Nova portaria unifica procedimentos de segurança da informação, orienta como agir diante de suspeitas e define responsabilidades e prazos para comunicação de ocorrências
O Tribunal Regional do Trabalho da 12ª Região (TRT-SC) publicou em maio a Portaria SEAP 73/2026, que estabelece procedimentos para identificar, tratar e comunicar incidentes de segurança da informação e possíveis violações de dados pessoais.
A nova regulamentação substitui a anterior, de 2025. Entre as novidades estão a definição de responsabilidades, a criação de fluxos específicos para casos de vazamento e a fixação de prazos para comunicação às autoridades e aos titulares afetados.
Dados pessoais sensíveis
A portaria considera sensíveis informações relacionadas à origem racial ou étnica, à convicção religiosa, à opinião política, filiação sindical, a dados de saúde, à vida sexual e a informações genéticas e biométricas vinculadas a uma pessoa. Esses dados recebem proteção especial e, quando envolvidos em incidentes de segurança, podem exigir procedimentos adicionais de tratamento e comunicação.
O que fazer diante de uma suspeita
A portaria também orienta que qualquer suspeita de incidente de segurança ou de violação de dados pessoais deve ser comunicada imediatamente. Para o público interno, a orientação é registrar a ocorrência no sistema de chamados de tecnologia da informação, com descrição detalhada do fato.
Quando houver suspeita envolvendo dados pessoais sensíveis ou informações protegidas por sigilo legal, judicial ou profissional, a comunicação deverá ser feita por meio de um PROAD sigiloso. Já o público externo poderá informar ocorrências pela Ouvidoria.
Gestão de incidentes
De acordo com a portaria, a gestão dos incidentes caberá à Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR). Nos casos que envolvam informações pessoais, o Encarregado de Dados (DPO) também participa do processo, orientando as providências e as comunicações necessárias.
A norma ainda determina que incidentes capazes de gerar risco ou dano relevante aos titulares dos dados sejam comunicados à Autoridade Nacional de Proteção de Dados (ANPD) e às pessoas afetadas. Entre as situações que podem caracterizar esse risco estão incidentes envolvendo dados pessoais sensíveis, de pessoas vulneráveis, informações financeiras ou vazamentos em larga escala.
Prazos definidos
Uma das principais mudanças da nova regulamentação é a definição de prazos para análise e comunicação dos incidentes. A análise preliminar deve ser concluída em até dois dias úteis e, quando houver risco ou dano relevante, a comunicação à ANPD e aos titulares deve ocorrer em até três dias úteis.
A norma também prevê a revisão anual do protocolo para atualização contínua dos procedimentos de segurança e proteção de dados.
Carlos Nogueira
Secretaria de Comunicação Social do TRT-SC
Divisão de Redação, Criação e Assessoria de Imprensa
(48) 3216-4000 - secom@trt12.jus.br
Leia Também:
Juíza explica como "rastros digitais" podem servir de prova nas ações trabalhistas
