Dois processos envolvendo a violação da Lei Geral de Proteção de Dados (LGPD) foram publicados pela Autoridade Nacional de Proteção de Dados (ANPD). O primeiro refere-se a Secretaria de Estado de Educação do Distrito Federal (SEEDF) e o segundo voltado para o Instituto Nacional de Seguro Social (INSS).
LEIA MAIS: Aumento de casos de fraudes digitais e a garantia da proteção de dados
A decisão foi tomada a partir da observação da inadequação das instituições em relação ao tratamento de informações pessoais, o que levou a aplicação da sanção. O caso do INSS, ocorrido em 2022, foi levantado devido à falta de comunicação do órgão em relação a um incidente de segurança ocorrido.
A situação não foi repassada aos titulares, ação contrária à determinada pela Autoridade em casos como este e reforçada pela legislação (art. 48 da LGPD e art. 32 da Resolução CD/ANPD nº 1/2021). O acontecimento ainda impactou o Sistema Corporativo de Benefícios do INSS (SISBEN) revelando dados específicos dos titulares, a exemplo de informações bancárias, CPF e data de nascimento. Quando utilizadas inadequadamente por indivíduos não autorizados podem levar a roubo de identidade e fraudes.
Diante da perspectiva da ANPD, o caso poderia ter levado os titulares a sofrerem danos graves, especialmente por conta das informações pessoais estarem relacionadas aos benefícios previdenciários. Era importante que o órgão informasse sobre o incidente para aqueles que tiveram os dados vazados.
Em resposta, o INSS revelou a falta de viabilidade técnica para encontrar, individualmente, os cidadãos afetados como motivo para falta de comunicação. A ANPD não compreendeu a justificativa dada, visto que, o anúncio poderia ter sido feito de forma geral, divulgando de forma ampla, como pede a lei.
Como sanção, o INSS deve revelar a infração em seu site oficial e aplicativo durante 60 dias. Para o Coordenador-Geral de Fiscalização da ANPD, Fabrício Lopes, “a comunicação aos titulares é medida fundamental para que eles possam se proteger após um incidente de segurança. A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”.
Caso “Secretaria de Educação do DF”
O ocorrido com a SEEDF, por outro lado, está relacionado a uma variedade de ações realizadas que infringiram alguns pontos da lei e do Regulamento de Fiscalização da Autoridade.
Entre as infrações estão: não realização do Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD); não continuar registrando as operações de dados pessoais (art. 37 da LGPD); falta de aviso aos titulares sobre a existência de incidentes (art. 48 da LGPD); e a falta de uso sistemas que seguem as necessidades de segurança e os princípios da legislação (art. 5º do Regulamento de Fiscalização da ANPD.
Ao todo foram 4 sanções aplicadas, no modelo de advertência em despacho decisório, divulgadas no dia 31 de janeiro de 2024.