A Autoridade Nacional de Proteção de Dados aplicou duas advertências contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE). É a segunda sanção aplicada pela ANPD, a primeira contra um órgão público.
O caso envolve a invasão e captura de dados, relatada como um “incidente de segurança que pode ter comprometido a privacidade dos dados da organização por conta de um acesso não autorizado em dados cadastrais indicados por um usuário externo no início do ano de 2022”.
A conclusão da ANPD foi que o IAMSPE guardava os dados em ambiente inseguro e não informou devidamente aos titulares. Além de dados pessoais cadastrais, foram vazados salário e endereços.
A Coordenação-Geral de Fiscalização da ANPD concluiu “que o IAMSPE infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao não manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo, e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão”.
Além disso, entendeu que, após sofrer incidente de segurança não comunicou os titulares de dados de forma clara, adequada e tempestiva sobre quais de seus dados pessoais poderiam ter sido objeto desse incidente.
A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Como resultado, a ANPD aplicou duas sanções de advertência, uma para cada infração.
A Coordenação-Geral, determinou também medidas corretivas a serem cumpridas pelo IAMSPE como forma de mitigar os efeitos decorrentes da infração à LGPD, também como forma de prevenir que as infrações se repitam no futuro.
Foi determinada ao instituto a elaboração de um cronograma para que implemente medidas que tornem seus sistemas de armazenamento e tratamento de dados pessoais mais seguros e, portanto, menos vulneráveis a incidentes de segurança. Foi determinado, também, que o comunicado aos titulares seja atualizado e mantido disponível por, pelo menos, 90 dias no sítio eletrônico do IAMSPE na internet.
