Disciplina o acesso aos dados dos sistemas e subsistemas informatizados da Secretaria Nacional de Trânsito – Senatran.
O SECRETÁRIO NACIONAL DE TRÂNSITO, no uso das competências que lhe confere o art. 19, incisos I, II, IV, V, VIII, IX, X, XIV, XXX, XXXI e XXXII, da Lei nº 9.503, de 23 de setembro de 1997, e com base no disposto na Lei nº 12.527, de 18 de novembro de 2011, na Lei nº 13.709, de 14 de agosto de 2018, na Lei nº 14.129, de 29 de março de 2021, e no Decreto nº 10.046, de 9 de outubro de 2019, e considerando o que consta no PROCESSO ADMINISTRATIVO nº 80001.037971/2007-19, resolve:
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Seção I
Objeto e âmbito de aplicação
Art. 1º Esta Portaria disciplina o acesso aos dados dos sistemas e subsistemas informatizados da Secretaria Nacional de Trânsito – Senatran, por pessoas jurídicas de direito público e privado, estabelecendo requisitos, procedimentos e o ambiente de governança.
Parágrafo único. Incluem-se no rol de pessoas jurídicas de direito privado de que trata o caput os prestadores de serviços de trânsito contratados ou autorizados pelos órgãos e entidades componentes do Sistema Nacional de Trânsito.
Art. 2º O acesso aos dados dos sistemas e subsistemas informatizados da Senatran por órgãos e entidades componentes do Sistema Nacional de Trânsito será disciplinado por manuais técnico-operacionais específicos elaborados pela Senatran.
§ 1º Somente terão o acesso de que trata o caput os órgãos e entidades integrados ao Sistema Nacional de Trânsito, conforme disciplina o art. 333, § 2º, da Lei nº 9.503, de 23 de setembro de 1997 – Código de Trânsito Brasileiro.
§ 2º O acesso de que trata o caput terá como finalidade o desempenho das atribuições legais definidas pelo Código de Trânsito Brasileiro.
§ 3º O uso dos dados por órgãos e entidades integrados ao Sistema Nacional de Trânsito, para o cumprimento de finalidades não relacionadas às atribuições legais definidas pelo Código de Trânsito Brasileiro, reger-se-á pelo disposto no art. 3º.
Art. 3º O compartilhamento de dados entre a Senatran e os órgãos e entidades da administração pública direta, autárquica e fundacional, e os demais Poderes, da União, Estados, Distrito Federal e Municípios, não componentes do Sistema Nacional de Trânsito, observará normativo específico ou manual técnico-operacional, elaborados pela Senatran, ou o disposto em acordos, convênios e demais instrumentos de cooperação.
Art. 4º A transferência internacional de dados dos sistemas e subsistemas informatizados da Senatran, nos termos da Lei nº 13.709, de 14 de agosto de 2018, observará normativo específico, ou o disposto em acordos de cooperação internacional e demais instrumentos congêneres.
Art. 5º Para todos os casos de acesso a dados dos sistemas e subsistemas informatizados da Senatran, deverão ser observadas as diretrizes e definições estabelecidas pela Lei nº 13.709, de 2018, bem como os regulamentos e procedimentos sobre proteção de dados pessoais e privacidade editados pela Autoridade Nacional de Proteção de Dados – ANPD.
Parágrafo único. Para os acessos de que tratam os artigos 2º e 3º desta Portaria, deverá ser observado, ainda, o que dispõe o Decreto nº 10.046, de 9 de outubro de 2019.
Seção II
Definições
Art. 6º Para os efeitos desta Portaria, adotam-se as seguintes definições:
I – acesso direto: modalidade de acesso aos sistemas e subsistemas informatizados da Senatran, em que a pessoa jurídica autorizada utiliza os dados para consumo próprio em seus produtos e soluções, mantendo relacionamento direto com o titular de dados;
II – acesso indireto: modalidade de acesso aos sistemas e subsistemas informatizados da Senatran, em que a pessoa jurídica autorizada não mantém relacionamento direto com o titular de dados, utilizando seus dados para o desenvolvimento de produtos e soluções destinados a consumo de terceiros;
III – anuente: pessoa jurídica que mantém relação comercial ou institucional com usuários, com o objetivo de consumir produtos e soluções que utilizem dados dos sistemas e subsistemas informatizados da Senatran;
IV – atributo: elemento lógico que armazena um tipo específico de informação de uma entidade dentro do modelo de dados;
V – caso de uso: conjunto de informações que especificam o serviço, a finalidade e o tipo de acesso aos sistemas e subsistemas informatizados da Senatran, por determinada pessoa jurídica;
VI – dado público: informação contida nos sistemas e subsistemas informatizados da Senatran não sujeita à restrição de acesso;
VII – dado restrito: informação contida nos sistemas e subsistemas informatizados da Senatran, cujo acesso é restrito por força de lei, devendo obedecer a determinadas diretrizes, requisitos e procedimentos;
VIII – grupo de informação: conjunto fechado de parâmetros de entrada e saída, agregados por sistema ou subsistema informatizado, necessários para atender a uma finalidade específica;
IX – parâmetros de entrada: dados de atributos específicos utilizados pelo usuário nas requisições feitas por sistema ou aplicações, tendo como retorno os parâmetros de saída;
X – parâmetros de saída: dados de atributos específicos retornados pelo operador nas requisições feitas por sistema ou aplicações, a partir dos parâmetros de entrada informados pelo usuário;
XI – uso primário dos dados: tratamento dos dados conforme as finalidades previamente estabelecidas e informadas ao titular no momento da coleta, garantindo sua vinculação ao propósito original, que justificou o tratamento;
XII – uso secundário dos dados: tratamento dos dados para finalidades distintas daquelas originalmente informadas ao titular no momento da coleta, exigindo avaliação de compatibilidade com o propósito inicial ou nova justificativa legal;
XIII – usuário: pessoa jurídica devidamente autorizada pela Senatran para acesso aos dados de seus sistemas e subsistemas informatizados; e
XIV – validação de dados: método de confirmação de compatibilidade entre diferentes parâmetros de entrada com os dados dos sistemas e subsistemas informatizados da Senatran, de forma a indicar a consistência das informações.
CAPÍTULO II
DO CONTROLADOR E DOS OPERADORES
Seção I
Do controlador
Art. 7º A Senatran exercerá o papel de controladora dos dados de seus sistemas e subsistemas informatizados, cabendo-lhe as decisões referentes ao tratamento de dados, nos termos da Lei nº 13.709, de 2018.
§ 1º Constituem-se nos sistemas informatizados controlados pela Senatran o Registro Nacional de Carteiras de Habilitação – Renach, o Registro Nacional de Veículos Automotores – Renavam, o Registro Nacional de Infrações de Trânsito – Renainf, o Registro Nacional Positivo de Condutores – RNPC, o Registro Nacional de Sinistros e Estatísticas de Trânsito – Renaest e o Sistema de Notificação Eletrônica – SNE, além de outros sistemas instituídos por Lei ou regulamento, cuja responsabilidade de organização e manutenção seja da Senatran.
