PORTARIA Nº 0101.2026, DE 02 DE FEVEREIRO 2026

Institui a Política de Segurança da Informação e Privacidade (PSI) e o Programa de Governança de Segurança da Informação no âmbito da Secretaria Municipal de Urbanismo e Licenciamento (SMUL), e dá outras providências.

A SECRETÁRIA MUNICIPAL DE URBANISMO E LICENCIAMENTO, no uso das atribuições que lhe são conferidas por lei, e

CONSIDERANDO o disposto no inciso X do artigo 5º da Constituição Federal, que assegura a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas;

CONSIDERANDO a Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais;

CONSIDERANDO a Lei Federal nº 14.129, de 29 de março de 2021 (Lei do Governo Digital), que estabelece princípios, regras e instrumentos para o aumento da eficiência da administração pública, especialmente por meio da desburocratização, da inovação e da transformação digital;

CONSIDERANDO o Decreto Municipal nº 59.767, de 15 de setembro de 2020 , que regulamenta a aplicação da LGPD no âmbito da Administração Municipal direta e indireta;

CONSIDERANDO as diretrizes técnicas estabelecidas na Portaria SGD/MGI nº 9.511, de 28 de outubro de 2025 , que institui o Programa de Privacidade e Segurança da Informação (PPSI) no âmbito federal, servindo como referencial de boas práticas e maturidade institucional;

CONSIDERANDO, por fim, que a informação é ativo estratégico essencial para o cumprimento da missão institucional da SMUL de planejar e regular o desenvolvimento urbano da cidade de São Paulo ;

RESOLVE:

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Fica instituída a Política de Segurança da Informação e Privacidade (PSI) no âmbito da Secretaria Municipal de Urbanismo e Licenciamento (SMUL), com o objetivo de assegurar a confidencialidade, integridade, disponibilidade e autenticidade dos ativos de informação, bem como a conformidade com a legislação de proteção de dados pessoais.

Art. 2º A presente Política aplica-se a:

I - Todos os servidores públicos, empregados públicos, ocupantes de cargos em comissão e estagiários da SMUL;

II - Prestadores de serviços, consultores, auditores externos e colaboradores de empresas contratadas;

III - Demais órgãos ou entidades que, por força de convênio, acordo de cooperação técnica ou instrumento congênere, tenham acesso a ativos de informação ou sistemas da SMUL.

Parágrafo único. Os editais de licitação e os contratos celebrados pela SMUL deverão conter cláusulas específicas que obriguem a observância das diretrizes estabelecidas nesta Portaria e nas normas complementares dela decorrentes, sob pena de responsabilização contratual e legal.

Art. 3º Para os efeitos desta Portaria, adotam-se as seguintes definições :

I - Alta Administração: O Secretário Municipal, o Secretário Adjunto e o Chefe de Gabinete da SMUL;

II - Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano a um sistema ou organização;

III - Ativo de Informação: Qualquer patrimônio que tenha valor para a organização, compreendendo dados, sistemas, softwares, equipamentos, infraestrutura, pessoas e processos;

IV - Autenticidade: Propriedade que garante que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;

V - Confidencialidade: Propriedade que garante que a informação não esteja disponível ou não seja revelada a pessoa, sistema, órgão ou entidade não autorizados e nem credenciados;

VI - Disponibilidade: Propriedade que garante que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados;

VII - Gestão de Riscos: Processo sistemático de identificar, analisar, avaliar e tratar os riscos de segurança da informação;

VIII - Incidente de Segurança: Evento ou série de eventos indesejados ou inesperados que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação;

IX - Integridade: Propriedade que garante que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

X - Tratamento de Dados Pessoais: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

CAPÍTULO II

DOS PRINCÍPIOS E OBJETIVOS

Art. 4º A Segurança da Informação e Privacidade na SMUL reger-se-á pelos seguintes princípios :

I - Legalidade e Conformidade: Atuação em estrita observância às leis, decretos e normas vigentes;

II - Segurança "By Design" e "By Default": Incorporação de requisitos de segurança e privacidade desde a fase de concepção de produtos, serviços e sistemas;

III - Necessidade de Conhecer (Need-to-know): O acesso à informação será restrito ao mínimo necessário para o desempenho das atividades funcionais;

IV - Segregação de Funções: Separação de atribuições e responsabilidades para reduzir o risco de uso indevido da informação;

V - Defesa em Profundidade: Implementação de múltiplas camadas de controles de segurança;

VI - Responsabilidade Compartilhada: A segurança da informação é dever de todos os usuários, independentemente de nível hierárquico.

Art. 5º São objetivos estratégicos da PSI:

I - Proteger os ativos de informação contra ameaças internas e externas;

II - Assegurar a continuidade dos serviços críticos de licenciamento e planejamento urbano em situações de contingência;

III - Minimizar os riscos de vazamento, perda, alteração indevida ou indisponibilidade de dados;

IV - Promover a cultura de segurança da informação e privacidade;

V - Garantir o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD).

CAPÍTULO III

DA ESTRUTURA DE GOVERNANÇA

Art. 6º Fica instituído o Comitê de Segurança da Informação e Privacidade (CSIP), órgão colegiado de caráter deliberativo e consultivo, responsável pela governança da segurança da informação na SMUL.

§ 1º O CSIP será composto pelos titulares das seguintes unidades:

I - Gabinete do Secretário, que o presidirá;

II - Assessoria de Tecnologia da Informação e Comunicação (ATIC);

III - Coordenadoria de Administração e Finanças (CAF);

IV - Assessoria Técnica e Jurídica (ATAJ);

V - Coordenadoria de Planejamento Urbano (PLANURB);

VI - Coordenadoria de Legislação de Uso e Ocupação do Solo (DEUSO).

