ANPD aplica duas advertências a órgão público de São Paulo por vazamento de dados

A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 06 de outubro o segundo processo sancionatório, desde o advento do Regulamento de Dosimetria e Aplicação de Sanções Normativa. O caso se trata da primeira sanção aplicada a um órgão público (Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE), que foi penalizado com advertências, um cronograma de correção e publicização.

De acordo com a autoridade, o caso foi recebido através de uma denúncia encaminhada por e-mail e que envolve invasão e captura de dados, descrita como “incidente de segurança que pode ter comprometido a privacidade dos dados da organização por conta de um acesso não autorizado em dados cadastrais indicados por um usuário externo no início do ano de 2022”.

A ANPD considerou o ambiente inseguro no qual o IAMSPE armazenava os dados, além de não ter informado devidamente os titulares dos dados afetados, que continham dados pessoais como CPF, Nome, RG, endereço, telefone, salário, bem como imagens de documentos como CNH, RG e comprovante de residência.

Após a advertência da autarquia, o Instituto divulgou um comunicado informando sobre a ciência da sanção e mudanças sobre a prática de segurança de dados. “O Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe), órgão ligado à Secretaria de Governo e Gestão Digital (SGGD), esclarece que está ciente das sanções na sexta-feira (6/10), relacionadas ao processo da Autoridade Nacional de Proteção de Dados (LGPD). O órgão está comprometido com a adoção das melhores práticas de segurança e defesa cibernética do seu sistema de operação, visando a proteção dos dados dos seus beneficiários e dependentes.”

Segundo a Coordenação-Geral de Fiscalização da ANPD, “o IAMSPE infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao não manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo, e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão”. Nesse contexto, justificou que o referido dispositivo determina que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na lei e às demais normas regulamentares.

Além disso, a ANPD considerou que, após o incidente de segurança, o IAMSPE não comunicou clara, adequada e prontamente aos titulares de que seus dados pessoais poderiam ter sido afetados. Essa falta de transparência e demora na comunicação foi considerada uma violação do artigo 48 da LGPD, que exige que o controlador de dados pessoais informe à Autoridade Nacional e aos titulares sobre incidentes de segurança que possam representar um risco ou dano significativo aos titulares.

Nesse contexto, a ANPD aplicou duas sanções de advertência, uma para cada infração cometida pela IAMSPE, determinando medidas corretivas para mitigar os efeitos decorrentes da infração à LGPD, além de funcionar como forma de prevenção para evitar reincidência.

A seguir vejamos o teor das aplicações das sanções impostas ao IAMSPE, nos termos do Regulamento de Dosimetria e Aplicação de Sanções Administrativas:

Da Advertência

1) Ajustar, no prazo de 10 (dez) dias úteis da data de intimação, o COMUNICADO já existente no sítio do IAMSPE, conforme a redação abaixo sugerida:

“Lei Geral de Proteção de Dados Pessoais – Comunicação de Incidente de Segurança: O Iamspe comunica que tomou conhecimento da ocorrência de incidente de segurança que pode ter comprometido a privacidade dos dados da organização por conta de um acesso não autorizado em dados cadastrais indicados por um usuário externo no início do ano de 2022.

 Dentre os dados que poderiam ter sido afetados, estariam dados pessoais cadastrais, salário e de residência de nossa base de cientes, o que poderia acarretar o risco de exposição por um determinado período de tempo até nossas correções, ressaltando-se aqui que não identificamos nem fomos comunicados de extração ocorrida.

Informamos que o Instituto, imediatamente, realizou ações preventivas e corretivas nos processos e sistemas informatizados da entidade visando mitigar a vulnerabilidade detectada no sistema de cadastro dos seus contribuintes e dependentes. Por conta destas ações, o Instituto comunicou à Autoridade respectiva somente após a realização dos ajustes necessários.

Após comunicação de incidente de segurança à Autoridade Nacional de Proteção de Dados e aos usuários em geral, informamos que estabelecemos um cronograma de ações para melhoria de nossos controles apresentados à ANPD.

Dúvidas, solicitações e reclamações podem ser encaminhadas à encarregada pelo Tratamento dos Dados no telefone: (11) 4573-9352, e-mail: lgpd@iamspe.sp.gov.br

Estamos disponíveis para atendimento de segunda-feira a sexta-feira, das 9h às 17h. Política de Privacidade do Iamspe: http://www.iamspe.sp.gov.br/politica-de-privacidade/”.

 2) IAMSPE deverá juntar aos autos, no prazo de 10 (dez) dias úteis da data de intimação, comprovação de que a medida corretiva foi cumprida por meio da apresentação de, pelo menos, 1 (uma) captura de tela do sítio do IAMSPE contendo o comunicado e com visualização clara da data da captura.

3) O comunicado deverá permanecer disponível por 90 (noventa) dias corridos, contados a partir da data de cumprimento do ajuste no Comunicado.

4) O IAMSPE deverá juntar aos autos comprovação de que a medida corretiva foi cumprida por meio da apresentação de, pelo menos, 9 (nove) capturas de tela do sítio do IAMSPE contendo o comunicado e com visualização clara da data da captura, sendo que cada captura deve ser feita no intervalo mínimo de 9 (nove) dias entre cada uma.

5) A comprovação de cumprimento da medida corretiva deverá ser juntada aos autos em até 5 (cinco) dias úteis do final de cada período de 30 (trinta) dias.

Da Medida Corretiva da Utilização de Sistemas de Segurança para o Tratamento de Dados Pessoais

O instituto foi instruído a criar um cronograma para melhorar a segurança de seus sistemas de armazenamento e tratamento de dados pessoais, tornando-os menos vulneráveis a incidentes de segurança.

Acesse AQUI a íntegra da decisão proferida pela ANPD.

Permanecemos à disposição através do e-mail agfadvice@agfadvice.com.br e do telefone (51) 3573-0573.

AGF Advice Consultoria Legislativa, Tributária e Empresarial