A Autoridade Nacional de Proteção de Dados aplicou duas advertências contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE). É a segunda sanção aplicada pela ANPD, a primeira contra um órgão público.
O caso envolve a invasão e captura de dados, relatada como um “incidente de segurança que pode ter comprometido a privacidade dos dados da organização por conta de um acesso não autorizado em dados cadastrais indicados por um usuário externo no início do ano de 2022”.
A conclusão da ANPD foi que o IAMSPE guardava os dados em ambiente inseguro e não informou devidamente aos titulares. Além de dados pessoais cadastrais, foram vazados salário e endereços.
A Coordenação-Geral de Fiscalização da ANPD concluiu “que o IAMSPE infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao não manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo, e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão”.
Além disso, entendeu que, após sofrer incidente de segurança não comunicou os titulares de dados de forma clara, adequada e tempestiva sobre quais de seus dados pessoais poderiam ter sido objeto desse incidente.
A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Como resultado, a ANPD aplicou duas sanções de advertência, uma para cada infração.
A Coordenação-Geral, determinou também medidas corretivas a serem cumpridas pelo IAMSPE como forma de mitigar os efeitos decorrentes da infração à LGPD, também como forma de prevenir que as infrações se repitam no futuro.
Foi determinada ao instituto a elaboração de um cronograma para que implemente medidas que tornem seus sistemas de armazenamento e tratamento de dados pessoais mais seguros e, portanto, menos vulneráveis a incidentes de segurança. Foi determinado, também, que o comunicado aos titulares seja atualizado e mantido disponível por, pelo menos, 90 dias no sítio eletrônico do IAMSPE na internet.
O Serpro, por meio de chamamento público, convida empresas interessadas no desenvolvimento conjunto de uma…
A 3ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo reconheceu o…
Já está valendo o regulamento sobre comunicação de incidentes de segurança da Autoridade Nacional de Proteção de…
Com a imposição recente da obrigação de divulgar relatórios de transparência salarial em seus sites…
A proposta de reforma do Código Civil, apresentada ao Senado Federal no dia 26 de fevereiro,…
A Autoridade Nacional de Proteção de Dados (ANPD) prorrogou a consulta à sociedade a respeito…