Comunicação inadequada de incidente de segurança ganha advertência da ANPD
Entidades infringiram LGPD ao não relatar corretamente o vazamento de dados
A Autoridade Nacional de Proteção de Dados (ANPD) recentemente impôs a sanção de advertência a duas entidades que registraram incidentes de segurança com dados pessoais, mas não as comunicaram adequadamente.
Do Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) vazaram dados cadastrais — nome, salário e residência — de contribuintes e dependentes filiados ao instituto que provê serviços de saúde para servidores do Estado de São Paulo. Jenne Silva, sócia do Vieira da Rocha, Machado Alves Advogados, explica que o IAMSPE foi considerado responsável pelo incidente de segurança por não ter comunicado de forma clara, adequada e tempestiva os titulares dos dados sobre quais informações pessoais poderiam ter sido comprometidas – infringindo o artigo 48 da Lei Geral de Dados Pessoais (LGPD).
“A comunicação deve ser clara, objetiva, efetiva e detalhar o que efetivamente ocorreu, em especial a volumetria de dados e os tipos de dados pessoais afetados, de forma que seja possível mensurar os efeitos colaterais do eventual incidente de segurança ocorrido”, afirma Silva.
Flavia Meleras e Érica Antunes, consultora e associada do Vieira Rezende Advogados, explicam que a ANPD verificou que os titulares de dados não foram individualmente comunicados sobre o incidente de segurança ocorrido. Tampouco houve a apresentação de justificativa razoável, por parte do Instituto, para a omissão.
Além disso, o IAMSPE foi advertido por conta da violação ao artigo 49, que trata da necessidade de manter sistemas seguros de tratamento de dados pessoais.
A Secretaria de Saúde do Estado de Santa Catarina (SES-SC) também foi advertida por violar o artigo 48 da LGPD – e, além deste, o 49 e o artigo 5º, I, do Regulamento de Fiscalização. Da secretaria vazaram dados referentes a 300 mil pessoas em um incidente de segurança, mas os titulares de dados também não foram comunicados individualmente.
Atividade sancionadora da ANPD
A ANPD, ainda nesse início de atividade sancionadora, vem optando por aplicar penalidades mais leves. Ela pode aplicar multas de até 2% do faturamento das empresas (limitada a 50 milhões de reais) e, inclusive, a proibição de que a empresa trate os dados pessoais. “Observa-se que a ANPD vem desenvolvendo um trabalho com caráter educativo, buscando ressaltar a necessidade de conscientização e conformidade com a LGPD por parte de todas as empresas, com foco na atuação preventiva, sem deixar de lado o processo administrativo sancionador”, diz Silva.
Meleras e Antunes pontuam que, ainda que as infrações cometidas tanto pelo IASMPE quanto pela SES-SC tenham sido consideradas de natureza grave, a advertência pode ser aplicada quando medidas corretivas são necessárias. “Importante destacar que a ANPD fez ressalva na decisão referente ao IASMPE, esclarecendo que “a classificação das infrações, a definição das sanções (inclusos agravantes e atenuantes) e a adoção de medidas corretivas restringem-se às circunstâncias deste caso”. Isso deixa claro que a ANPD fará análise individual de cada caso a ser julgado a partir da lei e do regulamento aplicável, sendo possível que violações graves gerem sanções que excedam a simples advertência”, advertem.
Na entrevista abaixo, Silva, Meleras e Antures comentam os casos julgados pela ANPD.
– No início de outubro, a ANPD impôs sanções ao Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE). Quais foram os descumprimentos à LGPD apontados e como foram punidos pela Autoridade?
Jenne Silva: A infração consistiu na ausência de comunicação de incidente de segurança com dados pessoais, ocorrido em 2022, a partir de um acesso por terceiro não autorizado. Os dados pessoais violados seriam do tipo cadastrais, tais como nome, salário e residência. Ou seja, os titulares de dados foram os contribuintes e seus dependentes filiados ao Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe).
No dia 6 de outubro de 2023, foi publicada sanção de advertência em face do Iamspe, bem como foi determinada a adoção de medida corretiva considerando as desconformidades identificadas.
