Anpd
A Autoridade Nacional de Proteção de Dados aplicou duas advertências contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE). É a segunda sanção aplicada pela ANPD, a primeira contra um órgão público.
O caso envolve a invasão e captura de dados, relatada como um “incidente de segurança que pode ter comprometido a privacidade dos dados da organização por conta de um acesso não autorizado em dados cadastrais indicados por um usuário externo no início do ano de 2022”.
A conclusão da ANPD foi que o IAMSPE guardava os dados em ambiente inseguro e não informou devidamente aos titulares. Além de dados pessoais cadastrais, foram vazados salário e endereços.
A Coordenação-Geral de Fiscalização da ANPD concluiu “que o IAMSPE infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao não manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo, e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão”.
Além disso, entendeu que, após sofrer incidente de segurança não comunicou os titulares de dados de forma clara, adequada e tempestiva sobre quais de seus dados pessoais poderiam ter sido objeto desse incidente.
A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Como resultado, a ANPD aplicou duas sanções de advertência, uma para cada infração.
A Coordenação-Geral, determinou também medidas corretivas a serem cumpridas pelo IAMSPE como forma de mitigar os efeitos decorrentes da infração à LGPD, também como forma de prevenir que as infrações se repitam no futuro.
Foi determinada ao instituto a elaboração de um cronograma para que implemente medidas que tornem seus sistemas de armazenamento e tratamento de dados pessoais mais seguros e, portanto, menos vulneráveis a incidentes de segurança. Foi determinado, também, que o comunicado aos titulares seja atualizado e mantido disponível por, pelo menos, 90 dias no sítio eletrônico do IAMSPE na internet.
A Black Friday 2025 está testemunhando uma transformação sem precedentes na forma como as pessoas…
Sabe aquela regulamentação europeia de proteção de dados que virou pesadelo para pequenas empresas? Pois…
Dario Amodei, CEO da empresa de inteligência artificial Anthropic, emitiu alertas severos sobre os perigos…
A Anthropic divulgou uma estrutura de código aberto em 13 de novembro para medir o…
A fabricante chinesa de brinquedos FoloToy suspendeu as vendas de seu ursinho de pelúcia com…
A Apple revisou suas políticas da App Store na quinta-feira para exigir explicitamente que os…