Publicada nesta segunda-feira (25) uma nova Instrução Normativa do Instituto Nacional do Seguro Social, que endurece significativamente os requisitos de acesso de estagiários aos sistemas internos do órgão. O documento revela uma preocupação crescente do governo federal com proteção de dados pessoais, rastreabilidade de acessos e responsabilidade institucional dentro da administração pública. Mas ocorre depois de um novo vazamento de dados nas bases do INSS geridas pela Dataprev, denunciado na última quinta-feira pelo Metrópoles, que teria deixado cerca de 1,7 milhão de pessoas com dados expostos, embora 97% fossem CPFs de cidadãos falecidos.
O ponto central da nova norma é a inclusão explícita de exigências ligadas à Lei Geral de Proteção de Dados (LGPD) para estudantes que atuam no INSS e tenham acesso a sistemas que contenham dados pessoais de segurados. Isso ocorre em um contexto no qual o INSS opera uma das maiores bases de dados sensíveis do país, incluindo informações previdenciárias, biométricas, financeiras e cadastrais de milhões de brasileiros.
A alteração da Instrução Normativa PRES/INSS nº 140/2022 cria três novos deveres para os estagiários. O primeiro é a obrigatoriedade de conclusão de curso sobre proteção de dados pessoais, ofertado pela ENAP ou pelo próprio INSS. O segundo é a assinatura do Termo de Confidencialidade de Manutenção de Sigilo (TCMS) antes do acesso aos sistemas institucionais. O terceiro é a obrigação de comprovação semestral de vínculo e regularidade junto à instituição de ensino.
O texto também deixa claro que essas exigências deixam de ser apenas recomendações administrativas e passam a funcionar como condição operacional para obtenção de acesso aos sistemas do órgão. O novo parágrafo único do artigo 33 determina expressamente que a concessão de perfis de acesso dependerá da comprovação do cumprimento das exigências relativas à capacitação em proteção de dados e à assinatura do termo de sigilo.
Na prática, a norma aproxima o tratamento dado aos estagiários daquele já aplicado a servidores efetivos e terceirizados que lidam com informações sensíveis. O movimento mostra que o INSS passou a enxergar estudantes como potenciais vetores de risco informacional dentro da estrutura pública, especialmente porque muitos deles operam sistemas internos e manipulam dados pessoais em atividades administrativas e de atendimento.
Outro ponto relevante é o mecanismo coercitivo criado pela norma. O §2º do artigo 27 prevê suspensão automática dos perfis de acesso dos estagiários que não regularizarem a situação em até 30 dias após a publicação da instrução normativa. Isso significa que o órgão vinculou diretamente a conformidade em proteção de dados à capacidade operacional do estudante dentro da instituição.
Há também um reforço da responsabilização da cadeia hierárquica. Os supervisores de estágio passam a ter obrigação formal de conferir certificados, providenciar assinatura do termo de confidencialidade, anexar documentos ao SEI e monitorar semestralmente a situação acadêmica dos estudantes. Ou seja, o INSS amplia os controles internos e cria rastreabilidade documental sobre quem autorizou e supervisionou o acesso aos sistemas.
Do ponto de vista institucional, a norma sinaliza uma mudança mais ampla na cultura administrativa do governo federal após o crescimento das preocupações envolvendo segurança cibernética, vazamentos de dados e responsabilização por incidentes envolvendo informações pessoais. O INSS, por concentrar dados extremamente sensíveis da população brasileira, tornou-se um dos ambientes mais críticos nesse debate.
A medida também evidencia um processo de “compliance informacional” cada vez mais rígido dentro da máquina pública. O curso obrigatório de proteção de dados funciona não apenas como capacitação, mas como mecanismo formal de demonstração de diligência institucional em eventual investigação da Autoridade Nacional de Proteção de Dados ou de órgãos de controle.
Outro aspecto importante é que o texto reforça uma lógica de governança baseada em controle de acesso. A norma não trata apenas de confidencialidade abstrata, mas condiciona tecnicamente a criação e manutenção de perfis de acesso nos sistemas institucionais ao cumprimento das exigências documentais. Isso aproxima o INSS de práticas típicas de ambientes críticos de TI e de estruturas mais maduras de governança digital.
Politicamente e administrativamente, a instrução normativa também pode ser interpretada como uma reação preventiva do órgão diante do aumento da pressão sobre órgãos públicos federais em temas ligados à proteção de dados pessoais, soberania informacional e responsabilização funcional por incidentes de segurança.
