ANPD Aplica Primeira Sanção a Órgão Público.

No dia 06 de outubro de 2023 a Autoridade Nacional de Proteção de Dados (ANPD) finalizou um processo administrativo sancionador que movia em face do Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE), que é um órgão público. A investigação teve início em decorrência de denúncia reportando vulnerabilidades em sistemas de informação mantidos pelo IASMPE, afirmando que teria ocorrido incidente de segurança com relação aos dados pessoais mantidos em seus sistemas.

De acordo com o relatório, a denúncia inicial afirmava que um site específico sob controle do Governo do Estado de São Paulo possuía uma falha que permitia, sem o uso de credenciais válidas, o acesso a dados pessoais como CPF, Nome, R.G., endereço, telefone e salário.

Após ser oficiado pela ANPD o IASMPE encaminhou o formulário de comunicação de incidentes de segurança relatando o caso, porém, mesmo após reiteradas solicitações da Autoridade, o Instituto não realizou a comunicação completa do incidente aos titulares dos dados afetados. Os dispositivos infringidos pelo órgão foram os artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD), sendo aplicadas sanções de advertência.

De acordo com o relatório, a infração ao artigo 48 configurou-se pois o Instituto não realizou, dentro do prazo concedido pela ANPD, a comunicação completa aos titulares de dados afetados pelo incidente, pois não constava na comunicação realizada informações essenciais como a descrição da natureza dos dados e os motivos para a demora na comunicação, além de não ter apresentado justificativa razoável para tal atitude.

Com relação ao artigo 49, o relatório sinaliza que o IASMPE não implementou controles suficientes que garantissem a confidencialidade dos dados, não tendo assegurado que, conforme determina a legislação, os dados fossem acessados apenas por pessoas que tinham autorização, fazendo com que ocorresse o incidente de segurança.

Com relação ao artigo 48 determinou-se que o Instituto ajustasse o comunicado já existente em seu site complementando as informações sobre o incidente, devendo comprovar à Autoridade que atendeu a determinação, por fim, com relação à infração ao artigo 49, considerando que o Instituto informou que está implementando medidas para aprimorar os sistemas e corrigir as falhas, determinou-se que este apresentasse o cronograma do processo em curso comprovando os resultados dos programas, objetivos desenvolvidos e implementados.

Considerando a impossibilidade de aplicação da sanção pecuniária a órgãos públicos, percebe-se que a ANPD está determinando o cumprimento de obrigações com a fixação de prazos para cumprimento, demonstrando o compromisso da Autoridade em garantir a proteção dos dados pessoais inclusive nos órgãos públicos, percebe-se também a especificidade da sanção ao caso prático, tendo em vista que a Autoridade determinou qual o texto que o órgão deverá divulgar aos titulares sobre o incidente.