Publicada no Diário Oficial da União, em 6 de outubro de 2023 - data desse breve escrito, a segunda decisão sancionadora pela Autoridade Nacional de Proteção de Dados por violação à privacidade nos indica o caminhar da ANPD.
As vítimas, reconhecidas pela LGPD como titulares de dados, dessa vez, foram os contribuintes e seus dependentes filiados ao Iamspe - Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo.
A infração, segundo consta da decisão, consistiu na ausência de comunicação de incidente de segurança com dados pessoais, ocorrido em 2022, a partir de um acesso por terceiro não autorizado. Os dados pessoais violados seriam do tipo cadastrais, como nome, salário e residência.
Mas, antes de falarmos da sanção aplicada, dando um passo para trás, numa rápida linha do tempo, após a vigência da LGPD – Lei Geral de Proteção de Dados Pessoais, aguardamos ansiosamente o início dos trabalhos pela ANPD, tanto para regulamentação de normas ainda gerais e sem aplicação direta pela Lei, quanto pelo “tom” a ser dado pelo peso das sanções a serem aplicadas.
Conduzimos diversos Programas de Adequação à LGPD, utilizando como parâmetros sanções aplicadas pelas Autoridades Europeias enquanto acompanhávamos as regulamentações necessárias pela ANPD antes de “colocarem a mão na massa” em termos de fiscalização.
Em outubro de 2022, a ANPD publicou Resolução CD/ANPD 01, consolidando o processo de fiscalização e sancionador e, em fevereiro de 2024, aprovou a Resolução CD/ANPD nº 04 com o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
Já em março de 2023, a ANPD, já definitivamente como autarquia especial – com a conversão da MP 1.124/22 em Lei Federal 14.460/22 – publicou em seu site seu enforcement tracker, naquela época, contando com 8 processos Administrativos Sancionadores em curso.
A partir daí, aumentamos o grau da lupa e vimos a primeira sanção aplicada e que foi voltada a uma empresa privada do segmento de telecomunicações (Processo 261.000489/2022-62). Uma das infrações apuradas foi não indicar o Encarregado à Proteção de Dados e, a outra, por não apresentar o Registro das Operações de Tratamento de Dados. Providências básicas a todo gestor público ou privado para começar sua jornada de adequação à LGPD.
A sanção escolhida foi multa de cerca de R$15mil reais.
No dia 6 de outubro de 2023 foi publicada a segunda sanção, contra o Iamspe - Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo de advertência e de adoção de medida corretiva (processo nº 00261.001969/2022-41).
Como dever de casa, o Iamspe deverá adotar e evidenciar um Plano de 3 e 6 meses de execução de medidas consistentes em melhorias de controles de acesso, saneamento de vulnerabilidades no sistema de cadastro dos clientes, dentre outras, além da manutenção em seu site, por 90 dias, de comunicado aos titulares com texto devidamente ajustado pela ANPD.
Nesse mesmo dia de hoje, também vimos a ANPD arquivar sem aplicação de sanções um Processo Administrativo Sancionatório contra Instituto de Pesquisas Jardim Botânico do Rio de Janeiro em razão de supostamente não ter comunicado incidente e não ter atendido uma requisição da Autoridade.
Parece-nos que a ANPD segue analisando fatos, seja por informações e documentos apresentados pelo Investigado, seja por outras notícias recebidas pela Autoridade e, ainda, que, por meio das sanções, exigirá a adoção das medidas já obrigatórias pela própria lei.
A parte isso, fica o registro de que a corrida das adequações foi iniciada!