A ANPD publicou recentemente sanção contra a secretaria de Estado da Saúde de Santa Catarina por violação dos artigos 48 e 49 da LGPD. Para Alexandra Krastins Lopes, advogada do PG Advogados, a decisão demonstra "falta de maturidade de órgãos públicos na governança de dados pessoais dos cidadãos".
O despacho decisório apresenta quatro sanções de advertência ao órgão público. A primeira infração refere-se ao descumprimento do artigo 38, sobre a possibilidade de a Autoridade determinar a elaboração do relatório de impacto à proteção de dados pessoais, conhecido como RIPD.
"Este é um documento que deve ser elaborado em alguns casos, durante as ações de governança dos dados pessoais de uma instituição, e contém a descrição dos processos de tratamento de dados pessoais que podem gerar alto risco aos princípios da LGPD, às liberdades civis e aos direitos fundamentais do titular de dados", explicou a especialista.
"Apesar de não ter regulamentado o tema, a ANPD já publicou orientações sobre o assunto. E as boas práticas do mercado, já há algum tempo, sugerem que tivesse sido elaborado o RIPD em diversas situações, como no tratamento de dados pessoais sensíveis, incluindo os de saúde."
Outra infração da SES/SC refere-se ao artigo 48, relativo à obrigação de comunicar à ANPD e aos titulares a ocorrência de incidente de segurança envolvendo dados pessoais e que possa acarretar risco ou dano relevante aos titulares.
Segundo Alexandra, além da sanção, foi determinado que o órgão público faça a publicação sobre o incidente em seu site, pelo período mínimo de 90 dias (nos termos descritos pela ANPD), e proceda com a comunicação direta e individualizada aos titulares afetados e identificados.
"Ressalta-se que essa sanção, por se tratar de órgão público, possui especial relevância. O zelo pelo cumprimento da transparência deveria ser uma premissa", pontua.
De acordo com a advogada, medidas de transparência sobre falhas de segurança podem gerar receio reputacional para gestores de órgãos públicos, mas o cumprimento da lei deve ser priorizado, inclusive porque não existe correlação direta entre comunicar e ser punido.
"O agente de tratamento de dados que comunicar o incidente à Autoridade também poderá contar com sua orientação, o que pode ser positivo para a correção das vulnerabilidades", acrescenta.
Outra sanção se refere à falta de estrutura dos sistemas para atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais da LGPD e, por fim, sanção a respeito da não cooperação com a fiscalização da Autoridade.
"Chama bastante atenção pela falta de maturidade do órgão sancionado em lidar com as questões atuais, mas que não são mais novidade, sobre fiscalização e proteção de dados", avalia.
Ainda segundo a especialista, embora haja críticas à ANPD por, novamente, autuar o Poder Público enquanto diversos agentes de tratamento do setor privado seguem com práticas em desacordo com a legislação, vê-se que a Administração Pública ainda tem muito a evoluir em matéria de governança, transparência e cooperação interinstitucional.
"O papel principal da ANPD é zelar pela proteção de dados dos titulares, por isso, tanto empresas privadas quanto públicas podem ser multadas pela Autoridade se estiverem em desacordo com a legislação, e não para satisfazer clamores populares e de mercado. O objetivo é satisfazer o interesse público e o cumprimento de sua maior competência."
Além disso, para ela, com reiteradas decisões envolvendo órgãos públicos, a Autoridade dá o recado de que a lei vale para todos, e que o descumprimento de obrigações tão importantes como a governança, a segurança de dados de saúde e a transparência não ficarão impunes.
Para a especialista, "isso favorece o ecossistema de proteção de dados e a democracia".