Flavia Meleras e Érica Antunes: O Instituto de Assistência ao Servidor Público Estadual de São Paulo (IASMPE) foi sancionado com uma advertência com medida corretiva de ajuste do comunicado do incidente de segurança no site por infração ao artigo 48 da LGPD, que trata sobre o procedimento a ser adotado pelos controladores de dados quando verificada ocorrência de incidente de segurança que potencialmente acarrete risco ou dano relevante aos titulares de dados pessoais, e com outra medida corretiva (informar à ANPD, neste mesmo processo, o resultado dos programas e objetivos desenvolvidos e implementados) como sanção ao artigo 49 da LGPD, que trata sobre a adequação dos sistemas utilizados para tratamento de dados pessoais pelos controladores.
O processo administrativo foi instaurado após o recebimento de denúncia sobre falhas no sistema de segurança do site.
Quanto à notificação dos titulares de dados sobre o incidente de segurança ocorrido, foi verificado que não houve comunicação individual aos titulares afetados e o Instituto não teria apresentado justificativa razoável para omissão, mesmo após orientação da Coordenação Geral de Fiscalização da ANPD. Já sob o artigo 49 da LGPD, foram apuradas insuficiências e vulnerabilidades no sistema de segurança da informação do IASMPE para tratamento de dados pessoais, como a permissão de acesso a informações de sua base de dados por terceiros não autorizados.
– Em 18/10, a ANPD impôs sanções contra a Secretaria de Saúde do Estado de Santa Catarina (SES-SC). Quais foram os tópicos julgados e quais as sanções impostas?
Jenne Silva: A Autoridade Nacional de Proteção de Dados (ANPD) constatou que o órgão violou os artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD), bem como o artigo 5º, I, do Regulamento de Fiscalização.
Ou seja, não foi identificada a comunicação sobre a ocorrência de incidente de segurança nos termos previstos na legislação vigente, acarretando prejuízo aos titulares dos dados e configurando descumprimento às normativas da ANPD.
Flavia Meleras e Érica Antunes: No caso da Secretaria de Saúde do Estado de Santa Catarina (SES-SC), a ANPD iniciou as investigações a partir da comunicação de vazamento de dados pessoais feita pela própria SES-SC. Após a comunicação inicial, é narrado na decisão que houve comunicações recorrentes entre a Coordenação Geral de Comunicação da ANPD e o órgão, momento em que foi solicitado o envio de Relatório de Impacto à Proteção de Dados Pessoais, documento que contém a descrição dos processos de tratamento conduzidos pelo controlador que podem gerar alto risco aos titulares de dados, conforme artigo 38 da LGPD. A inércia da secretaria acarretou a aplicação de advertência, tendo a falta sido considerada leve pela ANPD.
Assim como no caso do IAMSPE, a ANPD apurou que não houve a comunicação aos titulares acerca do incidente de segurança de forma individualizada e em prazo razoável. Sendo assim, houve aplicação de advertência, além da imposição de duas medidas corretivas, quais sejam: manutenção de comunicado geral sobre o ocorrido em sua página inicial na rede mundial de computadores; e envio de comunicação individualizada a cada um dos titulares de dados identificados no arquivo vazado no incidente de segurança.
Por fim, a ANPD entendeu que os programas utilizados para tratamento de dados pessoais pela SES-SC não estavam ainda adequados às melhores práticas do mercado, o que culminou na aplicação de uma terceira advertência, ainda que a SES-SC já tivesse implementado novas medidas de segurança em seus sistemas.
– Em ambos os casos, a ANPD considerou que a comunicação do vazamento de dados pessoais não caminhou de acordo com a LGPD. Como essa comunicação deveria ter sido feita?
Jenne Silva: Conforme estabelece o artigo 49 da Lei 13.709/2018, os sistemas utilizados para o tratamento de dados pessoais devem atender a requisitos de segurança, boas práticas, governança e princípios gerais da lei, bem como outras normas regulamentares.
