PUBLICAÇÕES

No início do mês, a Autoridade Nacional de Proteção de Dados (ANPD) sancionou o Instituto Nacional de Seguro Social (INSS) e a Secretaria de Estado de Educação do Distrito Federal (SEEDF), por violações a dispositivos legais referentes a tratamento de dados pessoais.

O INSS foi condenado por não comunicar a ocorrência de um incidente de segurança aos titulares de dados, com o agravante de não ter atendido às determinações da ANPD. O incidente ocorreu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento.

A ANPD considerou que o incidente de segurança poderia acarretar danos relevantes aos direitos dos titulares dos dados, uma vez que envolvia uma base de dados contendo informações sobre benefícios previdenciários e informações que poderiam ser utilizadas em fraudes e roubo de identidade, de forma que cabia ao INSS comunicar a ocorrência do incidente de segurança aos titulares afetados. Em razão disso, a ANPD condenou o INSS a publicar a infração em seu site e no aplicativo Meu INSS durante 60 dias.

A SEEDF, por sua vez, foi sancionada por descumprir uma série de dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade, referentes a manutenção de registro de operações de dados pessoais, elaboração de Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD), comunicação aos titulares de ocorrência de incidente de segurança que representasse risco ou dano relevante, e ao uso de sistemas que atendam à LGPD. Por estas infrações, a ANPD aplicou quatro sanções de advertência.

É importante lembrar que a ANPD não pode multar órgãos públicos, mas que essa sanção pode ser aplicada a entidades privadas.