SEI/DPE-PR - 0328447 - Resolução DPG

Resolução DPG Nº 374, DE 26 de junho de 2026

Institui a Política de Segurança da Informação da Defensoria Pública do Estado do Paraná

 

 

O DEFENSOR PÚBLICO-GERAL, nno uso de suas atribuições legais, especificamente as previstas no art. 18, I, da Lei Complementar Estadual nº 136/2011 e nos artigos 2º, parágrafo único, e 14 da Lei Estadual nº 19.983, de 28 de outubro de 2019;

CONSIDERANDO a crescente relevância da segurança da informação para a proteção dos ativos de informação, sistemas, infraestruturas tecnológicas, dados pessoais e demais informações sob custódia da Defensoria Pública do Estado do Paraná,

CONSIDERANDO a necessidade de observância da legislação aplicável à proteção da informação e ao tratamento de dados pessoais, especialmente a Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), a Lei Federal nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI) e demais legislações aplicáveis,

CONSIDERANDO a relevância da adoção de medidas de segurança, técnicas e administrativas, bem como a necessidade do estabelecimento de procedimentos, processos e políticas internas, conforme disposto nos art. 46 e 50 da LGPD,

CONSIDERANDO a necessidade de fortalecimento da governança institucional e da adoção de diretrizes estruturadas para a gestão da segurança da informação, em conformidade com boas práticas e referenciais reconhecidos nacional e internacionalmente, tais como a ABNT NBR ISO/IEC 27001 e o NIST Cybersecurity Framework,

CONSIDERANDO o compromisso institucional da Defensoria Pública com a preservação da confidencialidade, integridade, disponibilidade, autenticidade e rastreabilidade das informações, em resguardo dos direitos dos assistidos, membros, servidores, colaboradores e parceiros institucionais;

 

RESOLVE:

 

CAPÍTULO I

DISPOSIÇÕES GERAIS

 

Art. 1º. Fica instituída a Política de Segurança da Informação (PSI) da Defensoria Pública do Estado do Paraná (DPE-PR), com o objetivo de estabelecer princípios, diretrizes, responsabilidades e práticas para a proteção das informações.

 

Art. 2º. Esta política aplica-se a todos os ativos de informação, físico ou digital, incluindo dados, sistemas, aplicativos, dispositivos e redes, e a todos os(as) usuários(as) internos(as) e externos(as), sejam membros(as), servidores(as), estagiários(as), voluntários(as), terceirizados(as), residentes, visitantes, contratados(as), parceiros(as) e terceiros(as) que acessem, direta ou indiretamente, informações e recursos tecnológicos da Defensoria Pública do Estado do Paraná.

 

Art. 3º. Para efeitos desta política, ficam estabelecidas as seguintes definições:

I – Ativo: tudo que tenha valor para a organização, material ou não;

II – Informação: dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

III – Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

IV – Integridade: propriedade pela qual se assegura que o dado pessoal não foi modificado ou destruído de maneira não autorizada ou acidental;

V – Disponibilidade: propriedade pela qual se assegura que o dado pessoal esteja acessível e utilizável, sob demanda, por uma pessoa natural ou determinado sistema, órgão ou entidade devidamente autorizados;

VI – Confidencialidade: propriedade pela qual se assegura que o dado pessoal não esteja disponível ou não seja revelado a pessoas, empresas, sistemas, órgãos ou entidades não autorizados;

VII – Autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade;

VIII – Usuário de informação: pessoa física, habilitada pela Administração para acessar os ativos de informação de um órgão ou entidade;

IX – Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou computacionais;

X – Risco: possibilidade de ocorrência de um evento que pode impactar cumprimento dos objetivos, podendo ser mensurado em termos de impacto e de probabilidade;

XI – Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.

 

CAPÍTULO II

PRINCÍPIOS E DIRETRIZES

 

Art. 4º. Esta política visa garantir a confidencialidade, integridade e disponibilidade das informações, assegurando o uso adequado e a mitigação de riscos, para a implementação de ações e controles que garantam a segurança das informações e de dados pessoais.

