Capa do Ebook gratuito Preparatório para Analista de TI do DETRAN

Preparatório para Analista de TI do DETRAN

Novo curso

15 páginas
Todos os cursos > Concursos > Detran ::

Legislação aplicada à TI no setor público para atuação no DETRAN

Capítulo 13

Tempo estimado de leitura: 12 minutos

+ Exercício

Por que legislação aplicada à TI importa no DETRAN

No DETRAN, sistemas tratam dados pessoais em grande escala (identificação civil, CNH, infrações, veículos, endereços, contatos, biometria em alguns fluxos, imagens, logs). A conformidade legal não é “documento”: ela precisa virar requisitos técnicos verificáveis (controles, registros, prazos, evidências) para reduzir risco jurídico, evitar vazamentos e garantir direitos do cidadão.

LGPD aplicada a sistemas públicos do DETRAN

Conceitos essenciais (o que você precisa saber para implementar)

Dados pessoais são informações relacionadas a pessoa natural identificada ou identificável (ex.: CPF, placa vinculada a proprietário, endereço). Dados pessoais sensíveis incluem biometria, origem racial, saúde etc. Tratamento é qualquer operação (coletar, armazenar, consultar, compartilhar, eliminar). Agentes: controlador (órgão), operador (terceiro/fornecedor), encarregado (DPO).

Bases legais mais comuns no setor público (foco prático)

  • Cumprimento de obrigação legal/regulatória: ex.: manter registros exigidos por normas de trânsito e administrativas.
  • Execução de políticas públicas: tratamento necessário para executar competências legais do DETRAN (serviços ao cidadão, fiscalização, habilitação, registro de veículos).
  • Exercício regular de direitos: uso de dados para defesa em processos administrativos/judiciais (ex.: recurso de multa).
  • Consentimento: em geral, deve ser evitado como base principal no setor público quando houver base legal mais adequada; pode aparecer em funcionalidades opcionais (ex.: comunicações não obrigatórias), desde que seja livre e revogável.

Tradução em requisito técnico: para cada funcionalidade que usa dados pessoais, o sistema deve registrar a finalidade e a base legal associadas ao fluxo (metadado de conformidade), permitindo auditoria e revisão.

Princípios da LGPD virando requisitos de sistema

  • Finalidade e adequação: coletar apenas o necessário para o serviço. Requisito: validação de campos obrigatórios vs. opcionais; bloqueio de coleta “por padrão” sem justificativa.
  • Necessidade (minimização): reduzir dados e tempo de retenção. Requisito: política de retenção por categoria de dado e expurgo automatizado.
  • Transparência: informar claramente o uso. Requisito: telas/avisos de privacidade por serviço e registro de versão do aviso aceito quando aplicável.
  • Segurança e prevenção: proteger contra acesso indevido. Requisito: controle de acesso por perfil, segregação de funções, criptografia, logs.
  • Qualidade dos dados: dados corretos e atualizados. Requisito: trilha de alteração (quem alterou, quando, o quê) e validações de consistência.
  • Responsabilização e prestação de contas: evidências. Requisito: relatórios de auditoria, exportação de logs, evidências de expurgo e de atendimento a solicitações do titular.

Direitos do titular: como implementar no sistema

Mesmo no setor público, direitos do titular devem ser atendidos, respeitando limites legais (ex.: sigilo, segurança pública, obrigação legal de retenção).

  • Confirmação e acesso: fornecer ao cidadão visão dos dados tratados. Requisito: endpoint/relatório “meus dados” com autenticação forte e escopo limitado.
  • Correção: permitir retificação quando cabível. Requisito: fluxo de solicitação com anexos, validação e trilha de auditoria.
  • Anonimização, bloqueio ou eliminação: quando aplicável e permitido. Requisito: rotinas de anonimização/pseudonimização e expurgo condicionado a regras (ex.: não eliminar dados necessários para obrigação legal).
  • Informação sobre compartilhamento: listar órgãos/entidades com quem houve compartilhamento. Requisito: registro de “data sharing events” (quem recebeu, base legal, finalidade, data/hora, identificador do pacote).
  • Revisão de decisões automatizadas (quando houver): explicar critérios e permitir contestação. Requisito: armazenar justificativas/variáveis relevantes e trilha de decisão.

