Publicado no DOE - RO em 21 mar 2025
Regulamenta as regras de segurança para assinatura eletrônica e acesso aos sistemas no âmbito do Poder Executivo do estado de Rondônia.
O GOVERNADOR DO ESTADO DE RONDÔNIA, no uso das atribuições que lhe confere o art. 65, caput, inciso V, da Constituição do Estado,
DECRETA:
CAPÍTULO I - DAS DISPOSIÇÕES PRELIMINARES
Art. 1° Ficam regulamentadas as regras de segurança aplicáveis à assinatura eletrônica e ao acesso de sistemas no âmbito do Poder Executivo do estado de Rondônia, conforme previsto no art. 5°, da Lei Federal n° 14.063, de 23 de setembro de 2020, que “Dispõe sobre o uso de assinaturas eletrônicas em interações com entes públicos, em atos de pessoas jurídicas e em questões de saúde e sobre as licenças de softwares desenvolvidos por entes públicos; e altera a Lei n° 9.096, de 19 de setembro de 1995, a Lei n° 5.991, de 17 de dezembro de 1973, e a Medida Provisória n° 2.200-2, de 24 de agosto de 2001.”.
§ 1°Todos os sistemas desenvolvidos ou mantidos pelos órgãos e entidades do Poder Executivo do Estado obedecerão ao estabelecido neste Decreto.
§ 2°Excetuam-se à regra do § 1° os sistemas cuja adequação não apresente viabilidade técnica justificável, cabendo aos órgãos e entidades submeter as exceções à Superintendência de Tecnologia da Informação e Comunicação - Setic, para análise e validação.
Art. 2° Para fins deste Decreto, considera-se:
I - sistema - software que reúne componentes digitais inter-relacionados para coletar, recuperar, processar, armazenar e distribuir informações, com a finalidade de facilitar o planejamento, o controle, a coordenação, a análise e os processos decisórios e de gestão nas organizações;
II - documento - unidade de registro de informações, independente do formato, do suporte ou da natureza;
III - meio eletrônico - qualquer forma de armazenamento ou tráfego de documentos e arquivos digitais;
IV - mesa de trabalho - ambiente virtual de um sistema, no qual os usuários internos realizam suas atividades laborais, apresentado por meio da interface gráfica de um sistema, em que são exibidos documentos, processos, pastas ou quaisquer outros dados e informações necessárias à execução das tarefas de trabalho do usuário;
V - unidade organizacional - denominação genérica utilizada para designar qualquer componente do organograma do Poder Executivo, seja uma espécie de órgão ou uma entidade;
VI - token de autenticação temporária - espécie de certificado digital que acrescenta uma camada adicional de segurança nas autenticações (autenticação de dois fatores - 2FA), fornecido por um dispositivo que gera uma senha temporária, a fim de que o usuário possa realizar sua autenticação com maior segurança;
VII - código hash - resultado da criptografia de uma informação, o qual será expresso na forma de um código com um tamanho fixo de caracteres, gerado pela aplicação de um algoritmo (função hash), que mapeia dados de tamanho variável (a mensagem ou informação) e os transformam em dados de tamanho fixo (o código hash);
VIII - blockchain - livro de razão pública que realiza o registro de uma transação, de forma que esse seja confiável e imutável, por meio de uma rede que armazena as informações de grupos de transações em blocos interdependentes, gerados periodicamente, cada qual marcado com um registro de tempo e data;
IX - interação eletrônica - ato praticado por particular ou por agente público, por meio de edição eletrônica de documentos ou de ações eletrônicas, com a finalidade de:
a) adquirir, resguardar, transferir, modificar, extinguir ou declarar direitos;
b) impor obrigações;
c) requerer, peticionar, solicitar, relatar, comunicar, informar, movimentar, consultar, analisar ou avaliar documentos, procedimentos, processos, expedientes, serviços, situações ou fatos;
