A ANPD (Autoridade Nacional de Proteção de Dados) emitiu decisões sancionatórias, publicadas no diário oficial da União em 01 de fevereiro de 2024, em relação ao INSS (Instituto Nacional de Seguro Social) e à Secretaria de Estado de Educação do Distrito Federal (SEEDF).
No caso do INSS, a ANPD condenou a instituição por não comunicar adequadamente um incidente de segurança ocorrido em 2022, que comprometeu o Sistema Corporativo de Benefícios do INSS (SISBEN) e expôs informações sensíveis, como CPF, dados bancários e data de nascimento dos usuários, o que poderia acarretar o risco de furto de identidade, fraudes, assédios comerciais, entre outros danos.
A ANPD entendeu que o INSS violou disposições legais sobre o tratamento de dados pessoais e impôs a sanção de “Publicização da Infração”. O INSS deverá divulgar a infração em seu site e no aplicativo Meu INSS por 60 dias.
A violação cometida pela autarquia está ligada diretamente pela demora do órgão em não comunicar o incidente de violação de dados a ANPD, art. 48 da LGPD e art. 32 da Resolução CD/ANPD nº 1/2021, respectivamente. Conforme mencionado no Diário Oficial da União, a ANPD informou que a medida de sanção aplicada é a prevista no art. 55, §2º, I do Regulamento de Fiscalização, na qual o órgão deverá informar publicamente no MEU INSS o ocorrido durante o prazo de 60 dias. Dessa forma, o INSS possui o prazo de 10 dias úteis para cumprir com as sanções. Em caso de descumprimento, o processo pode ser encaminhado para a Procuradoria Federal Especializada e para a Controladoria Geral da União.
Especialistas criticaram a decisão da ANPD em relação ao INSS, considerando a punição branda e sugerindo a necessidade de medidas mais efetivas para fortalecer a legislação de proteção de dados no Brasil. É importante ressaltar que, como o INSS é um órgão público federal, a ANPD não pode aplicar multas financeiras, resultando em uma penalidade menos rigorosa.
Já em relação a Secretaria do Estado de Educação do Distrito Federal (SEEDF), o Coordenador-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), no exercício de suas responsabilidades legais, conduziu uma análise detalhada do processo. A investigação teve como base suspeitas de infrações à Lei Geral de Proteção de Dados Pessoais (LGPD).
Sanções da ANPD: Infrações cometidades pela SEEDF
Foram aplicadas quatro advertências à SEEDF, cada uma delas relacionada a infrações específicas:
A primeira advertência refere-se à suposta infração prevista na Lei nº 13709/18 (LGPD) definidas no artigo 37 (Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.)
A segunda ao artigo 38 (Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.).
A terceira ao artigo 48 (Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.), e a última ao artigo 5º do Regulamento de Fiscalização (“fornecer cópia de documentos físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD”).
Notavelmente, não foram aplicadas medidas corretivas como parte das advertências. O processo agora permanece em espera até o trânsito em julgado, marcando uma etapa significativa nesse desdobramento regulatório relacionado à proteção de dados.
Ações práticas para proteger a sua empresa em 2024
Proteger uma empresa dos riscos associados à Lei Geral de Proteção de Dados (LGPD) em 2024 requer uma abordagem abrangente que considere os seguintes pontos:
1.Conscientização e Treinamento: Garanta que todos os funcionários estejam cientes das disposições da LGPD e compreendam a importância da proteção de dados. Forneça treinamento regular para atualizar os colaboradores sobre as práticas recomendadas e as mudanças na legislação.
2.Avaliação e Mapeamento de Dados: Realize uma avaliação abrangente dos dados que sua empresa coleta, processa e armazena. Mapeie o fluxo de dados para identificar áreas de risco e assegure-se de que o tratamento esteja em conformidade com a LGPD.
3.Políticas e Procedimentos: Desenvolva políticas claras de privacidade e procedimentos internos que estejam em conformidade com os requisitos da LGPD. Estabeleça protocolos para lidar com solicitações de titulares de dados, como o direito de acesso e retificação.
4.Segurança da Informação: Reforce medidas de segurança cibernética para proteger dados contra acessos não autorizados, vazamentos e ataques. Implemente criptografia, autenticação forte e outras práticas de segurança recomendadas.
5.Adequação de Fornecedores: Certifique-se de que os parceiros e fornecedores também estejam em conformidade com a LGPD. Inclua cláusulas contratuais que exijam o cumprimento das normas de proteção de dados por parte dos terceiros.
6.Gestão de Incidentes: Desenvolva um plano de resposta a incidentes que inclua a notificação adequada em caso de violações de dados. Estabeleça procedimentos para investigar e corrigir violações de segurança.
7.Atualização Jurídica: Mantenha-se atualizado sobre as alterações na legislação de proteção de dados. Adapte as políticas e procedimentos conforme necessário para garantir conformidade contínua.
8.Auditorias e Monitoramento: Realize auditorias internas periódicas para garantir o cumprimento das políticas e procedimentos estabelecidos. Implemente sistemas de monitoramento para identificar e responder rapidamente a possíveis violações.
9.Privacidade by Design: Integre a privacidade desde o início no desenvolvimento de produtos e serviços. Considere a avaliação de impacto à proteção de dados em projetos que envolvam o tratamento de dados pessoais.
10.Gerenciamento de Consentimento: Obtenha e gerencie consentimentos de maneira clara e transparente. Ofereça opções claras para que os titulares possam retirar seu consentimento quando desejarem.
Ao adotar essas medidas, sua empresa estará melhor preparada para enfrentar os desafios e riscos associados à LGPD em 2024. Entre em contato conosco e conte com nossos advogados especialistas em proteção de dados para auxiliar a sua empresa na promoção de uma cultura de proteção de dados e conformidade contínua.
Leia mais em: Fiscalização ANPD: Uma retrospectiva sobre as sanções aplicadas em 2023