SEGUNDA PENALIDADE APLICADA PELA ANPD É A ÓRGÃO PÚBLICO
Escrito por Guilherme Melo de Morais
A Autoridade Nacional de Proteção de Dados (“ANPD”), publicou no Diário Oficial da União, em 06 de outubro de 2023, o resultado do processo administrativo sancionador contra o Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (“IAMSPE”), culminando na aplicação de duas sanções de advertência.
O IAMSPE é uma autarquia do Governo do Estado de São Paulo, vinculada à Secretaria de Gestão e Governo Digital, tendo como objetivo a prestação de atendimento médico a servidores públicos estaduais, seus dependentes e agregados em todo o Estado.
Sob a ótica da proteção de dados pessoais, o IAMSPE realiza o tratamento de dados pessoais comuns e dados pessoais sensíveis dos titulares, podendo se dizer que o tratamento é realizado em larga escala, pois o sistema IAMSPE atende aproximadamente 1,2 milhão de funcionários públicos do estado de São Paulo e seus dependentes.
A ANPD, por meio da Coordenação-Geral de Fiscalização (“CGF”), concluiu que o IAMSPE sofreu um incidente de segurança e não realizou a comunicação de forma adequada, clara e tempestiva aos titulares, assim como não comunicou a própria ANPD tempestivamente, acarretando o descumprimento do art. 48 da Lei Geral de Proteção de Dados (“LGPD”).
A ausência de comunicação de forma tempestiva restou comprovada, tendo em vista que o processo fiscalizatório foi instaurado em 15 de março de 2022, após o recebimento de denúncia por e-mail, em 19 de janeiro de 2022, informando a respeito de falha de segurança no site da IAMSPE, que possibilitava o acesso aos dados pessoais como Nome, CPF, RG, Endereço, telefone, salário, bem como imagens de documentos como CNH, RG e comprovante de residência. O IAMSPE, apenas em cumprimento a Ofício encaminhado pela ANPD, realizou o Formulário de Comunicação de Incidente de Segurança (“Formulário”), confirmando o fato alegados, em 27 de maio de 2022, ou seja, quase 03 (três) meses após a identificação do incidente por terceiro.
Já a comunicação aos titulares, também foi realizada de forma intempestiva, tendo em vista que esta ocorreu próxima da data do envio do Formulário, e, ainda, o IAMSPE falhou em comprovar a comunicação de forma individual, vez que apenas para 260.874 (duzentas e sessenta e mil, oitocentas e setenta e quatro) pessoas a comunicação foi realizada via SMS, sendo que 1.228.430 (um milhão, duzentas e vinte e oito mil, quatrocentos e trinta) pessoas restantes foram comunicadas apenas por e-mail.
A disponibilização das informações a respeito do incidente de segurança da informação, em site eletrônico, também foi realizada de forma incompleta, falhando o IAMSPE em fornecer a descrição completa dos dados pessoais afetados, informação dos titulares envolvidos, os riscos relacionados ao incidente e, ainda, os motivos da demora já que a comunicação não foi realizada tempestivamente.
Ainda se identificou o descumprimento do art. 49 da LGPD, uma vez que foram identificados 4 (quatro) pontos de acesso na API do site “app.iamspe.sp.gov.br” que não contariam com controles de segurança adequados, sendo assim, comprovado a ausência da adequação dos sistemas com as exigências da LGPD a época do incidente.
Pelos descumprimentos acima, a ANPD aplicou ao IAMSPE duas sanções de advertência, uma para cada infração. Além disso, também, foram determinadas medidas corretivas a serem cumpridas pela IAMSPE, como forma de mitigar os efeitos negativos que podem ocorrer pelas infrações havidas, sendo estas: (i) criação de cronograma de implantação de medidas para que o sistema de armazenamento e tratamento de dados sejam mais seguros e menos vulneráveis a incidentes de segurança, e (ii) atualização do comunicado aos titulares, devendo este ser mantido disponível ao menos por 90 (noventa) dias no site da IAMSPE.
A presente decisão da ANPD demonstra que a tempestividade da comunicação, tanto aos titulares quanto à ANPD, é um elemento basilar para análise da infração e demonstração da boa-fé da empresa que sofreu o eventual incidente. Possuir programa de privacidade atualizado e executável, frente a realidade da sua empresa, e DPO são os passos principais para se evitar a adoção de condutas que acarretem sanções e que as sanções sejam mitigadas.
A adequação de uma empresa à LGPD passa pela mudança de cultura, com a inserção da privacidade e proteção de dados em seu DNA, sendo certo que este processo não é estático e muito menos possui um “fim”.
A Equipe de Negócios Digitais, Tecnologia e Proteção de Dados do PLC Advogados coloca-se à disposição para esclarecimentos e providências que se fizerem necessários relativos ao tema tratado neste informativo.
Escrito por Pedro Henrique Oliveira Pires Meira Na atualidade, a comunicaç
Escrito por Julio Cezar de Paula Barbosa Em 01 de julho de 2024 foi sancion
Escrito por Diogo Henrique Dias da Silva Em 04 de junho de 2024 entrou em v