A Autoridade Nacional de Proteção de Dados (ANPD), decidiu pelo segmento da ação sancionatória de fiscalização contra o Instituto Nacional de Seguridade Social (INSS) devido ao uso equivocado de dados pessoais dos clientes. O despacho ainda manteve a decisão de sancionar a publicização da infração com circunstância agravante e imposição de medida corretiva contra o INSS.
De acordo com Antonielle Freitas, advogada especialista em direito digital do escritório Viseu Advogados, o INSS, como uma das maiores autarquias federais, responsável pelo tratamento de dados pessoais de milhões de brasileiros, especialmente dados sensíveis relacionados à saúde e à vida financeira, deveria ter adotado todas as medidas necessárias para garantir a segurança, a transparência e a responsabilização pelo uso desses dados.
Ao invés disso, o órgão teria tentado se eximir da obrigação de informar aos titulares sobre o incidente, alegando dificuldades técnicas, riscos de pânico e desconfiança, e até mesmo a inutilidade da medida. A decisão do Conselho Diretor da ANPD de manter a sanção imposta ao INSS seria um marco importante para a efetividade da LGPD e para a proteção dos direitos dos titulares de dados pessoais.
“A ANPD, ao impor a sanção de publicizar a infração, não só reforçou a importância da comunicação aos titulares, mas também estabeleceu um padrão de transparência e de responsabilidade para os agentes de tratamento de dados pessoais, especialmente os públicos. Portanto, a decisão do Conselho Diretor é um precedente relevante e histórico para a aplicação da LGPD, que deve ser seguido e respeitado por todos os agentes de tratamento”, acrescenta ela.
Antonielle ressalta ainda que os argumentos do INSS não se sustentavam diante dos princípios e das normas da LGPD, que visam assegurar aos titulares o controle sobre seus dados pessoais, o exercício de seus direitos e a prevenção de danos. A comunicação aos titulares sobre incidentes de segurança é essencial para que eles possam tomar providências para se proteger de eventuais consequências negativas, como fraudes, furtos de identidade, assédios comerciais, entre outros.
“Além disso, a comunicação é uma forma de prestação de contas e de demonstração de respeito e confiança aos titulares, que devem ser tratados como sujeitos de direitos e não como objetos de dados. Por isso, a publicização da infração tem um efeito pedagógico, de alertar e de educar os agentes de tratamento sobre as consequências do descumprimento da LGPD, e um efeito dissuasório, de inibir novas infrações e de estimular a adoção de boas práticas de proteção de dados”, encerrou ela.