d) receber, visualizar e inserir documentos e informações;
e) assinar eletronicamente documentos; e
f) realizar outras atividades previstas em ato normativo próprio;
X - validação biométrica - confirmação da identidade da pessoa natural, mediante aplicação de método de comparação estatístico de medição biológica das características físicas de um indivíduo, com o objetivo de identificá-lo unicamente com alto grau de segurança;
XI - validação biográfica - confirmação da identidade da pessoa natural, mediante comparação de fatos da sua vida, tais como nome civil ou social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar, endereço ou vínculos profissionais, com o objetivo de identificá-la unicamente com médio grau de segurança;
XII - validador de acesso digital - órgão ou entidade, pública ou privada, autorizada a fornecer meios seguros de validação de identidade biométrica ou biográfica em processos de identificação digital;
XIII - autenticação - procedimento eletrônico que permite a identificação eletrônica de uma pessoa natural ou jurídica;
XIV - assinatura eletrônica - dados em formato eletrônico que se ligam ou estão logicamente associados a outros dados em formato eletrônico e que são utilizados pelo signatário para assinar, observados os níveis de assinaturas apropriados para os atos previstos neste Decreto;
XV - certificado digital - atestado eletrônico que associa os dados de validação da assinatura eletrônica a uma pessoa natural ou jurídica, com base em padrões estabelecidos pelo Poder Executivo do Estado de Rondônia; e
XVI - certificado digital padrão de Infraestrutura de Chaves Públicas - ICP-Brasil - atestado eletrônico que associa os dados de validação da assinatura eletrônica a uma pessoa natural ou jurídica, com base no padrão ICP-Brasil.
Art. 3° São princípios basilares deste Decreto:
I - autenticidade - assegura a identidade do emissor da informação, garantindo a irretratabilidade das informações;
II - integridade - permite comprovar que o conteúdo da mensagem não foi alterado ou violado indevidamente, portanto, mede a exatidão da informação e seus métodos de modificação, manutenção e validade;
III - irretratabilidade ou não repúdio - tem como objetivo garantir que o autor não negue ter criado ou assinado algum documento ou arquivo; e
IV - confidencialidade - garante que a informação seja acessada apenas por pessoas autorizadas.
Art. 4° Os regramentos estabelecidos neste Decreto aplicar-se-ão:
I - interação eletrônica interna dos órgãos e entidades do Poder Executivo do Estado;
II - interação entre pessoas naturais ou pessoas jurídicas de direito privado, diretamente ou por meio de procurador ou representante legal, e os entes públicos de que trata o inciso I; e
III - interação eletrônica entre os órgãos e entidades de que trata o inciso I e os órgãos e entidades dos demais poderes do estado de Rondônia, bem como dos demais entes federativos.
Parágrafo único. Este Decreto não se aplica:
a) entre pessoas naturais ou entre pessoas jurídicas de direito privado;
b) na qual seja permitido o anonimato; e
c) na qual seja dispensada a identificação do particular;
III - aos sistemas de ouvidoria;
IV - aos programas de assistência às vítimas e às testemunhas ameaçadas;
V - às outras hipóteses nas quais deva ser dada garantia de preservação de sigilo da identidade do particular na atuação perante o ente público; e
VI - às interações das quais não participem órgãos e entidades do Poder Executivo do Estado.
CAPÍTULO II - DA ASSINATURA ELETRÔNICA E DO ACESSO AOS SISTEMAS
Seção I - Dos Critérios de Segurança
Art. 5° A segurança no acesso aos sistemas, bem como aos documentos, assinaturas e processos de natureza eletrônica, será resguardada em observância aos princípios constantes no art. 3°, por meio dos critérios de segurança estabelecidos neste Decreto.
