ANPD já aplicou duas sanções em outubro
Em outubro, somando-se à primeira sanção emitida em julho deste ano, a Autoridade Nacional de Proteção de Dados (ANPD) já aplicou, conforme publicações de 06/10/2023 e 18/10/2023, duas novas sanções /administrativas e, desta vez, os sancionados foram dois órgãos públicos.
No primeiro caso de julho desse ano, a sanção de multa e advertência deu-se em face de microempresa que atua no setor privado como provedora de serviços que teria ofertado aos candidatos às eleições municipais uma listagem de contatos de eleitores para fins de disseminação de material de campanha eleitoral. De forma geral, a Autoridade apontou naquela oportunidade que os seguintes dispositivos da LGPD foram violados:
Art. 7 e Art. 11 – ausência de comprovação de hipótese legal de tratamento de dados pessoais;
Art. 37 – ausência de comprovação de registro das operações de tratamento de dados pessoais;
Art. 38 – ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento;
Art. 41 – falta de comprovação da indicação do encarregado.
No novo caso publicado em 06/10/2023, a penalidade foi aplicada em face de uma autarquia pública do Estado de São Paulo que trata dados de mais de 1,2 milhões de pessoas e seus dependentes. O procedimento foi instaurado em março de 2022, a partir de uma denúncia sobre uma falha de segurança que permitia acessar dados pessoais de servidores públicos como CPF, nome, RG, endereço, telefone, salário, bem como imagens de documentos com foto e comprovante de residência. Os dispositivos violados segundo entendimento da ANPD foram:
Art. 48 – trata das hipóteses nas quais o agente de tratamento deve comunicar à ANPD e aos titulares acerca da ocorrência de incidente de segurança; e
Art. 49 – trata da obrigação dos agentes de tratamento quanto à adoção de medidas de segurança eficazes no tratamento de dados pessoais.
Pela violação ao art. 48 da LGPD, além da advertência, a autarquia deverá ajustar o Comunicado aos titulares já existente em seu website, com uma redação sugerida pela própria ANPD, pelo prazo mínimo de 90 dias corridos e, pela violação ao art. 49, além da advertência, foi determinada a elaboração de um cronograma para implementação de medidas que tornem os sistemas de armazenamento e tratamento de dados pessoais menos vulneráveis a incidentes de segurança.
No novo caso publicado em 18/10/2023, a penalidade foi aplicada em face de órgão do Estado de Santa Catarina. Além dos Artigos 48 e 49, segundo entendimento da ANPD também foram violados o Artigo 38 da LGPD, que dispõe sobre a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), e o Art. 5º, I do Regulamento de Fiscalização relativo aos deveres dos agentes, sobretudo no que tange ao fornecimento de cópias de documentos e informações relevantes para a avaliação das atividades de tratamento de dados pessoais.
Neste último caso, o objeto do incidente teria sido a exfiltração (cópia ou transferência não autorizada) de parte da base de dados do órgão que estava armazenada em um servidor sem mecanismo de controle de acesso aos usuários. Em razão disso, a base de dados teria sido disponibilizada publicamente e cerca de 48 mil titulares foram afetados.
Em resposta às violações, a ANPD aplicou quatro sanções de advertência, uma para cada infração. O órgão terá, ainda, que manter um comunicado geral de incidente de segurança (CIS) em seu website na Internet por 90 dias e informar cada um titular identificado como vítima do incidente.
Embora as infrações constatadas tenham natureza grave pela possibilidade de afetarem os interesses e direitos fundamentais dos titulares e por envolverem tratamento de dados em larga escala, as penas aplicadas foram apenas de advertência com determinação de medidas corretivas. Isso só ocorreu porque de acordo com o artigo 52, § 3º, da LGPD e o artigo 3º, §5º, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, fica afastada a aplicação de multa simples e multa diária para entidades e órgãos públicos.