Por João Mendes e Maria Giulia Furlan
A ANPD (Autoridade Nacional de Proteção de Dados) tem demonstrado firmeza na aplicação da LGPD neste início de 2024 ao sancionar algumas importantes entidades públicas. Essas decisões marcam um ponto crucial na consolidação da cultura de proteção de dados no Brasil e oferecem lições valiosas para todas as organizações, inclusive as privadas.
Tendo como dois recentes e principais sancionamentos aos órgãos públicos:
A Secretaria de Educação do Distrito Federal foi advertida por falhas em quatro áreas críticas, essas infrações incluem a falta de registros das operações com dados pessoais, a omissão na elaboração de relatório de impacto à proteção de dados pessoais após solicitação da ANPD, a ausência de comunicação aos titulares sobre incidentes de segurança e a utilização de sistemas que não atendem aos requisitos de segurança e boas práticas estabelecidas pela LGPD.
Embora as advertências não tragam consigo medidas corretivas obrigatórias, elas funcionam como um alerta para que a SEEDF e outras instituições fortaleçam suas práticas de gestão de dados, mostrando que até mesmo o órgão público não terá nenhum tipo de atenuante.
Tendo também o Instituto Nacional do Seguro Social – INSS, sofrido uma penalidade mais severa, devido a não comunicação de um incidente de segurança que impactou um volume considerável de dados pessoais, incluindo informações financeiras e de saúde, com o agravante de não ter cumprido as determinações da ANPD, conforme previsto no art. 48 da LGPD e no art. 32 da resolução CD/ANPD 1/21. O incidente se deu em 2022, que impactou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações sensíveis, como CPF, dados bancários e data de nascimento, dados estes que são passíveis de serem utilizados em fraudes e roubo de identidade.
Diante disso, a Autoridade Nacional de Proteção de Dados condenou o órgão a publicizar a infração em seu site e no aplicativo “Meu INSS” durante 60 dias. Devendo também enviar uma notificação específica a todos os usuários do aplicativo, detalhando o incidente e as medidas adotadas em resposta.
Uma ótima tomada de decisão pela ANPD, visto que a transparência, mesmo que compulsória, busca não apenas informar os afetados, mas também restaurar a confiança na instituição ao demonstrar responsabilidade e numa ação eficaz.
Estas recentes ações da ANPD destacam então a importância vital de se estar de acordo com os princípios da LGPD e da proteção de dados de forma abrangente. Para as organizações, esse momento é uma oportunidade para refletir e revisar suas próprias políticas e procedimentos de privacidade e segurança de dados. Fica evidente, então, que a proteção dos dados pessoais não deve ser encarada apenas como uma exigência legal, mas sim como um compromisso ético com os indivíduos a quem esses dados referem.
É crucial então investir em sistemas robustos de gestão de dados, promover treinamentos de conscientização para os colaboradores e implementar políticas de segurança e privacidade realmente eficientes. Somente dessa forma poderemos assegurar a segurança dos dados pessoais e estar consoante à LGPD, evitando então eventuais sanções por parte da ANPD.