 

Art. 5º. As ações de segurança da informação da DPE-PR são norteadas pelos seguintes princípios:

I – Disponibilidade, integridade, confidencialidade e autenticidade das informações;

II – Continuidade dos processos e serviços essenciais para o funcionamento da instituição;

III – Respeito ao acesso à informação, à proteção de dados pessoais e à proteção da

privacidade;

IV – Responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação;

V – Alinhamento estratégico desta Política com o planejamento estratégico da DPE-PR e demais normas correlatas;

VI – Conformidade das normas e das ações de segurança da informação com a legislação regulamentos aplicáveis;

VII – Observância da publicidade como preceito geral e do sigilo como exceção;

VIII – Educação e comunicação como alicerces fundamentais para o fomento da cultura e segurança da informação.

 

Art 6º. A gestão da segurança da informação observará as seguintes diretrizes:

I – Adoção de medidas administrativas, técnicas e organizacionais compatíveis com os riscos identificados;

II – Controle de acesso aos ativos de informações com base na necessidade de conhecimento e no menor privilégio possível;

III – Classificação das informações de acordo com sua natureza, sensibilidade e necessidade de proteção;

IV – Gestão de riscos relacionados à segurança da informação;

V – Promoção de ações de conscientização e capacitação dos usuários;

VI – Observância das normas de proteção de dados pessoais, privacidade e transparência;

VII – Adoção de mecanismos destinados à continuidade dos serviços essenciais.

Parágrafo único. Essas diretrizes constituem os principais pilares da gestão de segurança da informação norteando a elaboração de políticas, planos e normas complementares no âmbito da DPE-PR.

Art 7º. O investimento necessário em medidas de segurança da informação deve ser

dimensionado segundo o valor do ativo a ser protegido e de acordo com o risco de potenciais prejuízos à instituição.

 

Art 8º. Esta Política e suas atualizações, bem como normas correlatas, devem ser divulgadas amplamente a todos os usuários de informação, a fim de promover sua observância, seu conhecimento, bem como a formação da cultura de segurança da informação.

§1º. Os usuários de informação devem ser continuamente capacitados nos procedimentos de segurança e no uso correto dos ativos de informação quando da realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação.

§2º. É condição para acesso aos recursos de tecnologia da informação da DPE-PR a assinatura, preferencialmente eletrônica, de Termo de Responsabilidade indicando a ciência aos termos desta Política, as responsabilidades e os compromissos em decorrência deste acesso, bem como as penalidades cabíveis pela inobservância das regras previstas nas normas de segurança da informação da instituição.


 

CAPÍTULO III

CLASSIFICAÇÃO DAS INFORMAÇÕES

 

Art 9º. As informações produzidas, recebidas ou custodiadas pela DPE-PR deverão ser classificadas conforme sua natureza e necessidade de proteção, observando-se as seguintes categorias:

 

I – Públicas: informações destinadas à divulgação ao público em geral, cuja disponibilização não acarreta prejuízo à instituição, aos assistidos ou a terceiros;

II – Internas: informações destinadas ao uso institucional, cuja divulgação não autorizada possui potencial reduzido de impacto, mas que não se destinam à divulgação pública;

III – Restritas: informações cujo acesso deve ser limitado a pessoas autorizadas, em razão de sua sensibilidade, relevância institucional ou necessidade de proteção;

IV – Sigilosas: informações protegidas por sigilo legal, judicial, profissional ou por outras hipóteses previstas em lei, incluindo aquelas abrangidas pelo sigilo profissional inerente ao exercício das funções institucionais da Defensoria Pública.

 

Parágrafo único. Normativo específico disciplinará os critérios de classificação, reclassificação, compartilhamento, armazenamento e proteção das informações.

 

CAPÍTULO IV

DAS RESPONSABILIDADES

 

Art 10. Compete ao Comitê de Governança de Tecnologia e Inovação:

I – Aprovar a revisão e a atualização desta Política, bem como de normas internas correlatas, garantindo sua implementação;

II – Deliberar sobre normas internas de segurança da informação;

IV – Avaliar as ações propostas envolvendo segurança da informação, sempre que envolver os ativos de tecnologia;

V – Assessorar na implementação das ações de segurança da informação;

VI – Apoiar a definição de diretrizes institucionais sobre o tema.

 

Art 11. Compete à Diretoria de Tecnologia e Inovação:

I – Definir, implementar e manter o modelo de gestão da segurança da informação da Instituição;

II – Implementar e manter controles de segurança compatíveis com os riscos identificados e com as necessidades institucionais;

III – Coordenar ações preventivas e corretivas para garantir a conformidade com as normas de segurança da informação;

IV – Planejar, formalizar, coordenar, executar e monitorar as atividades relativas ao Sistema de Gestão de Segurança da Informação;

V – Realizar assessoramento técnico especializado, sempre que demandado.

