INSTRUÇÃO NORMATIVA SUPERINTENDENTE/SUSEP Nº 007, DE 14.05.2026
Estabelece diretrizes e procedimentos para o tratamento de incidentes de segurança envolvendo dados pessoais no âmbito da Superintendência de Seguros Privados - Susep.
O SUPERINTENDENTE DA SUPERINTENDÊNCIA DE SEGUROS PRIVADOS - SUSEP, no uso das atribuições que lhe confere o inciso X do art. 48 do Regimento Interno anexo à Resolução CNSP nº 490, de 12 de março de 2026, considerando o disposto na Lei nº 13.709, de 14 de agosto de 2018, na Resolução Susep nº 50, de 16 de abril de 2025, e na Resolução Susep nº 45, de 17 de outubro de 2024, bem como o que consta do Processo Susep nº 15414.616040/2026-21, resolve:
Art. 1º Esta Instrução Normativa estabelece diretrizes e procedimentos para o tratamento de incidentes de segurança envolvendo dados pessoais no âmbito da Susep, em conformidade com a legislação de proteção de dados pessoais.
Art. 2º Para fins desta Instrução Normativa, consideram-se:
I - incidente de segurança com dados pessoais: evento adverso confirmado que resulte ou possa resultar em comprometimento da confidencialidade, integridade ou disponibilidade de dados pessoais;
II - dados pessoais: informação relacionada a pessoa natural identificada ou identificável, nos termos da Lei nº 13.709, de 14 de agosto de 2018;
III - dados pessoais sensíveis: dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, nos termos da Lei nº 13.709, de 14 de agosto de 2018;
IV - encarregado pelo tratamento de dados pessoais: pessoa indicada pela Susep para atuar como canal de comunicação entre a Autarquia, os titulares de dados e a Autoridade Nacional de Proteção de Dados -ANPD;
V - agente de tratamento: o controlador ou o operador, nos termos da Lei nº 13.709, de 14 de agosto de 2018;
VI - equipe de resposta a incidentes: grupo responsável pela análise e tratamento técnico de incidentes de segurança da informação.
Art. 3º Compete ao encarregado pelo tratamento de dados pessoais:
I - atuar como canal de comunicação entre a Susep, os titulares de dados e a ANPD;
II - apoiar a avaliação do impacto de incidentes de segurança envolvendo dados pessoais; e
III - coordenar a comunicação de incidentes à ANPD e aos titulares impactados, quando aplicável, nos termos da legislação de proteção de dados pessoais.
Art. 4º Compete à unidade responsável pela segurança da informação:
I - monitorar eventos de segurança da informação;
II - identificar e analisar incidentes de segurança;
III - executar medidas técnicas de contenção, erradicação e recuperação relacionadas aos incidentes identificados; e
IV - realizar, por meio da Equipe de Tratamento e Resposta a Incidentes - ETIR, a análise técnica e o tratamento de incidentes de segurança envolvendo dados pessoais, observada a regulamentação específica aplicável.
Art. 5º Às unidades gestoras dos sistemas e dados afetados compete:
I - apoiar a avaliação do impacto do incidente nos sistemas e dados sob sua responsabilidade; e
II - colaborar na adoção das medidas necessárias à recuperação dos sistemas afetados.
Art. 6º O tratamento de incidentes de segurança envolvendo dados pessoais no âmbito da Susep observará o fluxo de tratamento de incidentes formalmente instituído pela Administração.
Parágrafo único. O fluxo de que trata o caput será disponibilizado na intranet institucional da Susep, em ferramenta de modelagem de processos.
Art. 7º O processo de tratamento de incidentes de segurança envolvendo dados pessoais observará, no mínimo, as seguintes etapas:
I - notificação do incidente;
II - identificação e análise;
III - classificação do incidente;
IV - contenção;
V - erradicação;
VI - recuperação; e
VII - comunicação do incidente de segurança à ANPD e aos titulares de dados, quando aplicável.
Art. 8º O fluxo de tratamento de incidentes de segurança envolvendo dados pessoais será atualizado, no mínimo, semestralmente, pela unidade responsável pela segurança da informação, mediante publicação na intranet institucional, dispensada a alteração desta Instrução Normativa.
Art. 9º Esta Instrução Normativa entra em vigor na data de sua publicação.
ALESSANDRO SERAFIN OCTAVIANI LUIS
(DOU de 22.05.2026 - págs. 48 e 49 - Seção 1)
