A Autoridade Nacional de Proteção de Dados (ANPD) concluiu dois processos sancionadores por violações aos dispositivos legais de tratamentos de informações sensíveis de titulares, previstos na Lei Geral de Proteção de Dados (LGPD). Os alvos das ações foram o Instituto Nacional de Seguro Social (INSS) e a Secretaria de Educação do Distrito Federal (SEEDF), e ambas foram condenadas pelos ocorridos. Cabem recursos para os dois processos.
No caso do INSS, o órgão foi condenado a publicizar a infração tanto no site oficial quanto no aplicativo “Meu INSS” durante 60 dias. De acordo com a ANPD, o instituto de seguridade não comunicou aos titulares de dados a ocorrência de um incidente de Segurança capaz de ameaçar ou gerar dano relevante a eles.
Tal evento se deu em 2022, quando o Sistema Corporativo de Benefícios do INSS, o SISBEN, sofreu uma invasão cibernética que comprometeu CPFs, dados bancários e datas de nascimento de diversos usuários registrados. Por se tratar de dados críticos ao cotidiano dos cidadãos, era incumbência do próprio instituto informar os titulares afetados.
O INSS informou a autarquia que não realizou a ação de transparência devido à inviabilidade técnica para individualizar cada afetado pelo vazamento. A ANPD, contudo, não acatou a justificativa, pois a LGPD considera possível substituir essa ação por meio de comunicação indireta, com ampla divulgação do incidente por meio dos canais de comunicação adequados, o que também não foi feito.
“A comunicação aos titulares é medida fundamental para eles poderem se proteger após um incidente de segurança. A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”, explica Fabrício Lopes, Coordenador-Geral de Fiscalização da ANPD.
Secretaria de Educação
No caso da SEEDF, a Autoridade de proteção de dados emitiu quatro sanções de advertência, cada uma relativa a um dispositivo legal diferente. Os processos administrativos foram abertos devido a uma vulnerabilidade de segurança encontrada na inscrição do Programa Educação Precoce, que expunha dados cadastrais e de saúde de mais de 3 mil candidatos e responsáveis. O fato de se tratar de informações sensíveis de vulneráveis aumentava a criticidade do incidente.
Nisso, a secretaria teria deixado de manter registro de operações de dados pessoais (art. 37 da LGPD); de elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD); de comunicar aos titulares a ocorrência de incidente de Segurança (art. 48 da LGPD); e de usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD (art. 5º do Regulamento de Fiscalização da ANPD).
Conforme o relatório da Coordenação Geral de Fiscalização da ANPD a respeito do tema, a secretaria distrital cumpriu apenas parcialmente as determinações necessárias, aplicando medidas de mitigação da vulnerabilidade e informando a ANPD sobre o risco aos dados dos titulares. Entretanto, as ações de remediação foram vistas como insuficientes e os titulares também não foram informados de forma direta ou indireta do caso.
A Security Report tentou contato com INSS e com a Secretaria de Educação do DF para que se pronunciassem sobre o tema. Em retorno, a Assessoria de Comunicação Social informou que o instituto não comenta decisões judiciais. Não foi obtida resposta da SEEDF até a publicação dessa nota.
