MINISTÉRIO DA EDUCAÇÃO
UNIVERSIDADE FEDERAL DA INTEGRAÇÃO LATINO-AMERICANA
COMITÊ DE GOVERNANÇA DIGITAL
RESOLUÇÃO Nº 1, DE 04 DE ABRIL DE 2023
Estabelece as diretrizes de segurança da informação para o uso seguro de mídias sociais no âmbito da Universidade Federal da Integração Latino-Americana.
O COMITÊ DE GOVERNANÇA DIGITAL (CGD), instituído pela Portaria nº 260/2021/GR, no uso de suas atribuições legais,
CONSIDERANDO a Lei nº 13.709, de 14 de agosto de 2018, que dispõe sobre a proteção de dados pessoais;
CONSIDERANDO a Instrução Normativa nº 6, de 23 de dezembro de 2021, do Gabinete de Segurança Institucional da Presidência da República;
CONSIDERANDO o Glossário de Segurança da Informação aprovado na Portaria GSI/PR nº 93, de 26 de setembro de 2019;
CONSIDERANDO a Resolução CGIRC nº 3, de 25 de julho de 2022, que estabelece a Política de Segurança da Informação da UNILA;
CONSIDERANDO o deliberado e aprovado na 1ª Reunião Ordinária do Comitê de Governança Digital, realizada em 28 de março de 2023; e
CONSIDERANDO o que consta no processo nº 23422.025519/2022-05;
RESOLVE:
Art. 1º Estabelecer as diretrizes de segurança da informação para uso seguro de mídias sociais no que se refere aos perfis institucionais no âmbito da Universidade Federal da Integração Latino-Americana (UNILA).
Art. 2º Consideram-se perfis institucionais oficiais aqueles geridos pela Secretaria de Comunicação Social (SECOM) ou pelas unidades que possuam responsáveis designados conforme estabelecido nesta Resolução.
§1º Não serão considerados perfis institucionais oficiais aqueles que, embora utilizem o nome ou a logomarca da instituição, não estejam vinculados à estrutura organizacional da UNILA.
§2º Os perfis, mencionados no parágrafo anterior, são de responsabilidade dos seus criadores e não representam a instituição oficialmente.
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 3º Para os fins desta resolução, consideram-se:
I - Comitê de Governança Digital (CGD): grupo responsável por assessorar a implementação das ações de segurança da informação no âmbito da UNILA;
II - Gestor(a) de Segurança da Informação (GSI): responsável pelas ações de segurança da informação no âmbito da UNILA;
III - Secretaria de Comunicação Social (SECOM): unidade responsável por designar o agente responsável pelo uso seguro de mídias sociais e designar as equipes de administração e gestão de perfis institucionais em mídias sociais;
IV - agente responsável pelo uso seguro de mídias sociais (AR): servidor público ocupante de cargo efetivo na UNILA, incumbido de gerenciar, de forma contínua, o uso seguro de mídias sociais da instituição;
V - equipe de administração e gestão de perfis institucionais em mídias sociais (ADM): servidores públicos que detenham autorização do Agente responsável pelo uso seguro de mídias sociais para administrar perfis institucionais da UNILA nas mídias sociais;
VI - perfis institucionais da UNILA: as contas vinculadas a unidades acadêmicas e/ou administrativas, com prévia autorização, conforme regulamentado neste ato normativo;
VII - alta administração: composta pela Reitoria da UNILA;
VIII - crises: são situações com potencial para causar prejuízo à imagem e à reputação da UNILA perante seus públicos estratégicos;
IX - conta (de e-mail) pessoal institucional: refere-se a caixas de e-mail no padrão pessoal e individual, gerenciadas no domínio da UNILA (ex.: nome.sobrenome@unila.edu.br);
X - conta (de e-mail) organizacional institucional: refere-se a caixas de e-mail organizacionais, gerenciadas no domínio da UNILA (ex: setor@unila.edu.br, serviço@unila.edu.br, etc.).
CAPÍTULO II
A UTILIZAÇÃO DE MÍDIAS SOCIAIS PELA UNILA
Art. 4º A utilização das mídias sociais pela UNILA deve ter como finalidade a aproximação da instituição com o cidadão, a interatividade e o estreitamento das relações institucionais com os seus públicos estratégicos.
