Durante esta semana a Autoridade Nacional de Proteção de Dados (ANPD) aplicou as primeiras sanções do ano de 2024. A primeira foi contra o Instituto Nacional do Seguro Social – INSS, por violação ao artigo 48 da Lei Geral de Proteção de Dados Pessoais, a LGPD (Lei nº 13.709/2018).
O referido dispositivo prevê que “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”. No caso, o incidente aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento, dados passíveis de serem usados em fraudes e roubo de identidade.
Por não comunicar a ocorrência de incidente de segurança aos titulares de dados, com o agravante de não ter atendido a determinações da ANPD, o INSS foi condenado a publicar na primeira página do seu site, por 60 (sessenta) dias, texto informando que foi condenado pela Autoridade Nacional de Proteção de Dados.
A condenação ocorreu por infração ao dever de comunicar os titulares a ocorrência de incidente de segurança, que pode ter comprometido a confidencialidade dos dados pessoais tratados pelo INSS por conta de acesso a volume extraordinário de dados por meio de consultas volumétricas ao sistema.
A autarquia previdenciária também foi condenada a enviar mensagem, via recurso de notificação, a todos os usuários do aplicativo Meu INSS, para que fique disponível no menu de ‘notificações’ do aplicativo pelo período de 60 (sessenta) dias, o seguinte texto:
“O INSS, tendo em vista que foi condenado pela Autoridade Nacional de Proteção de Dados por infração ao dever de comunicar os titulares a ocorrência de incidente de segurança, comunica a ocorrência de incidente de segurança entre agosto e setembro de 2022. O incidente pode ter comprometido a confidencialidade dos dados pessoais tratados pelo INSS, saiba mais no link:”
Outro caso diz respeito à Secretaria de Estado da Educação do Distrito Federal – SEEDF, que foi sancionada com 4 (quatro) penas de advertência por deixar de manter registro de operações de dados pessoais (art. 37 da LGPD) e de elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD).
Além disso, a SEEDF também sofreu sanção por deixar de comunicar aos titulares a ocorrência de incidente de segurança que representasse risco ou dano relevante (art. 48 da LGPD) e de usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD (art. 5º do Regulamento de Fiscalização da ANPD.
Portanto, aquela ideia de que o ano só começa depois do Carnaval não se aplica a todas as organizações, públicas ou privadas, a quem competem as decisões referentes ao tratamento de dados pessoais.
Concorda?
