ANPD sanciona Ministério da Saúde por Incidente de Segurança com dados pessoais

Como medida corretiva, a pasta deverá manter publicado por mais 90 dias uma nota oficial oferecendo mais detalhes da natureza dos dados vazados e orientações aos titulares. Ata da decisão foi publicada na última semana no Diário Oficial da União e retificada hoje (14) por erros materiais encontrados na primeira emissão

Compartilhar:

A Autoridade Nacional de Proteção de Dados (ANPD) republicou hoje (14) uma decisão emitida na última semana, em que decidia por sancionar o Ministério da Saúde pelo não cumprimento da Lei Geral de Proteção de Dados (LGPD). A ação se refere a um incidente de Segurança Cibernética ocorrido ainda em 2022, mas que, segundo a ANPD, não foi devidamente alertado à autarquia, uma vez que envolvia risco ou dano relevante a dados sensíveis de usuários.

 

De acordo com a decisão da autarquia, a pasta federal será adivertida por não cumprimento dos artigos 48, relativo a comunicar o incidente tanto a ANPD quanto aos titulares afetados; e 49 da LGPD. Este trecho da lei define que “Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados para atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares”, o que a Autoridade também entende que foi negligenciada.

 

Agora, o Ministério da Saúde deverá cumprir uma medida corretiva para casa infração cometida. No caso do artigo 48, o órgão terá que ajustar o comunicado já existente em seu site oficial as informações sobre a natureza dos dados comprometidos, as medidas técnicas mantidas para a proteção desses registros, os riscos relacionados ao incidente e possíveis impactos aos usuários, entre outras demandas. A nota atualizada deverá permanecer exposta por mais 90 dias na home do endereço.

 

Já para o artigo 49, o MS deverá enviar à Coordenação de Fiscalização informações sobre a aplicação de novas medidas de Segurança no Sistema de Cadastro e Permissão de Acesso da pasta, um dos sistemas afetados pelo vazamento. Esses esclarecimentos devem apontar os registros de acesso à API atingida; a solução tomada para corrigir as vulnerabilidades no sistema e as ações de melhoria do ambiente de segurança geral. O Ministério terá 100 dias para entregar todas essas respostas à ANPD.

 

A decisão havia sido publicada no Diário Oficial da União na última semana, mas teve que ser republicada nesta quarta-feira para retificar erros materiais encontrados na nota. Em especial, foram corrigidos o código de identificação do processo e a redação do item 3 do despacho, que tratava das correções relacionadas ao não cumprimento do artigo 49 da LGPD.

 

Conteúdos Relacionados

Security Report | Destaques

Incidente na Snowflake expõe novo cenário de ataques por credenciais válidas, alerta Cisco Talos

Em artigo publicado no blog do laboratório de Threat Intel, ressalta-se que o cenário de ciberameaças está ampliando o uso...
Security Report | Destaques

Security Awareness: o papel da indústria vai além da oferta?

Ações de conscientização em SI se tornaram indispensáveis, mas o desafio está na construção de uma cultura sólida em Cibersegurança....
Security Report | Destaques

“Antifraude deve enfrentar laranjas e conscientizar usuário”, diz diretor de SI do Itaú

Adriano Volpini, responsável pela proteção corporativa do banco, apresentou um workshop sobre combate a golpes bancários na internet voltado para...
Security Report | Destaques

Prefeitura de Ponta Grossa é alvo de ataque cibercriminoso

Poder executivo municipal confirmou ocorrência por meio de comunicado enviado essa semana por e-mail. De acordo com o Departamento de...