§ 2º Constituem-se nos subsistemas informatizados controlados pela Senatran toda e qualquer solução ou aplicação tecnológica por ela desenvolvida, organizada e mantida, e que utilize dados dos sistemas informatizados de que trata o §1º.
§ 3º Considerando as competências definidas no art. 19, do Código de Trânsito Brasileiro, o tratamento de dados restritos pelos órgãos ou entidades executivos de trânsito dos Estados e do Distrito Federal, no âmbito de suas circunscrições, coletados para o desempenho de atribuições delegadas pela Senatran, nos termos do art. 22, incisos II e III, do Código de Trânsito Brasileiro, observará o disposto no art. 2º.
Art. 8º O uso primário dos dados restritos pela Senatran terá como finalidades específicas a execução de políticas públicas e o desempenho de atribuições definidas em Lei e regulamentos.
Parágrafo único. As finalidades de que trata o caput estarão disponíveis aos titulares e demais interessados no sítio eletrônico da Senatran e nas soluções tecnológicas de seus operadores.
Art. 9º O uso secundário dos dados restritos somente será permitido se observados os preceitos, diretrizes e procedimentos estabelecidos nesta Portaria, em consonância com a Lei nº 13.709, de 2018.
Parágrafo único. O uso secundário de que trata o caput será analisado pela Senatran para cada caso concreto, vedada sua aplicação com finalidades genéricas.
Seção II
Dos operadores
Art. 10. São operadores dos sistemas e subsistemas informatizados da Senatran as pessoas jurídicas de direito público ou privado que realizam o tratamento de dados em nome da Senatran.
Parágrafo único. A relação entre a Senatran e seus operadores será estabelecida por meio de contratos, convênios ou instrumentos congêneres.
Art. 11. O Serviço Federal de Processamento de Dados – Serpro é o operador responsável pela operacionalização do acesso aos dados dos sistemas e subsistemas informatizados da Senatran, contribuindo com a observância dos princípios do livre acesso, da qualidade dos dados, da transparência, da segurança e da prevenção, conforme definições dispostas no art. 6º, da Lei nº 13.709, de 2018.
Art. 12. Compete ao Serpro, enquanto operador dos sistemas e subsistemas informatizados da Senatran:
I – desenvolver, atualizar e manter o ambiente tecnológico necessário para os processos de acesso aos dados;
II – desenvolver, atualizar e manter soluções de gestão do consentimento fornecido pelo titular, quando exigido, e da ciência do uso dos dados, em todas as hipóteses de tratamento, exclusivamente em plataformas governamentais, garantindo a interoperabilidade com as soluções das Gerenciadoras de Consentimento e Ciência, de que trata o art. 13;
III – desenvolver, manter e divulgar a documentação técnica dos sistemas, das aplicações, dos protocolos de comunicação e de outras soluções tecnológicas destinadas aos processos de acesso aos dados;
IV – registrar e armazenar todas as informações referentes aos processos de acesso aos dados, nos prazos estabelecidos pela Senatran;
V – garantir a segurança dos dados, monitorando, avaliando e reportando à Senatran eventuais incidentes de segurança;
VI – orientar os interessados quanto às questões técnicas atinentes aos processos de acesso a dados; e
VII – estabelecer os contratos necessários com os usuários, visando a remuneração pelos serviços de acesso aos dados, arrecadando os valores, e promovendo a desoneração financeira em favor da Senatran, conforme normativo específico e as regras contratuais vigentes.
Art. 13. As Gerenciadoras de Consentimento e Ciência – GCC são pessoas jurídicas de direito público ou privado, contratadas pela Senatran, por meio do procedimento de credenciamento, conforme o disposto nos artigos 78 e 79, da Lei nº 14.133, de 1º de abril de 2021, para atuar como operadores responsáveis pela gestão do consentimento fornecido pelo titular, quando exigido, e pela ciência do uso dos dados, em todas as hipóteses de tratamento, contribuindo com a observância dos princípios da adequação, do livre acesso, da transparência, da segurança e da prevenção, conforme definições dispostas no art. 6º, da Lei nº 13.709, de 2018.
§ 1º Os critérios, requisitos, procedimentos e preços pela remuneração dos serviços das GCC, dentre outras especificações, serão definidos em edital de credenciamento, divulgado e mantido no sítio eletrônico da Senatran.
§ 2º As GCC serão remuneradas pela prestação dos seus serviços diretamente pelos usuários, conforme valores definidos no edital de credenciamento de que trata o §1º e em normativo específico.
§ 3º Os titulares dos dados deverão ter acesso aos serviços das GCC, credenciadas pela Senatran, de forma gratuita e facilitada.
§ 4º Sem prejuízo do disposto nos §§ 2º e 3º, as GCC poderão oferecer serviços adicionais aos usuários e titulares dos dados, que estejam alinhados ao escopo de atuação e de gestão do consentimento e ciência de uso dos dados, desde que não conflitem com as competências definidas nesta Portaria e nas cláusulas contratuais estabelecidas com a Senatran.
§ 5º A remuneração pelos serviços de que trata o § 4º será livremente negociada em contrato entre as GCC e os interessados, não se confundindo com o objeto contratual pactuado entre as GCC e a Senatran, conforme edital de credenciamento.
§ 6º As GCC credenciadas pela Senatran poderão prestar serviços de gestão do consentimento e ciência de uso dos dados para outros controladores, dos setores público ou privado, desde que o desempenho destas atividades não conflite com as competências definidas nesta Portaria e nas cláusulas contratuais estabelecidas com a Senatran.
§ 7º É vedada a participação de usuários e anuentes no edital de credenciamento de que trata o §1º, de forma a evitar conflito de interesse, que prejudique a lisura dos processos de acesso a dados.
§ 8º Atendendo ao princípio da necessidade, estabelecido no art. 6º, inciso III, da Lei n º 13.709, de 2018, as GCC terão acesso somente às informações mínimas necessárias para a execução dos serviços de gestão do consentimento e ciência de uso de dados.
