Coordenação-Geral de Fiscalização concluiu que a Secretaria de Saúde de Santa Catarina cometeu quatro infrações à legislação em vigor, sendo três consideradas graves.
Em 18 de outubro, a Autoridade Nacional de Proteção de Dados (ANPD) publicou sanção à Secretaria de Saúde do Estado de Santa Catarina (SES-SC), em razão de violação aos artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD)1 e o artigo 5º, inciso I, do Regulamento de Fiscalização2.
No âmbito do processo administrativo sancionador, foram constatadas quatro infrações, sendo três consideradas graves.
A Coordenação Geral de Fiscalização (CGF) observou a violação ao artigo 49 da LGPD, em decorrência da negligência quanto aos parâmetros de segurança dos sistemas de armazenamento e processamento de dados pessoais de milhões de cidadãos do estado de Santa Catarina, que são atendidos pelo sistema estadual de saúde.
Além disso, constatou-se que a SES-SC sofreu um incidente de segurança, mas não comunicou quais dados pessoais foram impactados de forma transparente, adequada e oportuna.
Cerca de 300 mil indivíduos tiveram suas informações comprometidas no incidente, mas a Secretaria não forneceu as devidas comunicações.
Em razão da ausência de clareza, adequação e tempestividade na comunicação aos titulares, restou configurada uma infração ao artigo 48 da LGPD, o qual determina que o controlador de dados pessoais informe a ocorrência de incidentes de segurança à Autoridade Nacional e aos titulares, quando estes incidentes possam acarretar riscos ou danos significativos.
A SES-SC também foi sancionada por violação ao artigo 38 da LGPD, haja vista que a entidade não apresentou o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) solicitado pela Autoridade e não forneceu outras informações requisitadas pela Autoridade Nacional – o que configura uma violação ao art. 5º do Regulamento de Fiscalização da ANPD.
Sendo assim, a ANPD aplicou quatro sanções de advertências (uma para cada infração) e determinou, ainda, que a SES-SC adote diversas medidas corretivas, como disponibilizar um aviso de incidente de segurança em seu site por 90 dias e a comunicação direta aos titulares de dados pessoais afetados pelo incidente.
O órgão estadual tem um prazo de 10 dias úteis, a partir da notificação, para recorrer, se desejar. Em caso de recurso apresentado, este será avaliado pelo Conselho Diretor da ANPD.
Link para acesso ao relatório da CGF/ANPD.
Fonte: Gov.br
- Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
I – ampla divulgação do fato em meios de comunicação; e
II – medidas para reverter ou mitigar os efeitos do incidente.
§ 3º – No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares. ↩︎ - Art. 5º. Os agentes regulados submetem-se à fiscalização da ANPD e têm os seguintes deveres, dentre outros:
I – fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD; ↩︎
