ANPD condena INSS e Secretaria de Educação do DF por violações à LGPD

INSS não atendeu a exigências da ANPD, enquanto a Secretaria de Educação do DF falhou na segurança de dados pessoais e em comunicar incidente.
Foto: Tele.Síntese
Foto: Tele.Síntese

Autoridade Nacional de Proteção de Dados (ANPD) publicou, nesta semana, decisões em dois processos sancionadores: em um, condena o Instituto Nacional de Seguro Social (INSS); no outro, a Secretaria de Estado de Educação do Distrito Federal (SEEDF) por violações à Lei Geral de Proteção de Dados Pessoais.

Em decisão publicada hoje, 1º, o INSS foi condenado por não comunicar a ocorrência de incidente de segurança aos titulares de dados, com o agravante de não ter atendido a determinações da ANPD (art. 48 da LGPD e art. 32 da Resolução CD/ANPD nº 1/2021, respectivamente). O incidente aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento, dados passíveis de serem usados em fraudes e em roubo de identidade.

A ANPD considerou que o incidente de segurança poderia acarretar danos relevantes aos direitos dos titulares dos dados pessoais, por envolver base de dados que continha informações sobre benefícios previdenciários. Desse modo, caberia ao INSS comunicar a ocorrência do incidente de segurança aos titulares afetados. O Instituto, entretanto, alegou inviabilidade técnica para individualizar as pessoas afetadas e não realizou a comunicação.

A Autoridade, por sua vez, não acatou a justificativa, uma vez que a entidade pública poderia ter realizado a comunicação de forma indireta – ou seja, por meio de ampla divulgação do incidente, conforme previsto na LGPD. Diante disso, condenou o INSS a publicizar a infração em seu site e no aplicativo Meu INSS durante 60 dias.

“A comunicação aos titulares é medida fundamental para que eles possam se proteger após um incidente de segurança. A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”, explica Fabrício Lopes, Coordenador-Geral de Fiscalização da ANPD.

Já a SEEDF foi sancionada por violar uma série de dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade. A ANPD conclui que a Secretaria deixou de manter registro de operações de dados pessoais (art. 37 da LGPD); de elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD); de comunicar aos titulares a ocorrência de incidente de segurança que representasse risco ou dano relevante (art. 48 da LGPD); e de usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD (art. 5º do Regulamento de Fiscalização da ANPD). Diante das infrações, a Autoridade aplicou quatro sanções de advertência em despacho decisório publicado na quarta-feira, 31.

As punições foram consideradas brandas pela advogada especializada Patrícia Peck. “Com a gravidade dessas situações, ter uma sanção em que se deve apenas publicar uma nota no site, é quase uma piada. Precisamos fortalecer a ANPD, refletir se deveria haver alteração da legislação, inclusive no Congresso, para que o gestor público aplique a lei. E a LGPD só vai funcionar se houver responsabilização”, avalia.

Avatar photo

Da Redação

A Momento Editorial nasceu em 2005. É fruto de mais de 20 anos de experiência jornalística nas áreas de Tecnologia da Informação e Comunicação (TIC) e telecomunicações. Foi criada com a missão de produzir e disseminar informação sobre o papel das TICs na sociedade.

Artigos: 11112