Art. 14. Compete às GCC, enquanto operadoras dos sistemas e subsistemas informatizados da Senatran:
I – desenvolver, atualizar e manter o ambiente tecnológico necessário para a gestão do consentimento fornecido pelo titular, quando exigido, e da ciência do uso dos dados, em todas as hipóteses de tratamento;
II – desenvolver, atualizar e manter soluções de gestão do consentimento fornecido pelo titular, quando exigido, e pela ciência do uso dos dados, em todas as hipóteses de tratamento, promovendo a interoperabilidade com plataformas governamentais e com plataformas de usuários;
III – desenvolver, manter e divulgar a documentação técnica dos sistemas, das aplicações, dos protocolos de comunicação e de outras soluções tecnológicas destinadas à gestão do consentimento e ciência do titular, observado o sigilo empresarial;
IV – registrar e armazenar todas as informações referentes à gestão do consentimento fornecido pelo titular, quando exigido, e pela ciência do uso dos dados, em todas as hipóteses de tratamento, nos prazos estabelecidos pela Senatran;
V – garantir a segurança dos dados, monitorando, avaliando e reportando à Senatran suspeitas de uso indevido;
VI – auxiliar o encarregado pelo tratamento de dados pessoais indicado pela Senatran no recebimento de reclamações e comunicações dos titulares; e
VII – estabelecer os contratos necessários com os usuários, visando a remuneração pelos serviços de gestão do consentimento e ciência do titular, arrecadando os valores respectivos, conforme normativo específico e as regras contratuais vigentes, entre as GCC e a Senatran.
Art. 15. As atribuições dos operadores definidas nos artigos 12 e 14 não os eximem de outras responsabilidades estabelecidas em contrato e outros normativos.
§ 1º Todos os operadores contratados pela Senatran deverão observar estritamente suas diretrizes e definições, mantendo canais de comunicação diretos e eficientes, e atendendo às suas solicitações de informações, na forma por ela definida.
§ 2º Além dos operadores descritos nesta Portaria, a Senatran poderá contratar outras pessoas jurídicas de direito público ou privado para a prestação de serviços especializados relacionados aos dados de seus sistemas e subsistemas informatizados, vedada a sobreposição de objetos constantes nas demais contratações.
CAPÍTULO III
DOS ACESSOS
Seção I
Dos modelos de acesso
Art. 16. O acesso aos dados dos sistemas e subsistemas informatizados da Senatran compreende o conjunto de casos de uso apresentados pelo requerente, e autorizados pela Senatran, por meio de Termo de Autorização de Acesso a Dados.
§ 1º Não há limites para a quantidade de casos de uso apresentados, desde que atendam aos requisitos desta Portaria.
§ 2º Os casos de uso devem ser independentes entre si, e serão avaliados individualmente, dentro do mesmo processo de acesso a dados.
§ 3º Cada caso de uso é compreendido, minimamente, pelas seguintes informações:
I – modalidade de acesso aos sistemas e subsistemas informatizados da Senatran, podendo ser acesso direto ou indireto, nos termos do art. 6º, incisos I e II;
II – descrição clara e específica da finalidade do acesso;
III – hipótese legal de tratamento dos dados;
IV – grupos de informação; e
V – justificativa da necessidade de cada grupo de informação, para atender à finalidade pretendida, obedecendo ao princípio da necessidade, estabelecido pelo art. 6º, inciso III, da Lei nº 13.709, de 2018.
§ 4º Os casos de uso para a prestação dos serviços de trânsito, de que trata o art. 1º, parágrafo único, serão definidos pela Senatran, de modo a garantir a isonomia dos acessos, observado o ordenamento jurídico vigente, aplicado a cada serviço de trânsito.
§ 5º Um único Termo de Autorização de Acesso a Dados poderá contemplar casos de uso na modalidade de acesso direto ou indireto, obedecidos os requisitos para cada modalidade.
§ 6º Os casos de uso de acesso indireto somente serão aprovados com autorização expressa e específica dos respectivos anuentes, conforme o disposto no art. 28, e as especificações contidas no manual técnico, de que trata o art. 21.
§ 7º É vedado, a qualquer título, ceder a terceiros o acesso aos dados de que trata o caput, sem prévia e expressa autorização da Senatran.
Art. 17. Os grupos de informação de interesse serão definidos pelo requerente no momento da solicitação de acesso.
§ 1º Para cada grupo de informação, deverão ser definidos os parâmetros de entrada, que serão utilizados para retorno dos parâmetros de saída.
§ 2º A classificação do grupo de informação como público ou restrito, pela Senatran, dependerá da conjugação entre os parâmetros de entrada e de saída.
§ 3º O requerente poderá criar seus próprios grupos de informação, ou escolher dentre os disponíveis, podendo também utilizá-los como modelos, editando-os de modo a adequá-los às suas finalidades.
§ 4º A escolha ou edição de grupos de informação produz efeitos apenas para o próprio requerente, não afetando os acessos dos autores originais.
§ 5º Caso opte por escolher um grupo de informação já disponível, o requerente deverá apresentar justificativa de necessidade específica ao seu caso, conforme disciplina o art. 16, § 3º, inciso V.
§ 6º Conforme disposto no art. 16, § 4º, os casos de uso relacionados à prestação de serviços de trânsito utilizarão grupos de informação definidos pela Senatran.
Art. 18. Os casos de uso que envolvam o acesso a dados pessoais sensíveis deverão observar as hipóteses legais de tratamento específicas definidas no art. 11, da Lei nº 13.709, de 2018.
§ 1º O requerente deve, sempre que possível, evitar a inclusão de dados pessoais sensíveis nos grupos de informação, substituindo-os por outros dados que atendam à mesma finalidade.
§ 2º Não sendo possível observar o disposto no § 1º, o atendimento à finalidade deverá ser priorizado pela validação de dados, com o acesso aos dados pessoais sensíveis brutos sendo autorizado somente em caráter excepcional.
Art. 19. O acesso a dados anonimizados somente será autorizado caso seja possível a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, que garantam a não identificação do titular.
Parágrafo único. A responsabilidade pela anonimização dos dados de forma a atender o disposto no caput é da Senatran.
Art. 20. Os dados abertos, estruturados em formato aberto, na forma disposta no Decreto nº 8.777, de 11 de maio de 2016, serão disponibilizados conforme o Plano de Dados Abertos instituído pelo Ministério dos Transportes.
§ 1º Os Planos de Dados Abertos do Ministério dos Transportes, vigentes e de ciclos anteriores, estão disponíveis em seu sítio eletrônico.
§ 2º Os dados abertos da Senatran, constantes do Plano de Dados Abertos, serão processáveis por máquina, referenciados na internet e disponibilizados sob licença aberta, que permita sua livre utilização, consumo ou cruzamento, independentemente de solicitações por parte do interessado.
Art. 21. As especificações tecnológicas para acesso aos dados dos sistemas e subsistemas informatizados se dará conforme o disposto em manual técnico elaborado pela Senatran.
Parágrafo único. O manual técnico de que trata o caput estará disponível aos interessados nos canais eletrônicos definidos pela Senatran.
