DOU 23/08/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023082300070
70
Nº 161, quarta-feira, 23 de agosto de 2023
ISSN 1677-7042
Seção 1
II - orientar a elaboração, aprovar os Relatórios de Impacto à Proteção de
Dados Pessoais e monitorar a implantação das medidas mitigadoras propostas pelas áreas
do Instituto;
III - receber:
a) reclamações e comunicações dos titulares dos dados pessoais e adotar
providências; e
b) comunicações da Autoridade Nacional de Proteção de Dados - ANPD e
articular a adoção das providências junto às áreas envolvidas;
IV - orientar as unidades e colaboradores a respeito de boas práticas de
proteção de dados pessoais;
V - promover e elaborar estudos sobre as práticas nacionais e internacionais
de proteção de dados pessoais e privacidade;
VI - disponibilizar à ANPD, a qualquer momento, informe das operações de
tratamento de dados pessoais, com a emissão de parecer técnico; e
VII - promover ações de cooperação com as entidades públicas ou privadas
relacionadas à proteção de dados pessoais.
3.1.4.3 Para promover a gestão da Proteção de Dados Pessoais no âmbito do
INSS, além da atuação da equipe de proteção de dados que é coordenada pela já citada
COPDP e do encarregado de proteção de dados, para melhor integração com as áreas
técnicas, é importante destacar o papel do Comitê Temático de Gestão da Informação -
CTGI, que conta com a participação de servidores indicados por todas as Diretorias, além
da Procuradoria Federal Especializada - PFE, Auditoria-Geral, Corregedoria-Geral, e
Presidência, devendo o CTGI:
I
-
aprovar
procedimentos
e
normas
internas
que
orientem
o
compartilhamento
de dados
sob
gestão do
INSS
com
outras organizações
da
administração pública e da sociedade civil, bem como a categorização dos níveis de
compartilhamento desses dados com outras entidades da administração pública federal
direta, autárquica e fundacional, bem como de outras esferas;
II - propor o compartilhamento específico de dados sob gestão do INSS com
essas mesmas entidades, além da necessidade de acompanhar as deliberações e
orientações do Comitê Central de Governança de Dados; e
III - instituir procedimentos e normas internas para o levantamento das
informações sujeitas à classificação de sigilo, a formalização dos termos de classificação
e o tratamento das informações classificadas, a promoção do compartilhamento amplo de
dados abertos, em transparência ativa, relativos aos benefícios concedidos e a outras
bases de dados sob gestão do INSS sobre as quais não recaia vedação expressa de
acesso, o fomento da transparência e o acesso à informação.
3.1.5 Inventário de Dados Pessoais
3.1.5.1 O Inventário de Dados Pessoais consiste em documentar o tratamento
de dados pessoais realizado pela Instituição, consoante art. 37 da LGPD. Objetiva fazer
um balanço do que o INSS faz com os dados pessoais disponíveis em seus sistemas,
identificando os agentes de tratamento, quais dados pessoais são tratados, onde estão
armazenados, quais operações são realizadas com eles e os demais atributos necessários
a uma avaliação de risco e de conformidade com a legislação regulatória em vigor.
3.1.5.2 De uma forma geral, esse registro mantido pelo IDP é aplicável pelo
INSS para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador; e
II - execução de políticas públicas.
3.1.5.3 As formas de entrada em bancos de dados geridos pelo INSS são
diversas, visto que este realiza a gestão de benefícios previdenciários e assistenciais, além
do Seguro-Desemprego do Pescador Artesanal. Para a realização de políticas públicas, o
INSS detém a gestão do Cadastro de Pessoas através do Cadastro Nacional de
Informações Sociais - CNIS, que contém informações de diversas bases governamentais.
Assim, os dados são coletados nos sistemas geridos pelo INSS, através de um cadastro do
cidadão para filiação na condição de contribuinte obrigatório ou não, bem como quando
da requisição de algum benefício ou serviço administrado pelo INSS.
3.1.5.4 A retenção/armazenamento ou eliminação é realizada conforme
legislação vigente e não há descarte, seguindo obrigações legais do Controlador.
