Artigo 45, Inciso I da Resolução CEGOV/INSS nº 47 de 21 de Janeiro de 2025

o acesso aos dados pessoais deverá ser limitado às pessoas que realizam o tratamento e revisado, periodicamente, de acordo com os critérios estabelecidos em normativos da instituição, independente da existência de processos automáticos para tanto;

as funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais deverão ser claramente estabelecidas e comunicadas;

deverão ser estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores de dados pessoais;

todos os dados pessoais deverão ser mantidos ou armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los;

as medidas de segurança técnicas e administrativas, para proteção de dados pessoais, deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução, de acordo com o conceito denominado Privacidade desde a Concepção;

deverão ser planejadas e estabelecidas ações voltadas ao mapeamento e análise dos processos organizacionais, com intuito de identificar os ativos organizacionais e as medidas técnicas de segurança a serem implementadas nestes ativos, com vistas a prover a adequada proteção dos dados pessoais; e

deverá ser mantida uma base de conhecimento com documentos que apresentem condutas e recomendações que melhorem o gerenciamento de risco e que orientem na tomada de ações adequadas em caso de comprometimento de dados pessoais.