Visão geral do processo

O processo de consentimento e consulta de dados segue um fluxo que envolve as diferentes entidades reconhecidas pela PGCC. A seção seguinte apresenta um passo-a-passo das etapas desse processo.

Fluxo do processo

Para um Usuário devidamente credenciado, cujos casos de uso no Credencia autorizam uma GCC, o fluxo de consulta de dados de um Titular se inicia da seguinte maneira:

Pedido de Consentimento
- O Usuário pede o consentimento do Titular para ter acesso aos dados pretendidos conforme informados no template do Credencia.
- O pedido de consentimento deve ser comunicado à PGCC para que o Titular tenha a oportunidade de consultar a solicitação nas plataformas governamentais e em possíveis plataformas da GCC:
  1. Caso o Usuário use solução de coleta própria: o Usuário é responsável por informar a solicitação à GCC que, por sua vez, deve registrar a solicitação na PGCC.
  2. Caso o Usuário use a solução da GCC ou solução padrão da PGCC: a GCC também deve registrar a solicitação na PGCC.
Coleta do Consentimento
- O Titular recebe a solicitação por um dos meios possíveis e decide conceder ou não o consentimento.
- A coleta do consentimento pode ser feita sob três modalidades a depender do caso de uso do Usuário:
  1. Solução de coleta própria do Usuário;
  2. Solução da GCC;
  3. Solução padrão da PGCC.
- A decisão coletada do Titular deve ser comunicada à PGCC:
  1. Caso o Usuário use solução de coleta própria: o Usuário é responsável por informar o resultado da decisão à GCC.
  2. Caso o Usuário use a solução da GCC: a GCC é responsável por informar o resultado da decisão à PGCC.
  3. Caso seja usada a solução padrão da PGCC: a plataforma reconhece o evento de atualização do estado do consentimento e o comunica à GCC que gerou o pedido de consentimento via webhook.
Geração do Hash
- Independentemente da modalidade de coleta do consentimento, a GCC precisa gerar um hash de consulta e enviá-lo à PGCC:
  - Um hash de consulta é como um recibo digital assinado e unicamente identificável que representa a intenção de consulta de um Usuário. Uma vez gerado, o hash deve ser repassado à PGCC para validações mínimas e depois ao Usuário que pretende usá-lo.
  - Quando a PGCC recebe um hash da GCC, apenas a assinatura e o formato dos campos são inicialmente validados. Outras validações só são realizadas no eventual momento da consulta quando o hash é enviado pelo usuário.
Consulta de Dados
- Com o consentimento concedido e um hash de consulta válido em mãos, o Usuário pode consultar os dados pretendidos por meio da PGCC.
  - Em caso de acesso indireto, o Anuente deve consultar os dados por meio do Usuário.
- A PGCC recebe o hash de consulta e verifica sua validade no momento da consulta:
  - A conformidade com os templates Credencia, a validade do consentimento e a expiração do hash são algumas das validações realizadas pela PGCC nesta etapa.
- Caso o hash esteja válido, a requisição é encaminhada para as bases de dados apropriadas (RENAVAM, RENACH, RENAINF) e os dados pretendidos são retornados.

Atuação do Titular

Além do procedimento de concessão do consentimento, o Titular pode sempre verificar (e atualizar) o estado de um pedido de consentimento e as informações sobre os tratamentos dos dados desempenhados pelos Usuários (ou Anuentes). Essas ações podem ser desempenhadas tanto por meio do portal da Privacidade Digital do Cidadão (PDC) quanto pelas plataformas das GCCs.

Outras considerações

O processo garante que o acesso aos dados só ocorre mediante o consentimento do Titular.
A comunicação entre os sistemas das entidades (Usuários, GCCs) e a PGCC ocorre por meio de um certificado digital, garantindo a identidade, privacidade e integridade dos dados.
A arquitetura é flexível e permite a integração com novos usuários e novas bases de consulta no futuro.
O fluxo proporciona um modelo seguro e transparente para acesso a informações sensíveis, garantindo conformidade com a LGPD e suas normas de proteção de dados.