DOU 23/08/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023082300071
71
Nº 161, quarta-feira, 23 de agosto de 2023
ISSN 1677-7042
Seção 1
3.2.1.5 Atualmente o INSS conta com algumas normas referentes à segurança
da Informação, quais sejam:
I - as Portarias:
a) DTI/INSS:
1. nº 1. 22, de 13 de maio de 2022, que designa os membros da Equipe de
Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR do INSS;
2. nº 88, de 27 de dezembro de 2022, que estabelece o Plano de Gestão de
Incidentes Cibernéticos (PGIC) no âmbito do Instituto Nacional do Seguro Social - INSS; e
3. nº 89, de 28 de dezembro de 2022, que dispõe sobre a Metodologia para
elaboração de Planos de Continuidade de Negócio - PCN de Tecnologia da Informação;
b) DIRBEN/INSS:
1. nº 991, de 28 de março de 2022, que aprova as Normas Procedimentais em
Matéria de Benefícios; e
2. nº 1.100, de 18 de janeiro de 2023, que altera o Livro II das Normas
Procedimentais em Matéria de Benefícios, que disciplina os procedimentos e rotinas de
benefícios do Regime Geral de Previdência Social - RGPS no âmbito do INSS, aprovado
pela Portaria DIRBEN/INSS nº 991, de 28 de março de 2022;
II - as Resoluções CEGOV/INSS:
a) nº 9, de 31 de agosto de 2020, que atualiza a Política de Segurança da
Informação do Instituto Nacional do Seguro Social - POSIN-INSS; e
b) nº 28, de 28 de dezembro de 2022, que institui o Plano Diretor de
Segurança da Informação - PDSI 2023-2025 do Instituto Nacional do Seguro Social.
3.2.1.6 Assim, torna-se imprescindível o constante aprimoramento das normas
que compõem e fundamentam a estrutura da Política de Segurança da Informação do
INSS, verificando se não há tratamento excessivo de dados, se os controles de segurança
são suficientes para os dados tratados, bem como se é necessária a retenção de
determinados dados tratados e a revisão de contratos.
3.2.1.7 Por fim, não se pode deixar de considerar que, em razão das funções
institucionais do INSS, há rotineiramente a necessidade de relacionamento com outros
órgãos da Administração Pública, ocorrendo o compartilhamento e a transferência de
dados, devendo sempre ser levada em consideração essa característica no planejamento,
construção, implementação e atualização de suas políticas.
3.2.2 Cultura de segurança e proteção de dados, e Privacidade desde a
Concepção (PdC)
3.2.2.1 Para que alcancemos a institucionalização de uma cultura de proteção
e privacidade de dados, devemos investir em capacitações e desenvolver campanhas de
conscientização de forma contínua.
3.2.2.2 Todavia, devido às dimensões do INSS, métodos de treinamento e
conscientização podem variar, incluindo cursos de capacitação presenciais ou a distância,
reuniões de equipe, boletins informativos, e-mails, folhetos, slogans e informações no
portal eletrônico.
3.2.2.3 Assim, enquanto conhecimentos gerais sobre a Política de Privacidade
devem ser comunicados a todo corpo funcional e colaboradores, algumas funções podem
necessitar de capacitações específicas e mais especializadas.
3.2.2.4 Nesse sentido,
os cursos devem ser destinados
a todos os
colaboradores, com abordagem e metodologia que respeite as especificidades e
características institucionais.
3.2.2.5 Assim sendo, as áreas da Autarquia devem ser capacitadas de maneira
planejada e com objetivos específicos, a fim de haver maior aderência aos temas a elas
direcionados.
3.2.2.6 Desse modo, a área de:
I
-
Gestão
de
Pessoas
deve
ser
capacitada
sobre
procedimentos
administrativos para tratar dados pessoais do corpo funcional durante todo o ciclo de
vida dos dados;
II - Tecnologia da Informação deve ser preparada para a implementação de
medidas técnicas de segurança, visando a proteção dos dados pessoais tratados no
âmbito institucional;
III - Ouvidoria deve receber destaque pois recebe solicitações e reclamações
de titulares de dados, com respeito aos seus direitos e eventuais vazamentos; e
IV - Comunicação Social deve compreender muito bem o Programa de
Governança em Privacidade para que atue como parceira e colaboradora na criação de
campanhas de conscientização para todo o corpo funcional.
