DOU 23/08/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023082300072
72
Nº 161, quarta-feira, 23 de agosto de 2023
ISSN 1677-7042
Seção 1
V - tratamento dos dados e sua finalidade: é realizado pelo INSS para o
atendimento de sua finalidade pública, na persecução do interesse público, com o
objetivo de executar as competências legais ou cumprir as suas atribuições do serviço
público. Assim, deve restar claro na Política de Privacidade quais dados serão tratados e
qual sua finalidade. Os principais tratamentos de dados realizados pelo INSS estão
relacionados à atualização de dados cadastrais, atualização e informações relativas aos
vínculos de trabalho, remunerações e contribuições e dados de dependentes. O
tratamento das informações se destina, como regra, à análise, concessão e manutenção
de benefícios. No entanto, outros dados poderão ser tratados e devem ser igualmente
informados. Destaca-se nessa seção o atendimento aos princípios estabelecidos no art. 6º
da LGPD, especialmente o princípio da necessidade, que estabelece a limitação do
tratamento ao mínimo necessário para a realização das finalidades previstas, de forma
proporcional e não excessiva;
VI - coleta dos dados: além de especificar quais dados são coletados, é
importante esclarecer ao titular como os dados são obtidos. Os dados mais relevantes
para o reconhecimento de direitos vêm do CNIS, do Cadastro Único (CadÚnico), do
eSocial e do Sistema Nacional de Informações de Registro Civil, que são bases de dados
onde estão armazenadas as informações trabalhistas dos cidadãos, registro de
nascimento, casamento e óbito. Todavia, outras bases de dados, inclusive de outros
órgãos, podem ser utilizadas. Pode, ainda, haver coleta de informações por meio de
funcionalidades específicas do dispositivo do usuário como, por exemplo, pela câmera,
para dados de biometria;
VII - compartilhamento de dados: para estar em conformidade com a LGPD, o
serviço
deverá informar
ao titular
do
dado que
utiliza
o serviço
sobre o
uso
compartilhado de dados pelo controlador e a finalidade de seu compartilhamento. Ao
realizar o compartilhamento dos dados, deverá sempre ser observada a inclusão de
cláusulas de preservação de sigilo das informações;
VIII - transferência internacional de dados: para os casos que envolvam
transferência de dados entre países, deve-se deixar claro para o titular quais os dados
serão transferidos internacionalmente, para qual finalidade, quais países estão envolvidos
e qual o grau de proteção e privacidade fornecido por eles;
IX - segurança dos dados: é fundamental que sejam apresentadas ao titular
dos dados as medidas de segurança que foram implementadas no serviço que trata seus
dados pessoais, além de definir meios para que seja comunicado sobre a ocorrência de
incidente de segurança que lhe possa acarretar risco ou dano relevante. Também é
importante citar qual o canal de comunicação para que o titular reporte possíveis
violações, falhas e vulnerabilidades do serviço, que esteja em consonância com o Plano
de Gestão de Incidentes Cibernéticos ou outros planos que venham a ser elaborados;
X - cookies: a sua utilização deve considerar a hipótese legal que considere a
prévia autorização do usuário ou qualquer outra hipótese que respalde a coleta desses
dados, devendo estar claro o aviso sobre sua utilização, consentimento e informar a
respeito de quais dados pessoais são coletados, armazenados e para qual finalidade;
XI - tratamento posterior dos dados para outras finalidades: deve ser
comunicado ao titular do dado, informando-o a respeito de quais dados poderão ser
utilizados para tratamentos posteriores e qual a sua finalidade.; e
XII - mudanças na Política de Privacidade: a política poderá ser alterada a qualquer momento
para atender à evolução do serviço oferecido ou à LGPD. Por isso, recomenda-se que seja informada ao
usuário a forma de comunicação das mudanças realizadas, sua versão atual e a data da última atualização
do documento. Deverão ainda ser mantidas informações das datas de vigor e teor das versões anteriores.
