Dentre as 7.000 (sete mil) denúncias sobre violação à Lei Geral de Proteção de Dados (LGPD) dentro do âmbito de competência da Autoridade Nacional de Proteção de Dados – ANPD, 360 avançaram para processos fiscalizatórios e desses muitos já caminharam para processos sancionatórios.
Um processo sancionatório é aquele que a ANPD já fiscalizou e identificou que houve, efetivamente, violação à Lei Geral de Proteção de Dados.
Dia 06 de outubro de 2023, a ANPD finalizou mais um processo sancionatório aplicando uma das sanções do artigo 52, da Lei Geral de Proteção de Dados.
Dessa vez foi um órgão público, o Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE.
Os órgãos públicos, de acordo com o artigo 52, § 3°, da LGPD, não podem ser multados, ou seja, serem condenados a pagamento de valores monetários, mas estão sujeitos às demais sanções do artigo 52, da LGPD.
E quais seriam as sanções do artigo 52, da LGPD?
“Art. 52. Os agentes de tratamento de dados, em
razão das infrações cometidas às normas previstas
nesta Lei, ficam sujeitos às seguintes sanções
administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção
de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do
faturamento da pessoa jurídica de direito privado,
grupo ou conglomerado no Brasil no seu último
exercício, excluídos os tributos, limitada, no total, a
R$ 50.000.000,00 (cinquenta milhões de reais) por
infração;
III – multa diária, observado o limite total a que se
refere o inciso II;
IV – publicização da infração após devidamente
apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a
infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a
infração;
VII – (VETADO);
VIII – (VETADO);
IX – (VETADO).
X – (VETADO);
XI – (VETADO);
XII – (VETADO).
X – suspensão parcial do funcionamento do banco de
dados a que se refere a infração pelo período máximo
de 6 (seis) meses, prorrogável por igual período, até a
regularização da atividade de tratamento pelo
controlador;
XI – suspensão do exercício da atividade de
tratamento dos dados pessoais a que se refere a
infração pelo período máximo de 6 (seis) meses,
prorrogável por igual período;
XII – proibição parcial ou total do exercício de
atividades relacionadas a tratamento de dados.”
Portanto, qualquer sanção dos incisos I, IV , V, VI, X, XI e XII, podem ser aplicados aos órgãos públicos.
No caso do IAMSPE, a violação apurada foi não manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão, é um tipo de engenharia social que leva a erro o usuário, levando-os a tomar alguma ação para invadir seu sistema e ter acesso a seus dados pessoais, violando o artigo 49, da LGPD.
O artigo 49, da Lei 13.709/2018 determina:
“Art. 49. Os sistemas utilizados para o tratamento de
dados pessoais devem ser estruturados de forma a
atender aos requisitos de segurança, aos padrões de
boas práticas e de governança e aos princípios gerais
previstos nesta Lei e às demais normas
regulamentares.”
Foi concluído, ainda, que o IAMSPE sofreu um incidente de segurança e não comunicou os titulares de dados de forma clara, adequada e tempestiva sobre quais de seus dados pessoais poderiam ter sido objeto desse incidente. A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao artigo 48, da LGPD.
O artigo 48, da LGPD traz os requisitos mínimos que devem constar em uma comunicação de incidente de segurança, tanto para a Autoridade Nacional, quanto aos titulares.
E quais foram as sanções aplicadas ao órgão?
Advertências e apontamento de medidas corretivas conforme o despacho publicado no Diário Oficial de União https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/sei_4286376_relatorio_2_2023.pdf
Mais uma vez reforçamos a necessidade de todas as empresas, sejam de direito público ou de direito privado, cumprirem, integralmente, os dispositivos da Lei Geral de Proteção de Dados.
Cada dia mais a Autoridade Nacional de Proteção de Dados – ANPD está empenhada em finalizar os processos e aplicar as sanções devidas pelas violações.
Cabe a você, Contador, informar seus clientes, que eventualmente, ainda não se adequaram à Lei Geral de Proteção de Dados, que procurem profissionais qualificados para realizar os procedimentos exigidos, lembrando que é crime copiar Política de Privacidade – artigo 184, do Código Penal ou trazer informações genéricas, como a do caso apresentado neste artigo.
Adequação à Lei Geral de Proteção de Dados é um assunto muito sério e qualquer informação genérica é nula.
