A Autoridade Nacional de Proteção de Dados (ANPD) emitiu, esta semana, decisões em dois processos sancionadores, um envolvendo o Instituto Nacional de Seguro Social (INSS) e outro a Secretaria de Estado de Educação do Distrito Federal (SEEDF). Ambos os órgãos públicos foram considerados pela Autoridade como violadores de disposições legais relacionadas ao tratamento de dados pessoais, resultando na aplicação de sanções.
No caso do INSS, a ANPD condenou o órgão por não comunicar adequadamente a ocorrência de um incidente de segurança aos titulares de dados. Além disso, o INSS não cumpriu determinações específicas da ANPD, conforme previsto na LGPD (Lei Geral de Proteção de Dados) e na Resolução CD/ANPD nº 1/2021, respectivamente. O incidente, ocorrido em 2022, impactou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações sensíveis como CPF, dados bancários e data de nascimento.
A ANPD considerou que esse incidente poderia resultar em danos significativos aos direitos dos titulares dos dados pessoais, e, portanto, o INSS foi condenado a publicizar a infração em seu site e no aplicativo Meu INSS durante 60 dias.
Quanto à SEEDF, a ANPD aplicou quatro sanções de advertência devido a diversas violações, incluindo a falta de manutenção de registros de operações com dados pessoais, a não elaboração de Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD, a omissão na comunicação aos titulares sobre incidentes de segurança relevantes e o uso de sistemas que não atendiam aos requisitos de segurança e princípios da LGPD, conforme estabelecido no Regulamento de Fiscalização da ANPD. Essas infrações levaram à imposição das sanções pela Autoridade.
