top of page

O que podemos aprender com as sanções aplicadas pela ANPD essa semana




Essa semana foi agitada para a Autoridade Nacional de Proteção de Dados pessoais e bem interessante para aqueles que insistem em dizer que a LGPD não vai pegar: dois órgãos públicos foram sancionados por desconformidade com a Lei.

O primeiro foi o INSS, que foi condenado a publicizar um incidente de segurança, que aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento, dados passíveis de serem usados em fraudes e em roubo de identidade. 

O órgão justificou que não fez o comunicado na época dos acontecimentos, por entender que tal incidente não acarretaria danos aos titulares, porém, conforme decisão da ANPD, “a comunicação aos titulares é medida fundamental para que eles possam se proteger após um incidente de segurança. A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”

Diante disso, condenou o INSS a publicizar a infração em seu site e no aplicativo Meu INSS durante 60 dias, de acordo com o artigo 52, IV da Lei.

O outro órgão que foi sancionado é a Secretaria de Educação do DF. Neste caso, o órgão sofreu várias sanções de advertência por violar dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade, entre eles: deixar de manter registro de operações de dados pessoais (art. 37 da LGPD); deixar de elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD); deixar de comunicar aos titulares a ocorrência de incidente de segurança que representasse risco ou dano relevante (art. 48 da LGPD); e deixar de usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD (art. 5º do Regulamento de Fiscalização da ANPD).

Essas sanções são importantes para mostrar a efetividade da Lei e da obrigatoriedade de cumprimento dos requisitos que ela impõe para utilização de dados pessoais.

Lembrando que esses agentes de tratamento, por se tratarem de órgãos públicos, não estão passíveis de sanção de multa, mas as sanções de publicidade e advertência demonstram alguns valores que são importantes na disciplina de proteção de dados: a publicidade de que o agente de tratamento não é um cumpridor de normas, fazendo um marketing negativo, e as advertências, com caráter inicial de cunho educativo, mas que também mostram que a Autoridade seguirá de olho nos agentes - e que poderá aplicar punições mais severas, caso não mude a forma de utilizar dados pessoais.

Além disso, podemos perceber que, sim, os dispositivos da lei estão ali para serem cumpridos.

Desse modo, quando ocorre um incidente de segurança, o agente de tratamento DEVE COMUNICAR aos titulares de dados sobre o ocorrido, de modo que esses possam tomar medidas e se proteger. É um cumprimento do princípio-dever de transparência e da boa-fé, ambos previstos no artigo 6º da Lei. Nesse caso, mostra-se imprescindível que os agentes de tratamento tenham procedimentos padrões definidos previamente de como agir no caso de incidentes de segurança.

Além disso, também é uma exigência a manutenção dos Relatórios de Tratamento e do Relatório de Impacto de dados, em conformidade com o princípio da prestação de contas e do dever do agente de ter controle e gestão sobre os dados pessoais que possui em seu banco de dados.

Isso porque, a adequação à LGPD passa justamente por isso: uma necessidade de que os agentes de tratamento tenham controle e cuidado sobre os dados que possui, a fim de que, assim, consigam ter gestão sobre eles e proteger os direitos e interesses dos titulares de dados.

É importante que os agentes de tratamentos - públicos e privados - se atentem a esses pontos, que estão sendo sempre observados nas sanções aplicadas, para que não haja problemas e responsabilização.

26 visualizações

Comments

Rated 0 out of 5 stars.
No ratings yet

Add a rating
bottom of page