Susep estabelece diretrizes para incidentes envolvendo dados pessoais

A Susep publicou, nesta 6ª feira (22), a Instrução Normativa 07/26, que estabelece diretrizes e procedimentos para o tratamento de incidentes de segurança envolvendo dados pessoais no âmbito da autarquia. De acordo com o texto, devem ser considerados os incidentes os eventos que resultem em comprometimento da confidencialidade, integridade ou disponibilidade de dados pessoais, incluindo aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, ou ainda dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos.

A Susep deverá indicar uma pessoa para atuar como canal de comunicação entre a autarquia, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

O encarregado pelo tratamento de dados pessoais deverá apoiar a avaliação do impacto de incidentes de segurança envolvendo dados pessoais; e coordenar a comunicação de incidentes à ANPD e aos titulares impactados, quando aplicável, nos termos da legislação de proteção de dados pessoais.

Caberá à unidade responsável pela segurança da informação o monitoramento dos eventos de segurança da informação; a identificação e análise dos incidentes de segurança e executar medidas técnicas de contenção, erradicação e recuperação relacionadas aos incidentes identificados.

O processo de tratamento de incidentes de segurança envolvendo dados pessoais observará, no mínimo, as seguintes etapas: notificação do incidente; identificação e análise; classificação do incidente; contenção; erradicação; recuperação; e comunicação do incidente de segurança à ANPD e aos titulares de dados, quando aplicável.

O fluxo de tratamento de incidentes de segurança envolvendo dados pessoais será atualizado, no mínimo, semestralmente, pela unidade responsável pela segurança da informação, mediante publicação na intranet institucional, dispensada a alteração desta Instrução Normativa.

Fonte: CQCS