A Autoridade Nacional de Proteção de Dados (ANPD) publicou duas decisões em processos sancionadores, entendendo que dois órgãos públicos – o INSS e a Secretaria de Educação do Distrito Federal – violaram disposições legais sobre o tratamento de dados pessoais, aplicando sanções para ambos.
Em relação ao INSS, houve condenação por inexistir comunicação a respeito de ocorrência de incidente de segurança aos titulares de dados, com o agravante de não ter atendido a determinações da ANPD (art. 48 da LGPD e art. 32 da Resolução CD/ANPD nº 1/2021, respectivamente). O incidente aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento, dados passíveis de serem usados em fraudes e em roubo de identidade.
A ANPD considerou que o incidente de segurança poderia acarretar danos relevantes aos direitos dos titulares dos dados pessoais por envolver base de dados que continha informações sobre benefícios previdenciários. Desse modo, caberia ao INSS comunicar a ocorrência do incidente de segurança aos titulares afetados. Diante disso, condenou o INSS a publicizar a infração em seu site e no aplicativo Meu INSS durante 60 dias.
Já a Secretaria de Educação do DF foi sancionada por violar uma série de dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade. A ANPD conclui que a Secretaria deixou de manter registro de operações de dados pessoais (art. 37 da LGPD); de elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD); de comunicar aos titulares a ocorrência de incidente de segurança que representasse risco ou dano relevante (art. 48 da LGPD); e de usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD (art. 5º do Regulamento de Fiscalização da ANPD). Diante das infrações, a Autoridade aplicou quatro sanções de advertência.
Com informações do site da ANPD.
