INSTRUÇÃO NORMATIVA Nº 7, DE 24 DE OUTUBRO DE 2025.

A PRESIDÊNCIA DO TRIBUNAL REGIONAL ELEITORAL DO MARANHÃO, no uso das atribuições que lhe são conferidas pelo art. 29 do Regimento Interno deste Tribunal,

CONSIDERANDO a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), que estabelece em seu art. 48 a obrigação do controlador de comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante;

CONSIDERANDO a Resolução CD/ANPD nº 15, de 24 de abril de 2024, que aprova o Regulamento de Comunicação de Incidente de Segurança e detalha os procedimentos, prazos e informações necessárias;

CONSIDERANDO a necessidade de definir papéis, responsabilidades e procedimentos específicos para garantir respostas rápidas, efetivas e ordenadas a incidentes de segurança que envolvam a violação de dados pessoais;

CONSIDERANDO a necessidade de instituir um sistema de gestão de incidentes para registro, manutenção de histórico, de soluções encontradas e comunicação para as autoridades e titulares de dados pessoais;

CONSIDERANDO a importância de adotar mecanismos para monitorar proativa e continuamente os eventos que possam sinalizar a ocorrência de incidentes de segurança;

CONSIDERANDO a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ), que visa elevar o nível de segurança das infraestruturas críticas do Poder Judiciário,

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Instrução Normativa tem por objetivo instituir o Plano de Resposta a Incidentes de Violação de Dados Pessoais, estabelecendo os procedimentos para detecção, análise, contenção, erradicação, recuperação e comunicação de incidentes, visando mitigar seus efeitos, proteger os direitos dos titulares e assegurar a conformidade legal.

Art. 2º Este procedimento aplica-se a todas as unidades administrativas, colaboradores, prestadores de serviços e quaisquer outros agentes que, no exercício de suas funções, realizem operações de tratamento de dados pessoais sob o controle do Tribunal Regional Eleitoral do Maranhão.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 3º Para os fins desta Instrução Normativa, adotam-se as seguintes definições:

I - Autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade;

II - Comunicação de Incidente de Segurança: ato do controlador que comunica à ANPD e ao titular a ocorrência de um incidente de segurança que possa acarretar risco ou dano relevante aos titulares;

III - Confidencialidade: propriedade pela qual se assegura que o dado pessoal não esteja disponível ou não seja revelado a pessoas, empresas, sistemas, órgãos ou entidades não autorizados;

IV - Dado Pessoal Afetado: dado pessoal cuja confidencialidade, integridade, disponibilidade ou autenticidade tenha sido comprometida em um incidente de segurança;

V - Disponibilidade: propriedade pela qual se assegura que o dado pessoal esteja acessível e utilizável, sob demanda, por uma pessoa natural ou determinado sistema, órgão ou entidade devidamente autorizados;

VI - Encarregado pelo Tratamento de Dados Pessoais (Encarregado/DPO): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

VII - Incidente de Segurança: qualquer evento adverso, confirmado ou sob suspeita fundamentada, que viole ou possa resultar em risco para as propriedades de confidencialidade, integridade, disponibilidade e autenticidade de dados pessoais;

VIII - Indicadores de Comprometimento (IOC): evidências ou sinais que podem sugerir que houve uma violação de segurança, como impressões de telas, mensagens ou arquivos;

IX - Integridade: propriedade pela qual se assegura que o dado pessoal não foi modificado ou destruído de maneira não autorizada ou acidental;

X - Medidas de Segurança: medidas técnicas e/ou administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

XI - Risco ou Dano Relevante: um incidente de segurança que pode afetar significativamente interesses e direitos fundamentais dos titulares.

CAPÍTULO III

DOS PAPÉIS E RESPONSABILIDADES

Art. 4º O Encarregado de Dados, função exercida pelo Ouvidor do Tribunal, é o ponto focal e coordenador principal de todo o processo de resposta a incidentes de violação de dados pessoais.

Parágrafo único. Compete ao Encarregado de Dados:

I - Receber todas as comunicações e notificações de suspeitas de incidentes de segurança com dados pessoais;

II - Coordenar a atuação das equipes técnicas e administrativas necessárias para a análise e tratamento do incidente;

III - Liderar a avaliação de risco ou dano relevante para determinar a necessidade de comunicação à ANPD e aos titulares;

IV - Formalizar e executar a comunicação do incidente de segurança à ANPD e aos titulares, quando necessário;

V - Atuar como principal ponto de contato com a ANPD e os titulares durante e após o incidente.

