Foto: Nikita Belokhonov/Pexels E 2024 promete quando o assunto é fiscalização da Lei Geral de Proteção de Dados (LGPD) .
O ano mal começou e dois órgãos públicos foram autuados e sancionados pela Autoridade Nacional de Proteção de Dados (ANPD).
O primeiro deles é o velho conhecido por vazar dados pessoais, o Instituto Nacional do Seguro Social (INSS) .
Digo isso porque, desde 1991, quando o escândalo envolvendo a falecida advogada Jorgina de Freitas, que aplicou o maior golpe contra o INSS totalizando mais de 600 milhões de reais, saiu na mídia, o órgão nunca conseguiu estancar os vazamentos infinitos de dados pessoais que acontecem diuturnamente.
Ainda hoje, ao dar entrada em um processo de aposentadoria, os cidadãos começam receber ligações e mais ligações com pessoas ofertando empréstimos consignados e toda sorte de produtos ou serviços, em uma clara violação da Lei Geral de Proteção de Dados, além de fraudes usando os mesmos dados.
E qual foi a pena do INSS aplicada pela ANPD?
O INSS foi condenado por não comunicar a ocorrência de incidente de segurança com dados pessoais de seus titulares, com o agravante de não ter atendido às determinações da ANPD, referentes a não ter medidas preventivas.
O incidente aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento, dados passíveis de serem usados em fraudes e em roubo de identidade.
Diante disso, a ANPD condenou o INSS a publicizar a infração em seu site e no aplicativo “Meu INSS” durante 60 dias, o que é uma sanção muito leve considerando a falta de cuidado histórico do órgão e frequentes violações aos direitos dos titulares.
O outro órgão público a ser autuado foi a Secretaria de Educação do Distrito Federal, por violar uma série de dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade. Leia a íntegra da decisão.
A ANPD concluiu que a Secretaria:
- Deixou de manter registro de operações de dados pessoais, descumprindo o determinado no artigo 37, da LGPD);
- Deixou de elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD, descumprindo o artigo 38, da LGPD;
- Deixou de comunicar aos titulares a ocorrência de incidente de segurança que representasse risco ou dano relevante, descumprindo o artigo 48, da LGPD e, ainda, por usar sistemas que não atendam aos requisitos mínimos de segurança, às boas práticas e aos princípios da LGPD, descumprindo o artigo 5º, do Regulamento de Fiscalização da ANPD.
Para ter acesso na íntegra da decisão acesse o link da Autoridade Nacional de Proteção de Dados.
Diante dessas infrações, a Autoridade aplicou quatro sanções de advertência, o que foi bem ameno, tendo em vista a quantidade de dispositivos violados.
Mas a pergunta que não quer calar é: até quando a Autoridade Nacional de Proteção de Dados será complacente com essas violações, tendo em vista a natureza branda das sanções aplicadas?
Comente aqui embaixo o que você achou das decisões da Autoridade Nacional de Proteção de Dados, você acha que deveriam ser mais enérgicas?