§1º As mídias sociais da UNILA devem ser utilizadas como ferramentas para o compartilhamento de informações e a prestação de serviços públicos de forma ágil e transparente, em consonância com os princípios constitucionais da legalidade, impessoalidade, moralidade, publicidade e eficiência.
§2º O uso das mídias sociais não pode comprometer a disponibilidade, integridade, confidencialidade e autenticidade dos ativos de informação da instituição.
Art. 5º As mídias sociais institucionais devem ajudar a potencializar a comunicação da UNILA, contribuindo para a consolidação da identidade e o fortalecimento da imagem institucional.
Art. 6º A estrutura de gestão das mídias sociais será composta por:
I - alta administração;
II - Comitê de Governança Digital (CGD);
III - Gestor(a) de segurança da informação (GSI);
IV - Secretaria de Comunicação Social (SECOM);
V - agente responsável pelo uso seguro de mídias sociais (AR); e
VI - equipes de administração e gestão de perfis institucionais em mídias sociais (ADM).
CAPÍTULO III
DAS COMPETÊNCIAS
Art. 7º Compete à alta administração da UNILA promover a participação em ações de capacitação e de profissionalização dos recursos humanos, em temas relacionados ao uso seguro de mídias sociais.
Art. 8º Compete ao Comitê de Governança Digital (CGD):
I - analisar os riscos de segurança da informação provenientes da presença da instituição em mídias sociais;
II - promover ações para tratar os riscos de segurança da informação provenientes da presença da instituição em mídias sociais;
III - analisar, em caráter conclusivo, e aprovar as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de mídias sociais;
IV - analisar o relatório mensal sobre a utilização de mídias sociais; e
V - assessorar na implementação das ações de segurança da informação para o uso seguro de mídias sociais.
Art. 9º Compete ao(à) Gestor(a) de Segurança da Informação (GSI):
I - propor ações para melhoria contínua da gestão do uso seguro de mídias sociais;
II - fomentar o fortalecimento da cultura da segurança da informação, no que diz respeito ao uso seguro de mídias sociais;
III - instituir e coordenar a equipe responsável pela elaboração e pelas revisões do ato normativo sobre o uso seguro de mídias sociais;
IV - apresentar ao CGD o relatório sobre a utilização de mídias sociais; e
V - encaminhar para aprovação do CGD as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de mídias sociais.
Art. 10 Compete à Secretaria de Comunicação Social (SECOM):
I - designar o agente responsável pelo uso seguro das mídias sociais (AR); e
II - designar os membros das equipes de administração e gestão de perfis institucionais em mídias sociais.
Art. 11 Compete ao agente responsável pelo uso seguro de mídias sociais (AR):
I - gerenciar, acompanhar, analisar e apoiar, de forma contínua, as práticas de uso seguro de mídias sociais, com relação aos aspectos de segurança da informação;
II - verificar se o ato normativo sobre o uso seguro de mídias sociais está sendo seguido de forma adequada e se há necessidade de revisão;
III - promover a cultura de uso seguro de mídias sociais e realizar as ações de segurança da informação cabíveis nesse contexto;
IV - elaborar relatório sobre a utilização de mídias sociais, que contenha a descrição dos incidentes de segurança ocorridos em perfis institucionais e as medidas de correção adotadas, bem como encaminhá-lo ao(à) gestora de segurança da informação para conhecimento;
V - definir procedimentos que devem ser adotados para o fim de se prevenir ou corrigir casos de postagens que possam prejudicar a imagem de autoridades ou da UNILA;
VI - analisar, aprovar ou vetar as solicitações de criação de perfis institucionais em mídias sociais; e
VII - deliberar sobre a exclusão ou adequação de perfis institucionais em mídias sociais conforme os termos desta resolução.
Art. 12 Compete à equipe de administração e de gestão de perfis institucionais em mídias sociais (ADM):
I - criar, alterar, excluir e controlar os perfis institucionais em mídias sociais da UNILA;
II - remover, tão logo tome conhecimento, postagens que estejam em desacordo com a segurança da informação;
III - elaborar relatório mensal sobre a utilização de mídias sociais sob sua administração e disponibilizá-lo ao agente responsável pelo uso seguro de mídias sociais;
IV - organizar, internamente, os fluxos de criação e gestão de conteúdo, considerando os objetivos que determinaram a criação do perfil institucional;
V - executar procedimentos de revisão e moderação das postagens e comentários nos perfis institucionais;
VI - zelar pela manutenção dos padrões visuais específicos do perfil, conforme as contas institucionais onde está presente e os objetivos que levaram a sua criação (público-alvo).
