O governo do Tocantins estabeleceu a normativa de segurança e controle de acesso aos serviços digitais da Agência de Tecnologia da Informação (ATI-TO). A Instrução Normativa ATI nº 2/2026, publicada no Diário Oficial nº 7034 desta terça-feira, 07, define diretrizes, níveis de acesso, padrões de autenticação, para proteção de dados e rastreabilidade e responsabilização no uso dos sistemas, no âmbito da infraestrutura tecnológica da Agência, com foco na segurança da informação e na conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).
A normativa se aplica a servidores efetivos, comissionados e estagiários, além de colaboradores terceirizados, consultores, fornecedores, agentes de outros órgãos que utilizem sistemas geridos pela ATI-TO e cidadãos que acessam os serviços digitais estaduais.
“Com essa regulamentação, o Tocantins reforça uma diretriz essencial para a administração pública, que é garantir que o acesso aos sistemas e aos dados ocorra com segurança, responsabilidade e rastreabilidade. É uma medida que fortalece a proteção das informações do Estado e amplia a confiabilidade dos serviços digitais oferecidos ao cidadão”, destacou o presidente da ATI, Alírio Felix Martins Barros.
“Essa normativa consolida parâmetros fundamentais para a segurança, a rastreabilidade e a conformidade dos serviços digitais do Estado com a Lei Geral de Proteção de Dados. Trata-se de uma medida que fortalece essa proteção, reduz riscos e assegura maior responsabilidade na gestão dos acessos, em benefício da administração pública e do cidadão”, ressaltou o superintendente de Infraestrutura e Serviços de Tecnologia da Informação, Anderson Menezes.
A Instrução Normativa ATI nº 2/2026 entrou em vigor e poderá ser revisada sempre que houver alteração legislativa, mudança tecnológica significativa ou recomendação técnica dos órgãos competentes. Entre as principais diretrizes, o texto determina que cada conta de usuário seja individual, vinculada ao CPF e ao nome completo do titular, com associação à unidade, função e tipo de vínculo. A norma veda o uso de contas compartilhadas, genéricas ou anônimas e estabelece que toda concessão, alteração ou revogação de acesso deve ser documentada e rastreável.
A normativa também consolida o princípio do menor privilégio, segundo o qual o usuário deve ter acesso apenas ao necessário para o desempenho de suas atividades. No caso de perfis com acesso privilegiado, a elevação de privilégio deverá ser temporária, justificada e formalmente autorizada. Para os serviços digitais oferecidos ao cidadão, a ATI passa a orientar a adoção obrigatória de mecanismos como criptografia de dados em repouso e em trânsito, segregação entre ambientes de produção, homologação e desenvolvimento, proteção contra ataques cibernéticos e registros detalhados de acesso, operação e transação.
Outros destaques
A normativa ainda prevê medidas de transparência sobre o tratamento de dados pessoais, com garantia de acesso, correção e informação ao cidadão sobre o uso de seus dados, em consonância com a LGPD.
Os órgãos responsáveis pelos serviços digitais também deverão manter documentação atualizada, realizar testes periódicos de segurança e comunicar imediatamente qualquer incidente à Equipe de Tratamento e Resposta a Incidentes Cibernéticos do Núcleo de Inteligência e Resiliência de Tecnologia da Informação (ETIR/NIRTI).
