A Autoridade Nacional de Proteção de Dados (ANPD) republicou hoje (14) uma decisão emitida na última semana, em que decidia por sancionar o Ministério da Saúde pelo não cumprimento da Lei Geral de Proteção de Dados (LGPD). A ação se refere a um incidente de Segurança Cibernética ocorrido ainda em 2022, mas que, segundo a ANPD, não foi devidamente alertado à autarquia, uma vez que envolvia risco ou dano relevante a dados sensíveis de usuários.
De acordo com a decisão da autarquia, a pasta federal será adivertida por não cumprimento dos artigos 48, relativo a comunicar o incidente tanto a ANPD quanto aos titulares afetados; e 49 da LGPD. Este trecho da lei define que “Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados para atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares”, o que a Autoridade também entende que foi negligenciada.
Agora, o Ministério da Saúde deverá cumprir uma medida corretiva para casa infração cometida. No caso do artigo 48, o órgão terá que ajustar o comunicado já existente em seu site oficial as informações sobre a natureza dos dados comprometidos, as medidas técnicas mantidas para a proteção desses registros, os riscos relacionados ao incidente e possíveis impactos aos usuários, entre outras demandas. A nota atualizada deverá permanecer exposta por mais 90 dias na home do endereço.
Já para o artigo 49, o MS deverá enviar à Coordenação de Fiscalização informações sobre a aplicação de novas medidas de Segurança no Sistema de Cadastro e Permissão de Acesso da pasta, um dos sistemas afetados pelo vazamento. Esses esclarecimentos devem apontar os registros de acesso à API atingida; a solução tomada para corrigir as vulnerabilidades no sistema e as ações de melhoria do ambiente de segurança geral. O Ministério terá 100 dias para entregar todas essas respostas à ANPD.
A decisão havia sido publicada no Diário Oficial da União na última semana, mas teve que ser republicada nesta quarta-feira para retificar erros materiais encontrados na nota. Em especial, foram corrigidos o código de identificação do processo e a redação do item 3 do despacho, que tratava das correções relacionadas ao não cumprimento do artigo 49 da LGPD.
