Mídia
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 18/10/2023, a sua terceira Sanção, desta vez aplicada contra órgão público do Estado de Santa Catarina. As sanções foram impostas pela contrariedade do órgão aos artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD), bem como ao artigo 5º, I, do Regulamento de Fiscalização, conforme delineado pelo processo administrativo conduzido pela Coordenação-Geral de Fiscalização (CGF).
Das quatro violações identificadas pela CGF, três foram categorizadas como graves. Conforme a decisão emanada pela ANPD, o órgão teria negligenciado a segurança dos sistemas que armazenam e tratam dados pessoais dos cidadãos de Santa Catarina atendidos pelo sistema estadual público de saúde.
Além disso, após um incidente de segurança, o órgão não esclareceu de forma clara, adequada e tempestiva quais os dados pessoais comprometidos, impactando cerca de 300 mil titulares de dados que não foram comunicados sobre o incidente. Adicionalmente, o órgão não forneceu o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) quando solicitado e não disponibilizou outras informações requisitadas pela Autoridade.
Como resultado, a ANPD decidiu impor quatro advertências, uma para cada violação identificada. Como medidas coercitivas, o órgão foi instruído a disponibilizar um comunicado sobre o incidente de segurança em seu site oficial por um período de 90 dias e a notificar diretamente aqueles cujos dados foram potencialmente afetados pelo incidente.
É possível observar um padrão nas sanções aplicadas até a presente data pela ANPD. Em sua primeira decisão, a ANPD sancionou empresa de telemarketing por oferecer listagens de contatos eleitorais sem respaldo legal para clientes e por não apresentar evidências da designação de um encarregado para o tratamento de dados pessoais. Além disso, a ausência de provas de que a empresa não realizava tratamentos de alto risco foi um ponto de destaque.
Já no caso da segunda sanção, restou aplicada contra um órgão público do Estado de São Paulo, ante à inexistência de garantia de sistemas seguros para armazenar e tratar os dados dos servidores do Estado e seus dependentes. Como agravante, o órgão sancionado também não comunicou de maneira adequada um incidente de segurança que comprometeu esses dados.
Para mais informações, consulte os profissionais da área de Governança Corporativa e Programas de Compliance do GSGA.