Condenação obriga órgão a publicar em seu site comunicado sobre vazamento de informações
Adriana Aguiar
A Agência Nacional de Proteção de Dados (ANPD) publicou hoje, no Diário Oficial da União, uma nova decisão sobre violação à Lei Geral de Proteção de Dados (LGPD). O caso envolve o Instituto Nacional do Seguro Social (INSS). O órgão foi condenado a publicar um comunicado sobre vazamento de informações ocorrido entre agosto e setembro de 2022, na primeira página de seu site, com permanência de 60 dias.
É o segundo processo com decisão publicada nesta semana, o que demonstra que a ANPD está intensificando a fiscalização, segundo advogados. Na LGPD, a multa pode chegar a 2% do faturamento, limitado ao teto de R$ 50 milhões, até a interrupção da atividade corporativa, por sanção.
Na condenação do INSS, a ANPD descreve o que deve estar escrito no comunicado. Além de informar o vazamento, deve dizer que “dentre os dados que podem ter sido afetados estariam dados de comprovação de identidade oficial, dados financeiros e de saúde (tais como nome, CPF, NIT, identidade, data de nascimento, sexo, ramo de atividade profissional, dados bancários e quantidade de dependentes) de um número indeterminado de beneficiários e segurados do INSS, o que poderia acarretar o risco de furto de identidade, fraudes, assédios comerciais, entre outros danos”.
Na decisão, a ANPD ainda informa que “o INSS imediatamente realizou ações preventivas e corretivas nos processos e sistemas informatizados da entidade visando mitigar a vulnerabilidade detectada no sistema”
De acordo com o advogado Felipe Palhares, sócio de Proteção de Dados do BMA Advogados, como efetividade de sanção, essa é bem mais interessante, já que obriga o INSS a colocar um aviso sobre o vazamento de dados no seu site por 60 dias e ainda comunicar os titulares por meio do aplicativo oficial. “É o tipo de sanção que as empresas mais têm medo em razão da publicidade negativa que acarreta”, diz.
“A comunicação aos titulares é medida fundamental para que eles possam se proteger após um incidente de segurança. A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”, explica Fabrício Lopes, coordenador-geral de fiscalização da ANPD.
Em nota, o INSS informou que não comenta decisões judiciais.
Contexto
No total, até agora, são seis processos concluídos na ANPD. Um foi arquivado, quatro envolvem empresas públicas — que pela LGPD não podem ser multadas — e um que resultou em multa de R$ 14,4 mil. Envolve uma microempresa.
Ontem, um outro caso também foi concluído. O processo administrativo resultou em quatro sanções de advertência contra a Secretaria de Estado de Educação do Distrito Federal.
Palhares alerta que se esse caso envolvesse uma empresa privada, por terem sido aplicadas quatro sanções, a multa seria de até 8% do seu faturamento ou de até R$ 200 milhões. “Por isso as empresas precisam tomar muito cuidado”, diz.
Apesar de a LGPD (Lei nº 13.709, de 2018) ter entrado em vigor no ano de 2020, somente em fevereiro de 2023 a ANPD regulamentou a aplicação de sanções, por meio da Resolução nº 4. O primeiro caso, que resultou na multa de R$ 14, 4 mil a uma microempresa, foi concluído em abril do ano passado.
Fonte: Valor Econômico, 1 de fevereiro de 2024