3.1.5.5 Convém destacar que o INSS tem adotado medidas para garantir a
segurança de dados na análise de benefícios, seguindo as normas de privacidade dos
dados pessoais e de segurança da informação, entre elas a Instrução Normativa
PRES/INSS nº 128, de 28 de março de 2022, que prevê, no § 1º do art. 523 que os
processos administrativos previdenciários, em virtude dos dados pessoais e sigilosos neles
contidos, são de acesso restrito aos interessados e a quem os represente, salvo
determinação judicial ou solicitação do Ministério Público, esta devidamente justificada,
para fins de instrução de processo administrativo de sua competência.
3.1.5.6 Atualmente, possuímos 158 (cento e cinquenta e oito) sistemas
catalogados no nível da Administração Central, alguns criados e mantidos pela operadora
de dados (Dataprev), outros pela DTI, além daqueles regionais que não foram catalogados
em sua completude. Não obstante, há sistemas operados por empresas privadas, como
correio eletrônico, ferramenta de disponibilização e criação de painéis, armazenamento
de dados em nuvens, dentre outros.
3.1.5.7 Quanto aos sistemas corporativos, utilizamos o catálogo de dados da
operadora Dataprev, atualmente na versão 1.23.4 de 2 de fevereiro de 2023. Os sistemas
operacionais internos são acompanhados pela DTI. Contudo, quanto aos sistemas
manufaturados e operados regionalmente, objetivamos catalogá-los e acompanhá-los com
apoio da DTI.
3.1.5.8 A elaboração e manutenção do Inventário de Dados Pessoais será
executada em consonância com o material produzido pela Secretaria de Governo Digital
- SGD que subsidiará sua construção, pelos responsáveis por cada sistema operacional,
aos quais caberá informar sobre alterações implementadas nos processos organizacionais,
cabendo ao Encarregado pelo Tratamento de Dados Pessoais o acompanhamento e
gestão desse inventário, até que seja publicada a Política de Privacidade e Proteção de
Dados em sua totalidade, ocasião em que esta atribuição poderá ser designada a outro
responsável.
3.1.6 Levantamento de Contratos relacionados a Dados Pessoais
3.1.6.1 Os acordos, contratos e convênios no âmbito do INSS podem ser
firmados de maneira centralizada pela Administração Central, os quais são monitorados
cada
qual pela
sua
área de
atuação,
como
também descentralizados
pelas
Superintendências Regionais e Gerências-Executivas, necessitando, de forma geral, de
levantamento e verificação quanto à adequação à LGPD.
3.1.6.2 Para que essa adequação
ocorra de maneira concatenada e
padronizada, já que a elaboração de acordos e convênios está distribuída em toda a
estrutura, faz-se necessária a elaboração de um Guia de Adequação de Contratos e
Convênios. O Guia estabelecerá parâmetros que venham a sanear a necessidade de
adequação com cláusulas elaboradas para assegurar a proteção dos dados pessoais, tanto
nos novos contratos como nas renovações dos vigentes. Integrarão o documento os
modelos de acordos e convênios internacionais inspirados nos modelos de Standard
Contractual Clauses (SCC) que a Comissão Europeia publicou, com base em Data
Processing Agreements (DPAs), para que haja adequação aos padrões internacionais.
3.1.6.3 Cabe ainda mencionar a importância da elaboração de um Inventário
de Contratos, Convênios e Ajustes que poderá ser assessorada pela Equipe de Tratamento
de Dados Pessoais, com apoio do Encarregado de Dados e da Coordenação-Geral de
Licitações e Contratos, da Divisão de Gerenciamento de Acordos de Cooperação e da
Coordenação de Acordos Internacionais de Benefícios, cuja manutenção será de
responsabilidade dos fiscais designados para cada instrumento, aos quais caberá manter
atualizadas as informações pertinentes.
3.1.6.4 É essencial para a gestão e governança das atividades de tratamento
de dados pessoais, especialmente no que diz respeito ao monitoramento e vigência de
termos e legislação que disciplinam a questão, a estruturação de uma solução de
informática para a devida gestão, acompanhamento e controle dos acordos, convênios e
contratos, que deve ser construída considerando o número elevado desses instrumentos,
a qual proporcionará um inventário centralizado, podendo-se catalogar facilmente todos
os instrumentos de contrato, convênios ou ajustes diversos que contenham dados
pessoais, contribuindo para possíveis e necessárias adequações contratuais, tanto nos
contratos existentes, quanto nos futuros.
