INSS e Secretaria de Educação do DF são sancionadas por problemas no tratamento de dados

ANPD publicou em dois despachos as decisões contra os órgãos públicos. Segundo a Autoridade, ambas falharam em comunicar os respectivos incidentes de Segurança que ameaçaram os dados dos titulares, além de não cooperarem devidamente com as determinações da autarquia

Compartilhar:

A Autoridade Nacional de Proteção de Dados (ANPD) concluiu dois processos sancionadores por violações aos dispositivos legais de tratamentos de informações sensíveis de titulares, previstos na Lei Geral de Proteção de Dados (LGPD). Os alvos das ações foram o Instituto Nacional de Seguro Social (INSS) e a Secretaria de Educação do Distrito Federal (SEEDF), e ambas foram condenadas pelos ocorridos. Cabem recursos para os dois processos.

 

No caso do INSS, o órgão foi condenado a publicizar a infração tanto no site oficial quanto no aplicativo “Meu INSS” durante 60 dias. De acordo com a ANPD, o instituto de seguridade não comunicou aos titulares de dados a ocorrência de um incidente de Segurança capaz de ameaçar ou gerar dano relevante a eles.

 

Tal evento se deu em 2022, quando o Sistema Corporativo de Benefícios do INSS, o SISBEN, sofreu uma invasão cibernética que comprometeu CPFs, dados bancários e datas de nascimento de diversos usuários registrados. Por se tratar de dados críticos ao cotidiano dos cidadãos, era incumbência do próprio instituto informar os titulares afetados.

 

O INSS informou a autarquia que não realizou a ação de transparência devido à inviabilidade técnica para individualizar cada afetado pelo vazamento. A ANPD, contudo, não acatou a justificativa, pois a LGPD considera possível substituir essa ação por meio de comunicação indireta, com ampla divulgação do incidente por meio dos canais de comunicação adequados, o que também não foi feito.

 

“A comunicação aos titulares é medida fundamental para eles poderem se proteger após um incidente de segurança. A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”, explica Fabrício Lopes, Coordenador-Geral de Fiscalização da ANPD.

 

Secretaria de Educação

 

No caso da SEEDF, a Autoridade de proteção de dados emitiu quatro sanções de advertência, cada uma relativa a um dispositivo legal diferente. Os processos administrativos foram abertos devido a uma vulnerabilidade de segurança encontrada na inscrição do Programa Educação Precoce, que expunha dados cadastrais e de saúde de mais de 3 mil candidatos e responsáveis. O fato de se tratar de informações sensíveis de vulneráveis aumentava a criticidade do incidente.

 

Nisso, a secretaria teria deixado de manter registro de operações de dados pessoais (art. 37 da LGPD); de elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD); de comunicar aos titulares a ocorrência de incidente de Segurança (art. 48 da LGPD); e de usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD (art. 5º do Regulamento de Fiscalização da ANPD).

 

Conforme o relatório da Coordenação Geral de Fiscalização da ANPD a respeito do tema, a secretaria distrital cumpriu apenas parcialmente as determinações necessárias, aplicando medidas de mitigação da vulnerabilidade e informando a ANPD sobre o risco aos dados dos titulares. Entretanto, as ações de remediação foram vistas como insuficientes e os titulares também não foram informados de forma direta ou indireta do caso.

 

A Security Report tentou contato com INSS e com a Secretaria de Educação do DF para que se pronunciassem sobre o tema. Em retorno, a Assessoria de Comunicação Social informou que o instituto não comenta decisões judiciais. Não foi obtida resposta da SEEDF até a publicação dessa nota.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Hospital Sírio-Libanês lança projeto de conscientização em Cyber Security

Com o apoio da Fortinet na produção de palestras e conteúdos, a instituição assegurou a participação de vários profissionais do...
Security Report | Destaques

Capital One Arena faz da segurança física a primeira linha de defesa para a Cibersegurança

Com o objetivo de evoluir seus níveis de proteção física e lógica dentro das dependências do estádio, a Monumental Entertainment,...
Security Report | Destaques

Desafios em ascensão: a jornada dos CISOs brasileiros rumo à proteção das APIs

Estudos apontam que a proteção das interfaces de aplicações é uma das principais lacunas no controle da Segurança. Na visão...
Security Report | Destaques

Após 5 dias da ação do FBI, LockBit está de volta com novas estratégias de ciberataque

No sábado (24), o administrador do grupo anunciou retomada dos negócios ilícitos, reconhecendo que os sites foram bloqueados pelas polícias...