Seção II
Dos requisitos
Art. 22. São requisitos para o acesso aos dados dos sistemas e subsistemas informatizados de trânsito, por pessoas jurídicas de direito privado:
I – estar com situação cadastral ativa no Cadastro Nacional de Pessoa Jurídica – CNPJ;
II – possuir certificado digital e-CNPJ, padrão ICP-Brasil;
III – possuir responsável técnico pelo acesso aos dados, com formação superior compatível com a execução de atividades de integração tecnológicas definidas pela Senatran e seus operadores;
IV – manter canal de comunicação permanente, disponível ao titular de dados;
V – possuir nível satisfatório de maturidade em segurança da informação, conforme disposto no art. 23, ou Certificado ABNT NBR ISO/IEC 27.001, que trata da Gestão da Segurança da Informação, com escopo abrangendo toda a organização, incluindo as aplicações integradas à Senatran para acesso aos dados de seus sistemas e subsistemas informatizados;
VI – efetivar contrato com o Serpro para a prestação de serviços de gestão de acesso aos dados, remunerando-o na forma disciplinada pela Senatran, em normativo específico; e
VII – efetivar contrato com GCC credenciada pela Senatran, à sua livre escolha, para a prestação de serviços de gestão do consentimento fornecido pelo titular, quando exigido, e da ciência do uso dos dados, em todas as hipóteses de tratamento, remunerando-a na forma disciplinada pela Senatran, em edital de credenciamento e normativo específico.
§ 1º Para o cumprimento do disposto no inciso IV do caput, os requerentes poderão utilizar os serviços da GCC credenciada pela Senatran, por ele contratada, cuja remuneração específica será definida por livre negociação entre as partes.
§ 2º Os operadores da Senatran deverão estabelecer soluções e procedimentos que facilitem os processos para cumprimento dos requisitos definidos nos incisos VI e VII do caput aos usuários.
§ 3º Os requisitos para o acesso aos dados dos sistemas e subsistemas informatizados de trânsito, por pessoas jurídicas de direito público, observarão o disposto em normativo específico ou manual técnico-operacional, elaborados pela Senatran, ou o disposto em acordos, convênios e demais instrumentos de cooperação.
Art. 23. A avaliação do nível de maturidade em segurança da informação, de que trata o art. 22, inciso V, será realizada a partir de formulário eletrônico preenchido pelo requerente, quando da solicitação de acesso aos dados, conforme metodologia específica, elaborada pela Senatran.
§ 1º Será atribuída pontuação entre um e cinco para o nível de maturidade em segurança da informação do requerente, resultando na seguinte classificação:
I – pontuação menor e igual a dois: nível insatisfatório de maturidade em segurança da informação;
II – pontuação igual a três: nível regular de maturidade em segurança da informação; e
III – pontuação maior e igual a quatro: nível satisfatório de maturidade em segurança da informação.
§ 2º Caso o requerimento de acesso contenha dados pessoais sensíveis, o nível de maturidade em segurança da informação observará a seguinte classificação:
I – pontuação menor e igual a três: nível insatisfatório de maturidade em segurança da informação;
II – pontuação igual a quatro: nível regular de maturidade em segurança da informação; e
III – pontuação igual a cinco: nível satisfatório de maturidade em segurança da informação.
§ 3º O requerente é responsável pela veracidade das informações declaradas, respondendo cível e criminalmente pelo fornecimento de informações falsas.
§ 4º O responsável técnico de que trata o art. 22, inciso III, deve zelar por todas as tratativas técnicas de sistemas de responsabilidade do requerente, inclusive pelas informações de que trata o caput.
§ 5º O requerente fica dispensado do preenchimento do formulário de que trata o caput, caso apresente o Certificado ABNT NBR ISO/IEC 27.001, de que trata o art. 22, inciso V.
§ 6º Aos requerentes que cumprirem o disposto no § 5º, serão atribuídos níveis satisfatórios de maturidade em segurança da informação, inclusive no caso de acesso a dados pessoais sensíveis.
Art. 24. A perda de quaisquer dos requisitos exigidos no art. 21, em qualquer tempo, sujeitará o usuário ao bloqueio do acesso aos dados, conforme art. 61.
Parágrafo único. O inadimplemento no pagamento dos valores devidos aos operadores será considerado perda dos requisitos previstos no art. 22, incisos VI e VII, conforme o caso.
Seção III
Do requerimento de acesso
Art. 25. Os requerimentos de acesso a dados por pessoas jurídicas de direito privado serão realizados exclusivamente por meio do Credencia, plataforma tecnológica controlada pela Senatran, e operada pelo Serpro.
§ 1º Os requerimentos de que trata o caput somente serão permitidos com uso do certificado digital e-CNPJ específico da requerente.
§ 2º Os requerimentos efetuados no Credencia gerarão, automaticamente, registro e protocolo no Sistema Eletrônico de Informações – SEI, permitindo o acompanhamento transparente e permanente do andamento do processo de análise e autorização.
§ 3º É obrigação do requerente acompanhar o andamento de seu processo e seu resultado, bem como observar os prazos estabelecidos, independente de notificações da Senatran.
Art. 26. Ao formular sua solicitação, o requerente deverá informar todos os casos de uso pretendidos, conforme especificações definidas nessa Portaria e nos manuais técnicos elaborados pela Senatran.
§ 1º Além da comprovação dos requisitos exigidos no art. 22, o requerente deverá apresentar:
I – contrato, estatuto social ou regimento, e suas alterações, devidamente registrados no órgão competente;
II – cédula de identidade e Cadastro de Pessoa Física – CPF de todos os representantes legais e do responsável técnico designado, conforme art. 22, inciso III, podendo ser substituídos por passaporte válido, no caso de estrangeiros;
III – comprovante de endereço da matriz da empresa, contendo seu endereço completo, com logradouro, número, complemento, bairro, município, Unidade da Federação e Código de Endereçamento Postal – CEP;
IV – números de telefone e endereço eletrônico da requerente e de seu responsável técnico designado, conforme art. 22, inciso III, para contato do controlador e de seus operadores;
V – identidade e informações de contato de seu encarregado pelo tratamento de dados pessoais, caso a requerente solicite acesso a dados restritos;
VI – breve descritivo das atividades gerais da empresa e das soluções que utilizarão dados dos sistemas e subsistemas informatizados da Senatran, demonstrando sua necessidade para atendimento da finalidade pretendida;
VII – Política de Privacidade e Termos de Uso de Dados aplicáveis nas soluções que utilizem dados dos sistemas e subsistemas informatizados da Senatran;
VIII – Termo de Compromisso de Manutenção de Sigilo, conforme modelo disponibilizado pela Senatran, assinado eletronicamente por todos os representantes legais da requerente e pelo responsável técnico designado, conforme art. 22, inciso III, por meio de assinatura eletrônica avançada ou assinatura eletrônica qualificada, conforme disposto na Lei nº 14.063, de 23 de setembro de 2020;
IX – nada consta no Cadastro Nacional de Empresas Inidôneas e Suspensas – CEIS;
X – nada consta na Lista de Inidôneos do Tribunal de Contas da União; e
XI – nada consta no Cadastro Nacional de Condenações Civis por Ato de Improbidade Administrativa.
