ANPD sanciona órgãos estaduais por violações a LGPD

A Autoridade Nacional de Proteção de Dados - ANPD está adotando, progressivamente, uma postura mais rigorosa no que se refere às infrações da Lei Geral de Proteção de Dados - LGPD, principalmente após publicar, em 18.10.23, a sanção contra a Secretaria de Saúde do Estado de Santa Catarina (SES-SC), após ser constatada a violação aos artigos 48 e 49 da LGPD, respectivamente, quanto á comunicação da ocorrência de incidente de segurança; e a estrutura para atender aos requisitos de segurança, aos padrões de boas práticas e de governança, e aos princípios gerais previstos,  bem como o artigo 5º, I, do Regulamento de Fiscalização. A medida consta em decisão da Coordenação Geral de Fiscalização - CGF, no processo administrativo sancionador contra o órgão público.

Conforme a conclusão da CGF, as três violações citadas foram consideradas graves, entendendo pela negligência da SES-SC quanto à segurança dos sistemas de armazenamento e tratamento de dados pessoais de milhões de cidadãos do estado de Santa Catarina atendidos pelo sistema estadual público de saúde, como disposto no artigo 49 da LGPD; além do que, a SES-SC sofreu um incidente de segurança e não comunicou aos titulares sobre quais dados pessoais poderiam ter sido objeto desse incidente de forma adequada. Tal falha foi considerada uma infração de acordo com o artigo 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. 

Ademais, a SES-SC foi sancionada de forma mais leve, ainda, por infrações ao artigo 38 da LGPD, o qual estabelece que: "A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial". O órgão não apresentou o Relatório de Impacto de Proteção de Dados Pessoais - RIPD, requisitado pela Autoridade. 

A SES-SC deverá dispor, dentre outras, das seguintes medidas corretivas: manter um comunicado geral de incidente de segurança - CIS, em seu sítio na internet por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do incidente, no prazo de 10 dias úteis.

Ainda em outubro, a ANPD publicou no Diário Oficial da União, no dia 6, a decisão da CGF concluindo o processo administrativo sancionador contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo - IAMSPE, por infringir o artigo 49 da LGPD, já citado anteriormente na sanção acima, em decorrência da não manutenção de sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão. 

Foi concluído que o IAMSPE sofreu um incidente de segurança e não comunicou a Autoridade Nacional e nem os titulares de dados de forma clara, como previsto nos termos do artigo 48 da LGPD. Como medida sancionatória pelas infrações incorridas pelo IAMSPE, a CGF aplicou duas sanções de advertência, uma para cada infração. 

No mais, a Coordenação-Geral ainda determinou medidas corretivas como forma de mitigar os efeitos decorrentes da infração à LGPD, além de prevenir sua recorrência futura, como a determinação ao Instituto de elaborar um cronograma para a implementação de medidas de segurança em seus sistemas de armazenamento e tratamento de dados pessoais e que o comunicado aos titulares seja atualizado e mantido disponível por, pelo menos, 90 dias, no sítio eletrônico do IAMSPE na internet. O órgão poderá recorrer da decisão em até 10 dias úteis, a partir do recebimento da intimação emitida pela ANPD.