3.3 Monitoramento
3.3.1 O monitoramento objetiva verificar se as medidas implementadas estão de
acordo com o instituído no PGP e as recomendações emitidas nos RIPDs, bem como se aquelas
medidas foram suficientes para conformidade do tratamento de dados à LGPD e para
solucionar a situação apontada nos relatórios como inadequada frente aos critérios adotados.
3.3.2 Indicadores de performance
3.3.2.1 Devem buscar identificar o grau de conformidade do INSS frente à
LGPD. Destarte, deve dispor de ferramentas e métodos para aferição das medidas de
proteção da privacidade já implementadas, a fim de verificar a evolução das unidades no
processo de adequação dos serviços e sistemas, bem como se as medidas adotadas são
suficientes e atendem aos requisitos de proteção dos dados.
3.3.2.2 A avaliação deve buscar identificar o grau de aderência e conformidade
com a LGPD, podendo ser realizado anualmente, e abranger a avaliação dos índices de:
I - maturidade, a ser realizado através do Diagnóstico de Adequação à LGPD;
II - internalização institucional referente à LGPD, o qual poderá ser mensurado
por meio de formulários elaborados e aplicados nas diversas etapas - implantação, pós
campanha de comunicação, pós capacitação; e
III - adequação de acordos, contratos e convênios à LGPD.
3.3.3 Gestão de incidentes
3.3.3.1 Um incidente de segurança com dados pessoais é qualquer evento
adverso confirmado, decorrente de ato intencional ou acidental, relacionado à violação na
segurança de dados pessoais, que resulte em divulgação, alteração, destruição ou perda
indevidas, bem como acessos não autorizados aos dados pessoais, ou ainda, qualquer
forma de tratamento de dados inadequada ou ilícita, independentemente do meio em
que
estão
armazenados,
comprometendo
a
confidencialidade,
integridade
ou
disponibilidade de dados pessoais.
3.3.3.2 Para a eficiência da gestão de incidente é imprescindível a definição
dos atores, papéis e responsabilidades, sejam individuais ou coletivos, além da elaboração
e divulgação de fluxos com a descrição das atividades de tratamento de incidentes.
3.3.3.3 Em relação aos incidentes de segurança cibernéticos que dizem
respeito ao possível vazamento de dados de servidores (de rede, nuvem ou outros), o
INSS conta hoje com um fluxo de tratamento definidos pela DTI e DIGOV, que
compreende as respostas e formas de tratamento a serem implementadas no caso de
incidentes.
3.3.3.4 Dessa forma, o aprimoramento e as atualizações constantes nesse
fluxo são medidas imprescindíveis para o fortalecimento da gestão de incidentes no
âmbito do INSS, tendo em vista as evoluções tecnológicas e os graves danos à proteção
de dados que os incidentes cibernéticos de vazamento de dados podem causar.
3.3.3.5 Assim, o mapeamento e acompanhamento dos incidentes, já previstos
no fluxo de respostas aos incidentes cibernéticos, também devem ser constantemente
aprimorados, procurando ferramentas cada vez mais eficientes. Estudos para propostas
de ações na esfera de proteção têm potencial para fortalecer cada vez mais todo o
sistema de gestão de incidentes.
3.3.3.6 A confecção de normas referentes a gestão de incidentes deve ser
pautada na clareza das informações, definições objetivas das responsabilidades dos atores
envolvidos, alinhamento técnico com a operadora, bem como a definição do escopo e
objetivo da norma deve ser compreensível a todos.
3.3.3.7 Além dos incidentes de natureza cibernética, existem outros que
também podem comprometer a privacidade no tratamento dos dados pessoais. O
vazamento desses dados é um dos mais conhecidos incidentes de segurança e ocorre
quando dados são indevidamente acessados, coletados e divulgados ou repassados a
terceiros. O dano ao titular pode ser das mais diversas naturezas, como fraudes,
tentativas de golpes, uso indevido dos dados, venda dos dados, etc.
3.3.3.8 Para os casos que representem incidentes de segurança, mas não
necessariamente envolvam tecnologia da informação, deverá ser desenvolvido plano de
resposta, definindo-se fluxos, papéis e responsabilidades, considerando também as
orientações da ANPD e demais normativos de regência.
