DOU 24/01/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025012400059
59
Nº 17, sexta-feira, 24 de janeiro de 2025
ISSN 1677-7042
Seção 1
I - realizar o tratamento de dados em nome do controlador;
II - observar os princípios estabelecidos no art. 6º da LGPD, ao realizar
tratamento de dados pessoais;
III - manter registro das operações de tratamento de dados pessoais que
realizarem, especialmente quando baseado no legítimo interesse; e
IV - antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelo
controlador cumprem os requisitos legais presentes nos arts. 7º, 11 e 23 da LG P D.
Parágrafo único. É proibida a decisão unilateral do operador quanto aos meios
e finalidades utilizados para o tratamento de dados pessoais.
Art. 43. Todas as pessoas, exceto os titulares dos dados pessoais, que atuem
em qualquer fase do ciclo de vida das informações protegidas, utilizadas ou fornecidas pelo
INSS, têm a obrigação de garantir a privacidade e a proteção dos dados, inclusive após o
término do tratamento.
CAPÍTULO XII
Da Segurança e das Boas Práticas
Art. 44. O INSS implementará medidas de segurança técnicas e administrativas,
aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito, nos termos do Capítulo VII da LGPD.
Art. 45. Com o objetivo de reduzir ou mitigar a existência de incidentes com os
dados pessoais do titular, o INSS adotará, no mínimo, as seguintes medidas técnicas e
organizacionais de privacidade e proteção de dados:
I - o acesso aos dados pessoais deverá ser limitado às pessoas que realizam o
tratamento e revisado, periodicamente, de acordo com os critérios estabelecidos em
normativos da instituição, independente da existência de processos automáticos para tanto;
II - as funções e
responsabilidades dos colaboradores envolvidos nos
tratamentos de dados pessoais deverão ser claramente estabelecidas e comunicadas;
III - deverão ser estabelecidos acordos de confidencialidade, termos de
responsabilidade ou termos de sigilo com operadores de dados pessoais;
IV - todos os dados pessoais deverão ser mantidos ou armazenados em
ambiente seguro, de modo que terceiros não autorizados não possam acessá-los;
V - as medidas de segurança técnicas e administrativas, para proteção de dados
pessoais, deverão ser observadas desde a fase de concepção do produto ou do serviço até
a sua execução, de acordo com o conceito denominado Privacidade desde a Concepção;
VI - deverão ser planejadas e estabelecidas ações voltadas ao mapeamento e
análise dos processos organizacionais, com intuito de identificar os ativos organizacionais e
as medidas técnicas de segurança a serem implementadas nestes ativos, com vistas a
prover a adequada proteção dos dados pessoais; e
VII - deverá ser mantida uma base de conhecimento com documentos que
apresentem condutas e recomendações que melhorem o gerenciamento de risco e que
orientem na tomada de ações adequadas em caso de comprometimento de dados pessoais.
§ 1º Quanto às medidas ainda não implementadas, deverão ser adotadas as
ações possíveis, como medidas de contingência, para proteger os dados, buscando mitigar
os eventuais riscos.
§ 2º Outras medidas poderão ser adotadas observando-se o contido na Política
de Segurança da Informação do INSS - POSIN-INSS, de que trata a Resolução nº 9
/CEGOV/INSS, de 31 de agosto de 2020, ou outro normativo que possoa vim a substituí-la.
Art. 46. Qualquer ocorrência de incidente de segurança que possa acarretar
risco ou dano relevante aos dados pessoais dos titulares deverá ser comunicada à ANPD,
pelo encarregado de dados pessoais, dentro do prazo previsto pela LGPD.
CAPÍTULO XIII
Da Conscientização, Capacitação e Sensibilização
Art. 47. Os colaboradores que possuem acesso aos dados pessoais no INSS
deverão participar de programas de conscientização, capacitação e sensibilização, em
matérias de privacidade e proteção de dados pessoais, a serem ofertados ou promovidos
pela instituição.
§ 1º A conscientização, capacitação e sensibilização em privacidade e proteção
de
dados pessoais
deverá
ser adequada
aos
papéis
e responsabilidades
dos
colaboradores.
§ 2º Os planos de conscientização, capacitação e sensibilização deverão
contemplar a consolidação de material atualizado periodicamente, com instruções e
normas de boas práticas envolvendo segurança da informação, a ser disponibilizado a
todos os colaboradores, além de medidas que visem a internalização da cultura de
proteção de dados pessoais nas unidades do INSS.
§ 3º Os cursos deverão ser destinados a todos os colaboradores, com
abordagem e metodologia que respeite as especificidades e características institucionais.
§ 4º As unidades do INSS deverão ser capacitadas de maneira planejada e com
objetivos específicos, a fim proporcionar maior aderência aos temas a elas direcionados.
