Segunda sanção aplicada pela ANPD tem relação com demora do controlador em notificar o incidente com dados pessoais
No dia 06 de outubro de 2023, foram publicados o Despacho Decisório e o Relatório de Instrução nos quais constam a segunda sanção aplicada pela Autoridade Nacional de Proteção de Dados (ANPD) diante de violação da Lei Geral de Proteção de Dados (LGPD).
São duas advertências, acompanhadas de medidas corretivas, e foram direcionadas ao Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE. As sanções foram motivadas por condutas inadequadas do IAMSPE a respeito de um incidente de segurança envolvendo dados pessoais como CPF, Nome, RG, endereço, telefone, salário, bem como imagens de documentos como CNH, RG e comprovante de residência de funcionários públicos do estado de São Paulo e seus dependentes, os quais foram acessados de maneira não autorizada por um usuário externo.
A primeira advertência diz respeito à violação ao art. 48 da LGPD, o qual estabelece a obrigação do controlador de dados pessoais comunicar a ANPD e os titulares a respeito do incidente. De acordo com o Relatório de Instrução, o Instituto não realizou a comunicação à ANPD tempestivamente, levando 3 meses desde a ciência do incidente para formalizar a comunicação. Além disso, o IAMSPE também não fez a comunicação individual aos titulares afetados pelo incidente dentro do prazo determinado pela ANPD e, quando o fez, faltaram informações relevantes como descrição da natureza dos dados afetados, informações dos titulares envolvidos e motivos da demora para a comunicação. Pela análise de dosimetria, essa infração foi considerada como grave, por envolver dados pessoais de crianças, adolescentes e idosos. A medida corretiva aplicada foi a atualização do comunicado sobre o incidente no site do IAMSPE, devendo o Instituto manter o comunicado disponível no site pelo período mínimo de 90 dias.
A segunda advertência tem relação com o art. 49 da LGPD, o qual determina que os controladores deverão utilizar sistemas que atendam “aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei”. Conforme apresentado no Relatório de Instrução, o Instituto não implementou controles adequados para garantir a confidencialidade dos dados pessoais no Portal do Beneficiário, não possuindo registros (logs) no momento do incidente. No caso em questão, o sistema possuía um volume alto de dados pessoais e relacionados a titulares vulneráveis (crianças, adolescentes e idosos), motivos pelos quais a infração também foi classificada como grave. As medidas corretivas referentes a essa sanção envolvem a apresentação de cronograma e resultados dos programas desenvolvidos e implementados.
Vale ressaltar que a própria ANPD indicou no Relatório de Instrução que a natureza do incidente seria passível de aplicação de multa. No entanto, por ser o IAMSPE um órgão público, alguns tipos de sanções são afastados, dentre eles as multas, de acordo com art. 3º, § 5º do Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Por essas razões, a sanção de advertência com medidas corretivas foi a mais adequada ao caso.
Leia a íntegra do despacho aqui.
Leia a íntegra do Relatório de Instrução da ANPD aqui.