sexta-feira,22 novembro, 2024

ANPD aplica duas advertências a órgão público de São Paulo por vazamento de dados

A Autoridade Nacional de Proteção de Dados aplicou duas advertências contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE). É a segunda sanção aplicada pela ANPD, a primeira contra um órgão público. 

O caso envolve a invasão e captura de dados, relatada como um “incidente de segurança que pode ter comprometido a privacidade dos dados da organização por conta de um acesso não autorizado em dados cadastrais indicados por um usuário externo no início do ano de 2022”.

A conclusão da ANPD foi que o IAMSPE guardava os dados em ambiente inseguro e não informou devidamente aos titulares. Além de dados pessoais cadastrais, foram vazados salário e endereços.

O Instituto divulgou o seguinte comunicado: 

“O Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe), órgão ligado à Secretaria de Governo e Gestão Digital (SGGD), esclarece que está ciente das sanções na sexta-feira (6/10), relacionadas ao processo da Autoridade Nacional de Proteção de Dados (LGPD). O órgão está comprometido com a adoção das melhores práticas de segurança e defesa cibernética do seu sistema de operação, visando a proteção dos dados dos seus beneficiários e dependentes.”

Ao analisar o caso, a Coordenação-Geral de Fiscalização da ANPD concluiu “que o IAMSPE infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao não manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo, e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão”. 

Além disso, entendeu que, após sofrer incidente de segurança não comunicou os titulares de dados de forma clara, adequada e tempestiva sobre quais de seus dados pessoais poderiam ter sido objeto desse incidente.

A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. 

Como resultado, a ANPD aplicou duas sanções de advertência, uma para cada infração. 

A Coordenação-Geral, determinou também medidas corretivas a serem cumpridas pelo IAMSPE como forma de mitigar os efeitos decorrentes da infração à LGPD, também como forma de prevenir que as infrações se repitam no futuro. 

Foi determinada ao instituto a elaboração de um cronograma para que implemente medidas que tornem seus sistemas de armazenamento e tratamento de dados pessoais mais seguros e, portanto, menos vulneráveis a incidentes de segurança. Foi determinado, também, que o comunicado aos titulares seja atualizado e mantido disponível por, pelo menos, 90 dias no sítio eletrônico do IAMSPE na internet. 

Texto: Luís Osvaldo Grossmann

Redação
Redaçãohttp://www.360news.com.br
1º Hub de notícias sobre inovação e tendências da região Centro-Oeste e Norte do Brasil.

LEIA MAIS

Recomendados