ANPD Aplica Sanções Pela Terceira Vez e Deixa Claro que Violações à LGPD Não Serão Toleradas

October 23, 2023

A Autoridade Nacional de Proteção de Dados (ANPD) publicou em 18 de outubro de 2023 sua terceira sanção por violação da Lei Geral de Proteção de Dados (LGPD). De maneira semelhante à segunda penalização, a infração ocorreu no setor público, não envolvendo uma empresa privada.

Dessa vez, a entidade infratora foi a Secretaria de Estado de Saúde de Santa Catarina (SES-SC), que violou os Artigos 38, 48 e 49 da LGPD, bem como o Artigo 5, I, do Regulamento de Fiscalização. As violações incluem (i) não apresentar o Relatório de Impacto de Proteção de Dados Pessoais (RIPD), (ii) não adotar as medidas de segurança adequadas para o armazenamento e o tratamento dos dados pessoais de milhões de cidadãos do Estado de Santa Catarina no sistema público de saúde, (iii) não informar, de forma clara, adequada e tempestiva, à ANPD e aos titulares de dados sobre o incidente de segurança, o que poderia lhes acarretar risco de dano relevante e (iv) não disponibilizar informações complementares solicitadas pela ANPD.

No total, foram identificadas 4 infrações, sendo que 3 dessas foram consideradas como graves. Ainda assim, a ANPD decidiu aplicar 4 sanções de advertência, uma para cada infração, juntamente com medidas corretivas que a SES-SC deve implementar. Estas medidas incluem (i) manter um comunicado geral de incidente de segurança em seu site por 90 dias e (ii) informar o incidente diretamente os titulares de dados pessoais identificados como vítimas do incidente.

A SES-SC tem a opção de recorrer da decisão no prazo de dez dias úteis, a contar do recebimento da intimação. Qualquer recurso apresentado será analisado pelo Conselho Diretor da ANPD. É importante relembrar que a sanção é aplicada pela Coordenação-Geral de Fiscalização da ANPD. Para aqueles que desejarem ler o relatório na íntegra, basta clicar em “relatório“.

Mais uma vez, sanções são aplicadas devido a medidas de segurança inadequadas. Esse tipo de falha tem sido identificado com frequência na Europa e agora vem igualmente sendo constatada pela ANPD no Brasil, abrangendo empresas do setor privado, empresas públicas e órgãos governamentais. No caso em questão, a SES-SC informou que aproximadamente 4Gb de dados, ou seja, nada mais, nada menos do que 1,2 milhão de registros, foram exfiltrados, afetando cerca de 48 mil titulares de dados, tanto de pacientes como de prestadores de serviços. Inicialmente, a SES-SC negou a presença de dados de crianças, adolescentes e idosos, mas posteriormente corrigiu essa informação, confirmando a existência desses dados. O mais crítico, entretanto, foi a exfiltração de dados pessoais sensíveis relacionados à saúde de diversos pacientes, contendo descrição de doenças, diagnósticos e tratamentos.

Além disso, as organizações estão negligenciando a elaboração de um Relatório de Impacto de Proteção de Dados Pessoais, com exceção de algumas poucas empresas de grande porte. Isso ocorre à medida que ignoram a classificação dos riscos associados ao tratamento dos dados, de acordo com sua finalidade.

No items found.

RECENT POSTS

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

ANPD Aplica Sanções Pela Terceira Vez e Deixa Claro que Violações à LGPD Não Serão Toleradas

No items found.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou em 18 de outubro de 2023 sua terceira sanção por violação da Lei Geral de Proteção de Dados (LGPD). De maneira semelhante à segunda penalização, a infração ocorreu no setor público, não envolvendo uma empresa privada.

Dessa vez, a entidade infratora foi a Secretaria de Estado de Saúde de Santa Catarina (SES-SC), que violou os Artigos 38, 48 e 49 da LGPD, bem como o Artigo 5, I, do Regulamento de Fiscalização. As violações incluem (i) não apresentar o Relatório de Impacto de Proteção de Dados Pessoais (RIPD), (ii) não adotar as medidas de segurança adequadas para o armazenamento e o tratamento dos dados pessoais de milhões de cidadãos do Estado de Santa Catarina no sistema público de saúde, (iii) não informar, de forma clara, adequada e tempestiva, à ANPD e aos titulares de dados sobre o incidente de segurança, o que poderia lhes acarretar risco de dano relevante e (iv) não disponibilizar informações complementares solicitadas pela ANPD.

No total, foram identificadas 4 infrações, sendo que 3 dessas foram consideradas como graves. Ainda assim, a ANPD decidiu aplicar 4 sanções de advertência, uma para cada infração, juntamente com medidas corretivas que a SES-SC deve implementar. Estas medidas incluem (i) manter um comunicado geral de incidente de segurança em seu site por 90 dias e (ii) informar o incidente diretamente os titulares de dados pessoais identificados como vítimas do incidente.

A SES-SC tem a opção de recorrer da decisão no prazo de dez dias úteis, a contar do recebimento da intimação. Qualquer recurso apresentado será analisado pelo Conselho Diretor da ANPD. É importante relembrar que a sanção é aplicada pela Coordenação-Geral de Fiscalização da ANPD. Para aqueles que desejarem ler o relatório na íntegra, basta clicar em “relatório“.

Mais uma vez, sanções são aplicadas devido a medidas de segurança inadequadas. Esse tipo de falha tem sido identificado com frequência na Europa e agora vem igualmente sendo constatada pela ANPD no Brasil, abrangendo empresas do setor privado, empresas públicas e órgãos governamentais. No caso em questão, a SES-SC informou que aproximadamente 4Gb de dados, ou seja, nada mais, nada menos do que 1,2 milhão de registros, foram exfiltrados, afetando cerca de 48 mil titulares de dados, tanto de pacientes como de prestadores de serviços. Inicialmente, a SES-SC negou a presença de dados de crianças, adolescentes e idosos, mas posteriormente corrigiu essa informação, confirmando a existência desses dados. O mais crítico, entretanto, foi a exfiltração de dados pessoais sensíveis relacionados à saúde de diversos pacientes, contendo descrição de doenças, diagnósticos e tratamentos.

Além disso, as organizações estão negligenciando a elaboração de um Relatório de Impacto de Proteção de Dados Pessoais, com exceção de algumas poucas empresas de grande porte. Isso ocorre à medida que ignoram a classificação dos riscos associados ao tratamento dos dados, de acordo com sua finalidade.

No items found.