ANPD Aplica a Segunda Penalidade por Violação da LGPD

October 16, 2023

Após um período em que a Autoridade Nacional de Proteção de Dados (ANPD) dedicou-se a regulamentar situações importantes previstas na Lei Geral de Proteção de Dados (LGPD), além de editar diversos manuais e guias para orientar a sociedade sobre o cumprimento da lei, a ANPD aplicou a sua primeira penalidade em 6 de julho de 2023, dirigida à empresa Telekall Infoservice.

Desde então, a ANPD tem investigado diversas denúncias de violação da LGPD, tanto por parte de organizações do setor privado quanto por entidades do setor público.

Finalmente, em 6 de outubro do mesmo ano, a ANPD publicou no Diário Oficial da União a aplicação da segunda penalidade. Desta vez, dirigida ao Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (IAMSPE), uma instituição pública. Isso deixa claro que a ANPD monitora o cumprimento da LGPD não apenas no setor privado, mas também no setor público.

No caso específico do IAMSPE, a ANPD entendeu que houve a violação de dois dispositivos da LGPD, conforme exposto na tabela abaixo, aplicando a penalidade de advertência para ambas as violações:

VIOLAÇÃO DA LGPD

DESCRIÇÃO DA VIOLAÇÃO

PENALIDADE APLICADA

Art. 48

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Advertência

Art. 49

Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

Advertência

Na verdade, segundo a ANPD, o IAMSPE sofreu um incidente de segurança e não comunicou de maneira clara, adequada e tempestiva aos titulares de dados sobre quais de suas informações pessoais poderiam ter sido afetadas.

Assim, a ANPD considerou que a falta de clareza, inadequação e atraso no comunicado aos titulares foi uma infração ao Art. 48 da LGPD. Além disso, a falha em manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo e seus dependentes, beneficiários dos serviços de apoio à saúde prestados pelo órgão, foi considerada uma infração ao Art. 49 da LGPD.

Convém salientar que a Coordenação-Geral da ANPD ainda determinou medidas corretivas a serem cumpridas pelo IAMSPE. Isso tem o propósito de mitigar os efeitos decorrentes da violação à LGPD e prevenir reincidências, Essas medidas incluem: (i) elaborar um cronograma para implementação de medidas que tornem seus sistemas de armazenamento e tratamento de dados pessoais mais seguros e (ii) atualizar e manter disponível o comunicado aos titulares por no mínimo noventa dias no site do IAMSPE .

Da referida decisão, cabe ao IAMSPE o direito de recorrer ao Conselho Diretor da ANPD dentro de dez dias úteis contados a partir do recebimento da intimação emitida pela ANPD.

Cabem ainda algumas observações, principalmente levando em consideração as práticas atualmente existentes na Europa, incluindo a aplicação das bases legais da Lei de Proteção de Dados Pessoais da Europa (GDPR), que são igualmente contempladas na LGPD brasileira.

Na Europa, diversas instituições públicas como prefeituras, delegacias de polícia e afins são penalizadas por violarem a GDPR, não existindo qualquer tratamento privilegiado com base na natureza pública dessas entidades. As autoridades responsáveis por proteção de dados pessoais demonstram uma crescente preocupação com as medidas de segurança adotadas para resguardar dados pessoais. Isso significa que práticas de segurança, como login e senha de acesso, que seriam consideradas medidas de segurança adequadas para os padrões brasileiros, não são mais considerados suficientes para a comunidade europeia. Medidas de segurança adicionais precisam ser implementadas, como autenticação multifatorial, por exemplo.

Aliás, a guerra travada entre profissionais de segurança da informação e hackers é constante e só tende a aumentar com o desenvolvimento tecnológico. Assim, itens como firewalls ou VPNs para proteger o acesso remoto estão sob revisão.

No caso de firewalls, já estamos na quarta geração, chamada de NGFW (Next-Generation Firewalls). Esses sistemas são capazes não apenas de proteger portas e protocolos, mas também executam inspeções profundas de pacotes, detectam e preveem invasões, oferecem proteção contra ataques de negação de serviços, possibilitam a customização e implementação de políticas internas e facilitam o gerenciamento unificado de ameaças.

No que diz respeito às VPNs, elas estão gradualmente cedendo espaço para a tecnologia ZTNA (Zero Trust Network Access). Nesse modelo, um agente verifica atributos são permitidos para um usuário e qual é o alcance dessa permissão, independentemente de o usuário ser interno ou externo à organização.

No items found.

