O SECRETÁRIO-CHEFE DA SECRETARIA-GERAL DE GOVERNO, no uso das atribuições que lhe conferem os incisos I e II, § 1º do art. 40 da Constituição do Estado de Goiás; o inciso XIII do art. 5º e o caput c/c inciso I do § 2º do art. 108 da Lei estadual nº 21.792, de 16 de fevereiro de 2023; o inciso V do art. 75 e o inciso III do art. 78 do Decreto estadual nº 10.355, de 05 de dezembro de 2023; e com fundamento na Resolução Normativa nº 01/2022 - SEDI, que Institui a Política de Cibersegurança do Estado de Goiás, e suas alterações posteriores,

RESOLVE:

CAPÍTULO I - DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Instrução Normativa regulamenta o uso de tecnologias de Automação de Processos Robóticos - RPA no âmbito da administração pública direta, autárquica e fundacional do Poder Executivo do Estado de Goiás, estabelecendo diretrizes para sua implementação, uso, monitoramento e restrições, visando garantir a segurança da informação, a governança dos processos automatizados e o cumprimento das normas de conformidade regulatória.

Art. 2º O objetivo desta norma é limitar o uso de RPA que envolva consultas a base de dados estadual, em função dos riscos de segurança e de conformidade.

CAPÍTULO II - DAS DEFINIÇÕES

Art. 3º Para os efeitos desta Instrução Normativa, considera-se:

I - Automação de Processos Robóticos - RPA: tecnologia que utiliza softwares para automatizar tarefas repetitivas anteriormente realizadas por humanos, replicando ações humanas em sistemas digitais;

II - base de dados: conjunto estruturado de dados digitais, geralmente organizado em tabelas, destinado ao acesso, consulta e manipulação por sistemas automatizados, sem abranger o ambiente completo do banco de dados ou seu sistema gerenciador;

III - conformidade regulatória: adesão e cumprimento aos requisitos legais, normativos e políticas internas que regulamentam o uso de dados e tecnologias, assegurando operações dentro dos padrões estabelecidos;

IV - segurança da informação: conjunto de práticas, políticas e controles destinados a proteger a integridade, confidencialidade e disponibilidade das informações, em conformidade com as normas estaduais de segurança da informação, a Política Estadual de Cibersegurança e a Lei Geral de Proteção de Dados - LGPD;

V - Unidade Central de Tecnologia da Informação - UCTI: unidade central que coordena a gestão de Tecnologia da Informação no âmbito do Estado de Goiás, atualmente, a Subsecretaria de Tecnologia da Informação, da Secretaria-Geral de Governo, com suas respectivas unidades básicas e complementares;

VI - Unidade Setorial de Tecnologia da Informação - USTI: unidade administrativa, pertencente a órgão ou entidade estadual, responsável por atuar nas atividades de tecnologia da informação, sob o direcionamento técnico da Unidade Central de Tecnologia da Informação; e

VII - Órgão de Gestão de Tecnologia da Informação - OGTI: órgão ou entidade estadual, responsável pela promoção, formulação e gestão da política estadual de tecnologia da informação no âmbito do Estado de Goiás, atualmente, a Secretaria-Geral de Governo.

CAPÍTULO III - DAS RESTRIÇÕES AO USO DE RPA

Art. 4º É vedada a utilização de tecnologias de RPA para consulta, manipulação ou interação direta com bases de dados estaduais no âmbito da administração pública direta, autárquica e fundacional do Poder Executivo do Estado de Goiás, salvo nas hipóteses em que houver autorização expressa do OGTI, nos termos desta Instrução Normativa.

Art. 5º É vedada a utilização de RPA instalada em máquinas individuais de usuários para os fins de que trata o art. 4º desta Instrução Normativa, ressalvada a hipótese de autorização doOGTI, em caráter excepcional, desde que devidamente justificada.

CAPÍTULO IV - DO FLUXO DE APROVAÇÃO PARA USO DE RPA

Art. 6º Em caráter excepcional, a utilização de tecnologias de RPA que envolvam consultas a bases de dados poderá ser autorizada mediante análise e aprovação prévia, conforme o fluxo estabelecido a seguir:

I - Solicitação Inicial: o responsável pela área demandante deverá formalizar uma solicitação detalhada, contendo:

a) descrição do procedimento a ser automatizado;

b) identificação dos sistemas envolvidos;

c) justificativas técnicas e operacionais para a necessidade de automação; e

d) período de utilização.

II - Avaliação Técnica pela USTI: a USTI do órgão ou entidade demandante deverá:

a) avaliar a viabilidade técnica da automação proposta;

b) verificar a conformidade com as normas de segurança da informação, especialmente no que tange à proteção de dados pessoais e sensíveis;

c) identificar possíveis impactos na integridade e desempenho dos sistemas envolvidos; e

d) emitir parecer técnico circunstanciado, recomendando ou não a autorização do uso da tecnologia de RPA.

