A ANPD (Autoridade Nacional de Proteção de Dados) divulgou, na semana passada, suas decisões em dois processos sancionadores: um envolvendo o INSS (Instituto Nacional do Seguro Social) e outro a SEEDF (Secretaria de Estado de Educação do Distrito Federal). Ambos os órgãos públicos foram considerados em violação das disposições legais sobre o tratamento de dados pessoais, resultando na aplicação de sanções por parte da ANPD.
A condenação do INSS
No caso do INSS, em uma decisão datada de 1º de fevereiro, o órgão foi condenado por não comunicar aos titulares de dados a ocorrência de um incidente de segurança, além de não ter cumprido determinações anteriores da ANPD. O incidente ocorreu em 2022 e afetou o SISBEN (Sistema Corporativo de Benefícios do INSS), expondo informações sensíveis como CPF, dados bancários e data de nascimento, passíveis de serem utilizadas em fraudes e roubo de identidade.
A ANPD considerou que o incidente de segurança poderia acarretar danos significativos aos direitos dos titulares dos dados pessoais, uma vez que envolvia uma base de dados contendo informações sobre benefícios previdenciários. Portanto, era responsabilidade do INSS comunicar o incidente aos titulares afetados. Apesar disso, o Instituto alegou inviabilidade técnica para individualizar as pessoas afetadas e optou por não realizar a comunicação.
A justificativa do INSS não foi aceita pela ANPD
Entretanto, a ANPD não aceitou essa justificativa, argumentando que o INSS poderia ter comunicado o incidente de forma indireta, por meio de uma ampla divulgação, conforme previsto na LGPD (Lei Geral de Proteção de Dados). Como medida corretiva, o INSS foi condenado a publicizar a infração em seu site e no aplicativo Meu INSS por um período de 60 dias.
Segundo Fabrício Lopes, coordenador-geral de fiscalização da ANPD, “a comunicação aos titulares é medida fundamental para que eles possam se proteger após um incidente de segurança. A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens.”
Sanções serão aplicadas ao INSS
No caso da SEEDF, a ANPD concluiu que a Secretaria violou diversos dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade. As infrações incluíram a falta de registro de operações de dados pessoais, a omissão na elaboração do Relatório de Impacto à Proteção de Dados Pessoais solicitado pela ANPD, a falta de comunicação aos titulares sobre a ocorrência de incidentes de segurança relevantes e o uso de sistemas que não atendiam aos requisitos de segurança e às boas práticas da LGPD.
Como consequência das infrações, a ANPD aplicou quatro sanções de advertência em um despacho decisório publicado na quarta-feira, 31.
Fonte: Migalhas
Siga o CERS no Google News e acompanhe nossos destaques
