ANPD aplica as primeiras sanções de 2024

Autor adicional     Ana Letícia Allevato

A Autoridade Nacional de Proteção de Dados (ANPD) aplicou suas duas primeiras sanções de 2024 a dois órgãos públicos brasileiros. Vale frisar que, por serem instituições públicas, ambas não estão sujeitas a multas. Saiba mais abaixo:

Caso 1: Exposição de dados cadastrais e de saúde

No primeiro caso, a ANPD apurou que uma falha de segurança em 2021 expôs de maneira indevida o conteúdo de formulários de inscrição de um programa feito por determinada instituição. Foram expostos dados cadastrais e de saúde de 3.030 menores e seus responsáveis. No caso, segundo a ANPD, o equívoco humano de configuração da plataforma de formulários permitiu o acesso indevido aos dados dos participantes do programa.

O incidente foi classificado como grave, visto que envolveu dados pessoais sensíveis relacionados à saúde de um número significativo de titulares, entre os quais menores de idade. A Autoridade cobrou, em um primeiro momento, que as devidas medidas fossem tomadas para sanar a falha e exigiu envio do registro de operações de tratamento de dados pessoais (ROT), elaboração de relatório de impacto à proteção de dados pessoais (RIPD), comunicação aos titulares afetados e plano de gestão de incidentes de segurança da informação e privacidade.

Essas solicitações apresentam indícios do que a ANPD pode vir a solicitar em suas investigações oriundas de incidentes de segurança.

Segundo a ANPD, as exigências não foram atendidas por esse membro da organização pública, exceto a comunicação aos titulares que, segundo indicado na decisão publicada, somente ocorreu durante o processo sancionador da ANPD e após oito meses da primeira determinação da Autoridade.

Assim, quatro sanções foram aplicadas pelo episódio:

• Advertência pela violação leve de não manter um ROT (Art. 37, LGPD);
• Advertência pela violação leve de não elaborar RIPD após solicitação da ANPD (Art.38, LGPD);
• Advertência pela violação grave de não comunicar aos titulares a ocorrência do incidente de segurança em prazo razoável – a ANPD entendeu que a comunicação tardia atendeu à LGPD (Art. 48, LGPD); e
• Advertência pela violação grave de não apresentar o plano de gestão de incidentes, no prazo estabelecido pela ANPD, o que configurou, segundo a Autoridade, obstrução à sua atividade de fiscalização – por isso uma infração grave (Art. 5º, Regulamento de Dosimetria).

Houve também a análise de uma quinta infração, que seria a violação ao dever do art. 46 de adoção de medidas administrativas de segurança da informação. No caso, esse órgão público não teria treinado adequadamente os seus usuários para utilizar a plataforma de formulários em questão. Porém, a ANPD afastou essa sanção, pois entendeu que a infração se deu no contexto da pandemia de COVID-19, no qual a realização de um treinamento não seria viável e esperada. Diante desse entendimento, a ANPD entendeu que a pandemia constituiu caso fortuito nesse caso e que, portanto, excluiu o nexo causal pela ausência de treinamento.

É importante notar dois pontos importantes dessa sanção:

1. Mais uma vez a ANPD afirma que RIPDs podem ser realizados após sua solicitação, de modo que a sua ausência prévia parece não configurar violação da LGPD; e
2. Medidas de treinamentos em como utilizar plataformas específicas ganham um caráter bem mais relevante com essa sanção, já que sua falta seria entendido como uma violação da LGPD caso não houvesse o contexto da pandemia de COVID-19.

Caso 2: vazamento de dados cadastrais, de saúde e financeiros

No segundo caso, outro órgão público foi condenado após não comunicar aos titulares incidente de segurança ocorrido em 2022 e que foi notificado à ANPD. No caso, houve um vazamento de dados do sistema que comprometeu dados cadastrais, de saúde e financeiros de uma quantidade indeterminada de titulares.

O relatório completo, com toda a fundamentação da decisão da ANPD, ainda não foi publicado para essa sanção. Pode ser, portanto, que mais detalhes sejam divulgados posteriormente, inclusive a gravidade da violação, que acaba por impactar diretamente na sanção aplicável.

Segundo noticiado pela própria ANPD , a Autoridade entendeu que o incidente causou risco relevante aos titulares e determinou que o instituto comunicasse o ocorrido, tal como determinado no art. 48 da LGPD. A instituição pública teria alegado, porém, não ter capacidade técnica de pormenorizar qual base de usuários teve seus dados vazados e, por isso, não realizou a comunicação. Essa justificativa não foi acolhida, visto que, no cenário de indeterminação dos titulares afetados, o membro da administração pública deveria realizar comunicação de maneira ampla, buscando atingir todos os usuários da plataforma.

Assim, a Autoridade aplicou a seguinte sanção:

• Publicização da infração através de comunicado na primeira página do site da instituição, bem como por meio de envio de mensagem para todos os usuários de seu aplicativo. Tanto o comunicado do site como o aviso no aplicativo devem ficar disponíveis por 60 dias. Vale frisar que a ANPD indicou o texto exato que deve ser utilizado pelo órgão público e, logo no início do comunicado, se lê “(...), tendo em vista que foi condenado pela Autoridade Nacional de Proteção de Dados por infração ao dever de comunicar os titulares a ocorrência de incidentes de segurança, comunica [...]”.

É perceptível o potencial lesivo à reputação de qualquer empresa, ainda que não se trate de multa. Por vezes, a multa pode sair inclusive “mais barata” do que um comunicado nesse formato, atingindo toda a sua base de usuários.