ANPD sanciona pela Terceira Vez e deixa claro que não irá tolerar Violações à Lei Geral de Proteção de Dados

20.10.2023 – A Autoridade Nacional de Proteção de Dados (ANPD) publicou em 18 de outubro de 2023 sua terceira sanção, por violação da Lei Geral de Proteção de Dados (LGPD). Repetindo-se a situação da segunda sanção aplicada, a instituição violadora é do setor público e não uma empresa do setor privado.

Trata-se da Secretaria de Estado de Saúde de Santa Catarina (SES-SC), que violou os Artigos 38, 48 e 49 da Lei Geral de Proteção de Dados (LGPD), bem como o Artigo 5, I do Regulamento de Fiscalização, ao (i) não apresentar o Relatório de Impacto de Proteção de Dados Pessoais (RIPD), (ii) não adotar as medidas de segurança adequadas para o armazenamento e o tratamento dos dados pessoais de milhões de cidadãos do Estado de Santa Catarina, em atendimento no âmbito do sistema público de saúde, (iii) não informar, de forma clara, adequada e tempestiva, à ANPD e aos titulares de dados a respeito do incidente de segurança, que poderia lhes acarretar risco de dano relevante e (iv) não disponibilizar informações complementares solicitadas pela ANPD.

No total, foram identificadas 4 infrações, sendo que 3 dessas foram consideradas como graves. Ainda assim, a ANPD decidiu aplicar 4 sanções de advertência, sendo uma para cada infração, além de medidas corretivas que deverão ser implementadas pela SES-SC, destacando-se (i) manter um comunicado geral de incidente de segurança em seu website na internet por 90 (noventa) dias e (ii) informar diretamente os titulares de dados pessoais identificados como vítimas do incidente.

Cabe recurso por parte da SES-SC no prazo de dez dias úteis, a contar do recebimento da intimação, sendo o eventual recurso analisado pelo Conselho Diretor da ANPD. É importante relembrar que a sanção é aplicada pela Coordenação-Geral de Fiscalização da ANPD. Para aqueles que desejarem ler o relatório na íntegra, basta clicar em “relatório“.

Mais uma vez, sanções são aplicadas por medidas de segurança inadequadas. Esse tipo de falha tem sido identificada com habitual frequência na Europa e agora vem igualmente sendo constatada pela ANPD no Brasil, devendo, portanto, empresas do setor privado, empresas públicas e órgãos públicos. No caso em questão, a SES-SC informou que foram exfiltrados aproximadamente 4Gb de dados, ou seja, nada mais, nada menos do que 1,2 milhão de registros, afetando ao redor de 48 mil titulares de dados, dentre pacientes e prestadores de serviços. Aliás, apesar de inicialmente negar que houvesse dados de crianças ou adolescentes, e idosos, a SES-SC corrigiu posteriormente essa informação, confirmando a sua existência.

O mais crítico, entretanto, foi a exfiltração de dados pessoais sensíveis, relacionados à saúde de diversos pacientes, contendo descrição de doenças, diagnósticos e tratamentos.

Além disso, a exceção de algumas poucas empresas de porte, as organizações estão negligenciando a elaboração de um Relatório de Impacto de Proteção de Dados Pessoais, na medida em que ignoram a classificação de riscos relativos ao tratamento dos respectivos dados, consoante a sua finalidade.