A Autoridade Nacional de Proteção de Dados informou por meio de publicação no seu site oficial que a Secretaria Estadual de Saúde de Santa Catarina (SES-SC) foi sancionada por infringir três disposições da Lei Geral de Proteção de Dados (LGPD), além do artigo 5º, Inciso I, do Regulamento de Fiscalização da ANPD. Todas as quatro irregularidades foram punidas com advertências.
De acordo com posicionamento da autoridade, o órgão teria violado os artigos 38, 48 e 49 da lei por, respectivamente, não ter apresentado Relatório de Impacto de Proteção de Dados Pessoais (RIPD) exigido pela ANPD; não ter comunicado os titulares de forma clara e tempestiva sobre o comprometimento de dados em um ataque; e ter negligenciado a segurança adequada do armazenamento dos dados sensíveis dos pacientes.
A ANPD calcula que o referido incidente cibernético teria vitimado os dados de aproximadamente 300 mil titulares cadastrados. Como a SES-SC também não disponibilizou informações adicionais às autoridades, ela incidiu sobre o disposto no Regulamento de Fiscalização.
De acordo com a DPO do escritório Viseu Advogados, Antonielle Freitas, o caso reforça a demanda por investir em medidas de Segurança de dados, capacitação de pessoal e cumprimento das obrigações previstas em lei. Na visão dela, a conformidade com a LGPD é essencial para qualquer organização lidar adequadamente com informações sensíveis.
“O fato de a SES-SC ter apresentado as informações solicitadas após a instauração do processo sancionador mostra que a conscientização sobre a importância da LGPD está aumentando, mas é fundamental a todas as entidades tratarem a proteção de dados pessoais com a devida seriedade desde o início, em vez de esperar por ações punitivas”, disse Antonielle.
Há duas semanas, a ANPD já havia punido com advertência outro órgão público. No caso, o Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe), teria infringido os mesmos artigos 48 e 49 da Lei Geral que a Secretaria de Saúde. Há época, o Instituto informou estar ciente da decisão tomada e reforçou seu comprometimento com as melhores práticas de segurança e defesa cibernética do seu sistema de operação, visando a proteção dos seus beneficiários e dependentes.
Conforme explica Márcio Chaves, sócio da área de direito digital do escritório Almeida Advogados, apesar de os dois casos não terem resultado em multa, uma vez que os casos lidam com dados pessoais sensíveis, é possível aos titulares agirem por outros meios legais para buscarem reparação.
“Isso permite aos titulares afetados procurarem indenização pelos danos causados, tanto em ações individuais quanto coletivas, com impacto financeiro que pode superar em muito o teto da multa previsto na LGPD”, finaliza Chaves.
A Security Report entrou em contato com a Secretaria de Estado da Saúde de Santa Catarina em busca de algum posicionamento, mas até a publicação dessa reportagem, nenhum retorno foi entregue.