§ 1°Os sistemas atenderão aos seguintes critérios de segurança:
I - os acessos e assinaturas devem ser realizados por meio de usuário e senha, a depender do tipo de assinatura, haverá duplo fator de autenticação, o qual poderá ocorrer por meio do uso de token de autenticação temporária gerado por aplicativos, envio de mensagens de Short Message Service - SMS, reconhecimento facial ou biométrico, e-mail previamente cadastrado, dentre outros;
II - as informações dos usuários devem constar em base de dados governamentais;
III - tanto o acesso dos usuários aos sistemas como a assinatura eletrônica serão autenticados por meio de serviços online de autenticação, providos por intermédio de plataformas governamentais, as quais serão definidas pela Setic;
IV - a assinatura eletrônica deverá gerar um código de verificação, a fim de permitir a conferência da autenticidade e da integridade;
V - os documentos e as assinaturas geradas deverão ser associadas à identificação do usuário e às informações de data e hora; e
VI - para cada documento, será gerado um código hash, ao qual estarão vinculadas as informações constantes no inciso V.
§ 2° Os critérios de segurança constantes no § 1° serão validados pelo Governo do Estado de Rondônia, o qual desempenhará o papel de Autoridade Certificadora Interna.
§ 3° Nos casos em que o nível de segurança exigir, será utilizada certificação digital emanada por Autoridade Certificadora Externa, que obedecerá ao padrão ICP-Brasil.
§ 4° Poderá ser utilizada, ainda, tecnologia blockchain como meio de autenticação, a qual será válida para todos os tipos de assinatura eletrônica.
§ 5° A aplicação do disposto no § 4° dependerá da criação de uma rede blockchain governamental, da qual farão parte, no mínimo, os órgãos e entidades do Poder Executivo do Estado de Rondônia que possuam capacidade técnica e operacional para atuar como um agente de verificação, de forma que haja interoperabilidade.
Seção II - Dos Tipos de Assinatura Eletrônica
Art. 6° As assinaturas eletrônicas são classificadas em:
I - assinatura eletrônica simples:
a) que permite identificar o seu signatário; e
b) que anexa ou associa dados a outros dados em formato eletrônico do signatário;
II - assinatura eletrônica avançada, que utiliza certificação digital da Autoridade Certificadora Interna, ou outro meio de comprovação da autoria e da integridade de documentos em forma eletrônica, desde que admitida pelas partes como válida ou aceita pela pessoa a quem for oposto o documento, com as seguintes condições:
a) estar associada ao signatário de maneira unívoca;
b) utilizar dados para a criação de assinatura eletrônica cujo signatário pode, com elevado nível de confiança, operar sob o seu controle exclusivo; e
c) estar relacionada aos dados a ela associados de tal modo que qualquer modificação posterior seja detectável;
III - assinatura eletrônica qualificada, que utiliza certificação digital validada por Autoridade Certificadora Externa, conforme art. 5, caput, § 3°.
Art. 7° As assinaturas eletrônicas serão utilizadas de acordo com o nível mínimo de segurança exigido, sendo que:
I - a assinatura simples será admitida nas hipóteses cujo conteúdo da interação não envolva informações protegidas por grau de sigilo ou restrição de acesso e não ofereça risco direto de dano a bens, serviços e interesses do ente público, incluídos:
a) a solicitação de agendamentos, atendimentos, anuências, autorizações e licenças para a prática de ato ou exercício de atividade;
b) a realização de autenticação ou solicitação de acesso a sítio eletrônico oficial que contenha informações de interesse particular, coletivo ou geral, mesmo que tais informações não sejam disponibilizadas publicamente;
c) o envio de documentos e o recebimento de número de protocolo decorrente da ação;
d) a participação em pesquisa pública; e
e) o requerimento de benefícios assistenciais, trabalhistas ou previdenciários diretamente pelo interessado;
II - a assinatura eletrônica avançada será admitida nas hipóteses previstas no inciso I e naquelas de interação com o ente público que, considerada a natureza da relação jurídica, exijam maior garantia quanto à autoria, incluídos:
a) as interações eletrônicas entre pessoas naturais ou pessoas jurídicas de direito privado e os entes públicos que envolvam informações classificadas ou protegidas por grau de sigilo ou restrição de acesso;