3.2.2.7 Quanto ao conceito de PdC, é importante ressaltar que a privacidade e
a proteção de dados devem ser consideradas desde a concepção e perdurar por todo o ciclo
de vida do projeto, sistema, serviço, produto ou processo, conforme o art. 46 da LGPD.
3.2.2.8 Por este motivo, os novos sistemas operacionais da principal operadora
(Dataprev), conforme previsto em contrato, já adotam o privacy by design.
3.2.2.9 Destacamos alguns valores desse modelo a seguir:
I - a proatividade e não reatividade, ao se incluir a privacidade como parte dos
requisitos de engenharia do sistema para evitar a ocorrência dos riscos de privacidade;
II - a incorporação de controles de privacidade, oferecendo o máximo grau de
privacidade que serão auditados e avaliados continuamente, sendo parte integrante do
sistema, sem diminuir a funcionalidade;
III - a visibilidade e transparência, a partir do uso de controles transparentes,
permitindo que indivíduos exerçam seus direitos com confiança; e
IV - o respeito pela privacidade do usuário que deve ser alcançado por meio
de medidas como padrões fortes de privacidade, avisos apropriados e interfaces
amigáveis que forneçam autonomia ao titular dos dados.
Nota: privacy by design
A LGPD exige a implantação do privacy by design, que nada mais é do que a
adoção de medidas de segurança, técnicas e administrativas, aptas a proteger os dados
pessoais, desde a fase de concepção do produto ou do serviço até a sua execução.
3.2.3 Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
3.2.3.1 O RIPD é um instrumento fundamental para avaliação da conformidade
do tratamento de dados pessoais em relação à LGPD. Um dos objetivos do RIPD é
descrever os processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como de análise do controlador com
relação às medidas, salvaguardas e mecanismos de mitigação de riscos adotados.
3.2.3.2 Devido à capilaridade das atividades do INSS, há uma grande
quantidade de ferramentas utilizadas para o atingimento de sua finalidade institucional,
tendo sido catalogados, até o momento, 158 (cento e cinquenta e oito) sistemas, alguns
criados e mantidos pela operadora de dados (Dataprev), outros pela DTI.
3.2.3.3 O INSS em parceria com a Dataprev elaborou e documentou os RIPDs
de maior relevância e impacto nas operações com dados pessoais, o que não afasta a
necessidade de manter processo contínuo de mapeamento e de elaboração de relatório
de impacto de todos os sistemas e processos existentes, dando prioridade aos RIPDs das
extrações que envolvam transferência de dados a outros órgãos.
3.2.4 Adequação das Cláusulas Contratuais
3.2.4.1 À luz da LGPD, é fundamental uma análise precisa da classificação de
uma entidade como controladora ou operadora, para que se definam responsabilidades
em contratos firmados entre agentes de tratamento e na adoção das medidas contratuais
adequadas, a fim de mitigar riscos inerentes ao tratamento de dados pessoais.
3.2.4.2 Dessa forma, há necessidade de estruturação de cláusulas nos
contratos, convênios e nos acordos, ou transferências de dados, para que cláusulas de
proteção de dados estejam inclusas e claras, dentre as quais destacam-se:
I - a obrigação do tratamento dos dados nos acordos, contratos ou convênios
que forem eventualmente coletados, conforme sua necessidade ou obrigatoriedade;
II - o respeito aos
princípios da finalidade, adequação, necessidade,
transparência, livre acesso, qualidade dos dados, segurança, prevenção, não discriminação
e responsabilização;
III - a garantia da confidencialidade dos dados por meio de uma política
interna de privacidade, a fim de respeitar, por si, seus funcionários e seus prepostos, que
é o objetivo do PGP;
IV - o uso e arquivamento somente pelo tempo necessário para a execução dos
serviços acordados, contratados ou conveniados. E, ao seu fim, a eliminação dos dados
coletados, excetuando-se os que se enquadrarem no disposto no inciso I do art. 16 da LGPD; e
V - quando da transferência de dados, deve o contrato, acordo ou convênio
deixar claro que, uma vez transferidos os dados, a responsabilidade por eles cabe ao
receptor dos mesmos, sendo o responsável pelo tratamento dos dados autorizados àquele.
