A Autoridade Nacional de Proteção de Dados (ANPD) aplicou, em 06.10.2023, a sua segunda sanção por violações à Lei Geral de Proteção de Dados Pessoais (LGPD).
A decisão da Coordenação-Geral de Fiscalização da autoridade foi exarada nos autos do processo administrativo sancionador nº 00261.001969/2022-41, instaurado em face do Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE), referente à suposta ausência de comunicação de incidente aos titulares cujos dados pessoais teriam sido objeto de incidente de segurança e de medidas de segurança.
A sanção consiste em advertências e imposição das medidas corretivas abaixo indicadas:
- Advertência por infração ao artigo 48 da LGPD, pelo qual “o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”, impondo-se medida corretiva para ajuste do comunicado disponibilizado no site do IAMSPE a respeito do incidente de segurança ocorrido em 2022. A ANPD concluiu que o comunicado do IAMSPE acerca do incidente de segurança sofrido não comunicou aos titulares, de forma clara, adequada e tempestiva, quais os dados pessoais objeto do referido
- Advertência por infração ao artigo 49 da LGPD, segundo o qual “sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares”, impondo-se medida corretiva de elaboração de um cronograma para implementação de ações com a finalidade aumentar a segurança dos sistemas de armazenamento e tratamento de dados pessoais da IAMSPE, diminuindo sua vulnerabilidade a incidentes de segurança.
O IAMSPE poderá apresentar recurso contra a referida decisão em até 10 dias úteis de sua intimação.
Na mesma data da decisão acima, a ANPD publicou decisão de arquivamento do processo sancionador instaurado em face do Instituto de Pesquisas Jardim Botânico do Rio de Janeiro (processo nº 00261.000574/2022-21). O objeto deste processo era investigar a não comunicação de incidente de segurança pela organização, contudo, constatou-se que o incidente não envolveu dados pessoais e, portanto, determinou-se o seu arquivamento.
As decisões acima foram publicadas após uma agenda movimentada da ANPD nos últimos meses, com a participação de seus membros e diretores em eventos do ecossistema e a abertura de consultas públicas para promoção de debate conjunto com a sociedade acerca dos seguintes temas:
- programa piloto de “sandbox regulatório de inteligência artificial e proteção de dados pessoais no Brasil” proposto pela ANPD, a se encerrar em 1º.11.2023;
- definição do regulamento que disciplinará as transferências internacionais de dados pessoais consoante a LGPD, a se encerrar em 14.10.2023; e
- estudo preliminar sobre as hipóteses legais de tratamento de dados baseadas no legítimo interesse, encerrada em 30.09.2023.
As consultas públicas da ANPD são acessíveis, no período em aberto, por meio da Plataforma Participa Mais Brasil.