Encarregado (DPO) e governança operacional

O encarregado atua como canal com titulares e ANPD e orienta conformidade. Para TI, isso vira integração de processos: fila de demandas LGPD, SLAs, evidências e relatórios.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo
  • Requisito: módulo/rotina para registrar solicitações do titular (protocolo, status, prazos, evidências).
  • Requisito: catálogo de sistemas e bases com responsável técnico e responsável de negócio.

Relatório de Impacto à Proteção de Dados (RIPD/DPIA): quando e como estruturar

O RIPD documenta riscos e medidas. É especialmente relevante em tratamentos de alto risco (grande volume, dados sensíveis, monitoramento, integrações amplas).

Passo a passo prático (roteiro enxuto):

  • 1) Escopo: qual serviço/processo (ex.: emissão de CNH digital, agendamento biométrico).
  • 2) Mapeamento de dados: quais dados, origem, destino, integrações, armazenamento, retenção.
  • 3) Finalidades e bases legais: por etapa do fluxo.
  • 4) Avaliação de necessidade: o que pode ser removido, reduzido ou agregado.
  • 5) Ameaças e riscos: acesso indevido, vazamento, uso secundário, erro de vinculação, exposição por logs.
  • 6) Medidas e controles: acesso mínimo, criptografia, segregação, auditoria, anonimização, testes, monitoramento.
  • 7) Plano de ação: responsáveis, prazos, evidências de implementação.

Marco Civil da Internet (MCI) no contexto de serviços digitais do DETRAN

Diretrizes gerais: impacto direto em sistemas e operação

  • Proteção da privacidade e dos dados pessoais: reforça necessidade de controles e transparência.
  • Responsabilização conforme atividades: delimitar papéis (órgão, fornecedor, provedor).
  • Guarda e fornecimento de registros: exige capacidade de armazenar e fornecer registros sob requisitos legais.

Registros (logs): o que guardar e como guardar

O MCI trata de registros de conexão e registros de acesso a aplicações. Em serviços do DETRAN, o mais comum é a necessidade de registros de acesso a aplicações (quem acessou o portal/app, quando, a partir de qual contexto técnico), respeitando minimização e segurança.

Tradução em requisitos técnicos:

  • Padronização de logs: formato consistente (timestamp, usuário/identidade, ação, recurso, resultado, IP, user-agent quando aplicável).
  • Integridade: logs com proteção contra alteração (WORM, hash encadeado, assinatura, trilha imutável).
  • Controle de acesso: logs acessíveis apenas a perfis autorizados; segregação entre operação e auditoria.
  • Retenção: política formal com prazos por tipo de registro, alinhada a obrigações legais e necessidade de investigação.
  • Disponibilidade para requisições legais: capacidade de exportar evidências com cadeia de custódia (quem extraiu, quando, como).

Atenção: guardar logs não autoriza uso indiscriminado. Deve haver finalidade e base legal, e o conteúdo do log deve ser minimizado (evitar registrar dados sensíveis em texto puro).

Lei de Acesso à Informação (LAI): transparência e sigilo em sistemas do DETRAN

Transparência ativa e passiva: o que TI precisa viabilizar

  • Ativa: publicação proativa de informações (estatísticas, despesas, indicadores, serviços). Requisito: extrações e painéis com dados agregados e anonimização quando necessário.
  • Passiva: atendimento a pedidos. Requisito: rastreabilidade do atendimento (protocolo, prazos, responsável, resposta, justificativas de negativa/parcialidade).

Sigilo e proteção de dados: como evitar conflito LGPD x LAI

LAI prevê hipóteses de restrição (informações pessoais, sigilos legalmente protegidos, segurança do Estado e da sociedade). Na prática, o sistema deve permitir classificação e tratamento diferenciado.

