O Instituto Nacional do Seguro Social (INSS) publicou nesta sexta-feira, 24, uma Resolução que institui uma Política de Proteção de Dados. O documento estabelece que a coleta ligada ao aplicativo Meu INSS tenha regras adaptadas a ele constantes em um normativo específico.
Em nota à reportagem, o órgão confirma que esta “é a primeira política institucionalizada dessa natureza no âmbito do INSS”. O texto foi aprovado pela unanimidade do Comitê Estratégico de Governança do instituto em outubro de 2024, a partir de processo iniciado no mesmo ano, quando a autarquia foi alvo de sanção da Autoridade Nacional de Proteção de Dados – ANPD (veja detalhes mais abaixo).
A formalização das diretrizes que visam institucionalizar os procedimentos de tratamento de dados estava prevista no Programa de Governança em Privacidade do INSS, aprovado em agosto de 2023, que até então era a principal referência para a atuação do instituto. Este regramento inicial já destacava que o aplicativo Meu INSS é o principal canal de recepção dos serviços institucionais e que, à época, já possuía código específico de transparência aos usuários, “embora necessite de revisão constante”.
A nova resolução deixa expressa a necessidade de seguir disposições impostas pela ANPD, incluindo registro das operações de tratamento de dados “com o mapeamento e a análise dos processos organizacionais, com intuito de identificar os ativos organizacionais e as medidas técnicas de segurança existentes ou que serão implementadas”.
A responsabilidade é compartilhada entre o INSS e a Empresa de Tecnologia e Informações da Previdência (Dataprev), a depender da operação.
Questionado sobre a previsão de eventuais novos ajustes na política de proteção do aplicativo para dispositivos móveis, o INSS afirmou que “a política apresenta diretrizes gerais a serem seguidas” e que, “a partir dela, virão outros produtos, que serão elaborados pela área técnica que possui a competência regimental”, mas que não há previsão de quando exatamente serão elaboradas novas atualizações, “considerando a complexidade e os diversos fatores envolvidos nesse processo, além das etapas necessárias para a aprovação e implementação de atos normativos”.
Proteção de dados no INSS
Foto: Carolina Cruz/Mobile Time
A determinação do comitê na nova resolução para seguir orientações da ANPD conversa com as circunstâncias que levaram ao procedimento aberto contra o INSS no órgão regulador. O início da fiscalização se deu no ano de 2022, a partir da suspeita de vazamento de dados de aposentados e pensionistas para empresas que fazem oferta de empréstimos consignados.
De acordo com nota técnica elaborada pela autoridade em relação ao processo, os titulares dos dados coletados pelo instituto relataram que “antes mesmo de terem conhecimento da concessão do benefício pelo INSS, começam a receber inúmeros contatos não solicitados de instituições financeiras e correspondentes bancários que lhes oferecem empréstimos consignados, cartões de crédito, renegociação ou liberação de margem do INSS, ou outros serviços de crédito”.
As denúncias apontaram que os contatos ocorreram “por meio de SMS, ligações telefônicas, ou mensagens no WhatsApp”. Em alguns casos, “a pessoa responsável pelo contato conhece o nome do beneficiário, CPF, número de benefício, valor do benefício e outras informações pessoais”.
A apuração concluiu que o incidente “poderia acarretar danos relevantes aos direitos dos titulares dos dados pessoais, por envolver base de dados que continha informações sobre benefícios previdenciários” e que o INSS, ciente dos casos, não comunicou adequadamente os titulares dos dados sobre o risco, como previsto em lei.
Ao ser questionado pela ANPD à época, o instituto alegou “inviabilidade técnica” para individualizar as pessoas afetadas, por isso não realizou a comunicação. No entanto, a autoridade reguladora não considerou a justificativa suficiente, “uma vez que a entidade pública poderia ter realizado a comunicação de forma indireta – ou seja, por meio de ampla divulgação do incidente” em seus canais.
A condenação, divulgada em fevereiro do ano passado, foi pela sanção de publicizar a infração no site e no aplicativo do INSS durante 60 dias.
Imagem principal: Agência do INSS no Pará. Foto: Erasmo Salomão/ Ascom-MTPS