O IAMSPE foi considerado responsável por um incidente de segurança no qual não comunicou de forma clara, adequada e tempestiva os titulares dos dados sobre quais dados pessoais poderiam ter sido comprometidos, infringindo o artigo 48 da LGPD, que estabelece os requisitos mínimos para uma comunicação eficaz de incidentes de segurança, tanto para a ANPD quanto para os titulares dos dados.
A comunicação deve ser clara, objetiva, efetiva e detalhar o que efetivamente ocorreu, em especial a volumetria de dados e os tipos de dados pessoais afetados, de forma que seja possível mensurar os efeitos colaterais do eventual incidente de segurança ocorrido.
Flavia Meleras e Érica Antunes: Os requisitos mínimos para comunicação do vazamento de dados pessoais estão dispostos no artigo 48 da LGPD, que determina que o controlador de dados deve comunicar à ANPD e aos titulares sempre que houver incidente de segurança capaz de acarretar risco ou dano relevante aos titulares, o que deve ser feito dentro de prazo razoável e conter, no mínimo:
- a descrição da natureza dos dados pessoais afetados;
- as informações sobre os titulares envolvidos;
- a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- os riscos relacionados ao incidente;
- os motivos da demora, no caso de a comunicação não ter sido imediata;
- medidas que foram ou que serão adotadas para reverter ou mitigar o prejuízo causado pelo vazamento.
O “prazo razoável” a que se refere o texto legal será definido futuramente pela ANPD em regulamento próprio. Para preservar os direitos dos titulares e mitigar os danos decorrentes de um incidente de segurança, é recomendado pela ANPD que a comunicação seja feita o mais breve possível, em até 2 dias úteis da ciência do fato.
É a Coordenação-Geral de Fiscalização (CGF) da ANPD quem recebe as comunicações de incidente de segurança e dá a elas o tratamento necessário, bem como é a responsável por fiscalizar e aplicar as sanções administrativas cabíveis.
No próprio site da ANPD, na parte de “Comunicação de Incidentes de Segurança” fala que, excepcionalmente, na hipótese de o controlador não dispor de informações completas a respeito do incidente ou não conseguir notificar a todos os titulares no prazo recomendado, a comunicação à ANPD poderá ser realizada em duas etapas: preliminar e complementar. A impossibilidade de realizar a comunicação completa deve ser devidamente justificada pelo controlador. A complementação deverá ser encaminhada o mais breve possível e, no mais tardar, em 30 dias corridos contados da comunicação preliminar.
– Como você avalia as sanções? Infrações graves não deveriam ter punições mais enfáticas do que a advertência?
Jenne Silva: A ANPD aplicou ao IAMSPE advertências e apontou medidas corretivas. Isso reforça a importância para todas as organizações, sejam públicas ou privadas, de cumprir integralmente as disposições da LGPD.
Observa-se que a ANPD vem desenvolvendo um trabalho com caráter educativo, buscando ressaltar a necessidade de conscientização e conformidade com a LGPD por parte de todas as empresas, com foco na atuação preventiva, sem deixar de lado o processo administrativo sancionador.
Flavia Meleras e Érica Antunes: Ambas as decisões comentadas reservam capítulo amplo para tratar sobre a dosimetria da pena, momento em que são detalhados eventuais atenuantes e agravantes. A fim de evitar arbitrariedades, a ANPD publicou no início desse ano seu Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD nº 4/2023).
Ainda que as infrações cometidas tanto pelo IASMPE quanto pela SES-SC tenham sido consideradas de natureza grave, o artigo 9º do Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD prevê expressamente que a advertência poderá ser aplicada quando houver necessidade de aplicação de medidas corretivas. Em todas as infrações apuradas, a ANPD expressamente avaliou a pertinência de medidas corretivas, concluindo ou por sua imposição ou pela posterior adequação do infrator.
Importante destacar que a ANPD fez ressalva na decisão referente ao IASMPE, esclarecendo que “a classificação das infrações, a definição das sanções (inclusos agravantes e atenuantes) e a adoção de medidas corretivas restringem-se às circunstâncias deste caso”. Isso deixa claro que a ANPD fará análise individual de cada caso a ser julgado a partir da lei e do regulamento aplicável, sendo possível que violações graves gerem sanções que excedam a simples advertência.