Em despacho publicado em 1º de fevereiro de 2024 no Diário Oficial da União (DOU), a Autoridade Nacional de Proteção de Dados (ANPD) aplicou uma sanção ao Instituto Nacional do Seguro Social (INSS) pela ausência de comunicação aos titulares sobre a ocorrência de incidente de segurança envolvendo dados pessoais, ocorrido em 2022, atitude que viola a obrigação estabelecida no artigo 48 da Lei Geral de Proteção de Dados Pessoais (LGPD).
Conforme decisão, o INSS deverá publicizar a infração através de um comunicado na página inicial de seu site e enviar mensagem, via recurso de notificação, a todos os usuários do aplicativo “Meu INSS” informando sobre a condenação e sobre o incidente de segurança ocorrido. Os dois comunicados deverão ficar disponíveis por 60 dias, contados a partir da intimação da decisão.
Um dia antes, em outro despacho, a ANPD aplicou quatro sanções de advertência em face da Secretaria do Estado de Educação do Distrito Federal (SEEDF) por diversas infrações à LGPD, dentre elas a falta de indicação de encarregado, o não envio do relatório de impacto à proteção de dados solicitado pela autoridade e a não comunicação de incidente de segurança ocorrido em 2022.
Os órgãos públicos sancionados ainda podem recorrer das respectivas decisões, que estão disponíveis em:
https://www.in.gov.br/en/web/dou/-/despacho-decisorio-n-1/2024/fis/cgf-540637061 (INSS) e https://www.in.gov.br/en/web/dou/-/despacho-decisorio-n-3/2024/fis/cgf-540566212 (SEEDF).
Já são cinco decisões da ANPD aplicando sanções em menos de sete meses (a primeira sanção da ANPD foi publicada em 23/07/2023). A postura cada vez mais ativa da ANPD na aplicação de sanções demonstra a necessidade crescente de manter-se adequado às disposições da LGPD.
Este boletim tem propósito meramente informativo e não deve ser considerado a fim de se obter aconselhamento jurídico sobre qualquer um dos temas aqui tratados. Para informações adicionais, contate os líderes do time de Privacidade e Proteção de Dados, Adriano Chaves e Marcia Issler Mandelbaum
