[Matéria atualizada em 6/10/23, às 18h30 para inserir declaração do Iamspe] O Instituto de Assistência Médica ao Servidor Público Estadual (Iamspe) recebeu sanção da ANPD (Autoridade Nacional de Proteção de Dados) nesta sexta-feira, 6. Trata-se da segunda punição feita pela autoridade desde que começou a atuar. E, se a primeira, a empresa Telekall, foi multada em R$ 14 mil, esta última sofreu uma advertência e a medida corretiva é fazer a comunicação de incidente de segurança e, por sua vez, a publicização do ocorrido.
Caberá ao Iamspe: inserir em seu site um comunicado explicando o ocorrido a seus usuários; apresentar as ações preventivas e corretivas do instituto para mitigar a vulnerabilidade encontrada no seu sistema de cadastro dos contribuintes e dependentes; além de informar o cronograma de ações para um controle aprimorado e apresentados à ANPD.
O Iamspe também deverá comprovar por meio de captura de tela que realizou as medidas sancionatórias exigidas pela ANPD periodicamente.
No despacho decisório, a própria ANPD já encaminha o texto que deverá ser inserido no site do instituto e permanecer por 90 dias corridos contados a partir da data de cumprimento da sanção.
O Iamspe registrou um incidente de segurança, no início de 2022, que pode ter comprometido a privacidade de dados de usuários por conta de acesso não autorizado em dados cadastrais de uma pessoa externa.
Em nota enviada a Mobile Time, o Iamspe informou estar ciente das sanções e que está “comprometido com a adoção das melhores práticas de segurança e defesa cibernética do seu sistema de operação, visando a proteção dos dados dos seus beneficiários e dependentes.”
Repercussão
Patricia Peck, sócia-fundadora do escritório de advocacia Peck Advogados, lembrou em conversa com Mobile Time que, por ser um órgão público, o instituto está livre de receber penalidade pecuniária. Por isso, a advertência e a publicização da infração. “Provavelmente, os elementos de dosimetria aplicados envolveram o teor e o tempo da publicização imposta”, acredita.
“Mas chamou a atenção o fato neste caso de a Coordenação de Fiscalização ser extremamente detalhista quanto ao teor. No formulário de incidentes da ANPD há previsão de que o controlador pode ter que retificar/atualizar o comunicado de um incidente, se não atendido os requisitos, mas não que a ANPD vai determinar o conteúdo do comunicado”, salientou.
Para Rafael Pellon, advogado especializado em direito digital, sócio-fundador do Pellon de Lima Advogados e consultor jurídico do MEF, o setor público é o mais atrasado na adequação à LGPD (Lei Geral de Proteção de Dados) e precisa correr atrás. “As medidas sancionatórias da ANPD são bem-vindas e demostram o foco da agência nos serviços públicos, que demonstraram ser o setor menos preparado para a adequação à LGPD, seja por restrições orçamentárias ou pelos problemas advindos da pandemia. O Brasil já caminhou, contudo, e o serviço público precisa urgentemente se adequar à LGPD, haja vista a relevância dos dados pessoais que gere”.
A DPO do escritório Viseu Advogados, Antonielle Freitas, elogia a sanção por ela ser assertiva e com medidas que vão no cerne da questão. “É notável que a ANPD esteja adotando medidas corretivas específicas, como a exigência de atualização do comunicado de incidente de segurança e a obrigação de relatar os resultados dos programas implementados, demonstrando assim seu compromisso com a conformidade das organizações”, disse.
Freitas, no entanto, acredita que a ANPD precisa aplicar medidas mais severas para “garantir a eficácia da proteção de dados pessoais”. O controle rigoroso e a aplicação das normas da LGPD são medidas, na visão da DPO, poderão “assegurar que os dados pessoais dos cidadãos brasileiros estejam verdadeiramente protegidos e que as organizações se sintam incentivadas a investir em medidas robustas de segurança de dados.”