Em 18/10/23, foi publicada a terceira sanção da ANPD: desta vez, a Secretaria de Estado da Saúde de Santa Catarina. Foram 4 advertências, sendo 3 sem imposição de medidas e 1 com imposição de medidas:
Sem imposição de medidas:
- Descumprimento do art. 38 LGPD >> elaboração de RIPD – Relatório de Impacto à Proteção de Dados;
- Descumprimento do art. 49 LGPD >> sistemas para tratamentos de dados devem atender requisitos de segurança, padrões de boas práticas e governança e princípios gerais da LGPD e demais normas.
- Descumprimento do art. 5º do Regulamento de Fiscalização >> deveres dos agentes regulados
Com imposição de medidas e de apresentação de evidências de seu cumprimento:
- Descumprimento do art. 48 LGPD >> comunicação de incidente. Medidas:
- Manter Comunicado de Incidente de Segurança no “site” por mais 90 dias contados da data da publicação da decisão.
- Enviar comunicado aos titulares cujos dados foram comprometidos.
Comentários:
- Este caso e o do IAMSPE (Segunda Sanção) envolveram incidentes.
- Em ambos, os órgãos foram advertidos por terem sistemas incompatíveis com requisitos de segurança, boas práticas, governança e princípios gerais da LGPD e demais normas.
- A evidência a ser apresentada à ANPD sobre comunicação aos titulares é uma planilha com dados pessoais dos titulares com dados comprometidos, contendo seis dados de contato.
- Haveria maneira de realizar auditoria sem necessidade de envio dos dados pessoais?
- Este envio é tratamento de dados que deve fazer é parte da governança da organização!
- Não há informações adicionais sobre detalhes do incidente, dos dados comprometidos ou da falta de RIPD.