Relatório de Instrução n° 2/2023/CGF/ANPD
Publicação Anterior
Sobre o b/luz
Para saber mais, clique no botão abaixo
Acesse o nosso site
Sanções
Clique aqui para baixar este material
Resumo dos acontecimentos
A Autoridade Nacional de Proteção de Dados (ANPD), por meio da Coordenação-Geral de Fiscalização (CGF), concluiu processo administrativo sancionador contra o Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (IAMSPE). Tal processo teve início com o recebimento de denúncia sobre incidente de segurança no dia 19 de janeiro de 2022, com consequente instauração do processo no dia 15 de março de 2022.
A infração sancionada refere-se à ausência de comunicação à ANPD e aos titulares afetados a respeito de incidente de segurança que expôs dados pessoais como CPF, nome, RG, endereço, telefone e salário, bem como imagens de documentos como CNH, RG e comprovante de residência dos titulares.
Também foi verificada possível violação ao artigo 49 da LGPD, que impõe ao controlador o dever de utilizar sistemas que atendam aos requisitos de segurança, padrões de boas práticas e de governança e princípios previstos na legislação.
Infrações e sanções aplicadas
Art. 48, LGPD – Ausência de comunicação eficiente de incidente de segurança à autoridade e aos titulares
Na comunicação apresentada pelo IAMSPE a respeito do incidente não constavam as seguintes informações: (i) dados pessoais afetados; (ii) titulares afetados; (iii) eventuais riscos; (iv) motivo de demora.
Sanção aplicada: Advertência
Art. 49, LGPD – Insuficiência de sistema de segurança para tratamento de dados pessoais
Foi concluído que os sistemas do IAMSPE não atendiam às exigências da legislação, com identificação de pontos de acesso ao seu site sem controles de segurança adequados.
Sanção aplicada: Advertência
Principais pontos considerados:
ENTIDADES E ÓRGÃOS PÚBLICOS
O art. 3º, §5º, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas afasta a aplicação das sanções de multa simples e multa diária para entidades e órgãos públicos, sendo cabíveis apenas as sanções de advertência, publicização da infração, bloqueio ou eliminação dos dados pessoais.
DESCUMPRIMENTO DE MEDIDA PREVENTIVA
Foi aplicada circunstância agravante, visto que houve descumprimento de medida preventiva determinada pela ANDP, que determinou a necessidade de comunicação do incidente de segurança.
CESSAÇÃO DA INFRAÇÃO
A cessão da infração foi considerada como circunstância atenuante, tendo em vista a implementação de medidas de segurança por parte do IAMSP antes da instauração do processo sancionador.
Somos agentes de transformação do ecossistema
jurídico, usando o direito e as leis como
instrumentos para promover a inovação e o
desenvolvimento da sociedade.
Para saber mais, clique no botão abaixo
Acesse o nosso siteSeu formulário foi enviado com sucesso!