RECENT POSTS

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

ANPD Aplica a Segunda Penalidade por Violação da LGPD

No items found.

Após um período em que a Autoridade Nacional de Proteção de Dados (ANPD) dedicou-se a regulamentar situações importantes previstas na Lei Geral de Proteção de Dados (LGPD), além de editar diversos manuais e guias para orientar a sociedade sobre o cumprimento da lei, a ANPD aplicou a sua primeira penalidade em 6 de julho de 2023, dirigida à empresa Telekall Infoservice.

Desde então, a ANPD tem investigado diversas denúncias de violação da LGPD, tanto por parte de organizações do setor privado quanto por entidades do setor público.

Finalmente, em 6 de outubro do mesmo ano, a ANPD publicou no Diário Oficial da União a aplicação da segunda penalidade. Desta vez, dirigida ao Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (IAMSPE), uma instituição pública. Isso deixa claro que a ANPD monitora o cumprimento da LGPD não apenas no setor privado, mas também no setor público.

No caso específico do IAMSPE, a ANPD entendeu que houve a violação de dois dispositivos da LGPD, conforme exposto na tabela abaixo, aplicando a penalidade de advertência para ambas as violações:

VIOLAÇÃO DA LGPD

DESCRIÇÃO DA VIOLAÇÃO

PENALIDADE APLICADA

Art. 48

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Advertência

Art. 49

Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

Advertência

Na verdade, segundo a ANPD, o IAMSPE sofreu um incidente de segurança e não comunicou de maneira clara, adequada e tempestiva aos titulares de dados sobre quais de suas informações pessoais poderiam ter sido afetadas.

Assim, a ANPD considerou que a falta de clareza, inadequação e atraso no comunicado aos titulares foi uma infração ao Art. 48 da LGPD. Além disso, a falha em manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo e seus dependentes, beneficiários dos serviços de apoio à saúde prestados pelo órgão, foi considerada uma infração ao Art. 49 da LGPD.

Convém salientar que a Coordenação-Geral da ANPD ainda determinou medidas corretivas a serem cumpridas pelo IAMSPE. Isso tem o propósito de mitigar os efeitos decorrentes da violação à LGPD e prevenir reincidências, Essas medidas incluem: (i) elaborar um cronograma para implementação de medidas que tornem seus sistemas de armazenamento e tratamento de dados pessoais mais seguros e (ii) atualizar e manter disponível o comunicado aos titulares por no mínimo noventa dias no site do IAMSPE .

Da referida decisão, cabe ao IAMSPE o direito de recorrer ao Conselho Diretor da ANPD dentro de dez dias úteis contados a partir do recebimento da intimação emitida pela ANPD.

Cabem ainda algumas observações, principalmente levando em consideração as práticas atualmente existentes na Europa, incluindo a aplicação das bases legais da Lei de Proteção de Dados Pessoais da Europa (GDPR), que são igualmente contempladas na LGPD brasileira.

Na Europa, diversas instituições públicas como prefeituras, delegacias de polícia e afins são penalizadas por violarem a GDPR, não existindo qualquer tratamento privilegiado com base na natureza pública dessas entidades. As autoridades responsáveis por proteção de dados pessoais demonstram uma crescente preocupação com as medidas de segurança adotadas para resguardar dados pessoais. Isso significa que práticas de segurança, como login e senha de acesso, que seriam consideradas medidas de segurança adequadas para os padrões brasileiros, não são mais considerados suficientes para a comunidade europeia. Medidas de segurança adicionais precisam ser implementadas, como autenticação multifatorial, por exemplo.

Aliás, a guerra travada entre profissionais de segurança da informação e hackers é constante e só tende a aumentar com o desenvolvimento tecnológico. Assim, itens como firewalls ou VPNs para proteger o acesso remoto estão sob revisão.

No caso de firewalls, já estamos na quarta geração, chamada de NGFW (Next-Generation Firewalls). Esses sistemas são capazes não apenas de proteger portas e protocolos, mas também executam inspeções profundas de pacotes, detectam e preveem invasões, oferecem proteção contra ataques de negação de serviços, possibilitam a customização e implementação de políticas internas e facilitam o gerenciamento unificado de ameaças.

No que diz respeito às VPNs, elas estão gradualmente cedendo espaço para a tecnologia ZTNA (Zero Trust Network Access). Nesse modelo, um agente verifica atributos são permitidos para um usuário e qual é o alcance dessa permissão, independentemente de o usuário ser interno ou externo à organização.

No items found.