O MINISTRO DE ESTADO DA PREVIDÊNCIA SOCIAL e o PRESIDENTE DO INSTITUTO NACIONAL DO SEGURO SOCIAL, no uso das atribuições que lhes conferem, respectivamente, o inciso II do parágrafo único do art. 87, da Constituição, e o Decreto n.º 11.356, de 1º de janeiro de 2023; e o Decreto nº 10.995, de 14 de março de 2022, bem como tendo em vista o disposto no inciso IV do art. 2º e do inciso I do art. 3º do Decreto nº 10.047, de 9 de outubro de 2019, e considerando o processo SEI 10135.101602/2020-63, resolvem:

Art. 1º O Cadastro Nacional de Informações Sociais - CNIS plataforma destinada a concentrar informações previdenciárias, trabalhistas e sociais tem por finalidades precípuas possibilitar a execução de políticas públicas e o reconhecimento de direitos previdenciários.

§ 1º Consideram-se informações sociais o conjunto de dados contidos no CNIS, que subsidiam o alcance das finalidades de que trata o caput.

§ 2º O CNIS recepcionará informações e dados constantes das bases, sistemas e repositórios, em especial aqueles listados no Anexo do Decreto nº 10.047, de 2019.

§ 3º Para fins desta Portaria, entende-se por:

I - Governança - conjunto de mecanismos de gestão, estratégia e controle utilizados no intuito de obter capacidade de resposta, integridade, confiabilidade, melhoria regulatória, prestação de contas e responsabilidade e transparência nas ações.

II - Gestão - conjunto de práticas gerenciais que visam assegurar a existência de condições mínimas para o exercício da boa governança;

III - Estratégia - definição de diretrizes, objetivos, planos e ações, além de critérios de priorização e alinhamento entre organizações e partes interessadas, para que os serviços e produtos alcancem o resultado pretendido; e

IV - Controle - processos estruturados para mitigar os possíveis riscos.

Art. 2º São diretrizes de governança do CNIS promover:

I - o compartilhamento de dados entre os órgãos e as entidades do Poder Público;

II - a categorização de dados geridos pelo CNIS, em atenção aos arts. 3º e 4º do Decreto nº 10.046, de 9 de outubro de 2019;

III - o registro das informações de interesse da administração pública federal, com vistas ao fortalecimento do cadastro do cidadão no CNIS;

IV - a confiabilidade do CNIS nas análises das condições de acesso e manutenção de benefícios sociais, assistenciais e fiscais;

V - soluções tecnológicas com vistas à simplificação de processos e procedimentos de atendimento aos usuários dos serviços públicos, respeitados os limites legais e as condições de segurança de dados, de modo a propiciar as melhores regras para compartilhamento de informações, nos termos do Decreto nº 9.094, de 17 de julho de 2017, inciso VI do art. 1º;

VI - a utilização do Cadastro de Pessoa Física - CPF para fins de acesso a informações e ou cruzamento de dados de bases oficiais, com vistas ao cumprimento dos critérios de elegibilidade para concessão e manutenção de benefícios;

VII - mecanismos de manutenção da integridade para recepção, hospedagem, tratamento, atualização, acesso, utilização e distribuição dos dados;

VIII - a transparência nas decisões administrativas com base nas informações que compõem o CNIS, em especial, sobre as fontes de dados utilizadas e quais instituições acessam sua base.

Art. 3º As bases, sistemas e repositórios incorporados ao CNIS têm por objetivo:

I - promover a desburocratização e simplificação dos atos administrativos, proporcionando melhor atendimento ao cidadão, conforme premissas definidas pela Lei nº 13.726, de 08 de outubro de 2018;

II - manter a confiabilidade na utilização de dados, que se dará:

a) na análise de requerimentos, ao possibilitar a confirmação das circunstâncias de elegibilidade ou inelegibilidade aos benefícios requeridos, evitando fraudes e ou desvios no reconhecimento de direitos;

b) por meio de cruzamento de dados, preferencialmente automáticos;

III - aprimorar a análise automática de benefícios; e

IV - facilitar o acesso, em base unificada, pelo próprio cidadão, aos seus dados sob gestão de diferentes órgãos públicos, bem como aos próprios órgãos e entidades do Poder Público.

Art. 4º Ao Ministério da Previdência Social compete:

I - acompanhar estrategicamente as ações relacionadas a governança do CNIS;

II - propor diretrizes e normativos relacionados ao funcionamento do CNIS, tais como políticas de acesso, compartilhamento de dados, políticas de segurança, gestão de riscos.

