É aplicada a terceira sanção por Violação à LGPD: Agora à um órgão público de Santa Catarina 

Um Processo Administrativo Sancionador foi instaurado em relação à Secretaria de Estado da Saúde de Santa Catarina (SES/SC). O processo resultou na aplicação de penalidades. Vamos entender quais foram as infrações cometidas e as consequências. 

Infração ao artigo 38 da LGPD:  

Motivo:

A SES/SC não apresentou o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) após solicitação da ANPD. 

Sanção: advertência.  

Medida Corretiva: sem a imposição de medida corretiva, tendo em vista os desdobramentos ao longo do processo. 

Infração ao artigo 48 da LGPD:  

Motivo: A SES/SC também foi acusada de infração ao artigo 48 da LGPD, relacionado às obrigações de notificação de incidentes de segurança de dados. A falta de comunicação ao titular em prazo razoável, especialmente quando resulta na exposição de dados pessoais sensíveis.   

Sanção: advertência.  

Medida Corretiva: manter comunicado geral de incidente de segurança no Portal institucional por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do incidente. 

Infração ao artigo 49 da LGPD:  

Motivo: Devido ao uso de sistema sem a devida segurança. A falta de cuidado no desenvolvimento de um sistema seguro permitiu a concretização de incidente.  Cabe ao controlador o dever de utilizar sistemas que atendam aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na legislação. 

Sanção: advertência. 

Medida Corretiva: sem a imposição de medida corretiva, tendo em vista que já foram implementados os controles necessários após a ocorrência do incidente. 

Infração ao artigo 5º do Regulamento de Fiscalização:  

Motivo: A SES/SC não apresentou documentos requisitados pela ANPD.   

Sanção: advertência.  

Medida Corretiva: sem a imposição de medida corretiva. 

Próximos Passos: 

O autuado, no caso, a SES/SC, foi intimado a cumprir as sanções e medidas corretivas impostas ou a apresentar recurso em até 10 dias úteis, conforme previsto no artigo 56 da Lei nº 9.784/99 em conjunto com o artigo 58 do Regulamento de Fiscalização da ANPD. 

O processo agora aguarda o trânsito em julgado, e em caso de não cumprimento das medidas, será encaminhado para a Procuradoria Federal Especializada da ANPD para a execução das medidas corretivas. 

Para ter acesso a decisão, acesse: DESPACHO DECISÓRIO – DESPACHO DECISÓRIO – DOU – Imprensa Nacional (in.gov.br) 

Quer saber como melhorar a segurança do seu ambiente? Entenda como o Pentest, o serviço de SOC e solução de SIEM podem auxiliar. Fale com nossos especialistas! 

O Programa de Privacidade e Proteção de Dados Pessoais exige atenção e manutenção constante.   

Foi possível implementar todo o plano de ação? 

Como está a capacitação dos seus colaboradores sobre a proteção dos dados pessoais?  

Nossa consultoria pode ajudar sua empresa nessas tarefas.