11 de outubro de 2023
compartilhe
ANPD aplica duas advertências a órgão público por vazamento de dados
Foi publicada no Diário Oficial da União do dia seis de outubro decisão que concluiu o processo administrativo sancionador da Autoridade Nacional de Proteção de Dados (ANPD) contra o órgão público Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE). A autarquia aplicou ao Instituto duas sanções de advertência pelo descumprimento a dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD).
Em fevereiro de 2023, a ANPD aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que determinou os critérios a serem adotados para a aplicação das nove sanções previstas na LGPD. Desde então, mediante processo administrativo, todas as sanções podem ser aplicadas, levando em conta as particularidades de cada caso concreto.
O caso em questão envolve uma denúncia que reportava vulnerabilidades em sistemas de informação mantidos pelo IASMPE que permitiriam, sem o uso de credenciais válidas, o acesso a informações constantes em sua base de dados. Dentre as informações passíveis de acesso estavam nomes, datas de nascimento, endereços e telefones, além de cópias de documentos como RGs, CNHs e comprovantes de residência.
A ANPD aplicou as duas advertências pelo descumprimento dos artigos 48 e 49 da LGPD, e de acordo com o relatório que embasou a decisão proferida, “o possível descumprimento do art. 48 se deu em razão de o IAMSPE não ter realizado, no prazo concedido, a comunicação individual à totalidade dos titulares afetados, conforme determinado pela CGF/ANPD. Adicionalmente, o instituto não apresentou justificativa razoável para proceder de forma diversa.”
Já com relação à violação ao art. 49, a decisão sinaliza que o órgão público falhou na implementação de controles para garantir a confidencialidade dos dados, de modo a garantir que a informação fosse acessível apenas àqueles autorizados a ter acesso. Nesse ponto, o relatório ainda menciona o princípio da segurança e o princípio da responsabilização e prestação de contas, ambos constantes do art. 6º da LGPD.
A decisão e o relatório de instrução da ANPD podem ser acessados através do link: PAS nº 00261.001969/2022-41