3.3.3.9 A gestão de incidentes de privacidade deve consistir, portanto, na
recepção, tratamento e resposta a esses incidentes, buscando identificar sua causa raiz,
documentar e avaliar os riscos que afetem as operações de tratamento de dados
pessoais.
3.3.4 Análise e Reporte de Resultados
3.3.4.1 A análise e divulgação da evolução das ações e dos resultados obtidos
são essenciais para o fortalecimento da cultura de privacidade dos dados e para
demonstrar o valor do PGP. Nesse sentido, o INSS disponibilizará as referidas informações
através do Portal do INSS, bem como as reportará para toda a alta administração.
REFERÊNCIAS BIBLIOGRÁFICAS
BRASIL, Constituição da República Federativa do Brasil de 1988. Brasília, DF: 1988
BRASIL, Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de
Dados Pessoais - LGPD. Brasília, DF: 2018
BRASIL, Decreto nº 10.046, de 9 de outubro de 2019. Dispõe sobre a
governança no compartilhamento de dados no âmbito da administração pública federal e
institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. Brasília,
DF: 2019
BRASIL, Decreto nº 10.995, de 14 de março de 2022. Aprova a Estrutura
Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de
Confiança do Instituto Nacional do Seguro Social - INSS e remaneja e transforma cargos
em comissão e funções de confiança. Brasília, DF: 2022
INSS, Instituto Nacional do Seguro Social. Portaria PRES/INSS nº 30, de 15 de
fevereiro de 2023. Designa o Encarregado de Dados no INSS
INSS, Instituto Nacional do Seguro Social. Portaria PRES/INSS nº 1.532, de 8 de
dezembro de 2022. Aprova o Regimento Interno do INSS.
INSS, Instituto Nacional do Seguro Social. Portaria DTI/INSS Nº 88, de 27 de
dezembro de 2022. Estabelece o Plano de Gestão de Incidentes Cibernéticos (PGIC) no
âmbito do Instituto Nacional do Seguro Social;
INSS, Instituto Nacional do Seguro Social. Instrução Normativa PRES/INSS nº
128, de 28 de março de 2022. Disciplina as regras, procedimentos e rotinas necessárias
à efetiva aplicação das normas de direito previdenciário.
CCGD, COMITÊ CENTRAL DE GOVERNANÇA DE DADOS. Guia de Boas Práticas LGPD.
SGD, SECRETARIA DE GOVERNO DIGITAL, Guia de Elaboração de Programa de
Governança em Privacidade
SGD, SECRETARIA DE GOVERNO DIGITAL, Guia de elaboração de Termo de Uso
e Política de Privacidade para serviços públicos
SGD, SECRETARIA DE GOVERNO DIGITAL, Guia de elaboração de inventário de
dados pessoais
INSS, Lei Geral de Proteção de Dados Pessoais (LGPD), disponível em
https://www.gov.br/inss/pt-br/acesso-a-informacao/lei-geral-de-protecao-de-
dadospessoais, acessado em 05/04/2023.
INSS, A LGPD e o INSS, disponível em https://www.gov.br/inss/pt-br/centrais-
deconteudo/publicacoes/apresentacoes/SaibaMaisLGPDINSS.pdf,
acessado
em
05/04/2023
INSS,
Política
de
Privacidade
do
Meu
INSS,
disponível
em
https://www.gov.br/inss/ptbr/canais_atendimento/saiba-tudo-sobre-o-meu-inss/politica-
de-privacidade-do-meu-inss, acessado em 05/04/2023
ANPD, Autoridade Nacional de Proteção de Dados. Comunicação de incidente
de segurança, disponível em https://www.gov.br/anpd/ptbr/canais_atendimento/agente-
de-tratamento/comunicado-de-incidente-de-seguranca-cis, acessado em 06/04/2023
R E T I F I C AÇ ÃO
1. Nos Anexos I e IX da Portaria PRES/INSS nº 1.583, de 21 de julho de 2023,
publicada no Diário Oficial da União - DOU nº 139, de 24 de julho de 2023, Seção 1, pág.