CAPÍTULO XIV
Dos Contratos, Convênios, Acordos e Instrumentos Congêneres
Art. 48. Os contratos, convênios, acordos e instrumentos congêneres deverão
ser celebrados prezando pelo respeito aos princípios da finalidade, adequação,
necessidade, transparência, livre acesso, qualidade dos dados, segurança, prevenção, não
discriminação e responsabilização.
Art. 49. Respeitadas as normas e regulamentações conjuntas ou específicas, os
contratos, convênios, acordos e instrumentos congêneres, que de alguma forma envolvam
o tratamento de dados pessoais, deverão incorporar cláusulas específicas em total
conformidade com
a presente
Política de
Proteção de
Dados Pessoais
e que
contemplem:
I - requisitos:
a) indispensáveis de segurança da informação, observados os padrões operacionais
necessários à luz da POSIN-INSS, ou outro normativo que possa vim a substituí-la; e
b) de proteção de dados pessoais, que os operadores de dados pessoais devem atender;
II - determinação de que o operador não processe os dados pessoais para
finalidades que divergem da finalidade principal informada pelo controlador;
III - dispositivo:
a) para que os dados coletados e seu processamento sejam limitados ao
mínimo necessário para atendimento da finalidade do tratamento;
b) que defina a obrigação do operador de dados pessoais notificar o
controlador em caso de ocorrência de violação de dados pessoais;
c) que defina que os dados pessoais armazenados ou retidos possuam controles
de integridade, permitindo identificar se foram alterados sem permissão;
d) que defina que as operações de processamento realizadas com dados
pessoais sejam registradas de modo a identificar a operação realizada, quem realizou, data
e hora (auditoria de log); e
e) que estipule sanções administrativas pelo descumprimento de cada um dos
requisitos de segurança da informação e de privacidade especificados;
IV - o uso e arquivamento somente pelo tempo necessário para a execução dos
serviços acordados, contratados ou conveniados. E, ao seu fim, a eliminação dos dados
coletados, excetuando-se os que se enquadrarem no disposto no art. 16, inciso I da LGPD;
V - condições sob as quais o operador deve devolver ou descartar com
segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou
de outra forma mediante solicitação do controlador;
VI - diretrizes específicas sobre o uso de subcontratados pelo operador para
execução contratual, que envolva tratamento de dados pessoais; e
VII - quando da transferência ou compartilhamento de dados, dispositivo que deixe
claro que, uma vez transferidos ou compartilhados os dados pessoais, a responsabilidade por
garantir a privacidade e a proteção dos dados recepcionados será do receptor.
Art. 50. O INSS verificará se os terceiros e os processadores de dados pessoais
contratados atendem aos requisitos exigidos pelas cláusulas contratuais estabelecidas, no
momento da celebração do acordo.
Art. 51. Outros requisitos poderão ser verificados no Guia de Requisitos e
Obrigações quanto à Privacidade e Segurança da Informação, da Secretaria de Governo
Digital - SGD, que orienta a adequação do processo de contratação de Soluções de
Tecnologia da Informação e Comunicação - TIC para contemplar os requisitos mais
importantes de privacidade e segurança dos dados.
CAPÍTULO XV
Das Penalidades
Art. 52. Ações que violem a Política de Proteção de Dados Pessoais poderão
acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções
administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.
Art. 53. Casos de descumprimento desta Resolução deverão ser registrados e
comunicados ao superior imediato para ciência e envio ao encarregado de dados pessoais
para tomada de providências cabíveis.
CAPÍTULO XVI
Da Avaliação de Conformidade
Art. 54. O cumprimento desta Política, bem como dos normativos que a
complementam, deverão ser avaliados, periodicamente, por meio de verificações de
conformidade, buscando a certificação do cumprimento dos requisitos de privacidade e
proteção de dados pessoais e da garantia de cláusula de responsabilidade e sigilo
constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos
congêneres.
Art. 55. O INSS atuará no sentido de que as atividades, produtos e serviços por
ele desenvolvidos estejam em conformidade com requisitos de privacidade e proteção de
dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos
jurídicos vigentes.
Art. 56. Os resultados de cada ação de verificação de conformidade deverão ser
documentados em relatório de avaliação de conformidade, a ser regulamentado.
CAPÍTULO XVII
Disposições Finais
Art. 57. O INSS poderá expedir instruções complementares, que detalharão suas
particularidades e procedimentos relativos à Proteção de Dados Pessoais alinhados às diretrizes
emanadas por esta Resolução e aos respectivos Planos Estratégicos Institucionais do INSS.
Art. 58. Esta Resolução deverá ser revisada ordinariamente no período de 3
(três) anos, a partir do início de sua vigência, ou, extraordinariamente, sempre que houver
motivação para tanto.
Art. 59. Os casos omissos serão resolvidos pela autoridade máxima da organização.
Art. 60. Esta Resolução entra em vigor na data de sua publicação.
