Autoridade Nacional de Proteção de Dados aplica a segunda sanção por descumprimento à LGPD

Três meses após aplicar a primeira multa para uma empresa, a Autoridade Nacional de Proteção de Dados (ANPD), fixou, na última sexta-feira (06/10), nova sanção por descumprimento à Lei Geral de Proteção de Dados (LGPD). Dessa vez, a punição foi direcionada a um órgão público e teve como resultado a imposição de duas advertências, acompanhadas de medidas corretivas.

As sanções foram motivadas por condutas inadequadas do IAMSPE a respeito de um incidente de segurança envolvendo dados pessoais como Nome, CPF, endereço, telefone e salário, além de imagens de documentos como CNH, RG e comprovante de residência de funcionários públicos do estado de São Paulo e seus dependentes, que foram acessados de maneira não autorizada por um usuário externo.

A primeira advertência imposta refere-se à violação do art. 48 da LGPD, o qual estabelece a obrigação do controlador de dados pessoais comunicar a ANPD e os titulares a respeito do incidente.

O IAMSPE foi penalizado pois, após a ciência do incidente, o Instituto não realizou a comunicação tempestiva à ANPD, levando cerca de 3 meses para realizar a comunicação. Da mesma forma, a comunicação aos titulares foi feita de maneira parcial, faltando informações como a descrição da natureza dos dados e os motivos para a demora na comunicação. Para esta advertência, o Instituto deverá atualizar o comunicado sobre o incidente em seu site, mantendo-o disponível pelo período mínimo de 90 dias.

Já a segunda penalidade tem relação como art. 49 da LGPD, o qual determina que os controladores deverão utilizar sistemas que atendam “aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei”. A infração foi classificada como grave, pois o Instituto possuía um alto volume de dados pessoais e de titulares vulneráveis (como menores de idade e idosos) e não implementou controles adequados para garantir a confidencialidade dos dados. As medidas corretivas referentes a essa sanção envolvem a apresentação de cronograma e resultados dos programas desenvolvidos e implementados.

A atuação ativa da ANPD, em todos os setores da econômica, reforça a necessidade de que todas as empresas deverão tratar a proteção de dados pessoais e a privacidade dos titulares com cuidado e responsabilidade.

Nossa equipe de Direito Digital está acompanhando todos os andamentos sobre esse assunto e, caso deseje obter mais informações sobre o tema, bem como uma consultoria de adequação à LGPD, ficamos à disposição por meio do e-mail digital@kasznarleonardos.com.