SEGUNDA PENALIDADE APLICADA PELA ANPD É A ÓRGÃO PÚBLICO
Escrito por Guilherme Melo de Morais
A Autoridade Nacional de Proteção de Dados (“ANPD”), publicou no Diário Oficial da União, em 06 de outubro de 2023, o resultado do processo administrativo sancionador contra o Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (“IAMSPE”), culminando na aplicação de duas sanções de advertência.
O IAMSPE é uma autarquia do Governo do Estado de São Paulo, vinculada à Secretaria de Gestão e Governo Digital, tendo como objetivo a prestação de atendimento médico a servidores públicos estaduais, seus dependentes e agregados em todo o Estado.
Sob a ótica da proteção de dados pessoais, o IAMSPE realiza o tratamento de dados pessoais comuns e dados pessoais sensíveis dos titulares, podendo se dizer que o tratamento é realizado em larga escala, pois o sistema IAMSPE atende aproximadamente 1,2 milhão de funcionários públicos do estado de São Paulo e seus dependentes.
A ANPD, por meio da Coordenação-Geral de Fiscalização (“CGF”), concluiu que o IAMSPE sofreu um incidente de segurança e não realizou a comunicação de forma adequada, clara e tempestiva aos titulares, assim como não comunicou a própria ANPD tempestivamente, acarretando o descumprimento do art. 48 da Lei Geral de Proteção de Dados (“LGPD”).
A ausência de comunicação de forma tempestiva restou comprovada, tendo em vista que o processo fiscalizatório foi instaurado em 15 de março de 2022, após o recebimento de denúncia por e-mail, em 19 de janeiro de 2022, informando a respeito de falha de segurança no site da IAMSPE, que possibilitava o acesso aos dados pessoais como Nome, CPF, RG, Endereço, telefone, salário, bem como imagens de documentos como CNH, RG e comprovante de residência. O IAMSPE, apenas em cumprimento a Ofício encaminhado pela ANPD, realizou o Formulário de Comunicação de Incidente de Segurança (“Formulário”), confirmando o fato alegados, em 27 de maio de 2022, ou seja, quase 03 (três) meses após a identificação do incidente por terceiro.
Já a comunicação aos titulares, também foi realizada de forma intempestiva, tendo em vista que esta ocorreu próxima da data do envio do Formulário, e, ainda, o IAMSPE falhou em comprovar a comunicação de forma individual, vez que apenas para 260.874 (duzentas e sessenta e mil, oitocentas e setenta e quatro) pessoas a comunicação foi realizada via SMS, sendo que 1.228.430 (um milhão, duzentas e vinte e oito mil, quatrocentos e trinta) pessoas restantes foram comunicadas apenas por e-mail.
A disponibilização das informações a respeito do incidente de segurança da informação, em site eletrônico, também foi realizada de forma incompleta, falhando o IAMSPE em fornecer a descrição completa dos dados pessoais afetados, informação dos titulares envolvidos, os riscos relacionados ao incidente e, ainda, os motivos da demora já que a comunicação não foi realizada tempestivamente.
Ainda se identificou o descumprimento do art. 49 da LGPD, uma vez que foram identificados 4 (quatro) pontos de acesso na API do site “app.iamspe.sp.gov.br” que não contariam com controles de segurança adequados, sendo assim, comprovado a ausência da adequação dos sistemas com as exigências da LGPD a época do incidente.
Pelos descumprimentos acima, a ANPD aplicou ao IAMSPE duas sanções de advertência, uma para cada infração. Além disso, também, foram determinadas medidas corretivas a serem cumpridas pela IAMSPE, como forma de mitigar os efeitos negativos que podem ocorrer pelas infrações havidas, sendo estas: (i) criação de cronograma de implantação de medidas para que o sistema de armazenamento e tratamento de dados sejam mais seguros e menos vulneráveis a incidentes de segurança, e (ii) atualização do comunicado aos titulares, devendo este ser mantido disponível ao menos por 90 (noventa) dias no site da IAMSPE.
A presente decisão da ANPD demonstra que a tempestividade da comunicação, tanto aos titulares quanto à ANPD, é um elemento basilar para análise da infração e demonstração da boa-fé da empresa que sofreu o eventual incidente. Possuir programa de privacidade atualizado e executável, frente a realidade da sua empresa, e DPO são os passos principais para se evitar a adoção de condutas que acarretem sanções e que as sanções sejam mitigadas.
A adequação de uma empresa à LGPD passa pela mudança de cultura, com a inserção da privacidade e proteção de dados em seu DNA, sendo certo que este processo não é estático e muito menos possui um “fim”.
A Equipe de Negócios Digitais, Tecnologia e Proteção de Dados do PLC Advogados coloca-se à disposição para esclarecimentos e providências que se fizerem necessários relativos ao tema tratado neste informativo.
Escrito por Ester Carvalho da Costa A Consolidação das Leis de Defesa do
Escrito por Guilherme Domenech Silva A impenhorabilidade de valores deposit
Escrito por Fernanda de Oliveira Sanches A quarta turma do Tribunal Superio
Inscreva-se em nossa Newsletter
Fique por dentro dos acontecimentos mais relevantes do meio jurídico empresarial em um só canal