O Ministério da Previdência Social publicou, nesta quarta-feira (21), a Portaria nº 1.157, que estabelece novas regras para a gestão e proteção dos dados pessoais sob responsabilidade do ministério e de suas entidades vinculadas, como o Instituto Nacional do Seguro Social (INSS).
A medida define princípios, diretrizes e competências que devem ser seguidos por servidores, prestadores de serviço e demais profissionais com acesso às informações geradas, custodiadas ou utilizadas nos órgãos do ministério. O objetivo é garantir um controle mais rígido sobre esses dados, considerados “ativos de informação”.
A iniciativa surge em meio a investigações sobre esquemas fraudulentos que causaram prejuízo a milhões de beneficiários em todo o país. As fraudes, segundo relatos, ocorrem por meio de descontos indevidos em folha, como mensalidades associativas e créditos consignados não autorizados.
De acordo com a portaria assinada pelo ministro da Previdência, Wolney Queiroz, as novas regras têm a finalidade de “proteger ativos de informação e conhecimentos gerados ou recebidos” e “contribuir para a gestão eficiente dos riscos cibernéticos e operacionais, limitando-os a níveis aceitáveis”.
A Política de Segurança da Informação deverá orientar a criação de futuras normas ministeriais, com base em pilares como disponibilidade, integridade, confidencialidade, autenticidade e rastreabilidade. Entre os aspectos tratados estão a segurança física, o controle de acessos, a gestão de riscos e a continuidade de serviços, além da auditoria e conformidade.
O texto destaca que todas as informações sob responsabilidade do ministério passam a compor o conjunto de ativos de informação protegidos. O acesso será restrito apenas ao necessário para o exercício da função, com uso de métodos de verificação e auditorias periódicas. Mudanças de função também exigirão a revogação imediata dos acessos.
A medida também se alinha à Lei Geral de Proteção de Dados Pessoais (LGPD), ao determinar que apenas os dados estritamente necessários sejam coletados, preferencialmente com o consentimento do titular, e que sejam adotadas medidas técnicas e administrativas para evitar o uso indevido dessas informações.
Além disso, outra portaria publicada no Diário Oficial da União institui a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos. O grupo será formado por três servidores da Coordenação de Tecnologia da Informação da Secretaria-Executiva do ministério e terá a missão de prevenir e responder a incidentes nas redes, promovendo ações conjuntas com outras instituições e equipes especializadas.