INSTRUÇÃO NORMATIVA TRE-RS P N. 93/2022.

INSTITUI O PROCESSO DE RESPOSTA À VIOLAÇÃO A DADOS PESSOAIS.

O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a implantação, pelo Tribunal, de práticas que favorecem a governança e a gestão da Segurança da Informação e Proteção de Dados Pessoais;

CONSIDERANDO a necessidade de instituir o Processo de Resposta à Violação de Dados Pessoais, conforme estabelece o artigo 19 da Resolução TRE-RS n. 356/2021;

CONSIDERANDO que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a protegerem os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, como determina o artigo 46 da Lei n. 13.709/2018 - LGPD;

CONSIDERANDO que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados - ANPD e aos titulares dos dados, no prazo de até 72 horas (artigo 15, inciso III, da Resolução TSE n. 23.650/2021), a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, como determina o artigo 48 da Lei n. 13.709/2018 - LGPD.

RESOLVE:

Art. 1º Instituir o Processo de Resposta à Violação a Dados Pessoais, destinado a operacionalizar as providências que devem ser realizadas pelo Tribunal Regional Eleitoral do Rio Grande do Sul (TRE-RS) para mitigar os danos causados por eventuais incidentes de segurança que possam acarretar riscos ou dano relevante aos titulares dos dados.

§1º O processo descrito no caput é composto pelas seguintes etapas:

I - monitoramento: etapa onde é feito o monitoramento constante dos ativos de Tecnologia da Informação e Comunicação (TIC) suscetíveis a ataques;

II - identificação: etapa onde é detectado, identificado e registrado o incidente de violação a dados pessoais;

III - contenção: etapa onde são adotadas medidas que visam impedir a disseminação da ameaça detectada nos ativos de informação ainda não afetados a fim de evitar danos maiores;

IV - comunicação: etapa onde, na ocorrência de incidente de segurança que acarrete risco ou dano relevante aos titulares dos dados, é feita a comunicação do incidente, no prazo de até 72 horas, à Autoridade Nacional de Proteção de Dados (ANPD), ao Tribunal Superior Eleitoral e aos titulares dos dados;

V - erradicação: etapa onde, após a contenção da ameaça, é procedida a sua remoção;

VI - recuperação: etapa onde é realizada a restauração dos ativos de informação e da infraestrutura de TIC, de modo que os serviços voltem a operar dentro da normalidade;

VII - documentação: etapa onde o incidente é documentado, especificando quais foram os procedimentos de resposta utilizados para contorná-lo, de forma a manter um histórico das ocorrências e das ações tomadas.

§2º As etapas V (erradicação), VI (recuperação) e VII (documentação) poderão ocorrer simultaneamente à IV (comunicação), quando esta última for aplicável.

Art. 2º A Assessoria de Segurança da Informação disponibilizará o fluxograma do processo estabelecido por esta Instrução Normativa e sua descrição na Intranet do TRE-RS.

Art. 3º O processo de que trata esta Instrução Normativa deverá ser revisado periodicamente, em intervalos máximos de 3 (três) anos.

Art. 4° Os casos omissos serão resolvidos pela Diretoria-Geral.

Art. 5º Esta Instrução Normativa entra em vigor na data de sua publicação.

DESEMBARGADOR FRANCISCO JOSÉ MOESCH,
PRESIDENTE.

(Publicação: DJE, n. 112, p. 2, 24.06.2022)