110, Onde se lê:
ANEXO I
PORTARIA PRES/INSS Nº 1.494, DE 9 DE SETEMBRO DE 2022
ÓRGÃOS DE ASSISTÊNCIA DIRETA E IMEDIATA AO PRESIDENTE, ÓRGÃOS
SECCIONAIS E ÓRGÃO ESPECÍFICO SINGULAR
...
.
2
Assistente Técnico
FCE 1.05
...
ANEXO IX
PORTARIA PRES/INSS Nº 1.494, DE 9 DE SETEMBRO DE 2022
CONSOLIDAÇÃO/ATUALIZAÇÃO DO QUADRO "A" DO ANEXO II DO DECRETO Nº
10.995, DE 14 DE MARÇO DE 2022 E PONTOS CCE CORRESPONDENTES
...
.
2
Assistente Técnico
FCE 1.05
1,20
...
Leia-se:
...
ANEXO I
PORTARIA PRES/INSS Nº 1.494, DE 9 DE SETEMBRO DE 2022
ÓRGÃOS DE ASSISTÊNCIA DIRETA E IMEDIATA AO PRESIDENTE, ÓRGÃOS
SECCIONAIS E ÓRGÃO ESPECÍFICO SINGULAR
...
.
2
Assistente Técnico
FCE 2.05
...
ANEXO IX
PORTARIA PRES/INSS Nº 1.494, DE 9 DE SETEMBRO DE 2022
CONSOLIDAÇÃO/ATUALIZAÇÃO DO QUADRO "A" DO ANEXO II DO DECRETO Nº
10.995, DE 14 DE MARÇO DE 2022 E PONTOS CCE CORRESPONDENTES
.
2
Assistente Técnico
FCE 2.05
1,20
...
2. Na alínea "b" do inciso II do art. 1º da Portaria PRES/INSS nº 1.598, de 8 de
agosto de 2023, publicada no DOU nº 151, de 9 de agosto de 2023, Seção 1, pág. 82, Onde
se lê: "na Ouvidoria, código 01.001.8", Leia-se "na Coordenação de Demandas de
Ouvidoria, código 01.001.82".
3. No Anexo da Portaria PRES/INSS nº 1.598, de 2023, publicada no DOU nº
151, de 9 de agosto de 2023, Seção 1, pág. 82, Onde se lê:
.
. Código
Denominação da Unidade
Sigla
Unid.
Superior
Qtde. Cargo/Função
Referência
.
P R ES I D Ê N C I A
. ...
...
...
...
...
...
...
. 01.001.8
Ouvidoria
OUVID
01.001
Ouvidor
FCE 1.13
.
2
Assistente Técnico
Especializado
FCE 4.06
.
1
Assistente Técnico
Especializado
FCE 4.02
. 01.001.81
Coordenação do Serviço de
Informação ao Cidadão
CSIC
01.001.8
Coordenador
FCE 1.11
. 01.001.82
Coordenação de Demandas
de Ouvidoria
CDOUV 01.001.8
Coordenador
FCE 1.11
. 01.001.821 Serviço de Gerenciamento
da Central Especializada de
Ouvidoria
S G CO
01.001.82
Chefe
FCE 1.05
. ...
...
...
...
...
...
...
Leia-se:
. Código
Denominação da Unidade
Sigla
Unid.
Superior
Qtde. Cargo/Função
Referência
.
P R ES I D Ê N C I A
. ...
...
...
...
...
...
...
. 01.001.8
Ouvidoria
OUVID
01.001
Ouvidor
FCE 1.13
.
2
Assistente Técnico
Especializado
FCE 4.06
. 01.001.81
Coordenação do Serviço de
Informação ao Cidadão
CSIC
01.001.8
Coordenador
FCE 1.11
. 01.001.82
Coordenação de Demandas
de Ouvidoria
CDOUV 01.001.8
Coordenador
FCE 1.11
.
1
Assistente Técnico
Especializado
FCE 4.02
. 01.001.821 Serviço de Gerenciamento
da Central Especializada de
Ouvidoria
S G CO
01.001.82
Chefe
FCE 1.05
. ...
...
...
...
...
...
...
Fechar