III - Encaminhamento à UCTI: o parecer técnico da USTI, acompanhado da documentação completa da solicitação, deverá ser submetido à UCTI para avaliação final; e

IV - Decisão Final: A UCTI, após análise dos aspectos de governança, segurança e conformidade regulatória, deliberará sobre a autorização ou rejeição da utilização da tecnologia de RPA conforme solicitado.

Parágrafo único. A decisão final será comunicada formalmente ao órgão ou entidade demandante.

CAPÍTULO V - DO MONITORAMENTO E DA AUDITORIA

Art. 7º A autorização para o uso das atividades de RPA será concedida por períodos determinados, conforme estabelecido pela UCTI no momento da solicitação ou conforme o período solicitado pelo usuário.

Parágrafo único. Ao término do prazo de autorização, a UCTI avaliará a necessidade de renovação ou encerramento do acesso, considerando os critérios de segurança, conformidade e eficiência operacional.

Art. 8º A utilização de tecnologias de RPA podem ser auditadas e estão sujeitas a monitoramento e rastreamento de segurança pela UCTI ou por órgãos competentes designados, com o objetivo de:

I - avaliar a conformidade das implementações de RPA com as políticas internas, normas de segurança da informação e regulamentações vigentes;

II - verificar a eficácia e eficiência dos processos automatizados, identificando oportunidades de melhoria e possíveis riscos operacionais;

III - assegurar a integridade, confidencialidade e disponibilidade dos dados manipulados pelas soluções de RPA;

IV - detectar e prevenir eventuais não conformidades ou atividades suspeitas decorrentes do uso das tecnologias de RPA.

Parágrafo único. Caso sejam irregularidades durante a auditoria, a UCTI poderá suspender temporariamente o uso das tecnologias de RPA até que as correções necessárias sejam implementadas ou, caso as irregularidades representem riscos significativos ou não possam ser adequadamente sanadas, cancelar definitivamente o uso da RPA.

CAPÍTULO VI - DAS SANÇÕES PELO USO INDEVIDO

Art. 9º O descumprimento das disposições desta Instrução Normativa, especialmente no que se refere ao uso indevido de tecnologias de RPA, poderá resultar nas seguintes sanções, conforme a gravidade da infração:

I - advertência formal: para infrações leves que não causem danos aos dados ou à segurança da informação;

II - suspensão temporária do acesso aos sistemas de RPA: para infrações médias que possam comprometer a integridade ou confidencialidade das informações; e

III - responsabilização administrativa, civil e penal: para infrações graves que envolvam violação de dados sensíveis, comprometimento da segurança da informação ou desrespeito às normas regulatórias.

§ 1º Serão responsabilizados todos os agentes públicos que, por ação ou omissão, contribuírem para o descumprimento desta Instrução Normativa, incluindo:

I - quem solicitar a implementação de RPA em desacordo com as normas;

II - quem implementar a automação sem autorização ou fora dos procedimentos aprovados;

III - quem utilizar as tecnologias de RPA de forma inadequada ou para fins não autorizados; e

IV - quem autorizar ou permitir, sem a devida diligência, o uso indevido de RPA em suas áreas de competência.

§ 2º A advertência formal consiste em uma repreensão escrita encaminhada por meio eletrônico ao infrator.

§ 3º O período de suspensão temporária do acesso aos sistemas de RPA será definido pela UCTI, considerando a gravidade da infração e o potencial impacto causado.

§ 4º Independentemente das sanções aplicadas, medidas corretivas e preventivas deverão ser adotadas para minimizar os impactos do uso indevido da tecnologia de RPA e reestabelecer a conformidade com as normas vigentes.

§ 5º Em caso de reincidência, as sanções previstas neste artigo poderão ser agravadas, inclusive com a aplicação cumulativa de mais de uma penalidade, conforme a gravidade e a natureza das infrações cometidas.

CAPÍTULO VII - DAS DISPOSIÇÕES FINAIS

Art. 10. A UCTI adotará medidas para avaliar e propor soluções institucionais de automação que permitam a adoção segura e eficiente de RPA, em conformidade com as melhores práticas de governança.

Art. 11. Os órgãos e entidades da administração pública direta, autárquica e fundacional do Poder Executivo estadual deverão adequar seus procedimentos internos às disposições desta Instrução Normativa no prazo de 90 (noventa) dias, contados a partir da data de sua publicação.

Art. 12. Após o prazo definido no artigo anterior, o acesso a qualquer sistema de RPA não regularizado será bloqueado, até que as adequações necessárias sejam realizadas e aprovadas pela UCTI.

Art. 13. Os casos omissos e as dúvidas surgidas na aplicação desta Instrução Normativa serão dirimidos pela UCTI, em conjunto com a Procuradoria Setorial do OGTI.

Art. 14. Esta Instrução Normativa entra em vigor na data de sua publicação.

Gabinete do Secretário-Chefe da Secretaria-Geral de Governo, aos 17 dias de junho de 2025.

ADRIANO DA ROCHA LIMA

Secretário-Chefe da Secretaria-Geral de Governo