ALESSANDRO ANTONIO STEFANUTTO
Presidente do Instituto
VANDERLEI BARBOSA DOS SANTOS
Diretor de Benefícios e Relacionamento com o Cidadão
DÉBORA APARECIDA ANDRADE FLORIANO
Diretora de Orçamento, Finanças e Logística
ROBERTO CARNEIRO DA SILVA
Diretor de Gestão de Pessoas
ISMÊNIO BEZERRA
Diretor de Governança, Planejamento e Inovação
MARCELO GENU BESERRA
Diretor de Tecnologia da Informação
Substituto
SUPERINTENDÊNCIA NACIONAL DE PREVIDÊNCIA COMPLEMENTAR
PORTARIA PREVIC Nº 60, DE 23 DE JANEIRO DE 2025
O
DIRETOR
SUPERINTENDENTE
DA
SUPERINTENDÊNCIA
NACIONAL
DE
PREVIDÊNCIA COMPLEMENTAR torna público que a Diretoria Colegiada da PREVIC, em
Sessão Extraordinária realizada em 23 de janeiro 2024, com fundamento no inciso VI do
artigo 2° e no inciso IX do artigo 12, ambos do Anexo I do Decreto nº 11.241, de 18 de
outubro de 2022, resolve:
Art. 1º Prorrogar o prazo de que trata a Portaria Previc nº 824, de 24 de
setembro de 2024, publicada no Diário Oficial da União nº 186, de 25 de setembro de 2024,
Seção 1, página 80, referente à intervenção no Portus Instituto de Seguridade Social.
Art. 2º Esta Portaria entra em vigor na data de sua publicação, com vigência até
o dia 30 de abril de 2025.
RICARDO PENA PINHEIRO
Ministério das Relações Exteriores
SECRETARIA-GERAL DAS RELAÇÕES EXTERIORES
SECRETARIA DE COMUNIDADES BRASILEIRAS
E ASSUNTOS CONSULARES E JURÍDICO
DEPARTAMENTO DE IMIGRAÇÃO E COOPERAÇÃO JURÍDICA
DIVISÃO DE ATOS INTERNACIONAIS
ACORDO GLOBAL DE COMÉRCIO E GÊNERO (1)
Os Participantes (2) celebraram o seguinte Acordo:
1. Entendimentos Gerais
a) Ao concluir este Acordo sobre Comércio e Gênero, os Participantes:
i. reconhecem a importância de incorporar uma perspectiva de gênero na
promoção do crescimento econômico inclusivo e o papel fundamental que as políticas
sensíveis ao gênero podem desempenhar para alcançar o desenvolvimento sustentável;
ii. relembram os Objetivos de Desenvolvimento Sustentável da Agenda 2030
das Nações Unidas para o Desenvolvimento Sustentável, em particular o Objetivo 5, de
alcançar a igualdade de gênero e de empoderar todas as mulheres e meninas;
iii. reconhecem que uma coordenação interna eficaz das políticas comerciais e
de investimento, que leve em conta a importância da participação tanto das mulheres
quanto dos homens, bem como as diferentes barreiras que podem enfrentar no acesso ao
comércio e às finanças, pode contribuir ainda mais para alcançar um crescimento
econômico sustentável;
iv. reconhecem que a melhora do acesso das mulheres às oportunidades de
comércio e investimento e a eliminação de barreiras nos seus territórios aumenta a
participação das mulheres nos mercados interno, regional e global;
v. reconhecem que não é adequado renunciar ou, de outra forma, derrogar a
proteção conferida nas respectivas leis e regulamentos de igualdade de gênero, de forma
a enfraquecer ou reduzir as proteções previstas nessas leis e regulamentos, de modo a
incentivar o comércio ou o investimento entre os Participantes, ou de qualquer outra
economia;
vi. reconhecem que a maior participação das mulheres no mercado de
trabalho, o crescimento das empresas de propriedade de mulheres e do seu espírito
empresarial, a autonomia econômica das mulheres e o acesso e a propriedade dos
recursos econômicos contribuem para a prosperidade, a competitividade e o bem-estar da
sociedade;
vii. reconhecem a importância de iniciativas, esforços e trabalhos sobre
comércio e gênero desenvolvidos e realizados na Organização Mundial do Comércio
(OMC), na Organização para a Cooperação e Desenvolvimento Econômico (OCDE), na
Cooperação Econômica Ásia-Pacífico (APEC) e outras instâncias relevantes, bem como a
importância de tomar em consideração as suas conclusões, recomendações e atividades
destinadas a assegurar uma coordenação e execução eficazes das atividades de
cooperação;
viii. relembram os objetivos da Declaração Conjunta da OMC sobre o Comércio
e o Empoderamento Econômico das Mulheres, adotada por ocasião da Conferência
Ministerial da OMC em Buenos Aires, em dezembro de 2017 (a "Declaração de Buenos
Aires sobre o Comércio e o Empoderamento Econômico das Mulheres");
Fechar