b) os requerimentos de particulares e as decisões administrativas para o registro ou a transferência de propriedade ou de posse empresariais, de marcas ou de patentes;
c) a manifestação de vontade para a celebração de contratos, convênios, acordos, termos e outros instrumentos sinalagmáticos bilaterais ou plurilaterais congêneres;
d) os atos relacionados a auto cadastro, como usuário particular ou como agente público, para o exercício de atribuições, em sistema informatizado de processo administrativo eletrônico ou de serviços;
e) as decisões administrativas referentes à concessão de benefícios assistenciais, trabalhistas, previdenciários e tributários que envolvam dispêndio direto ou renúncia de receita pela administração pública;
f) as declarações prestadas em virtude de lei que constituam reconhecimento de fatos e assunção de obrigações;
g) o envio de documentos em atendimento a procedimentos administrativos ou medidas de fiscalização; e
h) a apresentação de defesa e interposição de recursos administrativos;
III - a assinatura eletrônica qualificada será aceita em qualquer interação eletrônica com entes públicos, e obrigatória para:
a) os atos de transferência e de registro de bens imóveis, ressalvados os atos realizados perante as juntas comerciais;
b) os atos assinados pelo Governador, pelos Secretários de Estado, Superintendentes e demais autoridades equiparadas;
c) as emissões de notas fiscais eletrônicas, com exceção daquelas cujos emitentes sejam pessoas físicas ou Microempreendedores Individuais - MEIs, situações em que o uso torna-se facultativo; e
d) as demais hipóteses previstas em Lei.
Parágrafo único. Poderá ser estabelecido o uso de assinatura eletrônica em nível de segurança superior nos casos em que as especificidades da interação eletrônica em questão o exijam.
Subseção Única - Dos Critérios de Autenticidade e Integridade
Art. 8° O Poder Executivo do Estado adotará mecanismos para promover aos usuários a capacidade de utilizar assinaturas eletrônicas para as interações necessárias ao ente público, respeitados os seguintes critérios:
I - para a assinatura simples:
a) o usuário poderá fazer seu cadastro pela internet, mediante autodeclaração validada em bases de dados governamentais; e
b) devem ser obedecidos, no mínimo, os critérios estabelecidos no art. 5°, caput, § 1°, incisos I, III, IV e VI;
II - para a assinatura avançada:
a) o usuário deverá realizar o cadastro com garantia de identidade, a partir de validador de acesso digital, incluída a:
1. validação biográfica e documental, presencial ou remota, conferida por agente público;
2. validação biométrica, conferida em base de dados governamentais; ou
3. validação biométrica, biográfica ou documental, presencial ou remota, conferida por validador de acesso digital que demonstre elevado grau de segurança em seus processos de identificação;
b) devem ser obedecidos todos os critérios presentes no art. 5°, caput, § 1°;
III - para a assinatura qualificada:
a) o usuário deverá utilizar certificado digital, nos termos do art. 5, caput, § 3°; e
b) devem ser obedecidos todos os critérios presentes no art. 5°, caput, § 1°.
§ 1° Compete à Setic autorizar os validadores de acesso digital previstos no inciso II do caput.
§ 2° Os requisitos e os mecanismos estabelecidos para reconhecimento de cada tipo de assinatura serão informados no site oficial do Governo do Estado de Rondônia.
§ 3° Constarão nos termos de uso dos mecanismos previstos neste artigo as orientações ao usuário quanto à previsão legal, à finalidade, aos procedimentos e às práticas utilizadas para as assinaturas eletrônicas, nos termos do art. 23, caput, inciso I, da Lei Federal n° 13.709, de 14 de agosto de 2018, que dispõe sobre a Lei Geral de Proteção de Dados Pessoais - LGPD.
Art. 9° Para fins de segurança da informação, os usuários dos sistemas serão classificados em duas categorias:
I - usuário externo - toda pessoa que utilize de sistemas para realizar interações com a Administração na condição de particular; e
II - usuário interno - toda pessoa que utilize de sistemas, cujas interações sejam atividades laborais inerentes à Administração Pública, em decorrência de cargo, emprego ou função, ou ainda em razão de uma relação contratual.
§ 1° Os usuários internos poderão ter acesso às mesas de trabalho dos sistemas, de acordo com o nível de acesso, permissões e responsabilidades que lhes forem atribuídas.
