RESOLUÇÃO SUSEP Nº 050, DE 16.04.2025
CONTEÚDO
RESOLUÇÃO SUSEP Nº 050, DE 16.04.2025
Estabelece a Política de Governança de Dados - PGDados da Superintendência de Seguros Privados - SUSEP.
O SUPERINTENDENTE DA SUPERINTENDÊNCIA DE SEGUROS PRIVADOS - SUSEP, torna público que o Conselho Diretor desta Autarquia, em reunião ordinária realizada em 09 de abril de 2025, no uso das atribuições que lhe confere o inciso V do art. 8º do Anexo I da Resolução CNSP nº 468, de 25 de abril de 2024, e o que consta do Processo Susep nº 15414.628007/2024-81, resolve:
Art. 1º Estabelecer a Política de Governança de Dados - PGDados da Superintendência de Seguros de Privados - SUSEP.
CAPÍTULO I
DO OBJETIVO
Art. 2º A PGDados tem como objetivo estabelecer os princípios, as diretrizes, as estruturas, os papéis e as responsabilidades dos agentes envolvidos na gestão dos ativos de dados, zelando pela integridade, qualidade, confidencialidade e disponibilidade dos dados, promovendo a confiabilidade das informações utilizadas para embasar processos decisórios e estratégicos.
CAPÍTULO II
DO ESCOPO
Art. 3º A PGDados:
I - deve ser aplicada a todos os dados que estão sob custódia da Susep, incluindo aqueles gerados, coletados, armazenados, processados ou utilizados dentro de sua infraestrutura controlada; e
II - deve ser seguida por todos os servidores, colaboradores, incluindo gestores, prestadores de serviços, estagiários, contratados e conveniados que tenham acesso ou estejam envolvidos em algum processo de tratamento e uso desses dados.
CAPÍTULO III
DOS CONCEITOS E DEFINIÇÕES
Art. 4º Para fins da PGDados, considera-se:
I - ativos de dados: qualquer dado ou conjunto de dados que tenha valor para a organização, independentemente de sua forma ou formato. Esses ativos são fundamentais para a operação, análise e tomada de decisão e devem ser gerenciados, protegidos e disponibilizados de acordo com as diretrizes de governança de dados e de segurança da informação;
II - catálogo de dados e metadados: forma de organização de dados que possibilita ao usuário pesquisar, localizar e entender os dados a partir de sua descrição e caracterização técnica e negocial, com o intuito de facilitar sua identificação e utilização;
III - Comitê de Dados: grupo composto por curadores de dados e outros agentes da governança, indicado pelo Comitê de Governança Digital - CGD, responsável por promover a atuação integrada do processo de curadoria, isto é, trabalhar de modo a facilitar que a curadoria de dados ocorra de forma padronizada e colaborativa nas diversas áreas da Susep, evitando a duplicidade de esforços, e assegurando o alinhamento aos objetivos estratégicos da autarquia;
IV - conjunto de dados: coleção de dados que são armazenados e gerenciados de forma a permitir o acesso, a consulta, a atualização ou outras operações permitidas por sistemas de Tecnologia da Informação - TI, incluindo desde bancos de dados estruturados, podendo se referir a uma base de dados, a uma tabela individual, a um agrupamento de tabelas ou arquivos que representem um conceito lógico do negócio, até planilhas e outros tipos de dados semiestruturados ou não estruturados;
V - curador de dados gestor: titular de cada unidade gestora de conjunto de dados, designado como responsável pela governança dos dados sob sua gestão e por assegurar o processo de curadoria dos conjuntos de dados da unidade;
VI - curadoria: gerenciamento responsável dos conjuntos de dados, realizado pelo curador de dados gestor em benefício institucional, incluindo atividades que visem promover a qualidade dos dados utilizados na Susep. Envolve também o trabalho de catalogação dos dados sob sua curadoria, incluindo descrições, origem, estrutura e uso dos dados;
VII - dado: menor unidade de uma estrutura, organizada ou não, com a qual se representa um fato, podendo ser número, gráfico, imagem, texto, som, entre outros, e a partir da qual a informação pode ser inferida;
VIII - dados mestres: dados que oferecem o contexto do negócio na forma de conceitos comuns e abstratos relacionados à atividade institucional e que costumam ser cadastrais e essenciais para caracterizar as operações do negócio;
IX - gestão de dados: disciplina que tem por objetivo o planejamento, a execução e supervisão de um conjunto de atividades e práticas que fornecem, protegem e aumentam o valor dos dados ao longo do seu ciclo de vida, levando em consideração as questões relativas à preservação, à organização, ao compartilhamento, à proteção e à confidencialidade, bem como o acesso e disponibilização para a sociedade, quando cabível;
X - executivo de dados: servidor público ocupante de cargo efetivo, empregado público ou militar de carreira, responsável pela implementação e manutenção do Programa de Governança de Dados no âmbito do órgão ou entidade, atuando no nível estratégico, como ponto focal de comunicação tanto internamente quanto para os órgãos de monitoramento desta política e os demais atores do ecossistema de dados.