3.2.5 Termo de Uso e Política de Privacidade
3.2.5.1 As informações expostas no Termo de Uso e na Política de Privacidade
devem sempre ser oferecidas com exatidão, clareza e relevância, além de serem
periodicamente atualizados e prezar pela fidedignidade das informações. Além disso, sua
disponibilização deve ser em local de fácil acesso para garantir que o usuário/titular tome
conhecimento sobre o serviço e tratamento dos dados pessoais. Podem, ainda, constar de
um único documento ou documentos separados.
3.2.5.2 Termo de Uso
3.2.5.2.1 O Termo de Uso informa as regras a que o usuário está sujeito ao
utilizar o serviço, seja por meio de aplicações, como sítios, sistemas e aplicativos para
dispositivos móveis. Já a Política de Privacidade deriva do princípio da transparência que
é devida ao titular de dados pessoais, pelos agentes de tratamento, os quais devem
informar como as atividades de tratamento de tais dados atendem àqueles princípios
dispostos no art. 6º da LGPD.
3.2.5.2.2 Cabe ressaltar a importância da participação da PFE, que deve ser
consultada ao longo das atividades de elaboração, de modo a confirmar se as cláusulas
escritas no Termo de Uso estão de acordo com as legislações vigentes e se possuem
validade jurídica.
3.2.5.2.3 Os requisitos básicos para a elaboração do Termo de Uso são:
I - aceitação, concordância ou ciência do Termo de Uso: este item deve
informar ao usuário que a utilização do serviço está condicionada à aceitação,
concordância ou ciência com os termos e condições estabelecidos pelo fornecedor do
serviço;
II - definições do Termo de Uso: é de suma importância que o Termo de Uso
seja compreensível para todos que utilizam o serviço, explicando-se os termos técnicos e
legais, com linguagem simples e acessível, evitando o uso de siglas, jargões e
estrangeirismos, e sejam padronizadas para toda a Administração Pública utilizando-se,
por tal motivo e, preferencialmente, aquelas constantes do Glossário de Segurança da
Informação do GSI (Portaria GSI/PR nº 93, de 18 de outubro de 2021) e legislações
correlatas;
III - arcabouço legal: a legalidade como princípio constitucional é condição
essencial de toda ação do Estado. Assim, o Termo de Uso deverá estar em conformidade
com a legislação que respalda a atuação do INSS bem como com os instrumentos legais
que têm relação direta com a utilização de sítios, sistemas ou aplicativos para dispositivos
móveis desenvolvidos ou utilizados pelo INSS;
IV - descrição do serviço: as informações sobre o serviço oferecido devem ser
fornecidas aos usuários de maneira clara, para evitar o mau uso do serviço e posteriores
reclamações, descrevendo sua finalidade, forma de utilização, a previsão do tempo de
espera, documentos necessários e os mecanismos de consulta ao andamento do serviço
solicitado e de eventuais manifestações, além de informações sobre outros meios
disponíveis quando o serviço estiver inoperante;
V - direitos do usuário do serviço: o Termo de Uso deverá deixar claro quais
são os direitos do usuário de acordo com aqueles constantes na LGPD, na Lei nº 13.460,
de 26 de junho de 2017, que dispõe sobre participação, proteção e defesa dos direitos
do usuário
dos serviços
públicos da administração
pública, e
demais normas
regulatórias;
VI - responsabilidades do usuário e da Administração Pública: assim como o
usuário deve tomar ciência de seus direitos, também deverá ser informado sobre suas
responsabilidades
ao acessar
os serviços
disponibilizados
pelo INSS,
utilizando-os
adequadamente e colaborando para a correta prestação do serviço, seja pelo zelo com
suas credenciais de acesso, seja pela veracidade das informações e documentos
apresentados, entre outros. Da mesma forma, também deverão ser delimitadas as
responsabilidades, resguardando-se de quaisquer riscos e protegendo os direitos do INSS
e dos usuários. Na especificação das responsabilidades do INSS é recomendado atentar
para os normativos que norteiam a prestação dos serviços na Administração Pública,
como por exemplo: a Lei nº 13.460, de 2017 (participação, proteção e defesa dos direitos
do usuário dos serviços públicos), Decreto nº 9.094, de 17 de julho de 2017 (regulamenta