Art. 5º O Comitê Gestor de Proteção de Dados Pessoais (CGPDP), instituído pela Portaria nº 1630, de 07 de dezembro de 2021, atuará como instância de apoio consultivo e multidisciplinar ao Encarregado de Dados na ocorrência de incidentes de segurança com dados pessoais.

§ 1º O Comitê será acionado pelo Encarregado de Dados sempre que a natureza, a gravidade ou a complexidade do incidente assim o exigir.

§ 2º No contexto de um incidente, compete ao Comitê Gestor de Proteção de Dados Pessoais, quando acionado:

I - Assessorar o Encarregado na avaliação da gravidade e da relevância do dano aos titulares, complementando a análise de que trata o inciso III do Art. 4º;

II - Prover a análise jurídica especializada sobre os impactos do incidente, as obrigações legais do Tribunal e as potenciais implicações regulatórias;

III - Colaborar com a Assessoria de Comunicação Social na elaboração das estratégias e dos comunicados a serem direcionados aos titulares dos dados, à imprensa e à sociedade;

IV - Recomendar ou validar as medidas técnicas e administrativas propostas para a contenção, a neutralização e a recuperação dos ativos afetados pelo incidente.

Art. 6º As equipes de Tecnologia da Informação, especialmente a Equipe de Tratamento de Incidentes de Rede (ETIR), e outras unidades administrativas relevantes atuarão sob a coordenação do Encarregado de Dados. Suas responsabilidades incluem:

I - Executar as ações de análise técnica para identificar a causa e a extensão do incidente;

II - Coletar e preservar evidências, como registros de eventos (logs) e outras informações julgadas necessárias;

III - Implementar as medidas de contenção, erradicação e recuperação para interromper o incidente e restaurar a normalidade dos serviços;

IV - Fornecer subsídios técnicos para a avaliação de risco e para a elaboração das comunicações.

CAPÍTULO IV

DO PROCESSO DE GESTÃO DE INCIDENTES

Seção I

Da Detecção e Registro

Art. 7º A detecção de incidentes de segurança poderá ocorrer por meio de:

I - Monitoramento Proativo: mecanismos para monitorar continuamente eventos que possam sinalizar a ocorrência de incidentes;

II - Notificação Interna: comunicação de suspeita de incidente por colaboradores ou unidades internas, que deverá ser dirigida imediatamente ao Encarregado de Dados;

III - Notificação Externa: comunicação de suspeita de incidente pelo público externo, titulares de dados ou outras entidades. A Ouvidoria, ao receber tal notificação, a tratará com prioridade na sua função de Encarregado de Dados.

Art. 8º Todo incidente de segurança, comunicado ou não, deverá ser registrado em um sistema de gestão de incidentes para manutenção de histórico e rastreabilidade.

§ 1º O registro do incidente deverá ser mantido pelo prazo mínimo de cinco anos, assegurando-se a proteção do registro por meio de controle de acesso e rastreabilidade eletrônica de todas as interações.

§ 2º Para fins de registro, deverão ser observadas, no mínimo, as informações previstas no art. 10, § 1º, da Resolução CD/ANPD nº 15/2024, conforme se detalha:

I - A data de conhecimento do incidente;

II - A descrição geral das circunstâncias em que o incidente ocorreu;

III - A natureza e a categoria de dados afetados;

IV - O número de titulares afetados;

V - A avaliação do risco e os possíveis danos aos titulares;

VI - As medidas de correção e mitigação dos efeitos do incidente;

VII - A forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e

VIII - Os motivos da ausência de comunicação, quando for o caso.

Seção II

Da Análise e Classificação

Art. 9º Após o registro, o Encarregado de Dados, com o apoio das equipes técnicas, realizará a triagem para verificar se o evento constitui um incidente de segurança real e se envolve dados pessoais.

Art. 10 O Encarregado de Dados, assessorado pelas equipes técnicas, avaliará a potencial ocorrência de risco ou dano relevante aos titulares, considerando os critérios definidos no art. 5º da Resolução CD/ANPD nº 15/2024, a saber:

I - dados pessoais sensíveis;

II - dados de crianças, de adolescentes ou de idosos;

III - dados financeiros;

IV - dados de autenticação em sistemas;

V - dados protegidos por sigilo legal, judicial ou profissional; ou

VI - dados em larga escala.