XI - governança de dados: exercício de autoridade e controle (planejamento, monitoramento e execução) sobre a gestão de ativos de dados. Para a administração pública brasileira, refere-se a um conjunto de princípios, políticas, padrões, métricas e responsabilidades que permitem o alinhamento da estratégia, processos, pessoas, uso de tecnologia e dados, visando estruturar e administrar os ativos de dados com o objetivo de fomentar, aprimorar e garantir a efetividade do uso dos dados para o desenvolvimento de políticas públicas e entrega de soluções e serviços ao cidadão;
XII - infraestrutura controlada de TI da SUSEP: abrange todos os componentes do ambiente de TI que estão sob a gestão da SUSEP, incluindo hardware, software, redes e serviços. Esses recursos podem estar localizados tanto nas instalações físicas da SUSEP quanto na nuvem, por meio de contratos com prestadores de serviços terceirizados;
XIII - metadados: dados com os quais se descreve e caracteriza outros dados, por exemplo quanto às suas fontes, curadoria, formato, periodicidade de atualização, endereçamento, entre outros;
XIV - registros de referência: informação íntegra e precisa oriunda de uma ou mais fontes de dados, centralizadas ou descentralizadas, sobre elementos fundamentais para a prestação de serviços e para a gestão de políticas públicas;
XV - tratamento de dados: toda operação realizada com os dados durante seu ciclo de vida, como as que se referem à coleta, processamento, transformação, armazenamento, utilização, compartilhamento, reutilização e descarte, com objetivo de assegurar a integridade, segurança, privacidade e qualidade dos dados, garantindo que todas as operações sejam realizadas em conformidade com as legislações vigentes, como a LGPD, e alinhadas às políticas e diretrizes da organização.
XVI - temporalidade dos dados: conceito relacionado ao ciclo de vida do dado, sendo entendido como o prazo de retenção, utilidade e validade dos dados dentro da organização, levando-se em conta requisitos legais e regulatórios e operacionais.
XVII - unidade gestora de conjunto de dados: unidade da Susep responsável pela gestão de um conjunto de dados, seja por centralizar o conhecimento especializado, seja por deter competência legal, normativa ou regimental sobre o conjunto de dados; e
XVIII - unidade de apoio à Governança de Dados: estrutura organizacional com quadro de pessoal próprio, constituída com a responsabilidade de orquestrar, coordenar, estimular e facilitar a execução da governança de dados na instituição.
CAPÍTULO IV
DOS PRINCÍPIOS
Art. 5º A Governança de Dados da Susep observará os seguintes princípios:
I - promoção da transparência ativa dos dados: a Susep buscará publicar os dados de interesse da sociedade, em formato aberto, acessível, ressalvados os casos de sigilo ou restrição previstos em legislação específica, e deverá garantir que as regras de tratamento dos dados estejam claras e acessíveis a todas as partes interessadas;
II - privacidade e demais princípios de tratamento e proteção de dados pessoais previstos na legislação vigente: comprometimento em observar e cumprir todos os princípios estabelecidos pela Lei Geral de Proteção de Dados Pessoais (LGPD), garantindo que todas as atividades relacionadas ao tratamento de dados pessoais sejam realizadas em conformidade com os requisitos legais vigentes;
III - responsabilidade compartilhada: a responsabilidade pela governança de dados deverá ser compartilhada entre as áreas de negócio, as estruturas de governança e a área de TI; e
IV - busca pela qualidade dos dados: a Susep deverá assegurar a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade para uso e finalidade de tratamento.
CAPÍTULO V
DAS DIRETRIZES
Art. 6º A Governança de Dados será orientada pelas seguintes diretrizes:
I - gestão dos dados como ativos estratégicos;
II - estabelecimento de uma estrutura de governança para tomar decisões sobre os dados, garantindo a participação adequada das partes interessadas e a devida prestação de contas pelas ações tomadas;
III - definição clara dos papéis e responsabilidades de todos os envolvidos na governança e gestão de dados, garantindo a responsabilização e atuação em todas as etapas do ciclo de vida dos dados;
IV - conformidade ao disposto nesta norma, incluindo os aspectos relativos à gestão, controles, catalogação, curadoria e responsabilização;
V - priorização de ações que visem a qualidade dos dados;
VI - estabelecimento de um Programa de Governança de Dados, definindo e priorizando a execução de projetos que visem implementar os processos necessários para a execução de uma gestão de dados eficaz na Susep;
VII - incentivo ao compartilhamento de dados de acesso público; e
VIII - promoção da capacitação e da conscientização dos colaboradores sobre a importância da governança de dados, bem como desenvolvimento do letramento de dados, oferecendo treinamentos e recursos adequados para garantir a participação e o engajamento de todos os envolvidos.