Tradução em requisitos técnicos:

  • Classificação da informação: campos/metadados indicando nível (pública, restrita, pessoal, sigilosa) e fundamento.
  • Redação (tarja): capacidade de gerar relatórios/documentos com mascaramento de dados pessoais (ex.: ocultar CPF, endereço).
  • Controle de acesso por necessidade: perfis para servidores que tratam pedidos LAI vs. áreas finalísticas.
  • Auditoria: registrar quem consultou dados pessoais para responder pedido e qual justificativa.

Requisitos de segurança e tratamento de dados em sistemas públicos

Checklist de requisitos técnicos derivados das obrigações legais

  • Inventário de dados: catálogo de dados pessoais por sistema, com finalidade, base legal, origem, destino, retenção.
  • Minimização: campos opcionais desabilitados por padrão; coleta progressiva; validação de necessidade.
  • Retenção e descarte: tabelas/objetos com “data de expiração” e rotinas de expurgo; exceções documentadas (obrigação legal, litígio).
  • Trilhas de auditoria: logs de acesso e de alteração (CRUD) para dados críticos; correlação com identidade do agente público/sistema.
  • Controle de acesso: RBAC/ABAC, segregação de funções, revisão periódica de perfis, bloqueio por tentativas, autenticação forte para operações sensíveis.
  • Anonimização e pseudonimização: uso em relatórios, testes, analytics; tokens/IDs substitutos; chaves protegidas.
  • Criptografia: em trânsito e em repouso; gestão de chaves; proteção de backups.
  • Compartilhamento: registro de integrações e repasses; contratos/termos com operadores; minimização do payload.
  • Resposta a incidentes com foco legal: capacidade de identificar escopo do vazamento, titulares afetados, dados expostos e evidências para comunicação.

Como transformar obrigação legal em requisito (método prático)

Passo a passo:

  • 1) Liste os tratamentos: para cada funcionalidade, descreva “verbo + dado” (ex.: “consultar proprietário por placa”).
  • 2) Associe finalidade e base legal: registre no backlog e na documentação do serviço.
  • 3) Classifique os dados: pessoal, sensível, público, sigiloso; identifique criticidade.
  • 4) Defina controles mínimos: acesso, log, retenção, criptografia, mascaramento.
  • 5) Defina evidências: o que comprova conformidade (relatório de logs, política de retenção aplicada, evidência de expurgo, relatório de acessos).
  • 6) Teste conformidade: casos de teste (ex.: usuário sem perfil não acessa; log registra; exportação LAI mascara CPF).

Exemplos práticos de requisitos (formato “deve”)

  • Retenção: “O sistema deve expurgar automaticamente registros de sessão e logs de aplicação após o prazo definido na política de retenção, mantendo apenas agregados estatísticos não identificáveis.”
  • Auditoria: “O sistema deve registrar toda consulta a dados de proprietário de veículo com identificação do usuário, data/hora, motivo selecionado e identificador do atendimento/processo.”
  • Pseudonimização: “Para ambientes de teste, o sistema deve substituir CPF por token irreversível e remover campos de contato, mantendo consistência referencial.”
  • Controle de acesso: “Operações de alteração cadastral devem exigir perfil específico e autenticação reforçada, com dupla validação para ações de alto impacto.”
  • LAI: “Relatórios exportados para atendimento a pedidos devem aplicar mascaramento configurável de dados pessoais e registrar a justificativa do acesso.”

Exercícios práticos (mapeamento e controles)

Exercício 1: mapeamento de dados pessoais em um processo do DETRAN

Cenário: processo de “recurso de multa” via portal. O cidadão autentica, consulta autuações, anexa documentos e acompanha status.

Tarefa: preencha a matriz abaixo (adapte conforme seu entendimento).

Matriz de mapeamento (modelo) 1) Etapa do processo: (ex.: autenticação) 2) Dados pessoais tratados: (ex.: CPF, nome, e-mail, IP) 3) Finalidade: (ex.: identificar o requerente) 4) Base legal: (ex.: execução de política pública / obrigação legal) 5) Compartilhamentos: (ex.: órgão autuador, procuradoria) 6) Retenção: (prazo e justificativa) 7) Riscos: (ex.: acesso indevido, exposição em logs) 8) Controles: (ex.: MFA, mascaramento, log imutável)

Critérios de qualidade: (a) minimização (evitar dados não necessários), (b) retenção coerente, (c) controles proporcionais ao risco, (d) evidências auditáveis.

