O Governo do Tocantins estabeleceu a normativa de segurança e controle de acesso aos serviços digitais da Agência de Tecnologia da Informação (ATI/TO). A Instrução Normativa ATI nº 2/2026, publicada no Diário Oficial do Estado (DOE) nº 7034 dessa terça-feira, 7, define diretrizes, níveis de acesso, padrões de autenticação, para proteção de dados e rastreabilidade e responsabilização no uso dos sistemas, no âmbito da infraestrutura tecnológica da Agência, com foco na segurança da informação e na conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).

A normativa se aplica a servidores efetivos, comissionados e estagiários, além de colaboradores terceirizados, consultores, fornecedores, agentes de outros órgãos que utilizem sistemas geridos pela ATI/TO e cidadãos que acessam os serviços digitais estaduais.

“Com essa regulamentação, o Tocantins reforça uma diretriz essencial para a administração pública, que é garantir que o acesso aos sistemas e aos dados ocorra com segurança, responsabilidade e rastreabilidade. É uma medida que fortalece a proteção das informações do estado e amplia a confiabilidade dos serviços digitais oferecidos ao cidadão”, destaca o presidente da ATI, Alírio Felix Martins Barros.

O superintendente de Infraestrutura e Serviços de Tecnologia da Informação, Anderson Menezes, explica que a normativa consolida parâmetros fundamentais para a segurança, a rastreabilidade e a conformidade dos serviços digitais do Estado com a Lei Geral de Proteção de Dados. “Trata-se de uma medida que fortalece essa proteção, reduz riscos e assegura maior responsabilidade na gestão dos acessos, em benefício da administração pública e do cidadão”, ressalta.

A Instrução Normativa da ATI nº 2/2026 entrou em vigor e poderá ser revisada sempre que houver alteração legislativa, mudança tecnológica significativa ou recomendação técnica dos órgãos competentes. Entre as principais diretrizes, o texto determina que cada conta de usuário seja individual, vinculada ao CPF e ao nome completo do titular, com associação à unidade, à função e ao tipo de vínculo. A norma veda o uso de contas compartilhadas, genéricas ou anônimas e estabelece que toda concessão, alteração ou revogação de acesso deve ser documentada e rastreável.

A normativa também consolida o princípio do menor privilégio, segundo o qual o usuário deve ter acesso apenas ao necessário para o desempenho de suas atividades. No caso de perfis com acesso privilegiado, a elevação de privilégio deverá ser temporária, justificada e formalmente autorizada. Para os serviços digitais oferecidos ao cidadão, a ATI passa a orientar a adoção obrigatória de mecanismos como criptografia de dados em repouso e em trânsito, segregação entre ambientes de produção, homologação e desenvolvimento, proteção contra ataques cibernéticos e registros detalhados de acesso, operação e transação.

Outros destaques

A normativa ainda prevê medidas de transparência sobre o tratamento de dados pessoais, com garantia de acesso, correção e informação ao cidadão sobre o uso de seus dados, em consonância com a LGPD.

Os órgãos responsáveis pelos serviços digitais também deverão manter documentação atualizada, realizar testes periódicos de segurança e comunicar imediatamente qualquer incidente à equipe de Tratamento e Resposta a Incidentes Cibernéticos do Núcleo de Inteligência e Resiliência de Tecnologia da Informação (ETIR/NIRTI).