Relatório de Instrução n° 2/2023/CGF/ANPD
Publicação Anterior
Sobre o b/luz
Para saber mais, clique no botão abaixo
Acesse o nosso site
Sanções
Clique aqui para baixar este material
Resumo dos acontecimentos
Em 3 de agosto de 2023 foi instaurado processo para apurar a ocorrência de incidente de segurança relacionado ao Sistema Corporativo de Benefícios do INSS (SISBEN), envolvendo os seguintes dados pessoais: CPF, nome completo, data de nascimento, NIT, sexo, ramo de atividade profissional, diagnóstico, data de encaminhamento, telefone, endereço, dados bancários e informações de dependentes. O incidente afetou a base de beneficiários e segurados do INSS.
Após apuração, a Coordenação-Geral de Fiscalização (CGF) determinou que o INSS comunicasse, no prazo de 10 dias, os titulares afetados. O INSS, por sua vez, pleiteou pela inviabilidade da comunicação em razão da impossibilidade técnica de levantamento dos nomes dos segurados e da desproporcionalidade da comunicação universal, tendo solicitado, ainda, a prorrogação do prazo. Mesmo diante do deferimento da prorrogação, o INSS acabou não comunicando o incidente de segurança aos titulares de dados pessoais afetados.
Infrações e sanções aplicadas
Art. 48°, LGPD – Ausência de comunicação aos titulares afetados pelo incidente de segurança
O INSS descumpriu a determinação legal de comunicação aos titulares afetados, mesmo após diversas determinações feitas pela CGF.
Sanção aplicada: (i) publicização da infração na página https://www.gov.br/inss/pt-br, devendo permanecer acessível pelo prazo de 60 dias; (ii) envio de mensagem, via recurso de notificação, a todos os usuários do aplicativo Meu INSS, com indicação visual de que há mensagem pendente de leitura/visualização, com o teor definido na decisão.
Principais pontos considerados:
NATUREZA GRAVE
As infrações cometidas foram consideradas de natureza grave, por envolver o tratamento de dados pessoais em larga escala, incluindo dados pessoais sensíveis.
CUMPRIMENTO DE MEDIDA PREVENTIVA
Foi aplicada circunstância agravante, visto que houve descumprimento de medida preventiva que determinou ao INSS a comunicação do incidente de segurança.
INTERESSE PÚBLICO
Considerando o interesse público no caso concreto, visto a necessidade de comunicação do incidente, bem como a natureza grave da infração, entendeu-se que a sanção de publicização da infração é a mais adequada à inobservância do INSS da conduta prescrita no art. 48 da LGPD e do dever de comunicação aos titulares afetados.
ENTIDADOS OU ÓRGÃOS PÚBLICOS
Apesar do descumprimento, pelo INSS, de medidas preventivas a ele impostas, o art. 52, §3º, da LGPD, ao estabelecer as sanções que podem ser impostas a entidades ou órgãos públicos, afasta a possibilidade de aplicação de multa ou de multa diária a tais agentes de tratamento, motivo pelo qual deixou-se de se aplicar tal sanção.