A Autoridade Nacional de Proteção de Dados – ANPD está adotando, progressivamente, uma postura mais rigorosa no que se refere às infrações da Lei Geral de Proteção de Dados – LGPD, principalmente após publicar, em 18.10.23, a sanção contra a Secretaria de Saúde do Estado de Santa Catarina (SES-SC), após ser constatada a violação aos artigos 48 e 49 da LGPD, respectivamente, quanto á comunicação da ocorrência de incidente de segurança; e a estrutura para atender aos requisitos de segurança, aos padrões de boas práticas e de governança, e aos princípios gerais previstos, bem como o artigo 5º, I, do Regulamento de Fiscalização. A medida consta em decisão da Coordenação Geral de Fiscalização – CGF, no processo administrativo sancionador contra o órgão público.
Conforme a conclusão da CGF, as três violações citadas foram consideradas graves, entendendo pela negligência da SES-SC quanto à segurança dos sistemas de armazenamento e tratamento de dados pessoais de milhões de cidadãos do estado de Santa Catarina atendidos pelo sistema estadual público de saúde, como disposto no artigo 49 da LGPD; além do que, a SES-SC sofreu um incidente de segurança e não comunicou aos titulares sobre quais dados pessoais poderiam ter sido objeto desse incidente de forma adequada. Tal falha foi considerada uma infração de acordo com o artigo 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Ademais, a SES-SC foi sancionada de forma mais leve, ainda, por infrações ao artigo 38 da LGPD, o qual estabelece que: “A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial”. O órgão não apresentou o Relatório de Impacto de Proteção de Dados Pessoais – RIPD, requisitado pela Autoridade.
A SES-SC deverá dispor, dentre outras, das seguintes medidas corretivas: manter um comunicado geral de incidente de segurança – CIS, em seu sítio na internet por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do incidente, no prazo de 10 dias úteis.
Ainda em outubro, a ANPD publicou no Diário Oficial da União, no dia 6, a decisão da CGF concluindo o processo administrativo sancionador contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE, por infringir o artigo 49 da LGPD, já citado anteriormente na sanção acima, em decorrência da não manutenção de sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão.
Foi concluído que o IAMSPE sofreu um incidente de segurança e não comunicou a Autoridade Nacional e nem os titulares de dados de forma clara, como previsto nos termos do artigo 48 da LGPD. Como medida sancionatória pelas infrações incorridas pelo IAMSPE, a CGF aplicou duas sanções de advertência, uma para cada infração.
No mais, a Coordenação-Geral ainda determinou medidas corretivas como forma de mitigar os efeitos decorrentes da infração à LGPD, além de prevenir sua recorrência futura, como a determinação ao Instituto de elaborar um cronograma para a implementação de medidas de segurança em seus sistemas de armazenamento e tratamento de dados pessoais e que o comunicado aos titulares seja atualizado e mantido disponível por, pelo menos, 90 dias, no sítio eletrônico do IAMSPE na internet. O órgão poderá recorrer da decisão em até 10 dias úteis, a partir do recebimento da intimação emitida pela ANPD.
Por: Ana Lúcia Pinke Ribeiro de Paiva, Marcos Rafael Faber Galante Carneiro e Beatriz Camargo Ferreira de Castilho