Art. 27. Caso a requerente já possua autorização para acesso aos dados dos sistemas e subsistemas informatizados da Senatran, o requerimento será enquadrado em:
I – atualização cadastral ou documental;
II – solicitação de revogação parcial ou total dos acessos;
III – solicitação de atualização dos acessos; ou
IV – solicitação de ampliação do acessos.
§ 1º Comprovado pela Senatran que o requerimento se enquadra no disposto nos incisos I ou II, fica dispensada nova análise, sendo realizada tão somente a atualização da autorização, se for o caso.
§ 2º O disposto no inciso II se aplica às situações em que o interessado requer somente a exclusão de casos de uso, de grupos de informação ou de parâmetros de entrada ou saída de grupos de informação, total ou parcialmente.
§ 3º O disposto no inciso III se aplica às situações em que o interessado requer a atualização das informações dispostas no art. 16, § 3º, sem inclusão de novos casos de uso.
§ 4º O disposto no inciso IV se aplica às situações em que o interessado requer a inclusão de novos casos de uso.
Art. 28. Nos requerimentos que contenham casos de uso com acesso indireto aos dados dos sistemas e subsistemas informatizados da Senatran, a autorização prévia de que trata o art. 16, § 6º, se dará por:
I – manifestação dos anuentes no Credencia; ou
II – por solução interoperável entre os usuários e seus anuentes, com integração às soluções tecnológicas da Senatran.
§ 1º Os usuários deverão informar o número CNPJ de seus anuentes, para cada caso de uso.
§ 2º Complementarmente ao disposto no § 1º, os usuários deverão descrever, para cada caso de uso, as finalidades de acesso atinentes à sua atividade e a de seus anuentes.
§ 3º Para subsidiar a concessão da autorização prévia de que trata o caput, os anuentes terão acesso a todas as informações dos casos de uso requeridos pelos usuários que estejam a eles associados.
§ 4º Os anuentes poderão revogar suas autorizações a qualquer tempo, na forma do caput.
Art. 29. O requerimento será considerado protocolado junto à Senatran somente quando efetivado por meio do Credencia, e quando:
I – as informações necessárias forem preenchidas;
II – os documentos exigidos forem anexados ao requerimento; e
III – os anuentes manifestarem sua autorização prévia, quando for o caso.
Parágrafo único. Após protocolar o requerimento, o interessado não poderá promover modificações no pleito, devendo aguardar o término da análise pela Senatran, salvo por desistência do requerente.
Seção IV
Da análise
Art. 30. O requerimento será submetido à análise das áreas técnicas da Senatran, que elaborarão parecer técnico preliminar, num prazo máximo de sessenta dias, contados da data de protocolo da solicitação, conforme disposto no art. 29.
Parágrafo único. Situações excepcionais poderão ensejar a dilação do prazo previsto no caput, e serão comunicadas eletronicamente ao requerente.
Art. 31. O parecer técnico preliminar discorrerá sobre a adequação do requerimento ao disposto nesta Portaria, na Lei nº 13.709, de 2018, e em outras legislações e regulamentações, quando pertinentes ao caso concreto, concluindo:
I – pela constatação de pendências;
II – pelo deferimento total;
III – pelo deferimento parcial; ou
IV – pelo indeferimento total.
Art. 32. Constatadas pendências no requerimento, o requerente será notificado eletronicamente, tendo o prazo máximo de trinta dias, contados da notificação, para sanar as pendências apontadas.
§ 1º Constituem-se pendências no requerimento, na forma do caput:
I – o não atendimento aos requisitos previstos no art. 22, incisos I a IV;
II – a não apresentação das informações e documentações previstas no art. 26, § 1º; ou
III – possuir nível regular de maturidade em segurança da informação, conforme disposto no art. 23.
§ 2º Não havendo resposta tempestiva à solicitação de que trata o caput, o processo será concluído pelo indeferimento total, sendo necessário apresentar novo requerimento, caso haja interesse.
§ 3º Caso o requerente ofereça resposta tempestiva, sem sanar as pendências indicadas, de forma parcial ou total, o processo será concluído pelo indeferimento total, sendo necessário apresentar novo requerimento, caso haja interesse.
Art. 33. Nos casos de deferimento parcial, o requerente será notificado da decisão preliminar eletronicamente, podendo apresentar, no prazo máximo de trinta dias, contados da notificação, as contrarrazões visando a conversão da decisão preliminar em deferimento total.
§ 1º O deferimento parcial ocorrerá:
I – quando os casos de uso ou grupos de informação apresentados não forem aprovados em sua totalidade; ou
II – quando a Senatran divergir das hipóteses legais de tratamento indicadas.
§ 2º O requerente deverá indicar se há interesse de prosseguir com o processo autorizativo, caso as contrarrazões apresentadas não sejam acolhidas.
§ 3º Caso as contrarrazões não sejam acolhidas, e o requerente não tenha interesse de prosseguimento do processo autorizativo na forma decidida originalmente, a Senatran o notificará eletronicamente do resultado final, e concluirá o processo pelo indeferimento total, sendo necessário apresentar novo requerimento, caso haja interesse.
§ 4º A ausência de apresentação de contrarrazões ou seu registro de forma intempestiva ensejarão no prosseguimento do processo, na forma sugerida pelo parecer técnico preliminar.
Art. 34. Nos casos de indeferimento total, o requerente será notificado da decisão eletronicamente, devendo apresentar novo requerimento, caso haja interesse.
Parágrafo único. São motivos para o indeferimento total do requerimento:
I – as situações previstas no art. 32, §§ 2º e 3º, e no art. 33, § 3º.
II – nível insatisfatório de maturidade em segurança da informação, conforme disposto no art. 23;
III – a reprovação de todos os casos de uso apresentados; ou
IV – cumprimento de período de impedimento de novas autorizações, conforme art. 63, § 3º.
Art. 35. Nos casos previstos nos artigos 32 e 33, o processo ficará sobrestado, até a manifestação do interessado, ou o término do prazo concedido.
Seção V
Da autorização de acesso
Art. 36. Cumpridos os prazos e procedimentos na análise do requerimento, será submetido parecer técnico conclusivo à aprovação da diretoria responsável pelos processos de acesso a dados da Senatran.
§ 1º O parecer técnico conclusivo de que trata o caput deverá ser elaborado em até trinta dias, contados:
I – da apresentação do parecer técnico preliminar, nos casos de deferimento total e de indeferimento total, motivado pelas razões dispostas no art. 34, incisos II, III e IV; ou
II – da retirada do sobrestamento, nos demais casos.
§ 2º O requerente terá conhecimento do parecer técnico conclusivo por meio do Credencia ou do respectivo processo SEI.