3.1.7 Plano de conscientização, treinamento e comunicação
3.1.7.1 Para que um Programa de Governança em Privacidade tenha êxito em
sua implantação é essencial que toda a Instituição esteja bem alinhada. Uma boa maneira
de disseminar conhecimento é a partir de programas de treinamento e conscientização
do corpo funcional, sem olvidar que planos de comunicação devem ser continuamente
desenvolvidos.
3.1.7.2 Campanhas de treinamento e comunicação devem informar leis e
políticas aplicáveis, as consequências por violá-las e incentivar procedimentos de
denúncia, com a divulgação dos canais para tal.
3.1.7.3 O plano de conscientização, treinamento e comunicação:
I - trará previsão de calendário periódico de cursos com certificação, versando
sobre as temáticas tangentes aos direitos à privacidade e à proteção dos dados pessoais,
tais como segurança da informação, direito à privacidade e gestão de risco; e
II - contemplará a consolidação de material, atualizado periodicamente, com
instruções e normas de boas práticas envolvendo segurança da informação,
disponibilizado a todos os colaboradores, além de medidas que visem a internalização da
cultura de proteção de dados pessoais nas unidades do INSS.
3.1.8 Diagnóstico de Maturidade da Organização quanto à adequação à LGPD
3.1.8.1 Neste ponto, apresenta-se uma análise do atual estágio de adequação do
INSS em relação à LGPD, realizada em conformidade com o Guia de Elaboração de Programa
de Governança em Privacidade e por meio da utilização da ferramenta para análise de
maturidade da SGD que foi disponibilizada no sítio eletrônico Pesquisa SISP GOV.
3.1.8.2 Cabe ressaltar que essa não é a primeira vez que o INSS realiza esse
levantamento, já que, anteriormente, teve que avaliar o grau de maturidade em privacidade
de dados pessoais, por conta do Acórdão 1384/2022 do Tribunal de Contas da União.
3.1.8.3 É oportuno identificar que a ferramenta de análise de maturidade da
SGD é composta por um questionário de 33 (trinta e três) perguntas acerca dos
expedientes adotados pela Administração em relação ao grau de desenvolvimento. Essas
perguntas envolvem 7 (sete) áreas de atuação, que são: governança, conformidade legal
e respeito aos princípios, transparência e direitos do titular, rastreabilidade, adequação de
contratos e de relações com parceiros, segurança da informação, transparência e violação
de dados.
3.1.8.4 Partindo de tais premissas, é conveniente a comparação da maturidade
dos
processos
de gestão
de
informações
pessoais
em
cada uma
dessas
áreas,
possibilitando ao INSS uma clara compreensão dos pontos em que mais evoluiu e em
quais se deve envidar mais esforços para o atingimento do grau de excelência e
referência em gestão de dados pessoais
3.1.8.5 Governança:
3.1.8.5.1 As ações adotadas já tiveram repercussão com a ampliação do grau
neste quesito. Para sua progressão, um plano de comunicação e capacitação institucional
estruturada apresentam-se como instrumentos necessários para aumentar o grau de
maturidade. Esse plano engloba as atividades promovidas visando a conscientização tanto
do público interno quanto do público externo, principais interessados na proteção de seus
dados pessoais.
3.1.8.6 Conformidade legal e respeito aos princípios:
3.1.8.6.1 Apresentou-se como um dos pontos com o maior índice de
maturidade e do qual se busca o atingimento do nível de excelência, embora resta
evidente o quão desafiador se mostra, dada a magnitude do banco de dados utilizado
pelo INSS, que além de receber dados de outras bases também é fonte para diversas
outras entidades. Assim, tendo este PGP como instrumento, o INSS pretende fazer com
que toda a organização se adeque totalmente aos parâmetros de conformidade legal e
respeito aos princípios contidos na LGPD.
