ANPD APLICA SANÇÕES A INFRAÇÕES COMETIDAS POR DOIS ÓRGÃOS PÚBLICOS EM OUTUBRO

Por:
Públicada em: sexta-feira, dezembro 1, 2023

A Autoridade Nacional de Proteção de Dados (ANPD) vem demonstrando que está atenta às investigações dos processos administrativos instaurados para a apuração de infrações à Lei Geral de Proteção de Dados (LGPD).

Com a primeira sanção aplicada a uma pessoa jurídica de direito privado em julho de 2023, três meses depois, a Autoridade Nacional publicou, em um mesmo mês, sanções aplicadas a dois órgãos públicos por violação à LGPD, sendo eles o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) e a Secretaria de Saúde do Estado de Santa Catarina (SEC-SC).

A sanção aplicada ao IAMSPE foi publicada em 6 de outubro, em razão de violação ao artigo 49 da LGPD, considerando a negligência do órgão público na manutenção de sistemas seguros para o apropriado tratamento dos dados pessoais de milhares de funcionários públicos e familiares. A violação resultou em uma espécie de engenharia social, ou seja, na possibilidade de, por meio de uma falha de segurança existente em um site mantido sob controle do instituto, serem explorados os dados pessoais de milhares de titulares.

A ANPD considerou também que o órgão não providenciou a devida comunicação aos titulares de dados quanto ao incidente de vazamento de dados ocorrido, violando, assim, o artigo 48 da LGPD. Pelas violações cometidas, foram impostas sanções de advertência, com a imposição de medidas corretivas.

Menos de 15 dias depois, a Autoridade publicou sanção à SEC-SC em razão do cometimento de quatro infrações, sendo três delas consideradas graves, a saber: negligência à segurança atrelada aos sistemas de armazenamento e tratamento de dados pessoais; ausência de comunicação clara, tempestiva e adequada aos titulares de dados pessoais quanto a um incidente de segurança sofrido; e não apresentação do Relatório de Impacto de Proteção de Dados Pessoais (RIPD).

Tal como ocorrido com o IAMSPE, foram aplicadas sanções de advertência e imposta adoção de medidas corretivas, dentre as quais está a manutenção de comunicado geral de incidente de segurança no site da Secretaria por 90 dias, além da obrigatoriedade de informação direta aos titulares de dados pessoais identificados como vítimas do incidente.

A despeito da lei não permitir a imposição de multas ao setor público, as penalidades aplicadas não deixam de ser um grande incentivo para que tanto o setor público, quanto o privado entendam que a adequação à LGPD e o atendimento às diretrizes são medidas que devem ser implementadas, não cabendo aplicar uma natureza facultativa.

FALE COM A NOSSA EQUIPE




    ANPD aplica sanções a infrações cometidas por órgãos públicos

    Cadastre-se agora!

    Deixe seu email para receber novidades do Martinelli.