A Coordenação-Geral de Fiscalização da ANPD (CGF/ANPD) publicou no Diário Oficial da União de hoje (06/10/2023) uma advertência destinada ao Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo – IAMPSE.
Esta publicação ocorre exatamente três meses após a primeira sanção aplicada pela Autoridade Nacional de Proteção de Dados, ocasião que ocorreu a imposição de multa no valor de R$14.400,00 para uma empresa de telemarketing.
A advertência aplicada ao instituto originou-se por falha na comunicação de potencial incidente de segurança da informação que comprometia dados pessoais (art. 48 da LGPD) após acesso não autorizado aos dados cadastrais de titulares por um usuário externo no início do ano de 2022, bem como, por insuficiência da arquitetura de segurança da informação (art. 49 da LGPD).
Os dados afetados incluem informações pessoais cadastrais, salários e endereços dos clientes, criando um risco de exposição por um período significativo, até a implementação das correções.
Assim, a ANPD aplicou advertência em decorrência das infrações aos arts. 48 e 49 da Lei Geral de Proteção de Dados.
Como medida corretiva, nos termos do art. 55, §2º, I do Regulamento de Fiscalização da ANPD, foi imposto ao instituto a obrigação de ajustar, no prazo de 10 (dez) dias úteis, o comunicado existente em seu sítio, descrevendo o incidente de segurança e as ações tomadas. Essa comunicação deve permanecer disponível por 90 dias.
Além disso, o instituto deve informar à ANPD o resultado de programas e objetivos específicos referentes à arquitetura de segurança da informação, assim como apresentar cronogramas para seu cumprimento.
É importante ressaltar que a LGPD foi aprovada em 2018 e entrou em vigor em setembro de 2020. As sanções previstas na lei tiveram um período de adaptação que começou a valer em agosto de 2021, mas só foram regulamentadas em fevereiro de 2023.
A Autoridade atua de forma responsiva, buscando a conformidade das organizações em vez da aplicação de penalidades. No entanto, dado o período desde a publicação da lei em 2018 até sua vigência em 2020, é razoável esperar que o órgão passe a adotar uma abordagem mais firme.
Durante as fiscalizações, antes mesmo da aplicação das sanções, a ANPD publica em seu site listas dos processos em andamento, o que por si só representa um significativo impacto negativo na reputação das organizações.
As sanções aplicadas neste caso enviam uma mensagem clara sobre a atuação enérgica da Autoridade, reforçando o compromisso real com a aplicação das disposições da LGPD e com as boas práticas de privacidade e proteção de dados.
