ANPD mantém condenação do INSS por vazamento de dados
O Autoridade Nacional de Proteção de Dados (ANPD) negou recurso do INSS e manteve a condenação para que o órgão divulgue o vazamento de dados ocorrido há dois anos. A sanção sequer envolve multa, apenas a publicização do incidente no site do instituto de seguridade – que mesmo assim buscava reverter a ordem.
O incidente aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento.
A ANPD considerou que o incidente de segurança poderia acarretar danos relevantes aos direitos dos titulares dos dados pessoais, por envolver base de dados que continha informações sobre benefícios previdenciários. Desse modo, caberia ao INSS comunicar a ocorrência do incidente de segurança aos titulares afetados. O Instituto, entretanto, alegou inviabilidade técnica para individualizar as pessoas afetadas e não realizou a comunicação.
A autarquia não acatou a justificativa, e mandou o INSS colocar aviso do vazamento no site e no aplicativo Meu INSS durante 60 dias, o que não foi feito pois o órgão recorreu. E agora, com a negativa, deverá cumprir.
Para Antonielle Freitas, advogada especialista em direito digital do escritório Viseu Advogados, a decisão do Conselho Diretor da ANPD de manter a sanção imposta ao INSS demonstra que a autarquia não tolera o descumprimento do dever de comunicar os titulares sobre incidentes de segurança que possam gerar riscos ou danos relevantes.
“O INSS, como uma das maiores autarquias federais, responsável pelo tratamento de dados pessoais de milhões de brasileiros, especialmente dados sensíveis relacionados à saúde e à vida financeira, deveria ter adotado todas as medidas necessárias para garantir a segurança, a transparência e a responsabilização pelo uso desses dados. Ao invés disso, tentou se eximir da obrigação de informar aos titulares sobre o incidente, alegando dificuldades técnicas, riscos de pânico e desconfiança, e até mesmo a inutilidade da medida”, avalia a advogada.
A seu ver, os argumentos do INSS não se sustentam diante dos princípios e das normas da LGPD, que visam assegurar aos titulares o controle sobre seus dados pessoais, o exercício de seus direitos e a prevenção de danos. “A ANPD, ao impor a sanção de publicizar a infração, não só reforçou a importância da comunicação aos titulares, mas também estabeleceu um padrão de transparência e de responsabilidade para os agentes de tratamento de dados pessoais, especialmente os públicos”.