III - estabelecer a forma, respeitadas as políticas de governo digital, para a difusão, extração e transmissão dos dados originados e compartilhados com outros órgãos, observadas as limitações técnicas do CNIS, quando se trata de extração, bem como o estabelecido nesta Portaria;

IV - avaliar as solicitações de compartilhamento de dados do CNIS formuladas por órgãos ou entidades não especificados no art. 1º do Decreto nº 10.046, de 2019, promovendo a celebração de convênio, acordo de cooperação técnica ou instrumento congênere, conforme o caso.

V - exercer o papel de controlador no tratamento de dados pessoais, de que trata o inciso VI do art. 5º da Lei nº 13.709, de 14 de agosto de 2018, podendo contratar ou firmar parcerias com terceiros para que este exerça esse papel.

Art. 5º Ao INSS compete:

I - a administração, o desenvolvimento e a operacionalização do CNIS, em consonância com as orientações e os atos normativos editados pelo Ministério da Previdência Social;

II - avaliar as solicitações de compartilhamento de dados do CNIS formuladas por órgãos ou entidades referidos no art. 1º do Decreto nº 10.046, de 2019, com base no art. 5º desse Decreto;

III - gerir permissões e níveis de acesso on-line ao CNIS e suas informações aos órgãos e às entidades cujos pedidos foram deferidos;

IV - incorporar ao CNIS as informações necessárias à concessão, à manutenção, à revisão e às verificações periódicas de benefícios por ele administrados;

V - elaborar, dar publicidade e cumprir, em relação ao CNIS, os relatórios de versões sistêmicas e a política de gerenciamento de acesso aos órgãos e às entidades da administração pública especificados no art. 1º do Decreto nº 10.046, de 2019;

VI - exercer os papel de operador no tratamento de dados pessoais, de que trata o inciso VII do art. 5º da Lei nº 13.709, de 14 de agosto de 2018, podendo contratar ou firmar parcerias com terceiros para que este exerça esse papel.

Parágrafo único. Compete ao INSS criar canais de comunicação oficiais entre órgãos públicos, cujos dados compõem o CNIS, com o objetivo de mitigar inconsistências nas bases tratadas, resguardada a proteção dos dados.

Art. 6º O compartilhamento de dados do CNIS se dará nas formas previstas no Anexo I desta Portaria e o requerimento para compartilhamento será condicionado aos seguintes requisitos:

I - apresentação do Formulário para Solicitação de Acesso a Dados do CNIS, na forma do Anexo II desta Portaria, devidamente preenchido e assinado;

II - apresentação do Termo de Compromisso de Manutenção de Sigilo - TCMS, na forma do Anexo III, devidamente preenchido e assinado pela autoridade subscritora da solicitação, acompanhado de cópia do seu documento de identificação oficial com foto e do seu CPF;

III - na hipótese de solicitação de acesso on-line ao CNIS, apresentação dos TCMSs preenchidos e assinados pelos 2 (dois) servidores indicados como Gestores de Acesso, sendo que estes Termos deverão estar acompanhados de cópias do documento de identificação oficial com foto e do CPF, de cada um;

IV - em se tratando de dados pessoais, inclusive sensíveis, apresentação das informações necessárias ao cumprimento do disposto nos arts. 7º e 11 da Lei nº 13.709, de 2018.

V - arcar, se necessário, com os custos suficientes ao processamento, transmissão, armazenamento, proteção e cessão dos dados, exceto disposição contrária prevista em lei, regulamento ou acordo entre as entidades ou os órgãos envolvidos; e

VI - não fornecer a terceiros os dados requisitados do CNIS, exceto nos casos previstos em lei.

§ 1º Aplica-se ao compartilhamento de informações o disposto nos arts. 198 e 199 da Lei nº 5.172, de 25 de outubro de 1966, e a legislação pertinente ao sigilo médico.

§ 2º Quando não houver possibilidade de cessão dos dados do CNIS, devido a restrições legais, deverá ser oportunizado ao solicitante que o operador promova, quando possível, as ações para a geração da informação necessária sem que seja transferido ou permitido o conhecimento dos dados restritos.

Art. 7º Esta Portaria entra em vigor no primeiro dia útil do mês subsequente ao de sua publicação.