Art. 37. Nos casos de deferimento, parcial ou total, da solicitação de acesso aos dados, o requerente terá o prazo máximo de sessenta dias para efetivar a contratação dos operadores, na forma do art. 22, incisos VI e VII.
§ 1º Os contratos firmados serão encaminhados pelos operadores à Senatran, na forma por ela estabelecida, e serão anexados ao respectivo processo de acesso a dados.
§ 2º A inobservância do prazo estabelecido no caput implicará na revogação automática da aprovação dada no parecer técnico conclusivo, sendo necessário apresentar novo requerimento, caso haja interesse.
§ 3º Os operadores da Senatran deverão envidar todos os esforços para viabilização da contratação de que trata o caput no menor tempo possível, em atendimento ao disposto no art. 22, § 2º.
Art. 38. Constatada a efetivação dos contratos com os operadores, na forma aprovada pelo parecer técnico conclusivo, desde que dentro do prazo máximo estabelecido pelo art. 37, será expedido Termo de Autorização de Acesso a Dados ao requerente, contendo, minimamente:
I – a identificação do requerente;
II – a relação completa dos casos de uso, contendo as informações previstas no Art. 16, § 3º, incisos I, II, III e IV; e
III – as obrigações do requerente quanto ao uso da informação e o dever de sigilo dos dados.
§ 1º O Termo de Autorização de Acesso a Dados de que trata o caput será expedido mediante aprovação da autoridade máxima da Senatran.
§ 2º Será expedido um único Termo de Autorização de Acesso a Dados por requerente, que substituirá o Termo de Autorização de Acesso a Dados anterior, se for o caso.
§ 3º O Termo de Autorização de Acesso a Dados é uma autorização de caráter precário, podendo ser revogado a qualquer tempo, conforme disciplina o art. 63.
§ 4º O Termo de Autorização de Acesso a Dados é um documento de acesso restrito, e sua disponibilização para terceiros se dará apenas com autorização da Senatran, de forma motivada, resguardado o sigilo empresarial e demais hipóteses de sigilo previstas em Lei.
Art. 39. O acesso aos dados autorizados poderá ser efetivado pelo requerente a partir da publicação, pela Senatran, do extrato do Termo de Autorização de Acesso a Dados no Diário Oficial da União – DOU.
§ 1º O extrato de que trata o caput é um documento resumido do Termo de Autorização de Acesso a Dados, expedido pela Senatran, e suficiente para demonstrar a autorização de acesso, ocultadas as informações sensíveis que comprometam o sigilo empresarial do requerente.
§ 2º A partir da publicação do extrato do Termo de Autorização de Acesso a Dados no DOU, o requerente passa a ser denominado usuário.
Art. 40. Não há prazo de vigência para o Termo de Autorização de Acesso a Dados, que somente será revogado a pedido do requerente ou nos casos previstos nesta Portaria.
§ 1º A ausência de consulta a dados pelo usuário, conforme Termo de Autorização de Acesso a Dados, por um período superior a doze meses, poderá ensejar na revogação dos acessos, conforme art. 63.
§ 2º Na hipótese da revogação dos acessos, com base no disposto § 1º, o requerente, caso tenha interesse, deverá apresentar novo requerimento de acesso aos dados.
CAPÍTULO IV
DA TRANSPARÊNCIA E GOVERNANÇA
Seção I
Dos mecanismos de transparência
Art. 41. A Senatran adotará estratégias e ações de transparência ativa acerca do acesso aos seus sistemas e subsistemas, em todas as suas plataformas tecnológicas.
Art. 42. A Senatran publicará, em seu sítio eletrônico, o inventário de dados de seus sistemas e subsistemas informatizados, visando transparência e objetividade nos requerimentos de acesso a dados por parte dos interessados.
§ 1º Serão indicados os dados que podem ser utilizados como parâmetros de entrada em grupos de informação.
§ 2º Serão discriminados os dados públicos e restritos, conforme classificação da Senatran.
Art. 43. Todos os extratos dos Termos de Autorização de Acesso a Dados expedidos pela Senatran, nos termos desta Portaria, estarão integralmente e permanentemente disponíveis ao público, em seu sítio eletrônico.
Art. 44. Nas hipóteses de consentimento para acesso aos dados, os titulares poderão fornecê-lo, de forma livre, gratuita, informada e inequívoca:
I – por meio das plataformas tecnológicas disponibilizadas pelos operadores da Senatran; ou
II – por meio das plataformas tecnológicas do usuário, ou de seus respectivos anuentes, conforme o caso, desde que garantidas a interoperabilidade dos dados relacionados ao consentimento com a GCC contratada pelo usuário.
§ 1º A solicitação de fornecimento de consentimento ao titular deverá conter as seguintes informações mínimas:
I – nome do usuário;
II – nome do anuente, quando for o caso;
III – finalidade específica no uso dos dados, relacionado ao usuário e ao anuente, quando for o caso;
IV – dados que serão acessados;
V – duração do tratamento de dados, de forma a cumprir a finalidade estabelecida;
VI – informações de contato da Senatran;
VII – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18, da Lei nº 13.709, de 2018.
§ 2º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 3º Os usuários ou anuentes, conforme o caso, deverão informar, de maneira clara e concisa, as consequências ao titular, no caso de negativa no fornecimento do consentimento.
§ 4º O consentimento de que trata o caput poderá ser revogado pelo titular a qualquer momento, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado, enquanto não houver requerimento de eliminação.
§ 5º A revogação de consentimento pelo titular poderá ser efetuada pelas mesmas plataformas tecnológicas previstas no caput.
§ 6º Caso a revogação do consentimento seja efetivada pelas plataformas tecnológicas disponibilizadas pelos operadores da Senatran, ela será imediatamente informada aos usuários.
Art. 45. O titular de dados terá acesso, por meio das plataformas tecnológicas disponibilizadas pelos operadores da Senatran, a todo o histórico de uso de seus dados por usuários e anuentes, conforme o caso, contendo as informações dispostas no art. 44, § 1º.
§ 1º Incluem-se no histórico de que trata o caput todos os acessos a dados realizados, seja pelo fornecimento de consentimento, seja por outras hipóteses legais de tratamento.
§ 2º O disposto no caput não se aplica aos acessos a dados realizados para o desempenho de atividades de investigação, inteligência, segurança pública e segurança viária.
§ 3º Além do histórico de uso de seus dados, estarão disponíveis aos titulares as informações de todos os usuários dispostas no art. 26, § 1º, incisos V e VII.
Art. 46. A Senatran, por meio de seus operadores, manterá, em suas plataformas tecnológicas, área de livre acesso ao titular e à Autoridade Nacional de Proteção de Dados – ANPD, para comunicação de incidentes de segurança, que possam acarretar risco ou dano relevante aos titulares.
