ANDP publica sua terceira sanção por violação à LGPD
A Autoridade Nacional de Proteção de Dados (ANDP), por meio da atuação da Coordenação Geral de Fiscalização (CGF), sancionou, em 8 de outubro de 2023, a Secretaria de Saúde do Estado de Santa Catarina (SES-SC) por violação à Lei Geral de Proteção de Dados Pessoais (LGPD). A decisão foi proferida no âmbito de processo administrativo sancionador instaurado em razão de incidente de segurança nos sistemas da SES-SC, ocorrido em 21 de agosto de 2021.
O evento chegou ao conhecimento do ente sancionador em 23 de agosto de 2021, momento em que identificou que teria sofrido a exfiltração de parte da base de dados sensíveis relacionados à saúde de pacientes na lista de espera do Sistema Único de Saúde (SUS), em Santa Catarina. Os dados afetados incluiam “nome completo, filiação de mãe, CPF, endereço, contato de telefone, nome do médico que realizou o atendimento, nome do procedimento ou consulta agendado”, bem como “dados médicos referentes à enfermidade, diagnóstico e procedimento agendado, dados sensíveis relacionados à saúde”. A Comunicação do Incidente de Segurança (CIS) preliminar à Autoridade ocorreu no dia 26 de agosto de 2021.
A CGF concluiu que o incidente resultou em violação aos artigos 38, 48 e 49 da LGPD, bem como ao artigo 5º do Regulamento de Fiscalização, por configurar negligência quanto à implementação de padrões de segurança adequados nos sistemas de armazenamento e tratamento de dados pessoais, pela apresentação intempestiva de Relatório de Impacto à Proteção dos Dados Pessoais (RIPD), resposta inadequada e intempestiva da SES-SC relacionada ao relatório técnico do incidente que teria obstruído a fiscalização por parte da Autoridade e por violação aos deveres de comunicação do incidente ao titular.
Como penalidade, a ANPD aplicou quatro sanções de advertência, uma para cada infração. Além disso, a Secretaria terá que cumprir com outras medidas corretivas, dentre elas: manter um comunicado geral de incidente de segurança (CIS) em seu site por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do incidente. A SES-SC ainda pode recorrer da decisão dentro do prazo de 10 dias úteis, a contar de sua intimação. Nesse caso, eventual recurso será analisado pelo Conselho Diretor da ANPD.
Essa é a terceira sanção aplicada pela ANDP desde a aprovação, em fevereiro de 2022, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que determina a metodologia a ser adotada para a aplicação das nove penas previstas na LGPD, cujas gravidades vão desde advertência e multa até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Contudo, nos casos envolvendo entidades ou órgãos públicos, multas simples e diárias não são passíveis de aplicação (artigo 52, §3º, da LGPD).
Vale lembrar que em de junho de 2023, a ANPD aplicou a primeira sanção administrativa por violações à LGPD. A Autoridade puniu a empresa privada Telekall Infoservice com advertência e multa simples, sem imposição de medidas corretivas. A investigação teve início devido a uma denúncia de que a empresa estaria disponibilizando uma lista de contatos de WhatsApp de eleitores para ser usada na divulgação de material de campanha política. Mais especificamente, a Autoridade aplicou sanções de: (i) advertência, sem imposição de medidas corretivas, por infração ao art. 41 da LGPD, que determina a necessidade de indicação de um encarregado pelo tratamento de dados pelo controlador; e (ii) multa simples, (ii.a) no valor de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 7º da LGPD, que determina a obrigação de apontamento de bases legais para tratamento de dados pessoais; e (ii.b) no mesmo valor por infração ao art. 5º do Regulamento de Fiscalização, que estipula os deveres dos agentes regulados frente à fiscalização da Autoridade
No início de outubro, foi publicada a segunda sanção pela ANPD: a primeira contra um órgão público, o Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE. A decisão fixou duas advertências e impôs o cumprimento de medidas corretivas pelo IAMSPE. As sanções decorreram de comportamentos inadequados relacionados ao formato da comunicação do incidente aos titulares de dados afetados e sua tempestividade, bem como da falha na implementação de controles para garantir a confidencialidade dos dados afetados.
Das três decisões sancionatórias divulgadas pela ANPD, uma decorreu de processo sancionatório contra empresa privada e duas de procedimentos envolvendo a administração pública. É importante que os agentes de tratamento, agora, aproveitem esta sinalização da ANPD para que se adequem à lei, de modo responsável e integral, instituindo políticas de governança da privacidade e de segurança da informação, demonstrando, inclusive, um diferencial competitivo.