CAPÍTULO IV
DA GESTÃO DOS PERFIS INSTITUCIONAIS EM MÍDIAS SOCIAIS
Seção I
Criação e exclusão de perfis institucionais
Art. 13 A criação de novos perfis em mídias sociais, nos termos desta resolução, deve obedecer aos seguintes critérios:
I - o perfil deve estar vinculado a uma unidade administrativa ou acadêmica da UNILA;
II - estar autorizada, formalmente, pelo agente responsável pelo uso seguro de mídias sociais;
III - utilizar corretamente a logomarca da UNILA, obedecendo aos padrões de identidade visual constantes no Manual de Identidade da Marca.
§1º Para a criação de contas em plataformas de mídias sociais, deve-se observar a existência de políticas e procedimentos de segurança da informação e de privacidade por parte da empresa proprietária ou gestora do aplicativo de mídia social.
§2º A equipe de administração e de gestão de perfis institucionais em mídias sociais poderá ser composta por até dois servidores, sendo um titular e um suplente.
§3º A periodicidade de publicação deverá ser de, no mínimo, um post por semana.
§4º O monitoramento de comentários, mensagens e outras formas de interação deve ser constante.
Art. 14 Os perfis institucionais mantidos em mídias sociais deverão ser administrados e gerenciados por equipes compostas por servidores efetivos.
Parágrafo único. Quando não for possível seguir o disposto no caput deste artigo, a equipe poderá ser mista, com participação de estagiários ou bolsistas, desde que sob coordenação e responsabilidade de servidor efetivo.
Art. 15 A requisição deverá:
I - ser feita por meio de ofício, encaminhado à Secretaria de Comunicação Social (SECOM);
II - ser realizada com antecedência mínima de trinta dias;
III - apresentar:
a) justificativa para a necessidade de criação do perfil;
b) objetivos a serem alcançados;
c) planejamento detalhado sobre em qual mídia social o perfil será criado;
d) periodicidade de publicação;
e) tipos de conteúdos veiculados; e
f) servidores responsáveis pela gestão do perfil.
Parágrafo único. Após confirmada a autorização pelo agente responsável pelo uso seguro de mídias sociais (AR), os servidores designados para compor a equipe de administração e de gestão de perfis institucionais em mídias sociais (ADM) deverão realizar os procedimentos e ajustes nos perfis institucionais conforme estabelecido nesta Resolução.
Art. 16 O perfil vinculado a uma unidade acadêmica e/ou administrativa previamente existente à publicação desta Resolução deverá seguir o fluxo de solicitação de criação de perfil, a fim de regularizar sua permanência e oficializar-se como perfil institucional.
Parágrafo único. Caso tal procedimento não seja realizado, a unidade será notificada para que faça a adequação ou a exclusão do perfil.
Art. 17 O perfil poderá ser excluído nos seguintes casos:
I - a unidade responsável identifique que não há mais a necessidade da existência do perfil;
II - a unidade responsável não disponha de servidor(es) apto(s) a dar continuidade nos trabalhos;
III - a unidade responsável deixe de existir;
IV - o perfil contenha conteúdos que descumprem as regras estabelecidas nesta Normativa;
V - o perfil deixe de publicar conteúdos por um período igual ou superior a 6 meses.
Seção II
Administração dos perfis institucionais
Art. 18 Sempre que possível, a administração dos perfis institucionais deve ser realizada por meio de contas de e-mail organizacional institucional da respectiva unidade.
§1º Quando não for possível a utilização de uma conta de e-mail organizacional institucional, recomenda-se a utilização de uma conta pessoal institucional.
§2º O acesso aos perfis institucionais deve ser compartilhado pelos servidores indicados.
§3º O e-mail de recuperação de senha das contas institucionais em mídias sociais deverá ser, sempre que possível, midias.sociais@unila.edu.br, com a finalidade de manter o registro e a segurança das contas.