3.1.8.7 Transparência e direitos do titular:
3.1.8.7.1 O principal canal de recepção dos serviços institucionais, "Meu INSS",
já possui Política de Privacidade de Dados, que embora necessite de revisão constante
devido as especificidades do INSS, demonstra avanço considerável, devendo ser ampliada
aos demais sistemas.
3.1.8.8 Rastreabilidade:
3.1.8.8.1 Quanto ao quesito da rastreabilidade, o INSS passou a adotar o
privacy by design em todos os novos sistemas, sendo possível a identificação do
responsável pela consulta aos dados pessoais e também sua alteração, por meio de
consulta individual em cada sistema. Por outro lado, parte dos sistemas desenvolvidos
anteriormente à vigência da LGPD possui uma maior limitação, sendo possível identificar
a autoria somente nos casos de alteração dos dados.
3.1.8.8.2 Em relação aos sistemas que fazem parte do legado, objetiva-se a
implementação de um único portal de acesso a todos os sistemas por meio da
autenticação via Sistema de Gerenciamento de Identidade - Gerid, superando as
limitações de rastreabilidade já mencionadas.
3.1.8.9 Adequação de contratos e de relações com parceiros
3.1.8.9.1 A Política de Privacidade de Dados está presente nos novos
contratos, termos de parceria e acordos, pactuados a nível de Administração Central,
padrão este que deverá ser seguido no caso das Superintendências Regionais e Gerências-
Executivas.
3.1.8.9.2 Para os documentos do legado, será realizada a implementação e
revisão de todos os contratos, termos de parceria e acordos que estão em fase de
aditivação.
3.1.8.10 Segurança da informação
3.1.8.10.1 Considerada um dos pontos cruciais em matéria de proteção de
dados, tem atenção especial do PGP que buscará implementar todas as ações necessárias
para o seu aprimoramento, face ao crescente risco global.
3.1.8.10.2 Importante destacar a evolução obtida nesse ponto com relevantes
ações institucionais, entre elas: a inclusão de cláusula contratual com a operadora
Dataprev com aplicação da ISO 27701, a certificação digital e autenticação em duas
etapas que reforça a privacidade e proteção de dados pessoais.
3.1.8.11 Violação de dados
3.1.8.11.1 Este tema pode ser analisado por duas vertentes: dados digitais e
dados analógicos. No primeiro, já existem fluxos publicados de tratamento de incidentes
que visam prevenir e tratar os possíveis incidentes de vazamento de dados. Quanto aos
incidentes relativos aos vazamentos de dados analógicos, a Coordenação-Geral de
Conformidade publicará um manual de procedimentos a serem utilizados pelo INSS em
conformidade com a LGPD.
3.2 Construção e Execução
3.2.1 Políticas e práticas para proteção da privacidade do cidadão e Política de
Segurança da Informação.
3.2.1.1
Dada
a
relevância
do
INSS para
a
sociedade
brasileira,
é
de
fundamental importância a construção de uma Política de Proteção da Privacidade que
deve ser considerada por todos, da alta administração ao nível operacional.
3.2.1.2 A Política de Privacidade aqui tratada consiste em um documento
interno, que tem como objetivo trazer informações sobre o tratamento dos dados
pessoais que sejam necessárias para o atendimento das metas institucionais, garantindo
que o uso dos dados pessoais seja adequado às legislações específicas.
3.2.1.3 Na Política de Proteção de Dados Pessoais deve constar seu objetivo,
deixando clara a razão de sua existência e quais as metas a serem alcançadas,
delimitando seu escopo, apontando a área de atuação e os responsáveis pela coleta,
retenção, processamento, compartilhamento e eliminação de dados pessoais, além de
garantir uma estrutura para adequação às normas que regem a matéria, com previsão de
eventuais sanções em caso de descumprimento.
3.2.1.4 No que se refere à Política de Segurança da Informação, considerando
que o INSS tem como uma de suas missões institucionais o reconhecimento de direito
aos cidadãos e que para isso possui um dos maiores bancos de dados pessoais da
América Latina, a atualização das tecnologias disponíveis no mercado em termos de
Segurança da Informação deve estar na pauta das tratativas do INSS junto à empresa de
tecnologia que lhe presta serviços, no caso a Dataprev, de modo a garantir um sistema
mais moderno e seguro de proteção dos dados pessoais.
Fechar