Foto: Pixabay A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, por meio do Diário Oficial da União (DOU) da última sexta-feira (6), a decisão da Coordenação-Geral de Fiscalização (CGF) referente ao processo administrativo sancionador envolvendo o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE).
De acordo com a decisão divulgada, a CGF concluiu que o IAMSPE violou o artigo 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) , devido à falta de segurança nos sistemas de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo, bem como de seus dependentes, que são beneficiários dos serviços de apoio à saúde fornecidos pelo órgão.
Além disso, foi determinado que o IAMSPE enfrentou um incidente de segurança e não conseguiu comunicar de maneira adequada, clara e oportuna aos titulares de dados sobre quais informações pessoais poderiam ter sido afetadas por esse incidente, o que configurou uma infração ao artigo 48 da LGPD. Esse artigo estipula que os controladores de dados pessoais devem informar a Autoridade Nacional e os titulares sobre incidentes de segurança que possam resultar em riscos ou danos significativos para os titulares.
Em resposta às infrações, a CGF emitiu duas advertências como medidas sancionatórias, uma para cada infração. Além disso, a Coordenação-Geral determinou um conjunto de medidas corretivas para mitigar os efeitos das infrações e prevenir sua repetição no futuro. Isso inclui a criação de um cronograma para implementar medidas que tornem os sistemas de armazenamento e tratamento de dados mais seguros e menos vulneráveis a incidentes de segurança. Também foi ordenado que o comunicado aos titulares seja atualizado e mantido disponível no site do IAMSPE por pelo menos 90 dias.
O IAMSPE tem a possibilidade de recorrer da decisão da CGF, apresentando um recurso ao Conselho Diretor da Autoridade, o que deve ser feito no prazo de 10 dias úteis a partir do recebimento da intimação emitida pela ANPD. Esta decisão demonstra a seriedade com a qual a LGPD é aplicada para garantir a proteção dos dados pessoais e a segurança cibernética.
O IAMSPE emitiu a seguinte nota, nesta terça-feira (10) sobre o ocorrido: “O Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe), órgão ligado à Secretaria de Governo e Gestão Digital (SGGD), esclarece que está ciente das sanções na sexta-feira (6/10), relacionadas ao processo da Autoridade Nacional de Proteção de Dados (LGPD). O órgão está comprometido com a adoção das melhores práticas de segurança e defesa cibernética do seu sistema de operação, visando a proteção dos dados dos seus beneficiários e dependentes.”