Seção III

Da Contenção, Erradicação e Recuperação

Art. 11. Confirmado o incidente, sob a coordenação do Encarregado de Dados, as equipes técnicas competentes executarão as ações de contenção, erradicação e recuperação para interromper o incidente e restaurar os sistemas e serviços afetados.

Seção IV

Do Procedimento Padronizado de Comunicação do Incidente de Segurança

Art. 12. Se o incidente for classificado como de risco ou dano relevante, o controlador deverá comunicá-lo à ANPD.

§ 1º A comunicação deverá ser realizada no prazo de três dias úteis, contado a partir da data de conhecimento pelo controlador de que o incidente afetou dados pessoais.

§ 2º A comunicação deverá ser feita por meio do formulário eletrônico disponibilizado pela ANPD e conter as informações exigidas pelo art. 6º, § 2º, da Resolução CD/ANPD nº 15/2024, conforme detalhado a seguir:

I - a descrição da natureza e da categoria de dados pessoais afetados;

II - o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;

III - as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

V - os motivos da demora, no caso de a comunicação não ter sido realizada no prazo previsto no § 1º deste artigo;

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;

VII - a data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;

VIII - os dados do encarregado ou de quem represente o controlador;

IX - a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;

X - a identificação do operador, quando aplicável;

XI - a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e

XII - o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.

§ 3º As informações poderão ser complementadas no prazo de vinte dias úteis a contar da data da comunicação inicial.

§ 4º A formalização e o envio da comunicação descrita neste artigo são de responsabilidade do Encarregado de Dados.

Art. 13. Decidida pela comunicação à ANPD, o controlador comunicará o incidente ao(s) titular(es) dos dados afetados.

§ 1º A comunicação ao titular deverá ser realizada no prazo de três dias úteis e conter as informações listadas no art. 9º da Resolução CD/ANPD nº 15/2024, conforme detalhado a seguir:

I - a descrição da natureza e da categoria de dados pessoais afetados;

II - as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

III - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

IV - os motivos da demora, no caso de a comunicação não ter sido feita no prazo do § 1º deste artigo;

V - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;

VI - a data do conhecimento do incidente de segurança; e

VII - o contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.

§ 2º A comunicação deverá utilizar linguagem simples e de fácil entendimento e ocorrer de forma direta, individualizada e acompanhada de orientação ao titular, sempre que possível.

§ 3º Caso a comunicação direta seja inviável, o controlador deverá divulgar o incidente em seus canais de ampla visibilidade pelo período mínimo de três meses.

Art. 14. Durante as fases de apuração e tratamento de um incidente de segurança, todas as informações, documentos e comunicações internas relacionadas ao evento são classificadas como de natureza confidencial e de acesso restrito.

§ 1º O acesso a tais informações será limitado estritamente aos agentes públicos e equipes diretamente envolvidas na resposta ao incidente, conforme definido nos Arts. 4º, 5º e 6º desta norma.

§ 2º Toda a comunicação sobre o incidente será centralizada e coordenada pelo Encarregado de Dados, a fim de mitigar riscos, evitar a divulgação não autorizada e proteger a imagem dos titulares de dados pessoais e institucional do Tribunal.

CAPÍTULO V

MONITORAMENTO E MELHORIA CONTÍNUA

Art. 15. A organização adotará mecanismos para monitorar proativa e continuamente os eventos que possam sinalizar a ocorrência de incidentes de segurança, a fim de permitir uma rápida ação.

Art. 16. Após a resolução de cada incidente, o Encarregado de Dados, em colaboração com as equipes técnicas, procederá à fase de finalização, que inclui o registro das lições aprendidas e a proposição de melhorias nos processos e controles de segurança.

§ 1º As conclusões da fase de finalização, incluindo a análise de causa raiz e as melhorias propostas, serão consolidadas em um Relatório de Pós-Incidente, a ser formalmente apresentado à alta administração para avaliação e deliberação sobre os ajustes necessários nos controles internos.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 17. Esta Instrução Normativa entra em vigor na data de sua publicação, devendo ser revisada sempre que houver mudanças significativas no ambiente tecnológico ou regulatório.

TRIBUNAL REGIONAL ELEITORAL DO MARANHÃO, em São Luís/MA, datado e assinado eletronicamente.

Desembargador PAULO SÉRGIO VELTEN PEREIRA

Presidente