A Autoridade Nacional de Proteção de Dados aplicou duas advertências contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE). É a segunda sanção aplicada pela ANPD, a primeira contra um órgão público.
O caso envolve a invasão e captura de dados, relatada como um “incidente de segurança que pode ter comprometido a privacidade dos dados da organização por conta de um acesso não autorizado em dados cadastrais indicados por um usuário externo no início do ano de 2022”.
A conclusão da ANPD foi que o IAMSPE guardava os dados em ambiente inseguro e não informou devidamente aos titulares. Além de dados pessoais cadastrais, foram vazados salário e endereços.
O Instituto divulgou o seguinte comunicado:
“O Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe), órgão ligado à Secretaria de Governo e Gestão Digital (SGGD), esclarece que está ciente das sanções na sexta-feira (6/10), relacionadas ao processo da Autoridade Nacional de Proteção de Dados (LGPD). O órgão está comprometido com a adoção das melhores práticas de segurança e defesa cibernética do seu sistema de operação, visando a proteção dos dados dos seus beneficiários e dependentes.”
Ao analisar o caso, a Coordenação-Geral de Fiscalização da ANPD concluiu “que o IAMSPE infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao não manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo, e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão”.
Além disso, entendeu que, após sofrer incidente de segurança não comunicou os titulares de dados de forma clara, adequada e tempestiva sobre quais de seus dados pessoais poderiam ter sido objeto desse incidente.
A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Como resultado, a ANPD aplicou duas sanções de advertência, uma para cada infração.
A Coordenação-Geral, determinou também medidas corretivas a serem cumpridas pelo IAMSPE como forma de mitigar os efeitos decorrentes da infração à LGPD, também como forma de prevenir que as infrações se repitam no futuro.
Foi determinada ao instituto a elaboração de um cronograma para que implemente medidas que tornem seus sistemas de armazenamento e tratamento de dados pessoais mais seguros e, portanto, menos vulneráveis a incidentes de segurança. Foi determinado, também, que o comunicado aos titulares seja atualizado e mantido disponível por, pelo menos, 90 dias no sítio eletrônico do IAMSPE na internet.
Texto: Luís Osvaldo Grossmann