CAPÍTULO VI
DAS ESTRUTURAS, PAPÉIS E RESPONSABILIDADES
Art. 7º A estrutura da Governança de Dados da Susep será composta por:
I - Comitê de Governança Digital (CGD);
II - curadores de dados gestores;
III - Comitê de Dados;
IV - executivo de dados;
V - unidade de apoio à Governança de Dados; e
VI - unidades de TI.
Art. 8º O CGD, com estrutura e competências definidas pela Resolução N o 37, de 26 de fevereiro de 2024, é responsável por:
I - aprovar a Política de Governança de Dados da Susep e suas alterações e submeter ao Conselho Diretor da Susep para ratificação e publicação do ato normativo;
II - aprovar o Programa de Governança de Dados da Susep;
III - determinar e formalizar as unidades gestoras dos conjuntos de dados;
IV - decidir sobre a priorização dos projetos do Programa de Governança de Dados da Susep;
V - decidir sobre eventuais conflitos encaminhados pelo Comitê de Dados, relacionados a curadoria, compartilhamento e acesso aos dados, bem como sobre os casos omissos;
VI - decidir, excepcionalmente, pela curadoria compartilhada de um conjunto de dados, estabelecendo o curador de dados principal, que coordenará e representará os demais curadores juntos às instâncias de governança de dados;
VII - aprovar normas complementares à Política de Governança de Dados da Susep; e
VIII - aprovar o arquivamento ou exclusão de conjuntos de dados obsoletos.
Art. 9º Os curadores de dados gestores, munidos com a devida capacitação e treinamento, são responsáveis por:
I - assegurar que a sua estrutura disponha de servidores alocados para apoiar nas operações de curadoria dos conjuntos de dados sob sua responsabilidade, bem como promover a gestão do conhecimento sobre o tema;
II - realizar a gestão dos dados com vistas a promover a adequada qualidade;
III - solicitar ao Comitê de Dados a coleta de novos conjuntos de dados, bem como o arquivamento ou exclusão de dados obsoletos ou em desuso;
IV - manter atualizado o catálogo de dados, inclusive metadados, sob sua curadoria;
V - identificar e resolver questões de dados sob sua curadoria;
VI - definir e comunicar as regras de acessos e usos dos dados sob sua curadoria;
VII - autorizar a concessão de acesso a determinado conjunto de dados sob sua gestão;
VIII - definir e manter requisitos, normas de negócio e regras para a qualidade dos dados, observando políticas, diretrizes e orientações existentes;
IX - classificar as bases de dados quanto ao grau de sigilo e acesso, na forma da legislação vigente;
X - classificar a privacidade dos dados em relação aos conjuntos de dados sob sua curadoria, assegurando a proteção dos dados pessoais, na forma da legislação vigente; e
XI - manifestar-se a respeito da disponibilização de dados para o público interno e externo, identificando a necessidade de anonimização, quando aplicável, e especificando quais dados serão submetidos a esse processo.
Art. 10. O Comitê de Dados será composto pelos seguintes membros:
I - curadores de dados gestores;
II - representantes das Unidades de TI;
III - encarregado do tratamento de dados pessoais;
IV - gestor de Segurança da Informação; e
V - titular da unidade responsável pela Governança de Dados.
Parágrafo único. O Comitê de Dados será presidido pelo titular da unidade responsável pela Governança de Dados, o qual definirá a forma de funcionamento e o calendário de reuniões ordinárias e extraordinárias do Comitê.
Art. 11. O Comitê de Dados é responsável por:
I - promover a atuação integrada dos curadores de dados;
II - deliberar sobre assuntos relacionados a curadoria, compartilhamento e gestão e governança dos dados, bem como sobre os casos omissos;
III - deliberar sobre a aquisição de novos conjuntos de dados, alteração, consolidação, arquivamento ou exclusão de dados, buscando, sempre que possível, a racionalização e evitando redundância de dados;
IV - propor alterações na PGDados ou em normas que a complementam;
V - deliberar sobre o ciclo de vida dos dados; e
VI -mediar e resolver conflitos técnicos relativos à governança de dados entre unidades organizacionais da Susep, devendo encaminhar ao CGD os casos não solucionados.
