ANPD sanciona mais um órgão público
A Autoridade Nacional de Proteção de Dados (ANPD) publicou mais uma sanção, dessa vez contra a Secretaria de Saúde do Estado de Santa Catarina (SES-SC) por violações à Lei Geral de Proteção de Dados Pessoais (LGPD).
A Coordenação-Geral de Fiscalização da ANPD (CGF) identificou quatro infrações cometidas pela SES-SC, das quais três foram consideradas graves. A primeira infração foi a negligência na segurança dos sistemas de armazenamento e tratamento de dados pessoais, o que colocou em risco informações sensíveis de milhões de cidadãos de Santa Catarina. A falta de segurança e governança na gestão de dados é uma das maiores preocupações da LGPD e coloca em evidência a necessidade de manter registros e controles para as atividades de tratamento.
A segunda infração envolveu um incidente de segurança sofrido pela SES-SC, que não soube comunicar sobre quais dados pessoais foram afetados de forma clara, adequada e tempestiva a cerca de 300 mil titulares de dados. A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, que exige que incidentes de segurança sejam prontamente comunicados à Autoridade Nacional e aos titulares, evidenciando a importância da transparência e da comunicação eficaz em casos semelhantes.
A terceira infração se relaciona à falta de apresentação do Relatório de Impacto de Proteção de Dados Pessoais (RIPD) requisitado pela ANPD. A elaboração desse relatório é uma obrigação fundamental da LGPD para avaliar e mitigar riscos à privacidade dos cidadãos.
E por fim, a SES-SC foi sancionada por violação ao Art. 5 do Regulamento de Fiscalização da ANPD, dado que a secretaria não disponibilizou outras informações requisitadas pela Autoridade.
Foram aplicadas quatro sanções de advertência em decorrência das infrações identificadas. A SES-SC ainda deverá manter um comunicado geral de incidente de segurança (CIS) em seu sítio na internet por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do incidente.
Este caso da SES-SC destaca a urgência de órgãos públicos implementarem projetos de adequação à LGPD. É fundamental que tais entidades compreendam que não apenas estão sujeitas a cumprir a lei, mas também têm o dever de liderar pelo exemplo na proteção dos dados pessoais dos cidadãos.
A conformidade com a LGPD requer a implementação de políticas de segurança de dados, treinamento adequado para funcionários, a designação de um Encarregado de Proteção de Dados (DPO), a comunicação transparente em caso de incidentes de segurança e a elaboração de RIPDs quando necessário. Além disso, é crucial que órgãos públicos estejam dispostos a colaborar com a ANPD e fornecer as informações solicitadas.
Quer saber mais sobre implementação da LGPD em instituições? Acesse nosso Guia Orientativo de Adequação à LGPD através do link: Guia Orientativo de Adequação a LGPD