Art. 19 Todas as contas devem utilizar login com autenticação em dois fatores, sempre que disponível.
§1º Para evitar o bloqueio dos perfis por acessos múltiplos de locais diferentes, recomenda-se que não sejam compartilhadas senhas ou acessos com o mesmo login.
§2º Sempre que possível, deve-se utilizar logins pessoais e intransferíveis.
Art. 20 É vedada a terceirização da administração e gestão dos perfis institucionais da UNILA nas mídias sociais.
Seção III
Publicação de conteúdos nas mídias sociais
Art. 21 As publicações nas mídias sociais devem prezar por conteúdos que estejam em consonância com os objetivos da UNILA, sem inserções que atendam a interesses ou manifestações pessoais, comerciais ou publicitárias.
Art. 22 No caso da transmissão de eventos ou realização de lives em perfis institucionais, a responsabilidade pelo conteúdo é da equipe de administração e gestão do perfil, que deve dar ciência desta normativa aos participantes, previamente, sobre as permissões e vedações.
Art. 23 As equipes de administração e gestão de perfis institucionais em mídias sociais (ADM) serão orientadas sobre a forma de utilização de cada mídia, boas práticas e gestão de crises nas mídias sociais.
Art. 24 Os perfis institucionais devem prezar pelas principais características de utilização das mídias sociais: frequência de publicações, interatividade, linguagem simples e adaptada a cada canal.
Art. 25 Os perfis institucionais devem usar corretamente a marca da UNILA e estarem adequados ao padrão visual institucional, conforme estabelecido pelas orientações institucionais vigentes.
Parágrafo único. Cabe à Secretaria de Comunicação Social (SECOM) orientar sobre a criação de artes gráficas e utilização da marca da UNILA.
Art. 26 São vedadas as publicações que contenham:
I - informações classificadas ou de acesso restrito, conforme Lei 12.527/2011;
II - conteúdo ofensivo, obsceno, pornográfico, sexualmente sugestivo, abusivo, discriminatório, difamatório, ameaçador, de ódio, de caráter político-partidário e que infrinja a Lei nº 7.716/1989 e as leis de propriedade intelectual e de privacidade;
III - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
IV - recomendações profissionais ou que visem à promoção de produtos ou empresas que não tenham parceria vigente e formalizada com a instituição.
§1º O agente responsável pelo uso seguro de mídias sociais irá excluir ou recomendar a exclusão de qualquer conteúdo que possa ser interpretado como uma das vedações.
§2º A remoção da publicação se dará sem prejuízo da possibilidade de procedimento de apuração ética ou disciplinar.
Seção IV
Interação com os usuários nas mídias sociais
Art. 27 É recomendável que as dúvidas enviadas pelas mídias sociais - seja por comentários ou mensagens privadas - sejam sempre respondidas.
Parágrafo único. Caso o servidor responsável pelo perfil institucional nas mídias sociais não saiba a resposta, deve encaminhar o usuário para contato com o setor responsável, informando os meios de contato.
Art. 28 A depender do tipo de informação solicitada pelo usuário, deve-se priorizar o envio de mensagem privada em detrimento de comentários públicos, a fim de serem respeitadas as legislações voltadas ao direito à privacidade e à proteção de dados pessoais.
Parágrafo único. Dados pessoais que permitam identificar, direta ou indiretamente, o usuário deverão ser solicitados por meio de mensagem privada.
Art. 29 Comentários com mensagens ofensivas e com palavras de baixo calão podem ser denunciados, ocultados ou excluídos pelo servidor responsável pelo perfil.
Art. 30 No caso de assuntos polêmicos que geram discussão entre os próprios usuários nos comentários, não é recomendável que o perfil institucional responda para além de posicionamento oficial, se houver.
Seção V
Relatórios
Art. 31 Conforme estabelecido nas competências, mensalmente, a equipe de administração e gestão de perfis nas mídias sociais deve elaborar relatórios que contenham, no mínimo, as seguintes informações:
I - o total de contas criadas e excluídas;
II - o total de seguidores registrados;
III - a quantidade de postagens realizadas e removidas; e
IV - a descrição dos incidentes de segurança ocorridos e as medidas de correção adotadas.