§ 2º O Encarregado pelo Tratamento de Dados Pessoais (DPO) da SMUL integrará o CSIP como membro permanente.

Art. 7º Compete ao Comitê de Segurança da Informação e Privacidade (CSIP):

I - Aprovar normas complementares, padrões e procedimentos de segurança da informação;

II - Deliberar sobre o Plano Estratégico de Segurança da Informação;

III - Avaliar e monitorar os riscos de segurança da informação e privacidade;

IV - Constituir grupos de trabalho para tratar de temas específicos;

V - Arbitrar sobre casos omissos ou exceções à PSI.

Art. 8º Compete à Assessoria de Tecnologia da Informação e Comunicação (ATIC) :

I - Propor normas e procedimentos técnicos de segurança da informação;

II - Implementar e manter controles tecnológicos de segurança, como firewalls, antivírus, criptografia e backup;

III - Monitorar o ambiente computacional para detectar vulnerabilidades e incidentes;

IV - Apoiar a resposta a incidentes de segurança cibernética.

Art. 9º Compete ao Gestor de Segurança da Informação, a ser designado pela Alta Administração :

I - Coordenar a implementação do Programa de Privacidade e Segurança da Informação;

II - Conduzir a gestão de riscos e a análise de impacto nos negócios;

III - Promover ações de conscientização e capacitação em segurança da informação;

IV - Elaborar relatórios periódicos sobre o estado da segurança da informação na SMUL.

Art. 10. Compete aos Gestores das Unidades Organizacionais:

I - Assegurar que sua equipe cumpra as diretrizes desta Política;

II - Classificar as informações sob sua responsabilidade, conforme normas de classificação;

III - Solicitar e autorizar acessos aos sistemas apenas para usuários que necessitem para suas funções;

IV - Comunicar imediatamente à ATIC qualquer incidente de segurança identificado.

Art. 11. Compete a todos os Usuários:

I - Manter o sigilo de suas credenciais de acesso (login e senha), que são pessoais e intransferíveis;

II - Utilizar os recursos de TIC exclusivamente para fins profissionais;

III - Bloquear sua estação de trabalho sempre que se ausentar;

IV - Não instalar softwares não autorizados ou conectar dispositivos estranhos à rede corporativa;

V - Reportar qualquer comportamento anômalo ou suspeita de incidente de segurança.

CAPÍTULO IV

DO PROGRAMA DE PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO

Art. 12. A SMUL implementará o Programa de Privacidade e Segurança da Informação (PPSI-SMUL), alinhado às diretrizes federais e municipais, com o objetivo de elevar a maturidade institucional em segurança.

§ 1º O PPSI-SMUL observará o ciclo de melhoria contínua, composto pelas seguintes etapas obrigatórias:

I - Diagnóstico: Avaliação periódica da conformidade com as normas e boas práticas;

II - Análise de Lacunas (Gap Analysis): Identificação de vulnerabilidades e pontos de melhoria;

III - Planejamento: Elaboração de Planos de Ação com definição de responsáveis, prazos e recursos;

IV - Implementação: Execução das medidas de segurança e controles de privacidade.

§ 2º A SMUL deverá realizar, no mínimo anualmente, o diagnóstico de maturidade em privacidade e segurança da informação.

CAPÍTULO V

DA CLASSIFICAÇÃO E CONTROLE DE ACESSO

Art. 13. Toda informação produzida, custodiada ou tramitada na SMUL deve ser classificada quanto ao grau de sigilo, visando garantir a proteção adequada conforme sua sensibilidade.

§ 1º A classificação da informação deve observar os critérios estabelecidos na Lei de Acesso à Informação (LAI) e na LGPD.

§ 2º Norma complementar definirá os níveis de classificação (ex: Público, Interno, Restrito, Confidencial) e os procedimentos para rotulagem e manuseio.

Art. 14. O acesso aos sistemas e informações da SMUL será concedido com base no princípio do menor privilégio, garantindo-se apenas as permissões estritamente necessárias para a execução das atividades do usuário (Denegação por Padrão).

CAPÍTULO VI

DA GESTÃO DE INCIDENTES

Art. 15. A SMUL manterá processo formal de gestão de incidentes de segurança da informação, contemplando as fases de detecção, registro, análise, contenção, erradicação, recuperação e pós-incidente.

Parágrafo único. Incidentes que envolvam dados pessoais deverão ser comunicados imediatamente ao Encarregado de Dados (DPO), para avaliação da necessidade de notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, nos termos da LGPD.

CAPÍTULO VII

DAS SANÇÕES E DISPOSIÇÕES FINAIS

Art. 16. A violação das diretrizes desta Política e das normas complementares constitui infração funcional, sujeitando o infrator às sanções disciplinares, civis e penais previstas na legislação pertinente.

Art. 17. A ATIC deverá elaborar e submeter ao CSIP, no prazo de 180 (cento e oitenta) dias, as normas complementares necessárias à operacionalização desta Política, incluindo:

I - Norma de Classificação da Informação;

II - Norma de Controle de Acesso Lógico e Gestão de Senhas;

III - Norma de Uso Aceitável de Ativos de TIC;

IV - Plano de Continuidade de Negócios e Recuperação de Desastres.

Art. 18. Esta Portaria entra em vigor na data de sua publicação.