, dificultando a rastreabilidade e a responsabilização em caso de incidentes.
- Ausência de contrato específico com o Estado, impedindo a responsabilização da plataforma em caso de vazamento de dados pessoais.
- Exposição indevida de dados pessoais, passível de gerar sanções pela ANPD, responsabilização funcional do controlador e prejuízos à confiança da sociedade na Administração Pública.
Uso de Impressoras, Scanners, Copiadoras e da Pasta de Rede SCANNER
Contexto:
Impressoras, scanners e copiadoras são equipamentos de uso compartilhado e podem representar pontos de exposição de informações quando documentos impressos ou digitalizados permanecem disponíveis após sua utilização. Da mesma forma, a pasta de rede SCANNER, utilizada para armazenar temporariamente arquivos digitalizados, pode conter documentos com dados pessoais e até dados pessoais sensíveis. A permanência desses arquivos em ambiente compartilhado aumenta o risco de acesso por pessoas não autorizadas, contrariando os princípios da necessidade, segurança e prevenção previstos na Lei Geral de Proteção de Dados Pessoais (LGPD).
Conduta esperada:
- Imprimir documentos apenas quando estritamente necessário;
- Priorizar a leitura e o compartilhamento de documentos em meio digital, sempre que possível;
- Retirar imediatamente documentos impressos ou digitalizados dos equipamentos;
- Não deixar documentos esquecidos nas bandejas de saída de impressoras, scanners ou copiadoras;
- Após digitalizar um documento, salvá-lo imediatamente em seu computador ou em pasta institucional adequada ao fluxo de trabalho;
- Excluir o arquivo da pasta de rede SCANNER logo após o salvamento, evitando seu armazenamento desnecessário;
- Não utilizar a pasta SCANNER como local de guarda, arquivo temporário prolongado ou compartilhamento de documentos;
- Ao final do expediente, bloquear ou desligar os equipamentos, quando aplicável;
- Recomendar à área responsável a exclusão periódica dos arquivos existentes na pasta SCANNER e a adoção de controles adicionais, como restrição de acesso e rotinas automáticas de limpeza, quando necessário.
Base legal:
- Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018):
- art. 6º, III (necessidade);
- art. 6º, VII (segurança);
- art. 6º, VIII (prevenção);
- art. 46 (adoção de medidas técnicas e administrativas para proteção dos dados pessoais).
- Política de Segurança da Informação do Estado de Mato Grosso do Sul.
Riscos:
- Visualização indevida de documentos por pessoas não autorizadas;
- Exposição ou vazamento de dados pessoais e dados pessoais sensíveis;
- Violação dos princípios da LGPD e da Política de Segurança da Informação;
- Incidentes de segurança, responsabilização administrativa e aplicação de sanções;
- Comprometimento da imagem institucional e da confiança dos cidadãos nos serviços públicos.
Introdução à LGPD – Lei Geral de Proteção de Dados Pessoais – Turma 02/2026
Portal de Cursos EscolaGov
Eventos do programa
Fique por dentro dos eventos mais recentes e futuros do Programa Sou Servidor! Aqui você encontrará informações sobre workshops, seminários, palestras e encontros de networking voltados para a inovação e o empreendedorismo.
Nenhum evento encontrado.