§1º Caberá ao agente responsável pelo uso seguro de mídias sociais elaborar e disponibilizar à equipe de administração e gestão de perfis um modelo de relatório para preenchimento mensal.
§2º Os relatórios a que se refere o caput deste artigo deverão ser enviados ao agente responsável pelo uso seguro de mídias sociais até o 15º dia do mês subsequente à sua elaboração.
§3º Os relatórios recebidos pelo agente responsável pelo uso seguro de mídias sociais deverá ser enviado ao(à) gestor(a) de segurança da informação, que os submeterá ao Comitê de Governança Digital.
Seção VI
Incidentes
Art. 32 Ao identificar uma publicação que viole o disposto no Art. 26 e/ou caracterize quaisquer outras ilegalidades, o agente responsável pelo uso seguro de mídias sociais deverá:
I - solicitar à equipe de administração e gestão do perfil (ADM) a remoção da publicação e/ou a adequação do conteúdo;
II - notificar a equipe de administração e gestão do perfil, por meio de ofício, sobre a ocorrência do incidente e solicitar a assinatura de um termo de ciência;
III - determinar, em caso de três reincidências, a exclusão da conta, ou a substituição do servidor responsável pelo incidente;
IV - após avaliação dos danos e da repercussão gerada pelo conteúdo inadequado, o agente responsável pelo uso seguro das mídias sociais (AR) poderá recomendar a publicação de uma nota explicativa no perfil institucional de origem.
§1º Ao receber qualquer material que indique um possível incidente em um perfil institucional, o administrador de perfis institucionais em mídias sociais deverá comunicar o fato ao agente responsável pelo uso seguro de mídias sociais (AR) para que sejam adotadas as providências necessárias.
§2º A remoção da publicação se dará sem prejuízo da possibilidade de procedimento de apuração ética ou disciplinar.
Seção VII
Gestão de Crises
Art. 33 Quando identificada uma possível crise em um perfil institucional, a Secretaria de Comunicação Social deve ser acionada para que sejam tomadas as providências de forma a minimizar os impactos para a instituição.
Art. 34 Cabe ao gestor do perfil institucional buscar, com agilidade, atender às solicitações ou prestar esclarecimentos, sempre que necessário.
CAPÍTULO V
DA SEGURANÇA DA INFORMAÇÃO
Art. 35 O uso das mídias sociais deve respeitar a legislação vigente, a Política de Segurança da Informação (POSIN) da UNILA e quaisquer outros atos normativos complementares.
Art. 36 A publicação de dados pessoais em mídias sociais deverá observar o disposto na Lei Geral de Proteção de Dados Pessoais e em normas correlatas.
Art. 37 É de responsabilidade do agente responsável pelo uso seguro de mídias sociais (AR) manter atualizada a lista de perfis institucionais e de contas institucionais associadas, com as seguintes informações, por perfil:
I - endereço da mídia social onde a conta foi criada;
II - identificação da conta (login e e-mail utilizado para criação);
III - unidade responsável;
IV - equipe de administração e gestão de perfis institucionais em mídias sociais.
Art. 38 Os servidores responsáveis pela administração de perfis institucionais nas mídias sociais (ADM) devem atender ao disposto nas normativas institucionais e nas regras de segurança das plataformas de mídias sociais.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 39 Caberá à SECOM e ao CGD acompanhar o cumprimento do disposto nesta Resolução, cabendo às unidades, quando necessário, solicitar mudanças nos perfis da UNILA.
Art. 40 O não cumprimento desta Resolução poderá caracterizar inobservância ao dever disposto no art. 116, inciso III, da Lei n. 8.112/1990, sendo cabível a perda do acesso às mídias sociais da UNILA e a eventual apuração disciplinar.
Art. 41 Os casos omissos serão resolvidos pela Secretaria de Comunicação Social.
Art. 42 Os perfis previamente existentes à publicação desta Resolução terão um prazo de 90 dias para sua regularização conforme disposto acima.
Art. 43 Esta Resolução entra em vigor em 2 de maio de 2023.
GLEISSON ALISSON PEREIRA DE BRITO
Resolução nº 1/2023/CGD, com publicação no Boletim de Serviço nº 61, de 05 de Abril de 2023.