Nas últimas semanas, foi divulgada a sentença de dois processos envolvendo violação de disposições legais em relação à proteção dos dados pessoais de clientes. Em ambos os casos houve sanções aos órgãos públicos em questão. Mais precisamente no dia 1º de fevereiro, portanto, a Autoridade Nacional de Proteção de Dados (ANPD) condenou tanto a conduta do Instituto Nacional do Seguro Social (INSS) quanto a Secretaria de Estado de Educação do Distrito Federal (SEEDF).
A condenação do INSS se deveu principalmente por não ter comunicado ao cliente o acidente que ocorreu com seus dados. Além disso, deixou de atender as determinações da ANPD art. 48 da Lei Geral de Proteção de Dados e art. 32 da Resolução CD/ANPD 1/21, respectivamente. Esse descuido acabou afetando o SISBEN (Sistema Corporativo de Benefícios do INSS) e expôs dados importantes de usuários ao risco de fraudes e roubos de identidade.
A sentença divulgada pela ANPD ressaltou a gravidade dos danos que poderiam ter sido causados aos titulares dos dados, principalmente por envolverem benefícios previdenciários. Então, por isso mesmo, consta entre as obrigações do INSS comunicar ao beneficiário de possíveis problemas técnicos nesse quesito, o que não aconteceu. O INSS rebateu alegando não possuir os meios técnicos para tal.
A ANPD não aceitou a justificativa, já que o aviso poderia ter sido dado por vias indiretas tais como determina a Lei Geral de Proteção de Dados (divulgação geral e ampla do ocorrido por meios de comunicação em massa, por exemplo). O INSS foi condenado a fazer a devida publicidade do ocorrido e também da condenação tanto em seu site oficial quanto no aplicativo Meu INSS por um período de 60 dias.
Fabrício Lopes, coordenador-geral de fiscalização da ANPD, destacou a importância dessa comunicação, por ser um meio de proporcionar que os usuários fiquem mais atentos e tomem as medidas necessárias para se proteger melhor. Dentre as ações estão, por exemplo, alterar senhas de acesso e não responder a contatos e interações potencialmente suspeitos, seja por telefone, mensagem ou e-mail.
A SEEDF, por sua vez, recebeu sanções por ter violado vários dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade. Entre eles, o artigo 37, que trata do registro de operações de dados pessoais; o artigo 38, que exige a elaboração de um Relatório de Impacto à Proteção de Dados quando houver solicitação da ANPD e o artigo 48, sobre a comunicação de incidentes com os dados que possam acarretar em risco aos titulares.Também não foi registrado o uso de sistemas que respeitassem as normas de segurança, boas práticas e princípios gerais da LGPD, o que fere o artigo 5º do Regulamento de Fiscalização da ANPD. Como consequência, o despacho com a decisão publicado em 31 de janeiro menciona quatro sanções de advertência ao órgão.