Art. 12. A autoridade máxima de TI é responsável por:
I - encaminhar solicitação dos recursos necessários para implementação da PGDados, no limite de suas atribuições, à autoridade competente para as providências cabíveis;
II - zelar pelos dados mantidos nos ambientes tecnológicos gerenciados pela área de TI, assegurando sua guarda, operação e monitoramento; e
III - apoiar, no que couber, a implantação das diretrizes e padrões estabelecidos pela Política de Governança de Dados estabelecida na instituição.
Art. 13. O Executivo de dados, com o suporte da Unidade de apoio à Governança de Dados é responsável por:
I - prestar assessoria ao CGD e ao Comitê de Dados quando demandado;
II - facilitar a implementação da PGDados, auxiliando os agentes de governança no entendimento e cumprimento das normas e processos relativos à governança de dados;
III - apoiar e coordenar o processo de atualização da PGDados;
IV - elaborar e propor, ao CGD, o Programa de Governança de Dados da Susep;
V - coordenar a implementação do Programa de Governança de Dados na Susep;
VI - propor processos e padrões relativos à governança e gestão de dados;
VII - propor, implementar e disseminar os indicadores de monitoramento da evolução da implementação do Programa de Governança de Dados;
VIII - prospectar e definir, com o apoio das Unidades de TI e das Unidades Gestoras de conjuntos de dados, as ferramentas de suporte à governança de dados, e disseminar o seu uso na instituição;
IX - gerir o catálogo de dados e metadados da Susep;
X - prestar suporte técnico aos curadores de dados no processo de curadoria e catalogação de dados;
XI - elaborar, com o apoio dos demais agentes da governança de dados da Susep, políticas, diretrizes, manuais, orientações, em relação à catalogação de dados e metadados, qualidade de dados, ciclo de vida dos dados, curadoria, entre outros, com vista a tornar efetiva a gestão dos dados como ativos;
XII - realizar monitoramento quanto ao cumprimento dos termos da PGDados;
XIII - apoiar os curadores de dados no processo de verificação da obsolescência ou desuso do dado, com o propósito de definir seu arquivamento ou exclusão;
XIV -promover a importância da Governança de Dados na instituição e incentivar a capacitação dos envolvidos; e
XV - promover a observância dos padrões éticos e dos princípios que gerem essa política.
Art. 14. As unidades de TI da Susep, representadas por seus titulares, são responsáveis por:
I - prospectar e implementar padrões e soluções para garantir a qualidade dos dados;
II - gerenciar o acesso aos conjuntos de dados conforme políticas e processos de acesso estabelecidos e proteger os dados contra acessos não autorizados e violações;
III - administrar os bancos de dados, assegurando a integridade, consistência e disponibilidade dos dados;
IV - operacionalizar a criação e alteração de bases de dados nos servidores de banco de dados da Susep;
V - definir requisitos tecnológicos e gerenciar a infraestrutura de armazenamento, gerenciamento e processamento dos dados, assegurando disponibilidade, capacidade e desempenho; e
VI - atuar junto às unidades gestoras de dados nas demandas relacionadas à aquisição, processamento, armazenamento e descarte dos dados.
Art. 15. Cabe ao encarregado do tratamento de dados pessoais apoiar os demais agentes da estrutura de Governança de Dados, provendo orientações acerca das diretrizes que envolvam privacidade e proteção de dados pessoais nos termos da legislação vigente.
CAPÍTULO VII
DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 16. As ações necessárias à operacionalização do disposto nesta política deverão ser planejadas, priorizadas e desenvolvidas considerando um Plano de Implementação desta política, o qual estabelecerá um Programa de Governança de Dados que incluirá um cronograma de ações, sob a coordenação da Unidade de apoio à Governança de Dados.
Parágrafo único. Fica estabelecido o prazo de 24 (vinte e quatro) meses, contados a partir da publicação desta Resolução, para implementação gradual da política, com foco na priorização definida no Plano de Implementação disposto no caput.
Art. 17. A Unidade de apoio à Governança de Dados deverá ser indicada no Regimento Interno ou em Instrução Normativa Susep.
Art. 18. O Comitê de Dados deverá ser instituído pela autoridade competente.
Art. 19. As Unidades Gestoras dos conjuntos de dados e o Executivo de dados deverão ser designados pela autoridade competente.
Art. 20. A PGDados deverá ser revisada a cada 3 anos ou em período menor, em caso de necessidade.
Art. 21. Os casos omissos nesta norma serão resolvidos pelo CGD.
Art. 22. Esta Resolução entra em vigor na data de sua publicação.
ALESSANDRO SERAFIN OCTAVIANI LUIS
(DOU de 25.04.2025 – pág. 214 e 215 - Seção 1)