A Autoridade Nacional de Proteção de Dados (ANPD) publicou, nesta semana, decisões em dois processos sancionadores um: em face do Instituto Nacional de Seguro Social (INSS) e outro da Secretaria de Estado de Educação do Distrito Federal (SEEDF). A Autoridade entendeu que os dois órgãos públicos violaram disposições legais sobre o tratamento de dados pessoais e aplicou sanções para ambos.
Em decisão publicada hoje (1º de Fevereiro de 2024), o INSS foi condenado por não comunicar a ocorrência de incidente de segurança aos titulares de dados, com o agravante de não ter atendido a determinações da ANPD (art. 48 da LGPD e art. 32 da Resolução CD/ANPD nº 1/2021, respectivamente). O incidente aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento, dados passíveis de serem usados em fraudes e em roubo de identidade.
A ANPD considerou que o incidente de segurança poderia acarretar danos relevantes aos direitos dos titulares dos dados pessoais, por envolver base de dados que continha informações sobre benefícios previdenciários. Desse modo, caberia ao INSS comunicar a ocorrência do incidente de segurança aos titulares afetados. O Instituto, entretanto, alegou inviabilidade técnica para individualizar as pessoas afetadas e não realizou a comunicação.
A Autoridade, por sua vez, não acatou a justificativa, uma vez que a entidade pública poderia ter realizado a comunicação de forma indireta – ou seja, por meio de ampla divulgação do incidente, conforme previsto na LGPD. Diante disso, condenou o INSS a publicizar a infração em seu site e no aplicativo Meu INSS durante 60 dias.
“A comunicação aos titulares é medida fundamental para que eles possam se proteger após um incidente de segurança. A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”, explica Fabrício Lopes, Coordenador-Geral de Fiscalização da ANPD.
Já a SEEDF foi sancionada por violar uma série de dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade. A ANPD conclui que a Secretaria deixou de manter registro de operações de dados pessoais (art. 37 da LGPD); de elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD); de comunicar aos titulares a ocorrência de incidente de segurança que representasse risco ou dano relevante (art. 48 da LGPD); e de usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD (art. 5º do Regulamento de Fiscalização da ANPD). Diante das infrações, a Autoridade aplicou quatro sanções de advertência em despacho decisório publicado na quarta-feira (31 de Janeiro de 2024).