Art. 47. O Serpro manterá, em canal eletrônico definido pela Senatran, painel de informações contendo indicadores relacionados ao desempenho e disponibilidade dos meios de integração dedicados aos usuários, promovendo transparência quanto aos níveis de serviço ofertados.
Parágrafo único. Os padrões mínimos de nível de serviço serão definidos pela Senatran.
Art. 48. A Senatran disponibilizará, em seu sítio eletrônico, a identidade e as informações de contato do encarregado pelo tratamento de dados pessoais de seus sistemas e subsistemas informatizados.
Seção II
Do Programa de Governança em Privacidade – PGP
Art. 49. Esta Portaria, juntamente com os manuais técnicos, os protocolos operacionais definidos pela Senatran, e as soluções tecnológicas disponibilizadas por ela e seus operadores, formam o Programa de Governança em Privacidade – PGP, da Secretaria Nacional de Trânsito.
§ 1º O PGP da Senatran estará consolidado em um único documento, de fácil assimilação por toda a sociedade, e disponível em seu sítio eletrônico.
§ 2º O documento de que trata o § 1º estará sujeito à revisão a qualquer tempo, permanecendo atualizado em seu sítio eletrônico.
Art. 50. A Senatran, em conjunto com seus operadores, elaborará manuais técnicos de acesso aos dados de seus sistemas e subsistemas informatizados de trânsito, que deverão conter toda a documentação técnica relacionada.
Art. 51. O PGP conterá diretrizes para o processo de gestão de riscos no acesso aos dados dos sistemas e subsistemas informatizados da Senatran.
§ 1º A necessidade de elaboração de Relatório de Impacto à Proteção de Dados Pessoais – RIPD deverá ser avaliada no âmbito do processo de gestão de riscos de que trata o caput, sem prejuízo do atendimento à solicitação da ANPD, conforme art. 10, § 3º, da Lei nº 13.709, de 2018.
§ 2º O processo de gestão de riscos no acesso aos dados deverá contemplar matriz de responsabilidade conjunta entre a Senatran, seus operadores e os usuários, conforme a criticidade dos acessos, na forma estabelecida pela Senatran.
Art. 52. O Plano de Resposta a Incidentes e Remediação será integrado ao PGP, e será desenvolvido de forma conjunta entre a Senatran, seus operadores, e o órgão setorial do Sistema de Administração dos Recursos de Tecnologia da Informação – Sisp, junto ao Ministério dos Transportes.
Art. 53. A Senatran manterá alinhamentos permanentes junto ao órgão central do Sisp, à ANPD e aos demais órgãos da administração pública, bem como com a sociedade, promovendo ciclos de melhoria contínua, compartilhando experiências e buscando a adoção de boas práticas, de forma a fortalecer a transparência e governança dos processos de acesso a dados.
Parágrafo único. Para o cumprimento do caput, a Senatran poderá estabelecer acordos, convênios e demais instrumentos de cooperação, inclusive com o repasse de recursos financeiros, na forma estabelecida na Lei e demais regulamentos.
Seção III
Da supervisão
Art. 54. A supervisão do acesso a dados compartilhados no âmbito dessa Portaria será exercida pela Senatran, com apoio de seus operadores, e consiste no planejamento, execução e avaliação de ações, que visem garantir a conformidade nos acessos aos dados de seus sistemas e subsistemas informatizados de trânsito, coibindo o uso indevido, e denunciando eventuais irregularidades à ANPD.
Art. 55. A supervisão do acesso a dados será exercida em três níveis, de forma progressiva e ascendente:
I – nível um: monitoramento dos acessos;
II – nível dois: auditoria remota; e
III – nível três: auditoria in loco.
Parágrafo único. Em caso de denúncias de irregularidades no acesso a dados dos sistemas e subsistemas informatizados de trânsito da Senatran, a apuração não estará vinculada à progressividade indicada no caput, optando-se pelo nível de supervisão mais efetivo e célere para o caso, conforme as evidências apresentadas, a gravidade e a conveniência e oportunidade da Senatran.
Art. 56. O monitoramento dos acessos será realizado de forma contínua pela Senatran, com apoio de seus operadores.
Parágrafo único. Os usuários poderão ser instados a se manifestar, a qualquer tempo, acerca dos acessos verificados pela Senatran, devendo responder de forma tempestiva às solicitações.
Art. 57. Para a execução da supervisão de nível dois, o usuário deverá fornecer à Senatran módulo de perfil de acesso de auditoria a todos os sistemas e aplicações que utilizem dados de seus sistemas e subsistemas informatizados de trânsito.
§ 1º O módulo de perfil de acesso de auditoria de que trata o caput tem como objetivo auxiliar o controlador no acompanhamento do uso de seus dados, em conformidade ao ordenamento jurídico vigente, aos manuais técnicos e ao respectivo Termo de Autorização de Acesso a Dados.
§ 2º As especificações mínimas do módulo de perfil de acesso de auditoria serão estabelecidas em manual técnico elaborado pela Senatran.
§ 3º O módulo de perfil de acesso de auditoria não poderá permitir quaisquer modificações pelos técnicos da Senatran, seja no ambiente tecnológico ou nos bancos de dados dos usuários, possibilitando apenas observação e análise.
§ 4º A Senatran observará o sigilo das informações disponíveis no módulo de perfil de acesso de auditoria, de que trata o caput, e todos seus técnicos habilitados para uso do módulo somente o acessarão após a assinatura de Termo de Compromisso de Manutenção de Sigilo.
§ 5º Incluem-se na supervisão de nível dois a realização de chamadas de vídeo com os representantes legais e técnicos dos usuários, e seus indicados, bem como a solicitação de documentos e informações.
Art. 58. A supervisão de nível três será executada nas instalações físicas do usuário.
§ 1º A Senatran oficiará previamente o interessado acerca da auditoria in loco, alinhando a agenda para a visita de seus técnicos.
§ 2º O usuário deverá indicar responsável por acompanhar a equipe da Senatran, em todo o tempo de permanência em suas instalações.
§ 3º O acesso às instalações e informações requisitadas deverá ser garantido, de modo a não comprometer o processo de supervisão.
§ 4º As informações obtidas pelos técnicos da Senatran, que estejam sob sigilo, permanecerão restritas, e serão utilizadas com o único objetivo de colaborar com o processo de supervisão.
§ 5º No caso previsto no § 4º, os técnicos da Senatran deverão assinar Termo de Compromisso de Manutenção de Sigilo.
Art. 59. De forma a mitigar a ocorrência de danos de difícil reparação à proteção dos dados restritos, os usuários estarão sujeitos à aplicação das seguintes medidas pela Senatran:
I – limitação no volume de acesso a dados;
II – bloqueio parcial ou total dos acessos;
III – suspensão parcial ou total dos acessos; ou
IV – revogação parcial ou total de acessos;
Art. 60. A limitação no volume de acesso a dados poderá ser aplicada pela Senatran, sempre que for detectada volumetria de acesso que enseje risco à conformidade do processo de acesso a dados.
