ANPD sanciona órgãos estaduais por violações a LGPD
A Autoridade Nacional de Proteção de Dados (ANPD) está adotando, progressivamente, uma postura mais rigorosa no que se refere às infrações da Lei Geral de Proteção de Dados (LGPD), principalmente após publicar, em 18.10.2023, a sanção contra a Secretaria de Saúde do Estado de Santa Catarina (SES-SC), após ser constatada a violação aos artigos 48 e 49 da LGPD, respectivamente, quanto á comunicação da ocorrência de incidente de segurança; e a estrutura para atender aos requisitos de segurança, aos padrões de boas práticas e de governança, e aos princípios gerais previstos, bem como o artigo 5º, I, do Regulamento de Fiscalização. A medida consta em decisão da Coordenação Geral de Fiscalização (CGF) no processo administrativo sancionador contra o órgão público.
Conforme a conclusão da CGF, as três violações citadas foram consideradas graves, entendendo pela negligência da SES-SC quanto à segurança dos sistemas de armazenamento e tratamento de dados pessoais de milhões de cidadãos do estado de Santa Catarina atendidos pelo sistema estadual público de saúde, como disposto no artigo 49 da LGPD; além do que, a SES-SC sofreu um incidente de segurança e não comunicou aos titulares sobre quais dados pessoais poderiam ter sido objeto desse incidente de forma adequada. Tal falha foi considerada uma infração de acordo com o artigo 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Ademais, a SES-SC foi sancionada de forma mais leve, ainda, por infrações ao artigo 38 da LGPD, o qual estabelece que: “A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial”. O órgão não apresentou o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) requisitado pela Autoridade.
A SES-SC deverá dispor, dentre outras, das seguintes medidas corretivas: manter um comunicado geral de incidente de segurança (CIS) em seu sítio na internet por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do incidente, no prazo de 10 dias úteis.
Ainda em outubro, a ANPD publicou no Diário Oficial da União, no dia 06, a decisão da CGF concluindo o processo administrativo sancionador contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE), por infringir o artigo 49 da LGPD, já citado anteriormente na sanção acima, em decorrência da não manutenção de sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão.
Foi concluído que o IAMSPE sofreu um incidente de segurança e não comunicou a Autoridade Nacional e nem os titulares de dados de forma clara, como previsto nos termos do artigo 48 da LGPD. Como medida sancionatória pelas infrações incorridas pelo IAMSPE, a CGF aplicou duas sanções de advertência, uma para cada infração.
No mais, a Coordenação-Geral ainda determinou medidas corretivas como forma de mitigar os efeitos decorrentes da infração à LGPD, além de prevenir sua recorrência futura, como a determinação ao Instituto de elaborar um cronograma para a implementação de medidas de segurança em seus sistemas de armazenamento e tratamento de dados pessoais e que o comunicado aos titulares seja atualizado e mantido disponível por, pelo menos, 90 dias, no sítio eletrônico do IAMSPE na internet. O órgão poderá recorrer da decisão em até 10 dias úteis, a partir do recebimento da intimação emitida pela ANPD.
Nossa Equipe de Proteção de Dados do Araújo e Policastro Advogados está à disposição para eventuais consultas ou esclarecimentos.