ANPD aplica a Segunda Penalidade por Violação da LGPD

14.10.2023 – Passado um período em que a Autoridade Nacional de Proteção de Dados (ANPD) tratou de regulamentar algumas situações importantes previstas na Lei Geral de Proteção de Dados (LGPD), além de editar diversos manuais e guias para orientar a sociedade a respeito de como exercer suas atividades sem violar a referida lei, a ANPD aplicou a sua primeira penalidade em 06 de julho de 2023, em face da empresa Telekall Infoservice.

Desde então, a ANPD tem estado investigando diversas denúncias de violação da LGPD por parte de organizações do setor privado e até mesmo organizações do setor público.

Eis que, finalmente, em 06 de outubro de 2023, a ANPD publicou no Diário Oficial da União a aplicação da segunda penalidade, em face do Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (IAMSPE), que é uma instituição pública, deixando claro que a ANPD tem monitorado o cumprimento da LGPD não apenas no setor privado, mas também no setor público.

No caso específico do IAMSPE, a ANPD entendeu que houve a violação de dois dispositivos da LGPD, conforme exposto na tabela abaixo, aplicando a penalidade de advertência para ambas as violações:

Violação da LGPD	Descrição da Violação	Penalidade Aplicada
Art. 48	O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.	Advertência
Art. 49	Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.	Advertência

Na verdade, o IAMSPE sofreu um incidente de segurança e não comunicou o fato aos titulares de dados de forma clara, adequada e tempestiva sobre quais de seus dados poderiam ter sido objeto de tal incidente, segundo a ANPD.

Assim, enquanto a falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao Art. 48 da LGPD, a falha em manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo, e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão foi considerada uma infração ao Art. 49 da LGPD.

Convém salientar que a Coordenação-Geral da ANPD ainda determinou medidas corretivas a serem cumpridas pelo IAMSPE, como forma de mitigar os efeitos decorrentes da violação à LGPD, além de prevenir a reincidência das referidas violações, sendo, inclusive, determinada (i) a elaboração de um cronograma para que implemente medidas que tornem seus sistemas de armazenamento e tratamento de dados pessoais mais seguros e (ii) que o comunicado aos titulares seja atualizado e mantido disponível por, pelo menos, noventa dias no website do IAMSPE na internet.

Da referida decisão, cabe ao IAMSPE o direito de recorrer ao Conselho Diretor da ANPD em até dez dias úteis, a partir do recebimento da intimação emitida pela ANPD.

Cabem ainda alguns comentários, se fizermos uma comparação com as práticas atualmente existentes na Europa, considerando a aplicação das bases legais da Lei de Proteção de Dados Pessoais da Europa (GDPR), que são igualmente contempladas na LGPD brasileira.

Na Europa, diversas instituições públicas como prefeituras, delegacias de polícia, etc… são penalizadas por violarem a GDPR, não existindo nenhum tratamento privilegiado, pelo fato de serem instituições públicas.

Por lá, as autoridades responsáveis por proteção de dados pessoais estão cada vez mais preocupadas com as medidas de segurança adotadas para a proteção de dados pessoais. Dessa forma, login e senha de acesso que seriam consideradas medidas de segurança adequadas para os padrões brasileiros não são mais considerados como padrões adequados para a comunidade europeia. Medidas de segurança adicionais precisam ser implementadas, como autenticação multifatorial, por exemplo.

Aliás, a guerra travada entre profissionais de segurança da informação e hackers é constante e com o desenvolvimento tecnológico, só tende a aumentar. Assim, itens como firewall ou VPNs para proteger o acesso remoto estão sob revisão atualmente. No caso dos firewall, já estamos na quarta geração, chamada de NGFW (Next-Generation Firewalls), que são capazes não apenas de proteger portas e protocolos, mas também executam inspeções profundas de pacotes, detectam e preveem invasões, oferecem proteção contra ataques de negação de serviços, permitem a customização e implementação de políticas internas e permitem o gerenciamento unificado de ameaças. Já no caso das VPNs, já estão perdendo espaço para a tecnologia ZTNA (Zero Trust Network Access), em que existe um agente que confere se e quais atributos serão permitidos a um usuário e qual será a extensão de acesso dessa permissão; não importando se ele é alguém interno da organização ou não.