Parágrafo único. A limitação no volume será retirada tão logo o risco à conformidade do processo de acesso a dados seja afastado ou mitigado.
Art. 61. O bloqueio dos acessos será aplicado:
I – se constatada a incidência do disposto no art. 24;
II – por vencimento do certificado digital, token de acesso ou outro mecanismo de habilitação do acesso cadastrado no sistema Credencia; ou
III – como medida cautelar preparatória, quando da instrução de processo de suspensão de acessos.
§ 1º O usuário será notificado eletronicamente acerca do bloqueio de que trata o caput, por meio dos canais de contato indicados, conforme art. 26, § 1º, inciso IV.
§ 2º O bloqueio de que trata o caput será parcial ou total, conforme o caso concreto.
§ 3º O bloqueio nos acessos é medida temporária, e não altera o Termo de Autorização de Acesso a Dados vigente, sendo revogado tão logo cesse a causa que o ensejou.
§ 4º Na hipótese do disposto nos incisos I e II, a não regularização da situação que ensejou o bloqueio dos acessos, em até trinta dias, contados da notificação eletrônica de que trata o § 1º, ensejará a abertura de processo administrativo de suspensão dos acessos, conforme art. 62.
Art. 62. A suspensão dos acessos ocorrerá somente após a instrução de processo administrativo pela Senatran, destinado a averiguar eventuais irregularidades ou inconsistências nos procedimentos de acesso a dados, obedecidas as diretrizes definidas na Lei nº 9.784, de 29 de janeiro de 1999.
§ 1º Em caso de risco iminente, como medida acauteladora, a suspensão de que trata o caput poderá ser precedida de bloqueio parcial ou total, sem a prévia manifestação do interessado, e sempre que houver indícios mínimos de materialidade das irregularidades investigadas.
§ 2º Encerrada a fase de instrução do processo administrativo, o usuário será notificado eletronicamente, por meio dos canais de contato indicados, conforme art. 26, § 1º, inciso IV, e terá o direito de manifestar-se no prazo máximo de dez dias, contados da notificação.
§ 3º Observado o disposto no § 2º, a área técnica da Senatran, responsável pela investigação, elaborará relatório, indicando a fundamentação de abertura de ofício do processo administrativo ou o pedido inicial, conforme o caso, o conteúdo das fases do procedimento, e a proposta de decisão, objetivamente justificada.
§ 4º Caberá à diretoria responsável pelos processos de acesso a dados da Senatran decidir sobre a suspensão parcial ou total dos acessos, de maneira proporcional ao agravo, no prazo máximo de trinta dias, contados da entrega do relatório de que trata o § 3º, prorrogável por igual período, uma única vez, devendo comunicar a decisão eletronicamente ao usuário, por meio dos canais de contato indicados, conforme art. 26, § 1º, inciso IV.
§ 5º Será assegurado o contraditório e ampla defesa, devendo o usuário, se desejar, interpor recurso junto à autoridade responsável pela decisão de suspensão, no prazo máximo de dez dias contados da notificação eletrônica de que trata o § 4º.
§ 6º Caso a diretoria responsável não reconsidere sua decisão, no prazo de cinco dias, encaminhará o recurso de que trata o § 5º para apreciação da autoridade máxima da Senatran.
§ 7º Se o usuário não se manifestar sobre a decisão, ou a fizer de forma intempestiva, ou os elementos que levaram à aplicação da suspensão permanecerem, poderá ser aplicada a medida de revogação dos acessos, conforme art. 63.
§ 8º A suspensão parcial ou total dos acessos é medida temporária, e não altera o Termo de Autorização de Acesso a Dados vigente, sendo revogada no acolhimento do recurso de que trata o § 6º, ou caso as causas que a ensejaram cessem.
Art. 63. A revogação dos acessos implica na retirada unilateral da autorização de acesso a dados pela Senatran, de maneira parcial ou total, e será sempre precedida da instauração de processo administrativo de suspensão dos acessos, conforme disciplinado no art. 62.
§ 1º A revogação dos acessos, de forma parcial ou total, possui caráter permanente, e ensejará na alteração do Termo de Autorização de Acesso a Dados, conforme o caso.
§ 2º A decisão pela revogação de que trata o caput é da autoridade máxima da Senatran, e será publicada no Diário Oficial da União.
§ 3º Caso a revogação dos acessos decorra da prática de irregularidades de natureza grave, a decisão de que trata o § 2º poderá incluir o impedimento de novas autorizações de acesso a dados, por parte da respectiva pessoa jurídica, pelo período de até dois anos, contados da data da publicação da decisão no Diário Oficial da União.
Art. 64. As medidas previstas no art. 59 não elidem a execução dos procedimentos de fiscalização e aplicação de sanções de competência da ANPD, conforme disciplina a Lei nº 13.709, de 2018.
Parágrafo único. A Senatran, dentro de suas atribuições, colaborará com as atividades desenvolvidas pela ANPD, inclusive no encaminhamento dos processos administrativos de revogação de acesso a dados.
Art. 65. Todas as denúncias de desconformidade no uso de dados dos sistemas e subsistemas informatizados da Senatran serão tratadas pelos canais oficiais, resguardado o sigilo da fonte.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Art. 66. Os Termos de Autorização de Acesso a Dados expedidos a pessoas jurídicas de direito privado, antes da vigência dessa Portaria, serão revogados no prazo de sessenta dias, contados da data de divulgação da lista de GCC credenciadas pela Senatran.
§ 1º A data referente ao prazo de que trata o caput será informada a todas as pessoas jurídicas de direito privado com Termos de Autorização de Acesso a Dados vigentes, por meio dos canais eletrônico informados à Senatran, e estará disponível em seu sítio eletrônico.
§ 2º Caso haja interesse na manutenção do acesso a dados, as pessoas jurídicas de direito privado terão até a data definida no § 1º para protocolar novos requerimentos de acesso, em conformidade ao disciplinado nesta Portaria, mantendo os acessos na forma anteriormente definida, até a conclusão da análise pela Senatran.
§ 3º O prazo previsto no caput não elide a revogação dos acessos por inconformidades no processo de acesso a dados, mesmo que decorrentes de Termo de Autorização de Acesso a Dados expedido em período anterior à vigência desta Portaria.
Art. 67. Os Termos de Autorização de Acesso a Dados expedidos a pessoas jurídicas de direito público, antes da vigência dessa Portaria, continuarão vigentes, e serão tratados pela Senatran em procedimento específico.
Art. 68. Fica revogada a Portaria Senatran nº 922, de 20 de julho de 2022.
Art. 69. Esta Portaria entra em vigor na data de sua publicação.