Exercício 2: definir controles técnicos para um conjunto de dados

Cenário: tabela/coleção “ProprietárioVeículo” com CPF, nome, endereço, telefone, e-mail, vínculo com placa e histórico de alterações.

Tarefa: defina controles para:

  • Acesso: quais perfis podem consultar e quais podem alterar? Existe segregação entre atendimento e fiscalização?
  • Auditoria: quais eventos devem ser logados (consulta, alteração, exportação)?
  • Retenção: por quanto tempo manter histórico de alterações? Quando expurgar contatos desatualizados?
  • Anonimização/pseudonimização: como gerar dataset para BI/estatística sem identificar pessoas?
  • LAI: como responder pedido de informação sem expor dados pessoais?

Entregável: uma lista de requisitos “o sistema deve...” e uma lista de evidências (relatórios, logs, configurações) que comprovem cada requisito.

Questões estilo prova (com justificativa)

1) (LGPD) Em um serviço digital do DETRAN, o uso de consentimento deve ser a base legal preferencial para tratamento de dados pessoais, pois aumenta a transparência.

Gabarito: Errado. Justificativa: no setor público, o tratamento geralmente se fundamenta em execução de políticas públicas e cumprimento de obrigação legal/regulatória. Consentimento pode ser inadequado quando há assimetria e quando o serviço depende do tratamento para ser prestado; transparência deve existir independentemente da base legal.

2) (LGPD) O princípio da necessidade pode ser atendido apenas com criptografia dos dados armazenados.

Gabarito: Errado. Justificativa: criptografia é medida de segurança, não substitui minimização. Necessidade exige coletar e reter apenas o mínimo necessário, além de limitar acesso e tempo de armazenamento.

3) (MCI) Registros de acesso a aplicações devem ser protegidos contra alteração e acessados somente por pessoas autorizadas, pois podem servir como evidência.

Gabarito: Certo. Justificativa: a guarda de registros implica requisitos de integridade, confidencialidade e capacidade de fornecimento sob demanda legal, com cadeia de custódia.

4) (LAI) Todo dado em posse do DETRAN deve ser fornecido integralmente ao solicitante, pois a LAI garante acesso irrestrito.

Gabarito: Errado. Justificativa: a LAI prevê restrições, incluindo proteção de informações pessoais e hipóteses de sigilo. Na prática, pode haver fornecimento parcial com tarja/anonimização e justificativa formal.

5) (Conformidade técnica) Trilhas de auditoria devem registrar apenas falhas de acesso, para reduzir volume de logs e custo.

Gabarito: Errado. Justificativa: para prestação de contas e investigação, é comum exigir registro de acessos bem-sucedidos e operações sensíveis (consulta, exportação, alteração), aplicando minimização do conteúdo e retenção adequada, não ausência de registro.

6) (LGPD/RIPD) Um RIPD é apenas um documento jurídico e não precisa conter medidas técnicas, pois isso é assunto de TI.

Gabarito: Errado. Justificativa: RIPD avalia riscos e descreve salvaguardas, incluindo medidas técnicas e administrativas. Sem controles e plano de ação, o relatório não cumpre seu papel de mitigação e evidência.

Agora responda o exercício sobre o conteúdo:

Ao transformar obrigações legais (LGPD/MCI/LAI) em requisitos técnicos em um sistema do DETRAN, qual abordagem atende melhor ao objetivo de permitir auditoria e prestação de contas?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A conformidade deve virar requisitos verificáveis: metadados de finalidade/base legal por fluxo, logs e auditoria com integridade, retenção e controle de acesso, permitindo evidências e revisões. Só criptografia ou logar apenas falhas não atende a prestação de contas.

Próximo capitúlo

Ética, auditoria e responsabilização em Tecnologia no DETRAN

Arrow Right Icon
Aprenda Detran

AprendaDetran

Aproveite cursos online gratuitos e com certificação em temas como Informática, Legislação e Código de Trânsito Brasileiro para o Detran-CE. Estude agora!

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store