CARLOS ROBERTO LUPI

Ministro de Estado da Previdência Social

ALESSANDRO ANTONIO STEFANUTTO

Presidente do Instituto Nacional do Seguro Social

ANEXO I - Seção I - Do Fluxo

Art. 1º O órgão ou entidade que necessite ter acesso aos dados do CNIS deverá enviar solicitação por ofício ao Ministério da Previdência Social ou ao INSS, conforme especificado a seguir, acompanhado dos documentos constantes nos Anexos II e III desta Portaria, da cópia do documento de identificação oficial com foto e do CPF da autoridade solicitante.

I - órgãos e entidades da administração pública referidos no art. 1º do Decreto nº 10.046, de 2019: solicitação endereçada ao INSS, para análise com base no art. 5º do Decreto nº 10.046, de 2019;

II - demais órgãos e entidades do Poder Público não referidos no art. 1º do Decreto nº 10.046, de 2019: solicitação endereçada ao Ministério da Previdência Social, para avaliação e adoção das tratativas necessárias visando à celebração de convênio, acordo de cooperação técnica ou instrumento congênere, conforme o caso.

§ 1º Após o recebimento da documentação referida no caput, o Ministério da Previdência Social ou o INSS, conforme o caso, formalizará processo administrativo e se manifestará a respeito.

§ 2º Uma vez autorizado o acesso a dados do CNIS, será emitido Termo de Autorização de Acesso a Dados do CNIS (Anexo IV), pelo Ministério da Previdência Social ou pelo INSS, conforme o caso, sendo que o órgão ou a entidade cujo pedido foi deferido deverá apresentar o referido documento à empresa de tecnologia quando da celebração de contrato ou outro instrumento visando remunerar os serviços, se existentes.

§ 3º As solicitações que tenham finalidade diversa da prevista no art. 2º serão encaminhadas para deliberação do Ministério da Previdência Social.

§ 4º O órgão ou a entidade interessada em solicitar o acesso aos dados do CNIS disponíveis em plataformas de interoperabilidade do Governo Federal submetem-se às regras próprias destas plataformas e estão dispensados do envio de solicitação de acesso diretamente ao Ministério da Previdência Social e ao INSS.

Seção II - Do Formato

Art. 2º Os dados serão mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos e à descentralização da atividade pública, nos termos do art. 25, da Lei nº 13.709, de 14 de agosto de 2018.

Art. 3º O acesso a dados do CNIS poderá ser realizado das seguintes formas:

I - acesso on-line: de forma direta, por meio de senha disponibilizada em quantidade controlada, sendo liberado o acesso às informações conforme a classificação do nível de acesso autorizado.

II - API/Web Service (Interface de Programação de Aplicativos) ou mecanismo similar: integração direta entre sistemas de informação a partir de chamadas diretas ao banco de dados, através de barramento de serviços, que permite o compartilhamento ordenado de dados em modelo de serviço pela internet, por meio de canais seguros e criptografados;

III - qualificação de dados: os dados de interesse serão qualificados junto ao CNIS e entregues como extração.

Seção III - Da segurança e restrições de acesso

Art. 4º O órgão ou a entidade cujo pedido foi deferido ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação dos dados pessoais, nos termos da Lei nº 13.709, de 2018.

§ 1º O tratamento dos dados deverá atender às finalidades específicas de execução das políticas públicas e atribuição legal do órgão ou da entidade.

§ 2º O acesso aos dados poderá ser concedido somente aos agentes públicos do respectivo órgão ou entidade cujo pedido foi deferido, mediante assinatura do TCMS (Anexo III).

Art. 5º Os órgãos ou as entidades solicitantes devem observar e implementar os seguintes requisitos mínimos de segurança nos sistemas receptores dos dados e informações oriundos do CNIS:

I - manter o registro das operações de tratamento de dados do CNIS;

II - adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; e

III - assegurar que os sistemas utilizados para o tratamento de dados pessoais sejam estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nas normas regulamentares.

Art. 6º A autorização de compartilhamento de dados será revogada quando:

I - houver alteração normativa ou de interpretação a afastar o motivo invocado para a sua concessão;

II - forem descumpridas as regras de utilização dos dados;

III - o órgão solicitante formalizar interesse em revogar a autorização;

IV - nas hipóteses previstas no convênio, acordo de cooperação técnica ou instrumento congênere celebrado.

Parágrafo único. A revogação da autorização não exime os agentes de tratamento dos dados das sanções administrativas aplicáveis em razão de infrações às normas previstas na legislação.

