A Autoridade Nacional de Proteção de Dados (ANPD) publicou nas últimas semanas sanção contra a Secretaria de Estado da Saúde de Santa Catarina (SES/SC). Segundo a Coordenação-Geral de Fiscalização (CGF) da Autoridade, o órgão estadual violou os artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD).
“Esta decisão demonstra a falta de maturidade de órgãos públicos na governança de dados pessoais dos cidadãos”, analisa Alexandra Krastins Lopes, especialista em Direito Digital do PG Advogados.
O despacho decisório apresenta quatro sanções de advertência ao órgão público. A primeira infração refere-se ao descumprimento do artigo 38 da LGPD sobre a possibilidade de a Autoridade determinar a elaboração do Relatório de Impacto à Proteção de Dados Pessoais, conhecido como RIPD.
“Este é um documento que deve ser elaborado em alguns casos, durante as ações de governança dos dados pessoais de uma instituição, e contém a descrição dos processos de tratamento de dados pessoais que podem gerar alto risco aos princípios da LGPD, às liberdades civis e aos direitos fundamentais do titular de dados”, explicou a especialista.
Alexandra complementa: “Apesar de não ter regulamentado o tema, a ANPD já publicou orientações sobre o assunto. E as boas práticas do mercado, já há algum tempo, sugerem que tivesse sido elaborado o RIPD em diversas situações, como no tratamento de dados pessoais sensíveis, incluindo os de saúde”.
Outra infração da SES/SC refere-se ao art. 48 da LGPD, relativo à obrigação de comunicar à ANPD e aos titulares a ocorrência de incidente de segurança envolvendo dados pessoais e que possa acarretar risco ou dano relevante aos titulares.
Segundo Alexandra, além da sanção, foi determinado que o órgão público faça a publicação sobre o incidente em seu site, pelo período mínimo de 90 dias (nos termos descritos pela ANPD), e proceda com a comunicação direta e individualizada aos titulares afetados e identificados. “Ressalta-se que essa sanção, por se tratar de órgão público, possui especial relevância. O zelo pelo cumprimento da transparência deveria ser uma premissa”, pontua.
Medidas de transparência sobre falhas de segurança podem gerar receio reputacional para gestores de órgãos públicos, mas o cumprimento da Lei deve ser priorizado, inclusive porque não existe correlação direta entre comunicar e ser punido.
“O agente de tratamento de dados que comunicar o incidente à Autoridade também poderá contar com sua orientação, o que pode ser positivo para a correção das vulnerabilidades”, acrescenta a advogada do PG.
Outra sanção se refere à falta de estrutura dos sistemas para atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais da LGPD e, por fim, sanção a respeito da não cooperação com a fiscalização da Autoridade.
“Outra sanção que chama bastante atenção pela falta de maturidade do órgão sancionado em lidar com as questões atuais, mas que não são mais novidade, sobre fiscalização e proteção de dados”, avalia Alexandra.
Ainda segundo a especialista, embora haja críticas à ANPD por, novamente, autuar o Poder Público enquanto diversos agentes de tratamento do setor privado seguem com práticas em desacordo com a legislação, vê-se que a Administração Pública ainda tem muito a evoluir em matéria de governança, transparência e cooperação interinstitucional.
“O papel principal da ANPD é zelar pela proteção de dados dos titulares, por isso, tanto empresas privadas quanto públicas podem ser multadas pela Autoridade se estiverem em desacordo com a legislação, e não para satisfazer clamores populares e de mercado. O objetivo é satisfazer o interesse público e o cumprimento de sua maior competência”, ponderou.
Além disso, com reiteradas decisões envolvendo órgãos públicos, a Autoridade dá o recado de que a Lei vale para todos, e que o descumprimento de obrigações tão importantes como a governança, a segurança de dados de saúde e a transparência não ficarão impunes. Para a especialista no tema, “isso favorece o ecossistema de proteção de dados e a democracia”.