dispositivos da Lei nº 13.460, de 2017) e Lei nº 14.129, de 29 de março de 2021 (Lei do
Governo Digital), bem como todas as legislações inerentes ao uso correto dos dados
pessoais;
VII - Política de Privacidade: faz parte do Termo de Uso, no qual deverá
constar o caminho ou o link que leva até a Política de Privacidade do INSS para que o
usuário possa acessar facilmente;
VIII - mudanças no Termo de Uso: havendo necessidade, o Termo de Uso
poderá ser revisto e a atualização ocorrida deve ser acrescentada ao termo. Nesses casos,
deve ser informada ao usuário a forma de comunicação das mudanças realizadas, o
número da versão e a data da última atualização do documento;
IX - informações para contato: é importante que os canais de atendimento
sejam divulgados pelo sítio do INSS, nas redes sociais, pelo aplicativo Meu INSS, pela
Central 135, informando o horário de atendimento, para orientações e esclarecimentos
acerca do serviço;
X - foro: eleição de foro diz respeito ao comprometimento das partes
envolvidas na prestação do serviço - cidadão e administração pública - caso uma delas
entenda que questões presentes no Termo de Uso do serviço tenham sido violadas. Por
ser o INSS uma Autarquia Federal, sugere-se o texto exemplificativo constante no Guia de
elaboração desenvolvido pela SGD:
Este Termo será regido pela legislação brasileira. Qualquer reclamação ou
controvérsia com base neste Termo será dirimida exclusivamente pela Justiça Federal, na
seção judiciária do domicílio do usuário, por previsão do artigo 109, §§ 1º, 2º e 3º da
Constituição Federal.
3.2.5.3 Política de Privacidade
3.2.5.3.1 Política de Privacidade: é um documento informativo pelo qual o
prestador de serviço transparece ao usuário a forma como o serviço realiza o tratamento
dos
dados
pessoais e
como
ele
fornece
privacidade ao
usuário,
cumprindo,
fundamentalmente, o dever de transparência disposto como princípio na LGPD. Trata-se aqui
de uma política de privacidade externa, que faz parte do Termo de Uso, também podendo
ser chamada de "aviso de privacidade" que fornecerá às pessoas externas à organização um
aviso sobre as práticas de privacidade adotadas, bem como outras informações relevantes.
Os requisitos básicos para a elaboração da Política de Privacidade são:
I - definições da Política de Privacidade: assim como no Termo de Uso, a
Política de Privacidade deve ser acessível e de fácil compreensão, contendo explicação de
termos técnicos e legais para melhor entendimento de todos que fizerem uso dos
serviços ofertados;
II - base legal para tratamento de dados pessoais: a hipótese de tratamento
de dados pessoais autorizada pela LGPD, bem como sua previsão legal devem ser
informadas ao titular dos dados. Assim, sendo uma Autarquia Federal, responsável por
administrar diversos benefícios sociais e previdenciários, o tratamento dos dados pelo
INSS encontra respaldo nos arts. 7º e 11 da LGPD, no que se refere ao tratamento de
dados para cumprimento de obrigação legal ou regulatória pelo controlador e tratamento
compartilhado de dados necessários à execução de políticas públicas previstas em leis ou
regulamentos;
III - Controlador, Operador e Encarregado: o titular dos dados tem direito de
acesso às informações de contato do controlador, que deverão ser disponibilizadas de
forma clara, adequada e ostensiva contendo a identificação, endereço e informações de
contato do controlador, que nesse caso é o INSS. A LGPD também estabelece a
necessidade de disponibilizar informações sobre as responsabilidades dos agentes que
realizarão o tratamento dos dados do controlador, que nesse caso, é realizado pela
Dataprev como operador. Da mesma forma, deve ser informado que os dados do
encarregado constam no site do INSS e restar claro que dúvidas podem ser sanadas pelos
canais devidos;
IV - direitos do titular dos dados pessoais: toda pessoa natural tem assegurada
a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade,
de intimidade e de privacidade. Assim, visando o princípio da transparência, numa Política
de Privacidade devem ser informados os direitos de seus titulares, especialmente aqueles
descritos nos artigos 9º e 18 da LGPD;
Fechar