Um Processo Administrativo Sancionador foi instaurado em relação à Secretaria de Estado da Saúde de Santa Catarina (SES/SC). O processo resultou na aplicação de penalidades. Vamos entender quais foram as infrações cometidas e as consequências.
Infração ao artigo 38 da LGPD:
Motivo:
A SES/SC não apresentou o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) após solicitação da ANPD.
Sanção: advertência.
Medida Corretiva: sem a imposição de medida corretiva, tendo em vista os desdobramentos ao longo do processo.
Infração ao artigo 48 da LGPD:
Motivo: A SES/SC também foi acusada de infração ao artigo 48 da LGPD, relacionado às obrigações de notificação de incidentes de segurança de dados. A falta de comunicação ao titular em prazo razoável, especialmente quando resulta na exposição de dados pessoais sensíveis.
Sanção: advertência.
Medida Corretiva: manter comunicado geral de incidente de segurança no Portal institucional por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do incidente.
Infração ao artigo 49 da LGPD:
Motivo: Devido ao uso de sistema sem a devida segurança. A falta de cuidado no desenvolvimento de um sistema seguro permitiu a concretização de incidente. Cabe ao controlador o dever de utilizar sistemas que atendam aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na legislação.
Sanção: advertência.
Medida Corretiva: sem a imposição de medida corretiva, tendo em vista que já foram implementados os controles necessários após a ocorrência do incidente.
Infração ao artigo 5º do Regulamento de Fiscalização:
Motivo: A SES/SC não apresentou documentos requisitados pela ANPD.
Sanção: advertência.
Medida Corretiva: sem a imposição de medida corretiva.
Próximos Passos:
O autuado, no caso, a SES/SC, foi intimado a cumprir as sanções e medidas corretivas impostas ou a apresentar recurso em até 10 dias úteis, conforme previsto no artigo 56 da Lei nº 9.784/99 em conjunto com o artigo 58 do Regulamento de Fiscalização da ANPD.
O processo agora aguarda o trânsito em julgado, e em caso de não cumprimento das medidas, será encaminhado para a Procuradoria Federal Especializada da ANPD para a execução das medidas corretivas.
Para ter acesso a decisão, acesse: DESPACHO DECISÓRIO – DESPACHO DECISÓRIO – DOU – Imprensa Nacional (in.gov.br)
Quer saber como melhorar a segurança do seu ambiente? Entenda como o Pentest, o serviço de SOC e solução de SIEM podem auxiliar. Fale com nossos especialistas!
O Programa de Privacidade e Proteção de Dados Pessoais exige atenção e manutenção constante.
Foi possível implementar todo o plano de ação?
Como está a capacitação dos seus colaboradores sobre a proteção dos dados pessoais?
Nossa consultoria pode ajudar sua empresa nessas tarefas.
