Nesta semana, a Autoridade Nacional de Proteção de Dados (ANPD) proferiu decisões em dois processos sancionatórios: um de oposição ao Instituto Nacional do Seguro Social (INSS) e outro contrário à Secretaria de Estado de Educação do Distrito Federal (SEEDF). Constatou que os dois órgãos públicos violaram as disposições legais sobre o tratamento de conhecimento e impôs-lhes sanções.
Em resolução publicada nesta quinta-feira (1º), o INSS condenou por não ter comunicado a ocorrência de incidente de segurança aos detentores do conhecimento, com o agravante de não ter cumprido as determinações da ANPD (art. 48 do LGPD e Art. 32 da Resolução CD/ANPD nº 1/2021, respectivamente). O incidente ocorreu em 2022 e afetou o Sistema de Benefícios Pessoa Jurídica do INSS (SISBEN), expondo dados como CPF, principais pontos bancários e data de nascimento, conhecimento que só pode ser utilizado para fins de fraude e roubo de identidade.
A ANPD considerou que o incidente de segurança poderia causar danos significativos aos direitos dos titulares de dados privados, por se tratar de um banco de dados contendo informações sobre benefícios previdenciários. Portanto, cabe ao INSS discutir a ocorrência do incidente de segurança. aos incumbentes envolvidos. No entanto, o Instituto alegou que tecnicamente se tratava de identificar os envolvidos e não comentou.
A Autoridade, por sua vez, não se conformou com essa justificativa, uma vez que o ente público poderia tê-la comunicado indiretamente, ou seja, dando ampla publicidade ao incidente, conforme previsto na LGPD. Ele determinou que o INSS publique a infração em sua página no site e no aplicativo Meu INSS por 60 dias.
“A comunicação com os titulares do cartão é uma medida básica para que eles possam se recuperar após um incidente de segurança. De acordo com a ciência, os afetados podem tomar medidas como converter senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”, disse. Explica. Fabrício Lopes, Coordenador Geral da Inspetoria da ANPD.
A SEEDF foi sancionada por violar uma série de dispositivos da LGPD e do regulamento de fiscalização da Autarquia. A ANPD conclui que a Secretaria não manteve registros de transações relativas a conhecimento não público (art. 37 da LGPD); elaborar relatório de incidente sobre a cobertura de dados pessoais a pedido da ANPD (art. 38 da LGPD); Informar os proprietários da ocorrência de um incidente de segurança que represente uma ameaça ou dano significativo (art. 48 da LGPD); e utilizar sistemas que atendam aos requisitos de segurança, práticas inteligentes e princípios da LGPD (art. cinco das normas de fiscalização da ANPD). Levando em conta as violações, a Autoridade implementou quatro sanções cautelares em resolução publicada nesta quarta-feira (31).