Seção IV - Das disposições finais

Art. 7º As autorizações para acesso a dados do CNIS com base no art. 5º do Decreto nº 10.046, de 2019, serão, em regra, concedidas por prazo indeterminado.

Art. 8º As autorizações dadas e os convênios, acordos de cooperação técnica ou instrumentos congêneres celebrados anteriormente à presente Portaria permanecem válidos, observado o prazo de vigência estabelecido.

ANEXO II - Formas de compartilhamento de dados do CNIS

ANEXO III - FORMULÁRIO PARA SOLICITAÇÃO DE ACESSO A DADOS DO CNIS

.

.

.

.

.

.

.

Local (UF), ______ de _______ de ____.

(ASSINATURA)

(NOME COMPLETO DA AUTORIDADE

(CARGO/FUNÇÃO/SETOR)

(Nº DO CPF)

ANEXO IV TERMO DE COMPROMISSO DE MANUTENÇÃO DE SIGILO - TCMS

Eu, ________________________(informar nome completo), ocupante do cargo/função de __________, lotado no(na) ______________(informar Setor/Seção/Unidade/Órgão onde trabalha, com respectivo CNPJ), natural de ______________, CPF sob o nº ______________, RG nº ______________, expedido por _____________________, em _________(data de expedição do RG), filho(a) de ___________________________(Nome do Pai) e de _______________________(Nome da Mãe), residente e domiciliado em _______________________________________________(informar o endereço completo), Telefone nº________, e-mail institucional _______________________, declaro ter ciência inequívoca da habilitação que me foi conferida para manuseio dos dados e informações do __________(informar base de dados/sistema/repositório), e da legislação sobre o tratamento de informação classificada cuja divulgação possa causar risco ou dano à segurança da sociedade ou do Estado, sendo que me comprometo a guardar o sigilo necessário, nos termos da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI), da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), e das normatizações ou regulamentações específicas acerca de sigilos e proteção de dados, inclusive pessoais, incidentes.

No tocante às atribuições a mim conferidas, comprometo-me a:

I - manusear os dados apenas por necessidade de serviço, ou em caso de determinação expressa, desde que legal, de superior hierárquico;

II - manter a absoluta cautela quando da exibição de dados em tela, impressora, ou, ainda, na gravação em meios eletrônicos, afim de evitar que deles venham a tomar ciência pessoas não autorizadas;

III - não me ausentar do terminal sem encerrar a sessão de uso das bases, garantindo assim a impossibilidade de acesso indevido por pessoas não autorizadas;

IV - manter o sigilo dos dados obtidos por força de minhas atribuições, abstendo-me de revelá-los ou divulgá-los, sob pena de incorrer nas sanções civis e penais decorrentes de eventual divulgação;

V - realizar atividades de tratamento de dados observando a boa-fé e os princípios definidos na Lei nº 13.709, de 2018 (LGPD), que dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), e estar ciente das sanções administrativas previstas no § 3º do art. 52 da LGPD;

VI - estar ciente das restrições previstas no § 2º do art. 31 da Lei nº 12.527, de 2011 (LAI), no § 2º do art. 61 do Decreto nº 7.724, de 16 de maio de 2012 (uso indevido da informação), no art. 20 (divulgação autorizada ou necessária) da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), e nos arts. 138 a 145 (crimes contra a honra), 297, 299 e 304 (crimes de falsidade documental) do Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal);

VII - reconhecer que a utilização dos ativos de informação poderá ser monitorada;

VIII - não utilizar e nem disponibilizar os dados para uso comercial, sem autorização formal do órgão gestor da base de dados/sistema/repositório; e

IX - responder, em todas as instâncias devidas, pelas consequências decorrentes das ações ou omissões de minha parte que possam pôr em risco ou comprometer a exclusividade de conhecimento de minha senha.

Local (UF), ______ de _______ de ____.

(ASSINATURA)

(NOME COMPLETO DA AUTORIDADE)

(CARGO/FUNÇÃO/SETOR)

(Nº DO CPF)

Testemunhas:

Nome: ______________________________________________ CPF: __________________

Nome: ______________________________________________ CPF: __________________

ANEXO V - TERMO DE AUTORIZAÇÃO DE ACESSO A DADOS DO CNIS

.

.

.

.

.

.

.

.

.

.

Local (UF), ______ de _______ de ____.

(ASSINATURA)

(NOME COMPLETO DA AUTORIDADE)

(CARGO/FUNÇÃO/SETOR)

(Nº DO CPF)