§ 2° Os usuários internos devem estar cadastrados em base de dados governamentais, por meio do órgão de recursos humanos competentes.
§ 3° Os usuários internos realizarão seus pedidos de acesso ou de alteração de acesso às mesas de trabalho dos sistemas por meio de plataforma web, cuja autorização será realizada pela chefia responsável pela unidade organizacional relativa à mesa de trabalho.
§ 4° O acesso do usuário externo será autorizado pelo órgão ou entidade responsável pela interação entre o particular e a Administração, após a conclusão do credenciamento.
§ 5° O credenciamento de usuário externo em base de dados governamental é um ato pessoal e intransferível, realizado junto à Administração, nos termos do art. 8°.
§ 6° No caso de pessoa jurídica, será designada pessoa física para representá-la em suas interações com a Administração Pública.
Art. 10. A perda permanente ou temporária da condição de usuário interno resultará na revogação das permissões de acesso, que deverá ser providenciada pelo órgão de recursos humanos competente.
Parágrafo único. Na ocorrência do caput, não haverá prejuízo à condição da pessoa como usuário externo.
Art. 11. Fica vedada aos órgãos e entidades do Poder Executivo a liberação a usuários externos de acesso às mesas de trabalho dos sistemas.
Parágrafo único. Havendo a necessidade de um particular ter acesso a informações públicas ou de sua titularidade, as quais não estejam disponíveis por meio do acesso como usuário externo, deverá ser solicitada aos órgãos e entidades responsáveis a disponibilização dos documentos e informações, que, respeitando o direito de acesso à informação, deverão fornecê-los tempestiva e preferencialmente por meios digitais e de fácil acesso, conforme regramentos da Lei Federal n° 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no art. 5°, caput, inciso XXXIII, art. 37, caput, § 3°, inciso II, e art. 216, caput, § 2°, todos da Constituição Federal, e Lei Estadual n° 3.166, de 27 de agosto de 2013, que regulamenta o acesso a informações.
Art. 12. Os órgãos e entidades do Poder Executivo deverão:
I - manter atualizadas as informações dos usuários internos em base de dados governamental;
II - ter sua estrutura organizacional atualizada na base de dados, a fim de permitir o controle do nível de acesso; e
III - autenticar o acesso dos seus usuários internos aos sistemas, por meio de serviço de autenticação homologado pelo estado de Rondônia.
Art. 13. Os usuários são responsáveis:
I - pela guarda, sigilo e utilização de suas credenciais de acesso, de seus dispositivos e dos sistemas que provêm os meios de autenticação e de assinatura, todos de uso pessoal e intransferível;
II - por informar ao ente público possível uso ou tentativa de uso indevido; e
III - pela fidedignidade dos dados, informações e documentos inseridos nos sistemas.
Parágrafo único. No caso de uso indevido das assinaturas eletrônicas, o órgão ou entidade responsável por manter o sistema poderá suspender os meios de acesso das assinaturas possivelmente comprometidas, de forma individual ou coletiva.
CAPÍTULO III - DAS DISPOSIÇÕES FINAIS
Art. 14. As assinaturas eletrônicas serão consideradas válidas para todos os efeitos legais, desde que obedecidos os regramentos deste Decreto.
Art. 15. Ficam convalidadas as assinaturas eletrônicas realizadas antes da vigência deste Decreto.
Art. 16. A exigência de níveis mínimos de assinatura eletrônica não poderá ser invocada como fundamento para a não aceitação de assinaturas realizadas presencialmente ou derivadas de procedimentos presenciais para a identificação do interessado.
Art. 17. Fica estabelecido o prazo de 2 (dois) anos, a contar da publicação deste Decreto, para adequação dos sistemas desenvolvidos ou mantidos pelos órgãos e entidades do Poder Executivo do Estado.
Art. 18. Este Decreto entra em vigor na data de sua publicação.
Rondônia, 21 de março de 2025; 204° da Independência e 137° da República.
MARCOS JOSÉ ROCHA DOS SANTOS
Governador
