A Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira sanção de advertência a um órgão público — duas contra Instituto de Assistência ao Servidor Público Estadual de São Paulo (Iamspe) — desde a publicação da dosimetria. Esta é a segunda sanção aplicada pela autarquia.
De acordo com a autoridade, o caso envolve invasão e captura de dados, descrita como “incidente de segurança que pode ter comprometido a privacidade dos dados da organização por conta de um acesso não autorizado em dados cadastrais indicados por um usuário externo no início do ano de 2022”.
A ANPD considerou o ambiente inseguro no qual o IAMSPE armazenava os dados, além de não ter informado devidamente os titulares desses dados, que continham além de dados cadastrais, informações sobre salário e endereços.
Após a advertência da autarquia, o Instituto divulgou um comunicado informando sobre a ciência da sanção e mudanças sobre a prática de segurança de dados. “O Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe), órgão ligado à Secretaria de Governo e Gestão Digital (SGGD), esclarece que está ciente das sanções na sexta-feira (6/10), relacionadas ao processo da Autoridade Nacional de Proteção de Dados (LGPD). O órgão está comprometido com a adoção das melhores práticas de segurança e defesa cibernética do seu sistema de operação, visando a proteção dos dados dos seus beneficiários e dependentes.”
Para a Coordenação-Geral de Fiscalização da ANPD, “o IAMSPE infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao não manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo, e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão”. Na conclusão, ao concordar com a análise da ANPD sobre o caso, entendeu que, após sofrer incidente de segurança não comunicou os titulares de dados de forma clara, adequada e tempestiva sobre quais dos dados pessoais poderiam ter sido objeto desse incidente.
No entendimento da coordenação da ANPD, também foi notada a falta de clareza, inadequação e intempestividade do comunicado aos titulares, considerando uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Medidas corretivas para sanções de advertência
Para as duas sanções de advertência, uma para cada infração cometida pela IAMSPE, a Coordenação-Geral determinou medidas corretivas para mitigar os efeitos decorrentes da infração à LGPD, além de funcionar como forma de prevenção para evitar reincidência.
Outras medidas como a elaboração de um cronograma para implementação de medidas que tornem os sistemas de armazenamento e tratamento de dados pessoais menos vulneráveis a incidentes de segurança e o comunicado atualizado e disponível por, no mínimo 90 dias no sítio eletrônico do IAMSPE na internet, também foram incluídas nas exigências da ANPD.
Texto: Liliane Nakagawa