Sanções da ANPD expõem desconformidade de dados no poder público, alerta especialista

Secretaria do Estado de Saúde de Santa Catarina foi a mais recente punida pela Autoridade devido a problemas de cuidado com dados. De acordo com Alexandra Krastins Lopes, Encarregada de Direito Digital do PG Advogados, o zelo pelo cumprimento da transparência deve ser premissa dentro do governo

Compartilhar:

A Autoridade Nacional de Proteção de Dados (ANPD) publicou nas últimas semanas sanção contra a Secretaria de Estado da Saúde de Santa Catarina (SES/SC). Segundo a Coordenação-Geral de Fiscalização (CGF) da Autoridade, o órgão estadual violou os artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD).



“Esta decisão demonstra a falta de maturidade de órgãos públicos na governança de dados pessoais dos cidadãos”, analisa Alexandra Krastins Lopes, especialista em Direito Digital do PG Advogados.

O despacho decisório apresenta quatro sanções de advertência ao órgão público. A primeira infração refere-se ao descumprimento do artigo 38 da LGPD sobre a possibilidade de a Autoridade determinar a elaboração do Relatório de Impacto à Proteção de Dados Pessoais, conhecido como RIPD.

“Este é um documento que deve ser elaborado em alguns casos, durante as ações de governança dos dados pessoais de uma instituição, e contém a descrição dos processos de tratamento de dados pessoais que podem gerar alto risco aos princípios da LGPD, às liberdades civis e aos direitos fundamentais do titular de dados”, explicou a especialista.

Alexandra complementa: “Apesar de não ter regulamentado o tema, a ANPD já publicou orientações sobre o assunto. E as boas práticas do mercado, já há algum tempo, sugerem que tivesse sido elaborado o RIPD em diversas situações, como no tratamento de dados pessoais sensíveis, incluindo os de saúde”.

   

Outra infração da SES/SC refere-se ao art. 48 da LGPD, relativo à obrigação de comunicar à ANPD e aos titulares a ocorrência de incidente de segurança envolvendo dados pessoais e que possa acarretar risco ou dano relevante aos titulares.

Segundo Alexandra, além da sanção, foi determinado que o órgão público faça a publicação sobre o incidente em seu site, pelo período mínimo de 90 dias (nos termos descritos pela ANPD), e proceda com a comunicação direta e individualizada aos titulares afetados e identificados. “Ressalta-se que essa sanção, por se tratar de órgão público, possui especial relevância. O zelo pelo cumprimento da transparência deveria ser uma premissa”, pontua.

Medidas de transparência sobre falhas de segurança podem gerar receio reputacional para gestores de órgãos públicos, mas o cumprimento da Lei deve ser priorizado, inclusive porque não existe correlação direta entre comunicar e ser punido.

“O agente de tratamento de dados que comunicar o incidente à Autoridade também poderá contar com sua orientação, o que pode ser positivo para a correção das vulnerabilidades”, acrescenta a advogada do PG.

Outra sanção se refere à falta de estrutura dos sistemas para atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais da LGPD e, por fim, sanção a respeito da não cooperação com a fiscalização da Autoridade.



“Outra sanção que chama bastante atenção pela falta de maturidade do órgão sancionado em lidar com as questões atuais, mas que não são mais novidade, sobre fiscalização e proteção de dados”, avalia Alexandra. 

Ainda segundo a especialista, embora haja críticas à ANPD por, novamente, autuar o Poder Público enquanto diversos agentes de tratamento do setor privado seguem com práticas em desacordo com a legislação, vê-se que a Administração Pública ainda tem muito a evoluir em matéria de governança, transparência e cooperação interinstitucional.

“O papel principal da ANPD é zelar pela proteção de dados dos titulares, por isso, tanto empresas privadas quanto públicas podem ser multadas pela Autoridade se estiverem em desacordo com a legislação, e não para satisfazer clamores populares e de mercado. O objetivo é satisfazer o interesse público e o cumprimento de sua maior competência”, ponderou. 

Além disso, com reiteradas decisões envolvendo órgãos públicos, a Autoridade dá o recado de que a Lei vale para todos, e que o descumprimento de obrigações tão importantes como a governança, a segurança de dados de saúde e a transparência não ficarão impunes. Para a especialista no tema, “isso favorece o ecossistema de proteção de dados e a democracia”.



Conteúdos Relacionados

Security Report | Overview

Itaú Unibanco lança campanha nacional de Marketing sobre Segurança e fraudes

Filmes serão exibidos na programação da TV Globo; campanha faz parte da estratégia para posicionamento do Itaú como banco referência...
Security Report | Overview

Brasil é uma das principais origens de ataques de DoS, aponta levantamento

Relatório da ISH Tecnologia também apresenta tentativas de logins mais usadas por criminosos, entre outros dados
Security Report | Overview

27% dos ataques cibernéticos na América Latina miram infraestrutura crítica

Pesquisa da Kaspersky também revela problemas no setor de transporte e manufatura
Security Report | Overview

Paris 2024: pesquisa revela que os Jogos estão em alto risco de ciberataques

De acordo com a Unit 42, os ciberataques são as principais ameaças ao evento esportivo mais importante do ano, com...