Relatório de Instrução n° 2/2023/CGF/ANPD
Publicação Anterior
Sobre o b/luz
Para saber mais, clique no botão abaixo
Acesse o nosso site
Sanções
Clique aqui para baixar este material
Resumo dos acontecimentos
A Autoridade Nacional de Proteção de Dados (ANPD) concluiu processo sancionador contra a Secretaria de Saúde de Santa Catarina (SES/SC). O processo foi instaurado em 28 de agosto de 2021 e está relacionado a incidente de segurança ocorrido em 21 de agosto de 2021.
O incidente em questão expôs dados sensíveis de pacientes que constavam na lista de espera do Sistema Único de Saúde (SUS), envolvendo, inclusive, crianças e idosos. Os dados afetados incluíam informações como nome completo, CPF, endereço, informações de contato e dados médicos (como diagnósticos de saúde) dos titulares.
Ficou constatado pela ANPD que a SES/SC não aplicou medidas de segurança adequadas, não realizou a comunicação do incidente e não apresentou os documentos solicitados pela ANPD.
Infrações e sanções aplicadas
Art. 38, LGPD – Controlador não apresentou RIPD após solicitação da ANPD
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) foi solicitado pela Coordenação-Geral de Fiscalização (CGF) da ANPD em diversos momentos, inclusive com concessão de prazo adicional para cumprimento.
Sanção aplicada: Advertência
Art. 48, LGPD – Ausência de comunicação ao titular em prazo razoável
A comunicação da SES/SC foi geral, e não individualizada para cada titular afetado. Apesar da CGF ter indicado prazo razoável para a comunicação, a SES/SC não cumpriu o prazo sugerido, disponibilizando a comunicação geral em seu site 11 meses após o ocorrido.
Sanção aplicada: Advertência
Art. 49, LGPD – Insuficiência de sistema de segurança para tratamento de dados pessoais
Durante a fase de fiscalização, a CGF solicitou documentos que comprovassem que o sistema utilizado pela SES/SC atendia aos requisitos de segurança. Contudo, referidos documentos não foram apresentados, não sendo possível aferir o nível de segurança aplicado na época.
Sanção aplicada: Advertência
Art. 5º, Regulamento de Fiscalização – Agente de tratamento não apresentou documentos requisitados pela ANPD
Tal violação se sustenta diante da falta de apresentação dos documentos requeridos pela CGF em sua atividade de fiscalização.
Sanção aplicada: Advertência
Principais pontos considerados:
ENTIDADES E ÓRGÃOS PÚBLICOS
O art. 3º, § 5º, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas afasta a aplicação das sanções de multa simples e multa diária para entidades e órgãos públicos, sendo cabível apenas as sanções de advertência, publicização da infração, bloqueio ou eliminação dos dados pessoais.
DESCUMPRIMENTO DE MEDIDA PREVENTIVA
Foi aplicada circunstância agravante em razão do descumprimento de medida preventiva.
CESSAÇÃO DA INFRAÇÃO
A cessação da infração foi considerada como circunstância atenuante, em razão da implementação de medidas de segurança antes da instauração do processo sancionador.