 

Art 12. Compete ao Encarregado pelo tratamento de dados pessoais, dentre outras atribuições dispostas na legislação vigente e nos normativos internos relacionados à proteção de dados pessoais:

I – Receber informações acerca de incidentes de segurança;

II – Atuar como ponto focal de comunicação com a ANPD e com os titulares de dados pessoais em casos de incidentes que envolvam dados pessoais;

III - Auxiliar na compatibilização dos controles de segurança da informação com as diretrizes de proteção de dados.

 

Art 13. Compete aos usuários de informação:

I – Conhecer, cumprir e fazer cumprir esta Política e as normas complementares aplicáveis;

II – Utilizar os recursos institucionais de forma adequada e compatível com suas atribuições;

III – Proteger as informações sob sua responsabilidade;

IV – Responder pelo uso exclusivo e intransferível de suas senhas de acesso;

V – Buscar conhecimento necessário para a utilização dos recursos de informação;

VI – Zelar pela correta utilização dos recursos de informação, comprometendo-se em não auxiliar terceiro e/ou provocar invasão dos computadores ou da rede de dados;

VII – Comunicar imediatamente situações que possam comprometer a segurança das informações institucionais.

 

Art 14. Compete à Defensoria Pública-Geral, na qualidade de autoridade máxima da instituição:

I – Assegurar a alocação de recursos necessários para a execução das ações de segurança da informação;

II – Solicitar informações detalhadas acerca de incidentes de segurança para tomada de decisão;

III – Deliberar acerca de decisões estratégicas após recebimento de relatórios técnicos e jurídicos;

IV – Deliberar sobre a comunicação externa de incidentes de segurança, considerando orientações prestadas pelo Encarregado e demais setores envolvidos.

 

CAPÍTULO V

DOS PROCESSOS, MEDIDAS E VEDAÇÕES

 

Art 15. A Gestão da Segurança da Informação é constituída, no mínimo, pelos seguintes processos:

I – Tratamento da informação;

II – Segurança física e do ambiente;

III – Gestão de incidentes em segurança da informação;

IV – Gestão de ativos;

V – Gestão do uso dos recursos operacionais e de comunicações, tais como e-mail, acesso à internet, mídias sociais e computação em nuvem;

VI – Controles de acesso;

VII – Gestão de riscos;

VIII – Gestão de continuidade;

IX – Auditoria e conformidade.

 

Parágrafo único. Para tais processos deve ser observada a pertinência de elaboração de políticas, normas, procedimentos, orientações ou manuais que disciplinem ou facilitem o seu entendimento em conformidade com a legislação vigente e boas práticas de segurança de informação.

 

Art 16. Normas complementares poderão ser editadas para regulamentar aspectos específicos relacionados à segurança da informação.

Art 17. A DPE-PR adotará medidas destinadas a assegurar a conformidade com a legislação aplicável à segurança da informação, proteção de dados pessoais, acesso à informação e demais normas correlatas.

Art 18. É vedada a exploração de eventuais vulnerabilidades, as quais devem ser comunicadas às instâncias superiores assim que identificadas.

 

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS

 

Art 19. Esta Política deverá ser revisada periodicamente ou sempre que necessário em razão de alterações normativas, tecnológicas ou organizacionais.

Art 20. Os casos omissos devem ser deliberados pela Defensoria Pública-Geral.

Art 21. Esta Resolução entra em vigor na data de sua publicação.



 

Curitiba, data de inserção no sistema.


 

MATHEUS CAVALCANTI MUNHOZ

Defensor Público-Geral do Estado do Paraná


 


logotipo

Documento assinado digitalmente por MATHEUS CAVALCANTI MUNHOZ, Defensor Público-Geral do Estado do Paraná, em 26/06/2026, às 14:20, conforme art. 1º, III, "b", da Lei 11.419/2006.


QRCode Assinatura

A autenticidade do documento pode ser conferida no site https://sei.defensoria.pr.def.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0 informando o código verificador 0328447 e o código CRC D91F820C.



Publicação

Edição: 1079

Data: 29/06/2026 17:01

Auditoria

Assinatura: xohaf-pusyh-rugep-devok-cytis-gobif-zitot-pycaf-ruges-becec-colyb-cykeg-fotuf-lovaz-myber-hipap-saxux

Publicação Anterior

Conteúdo