Em 06/10/2023, a segunda sanção da ANPD foi proferida em face de um ente público, o IAMSPE – Instituto de Assistência Médica ao Servidor Público Estadual de SP.
As sanções se referem a 2 infrações:
(1) Advertência por descumprimento ao art. 48 da LGPD (Comunicação de Incidentes), com medida corretiva.
(a) a medida: substituir, no seu site, comunicação de incidente de segurança, observando o texto detalhado na decisão, mantendo-o por pelo menos 90 dias.
(b) prazo: 10 dias úteis contados da intimação.
(2) Advertência por descumprimento ao art. 49 da LGPD (sistemas devem atender aos requisitos de segurança, padrões de boas práticas e de governança e aos princípios gerais da LGPD e da regulamentação) e medida corretiva.
(a) a medida: informar à ANPD o resultado dos programas e objetivos desenvolvidos e implementados, nos Planos de 3 meses e 6 meses, além de cronograma para outras iniciativas, todas informadas pelo IAMSPE.
(b) prazo: Para algumas iniciativas, evidência de cumprimento ou demonstração de conclusão em até 1 ano; para outras, envio de cronograma em até 10 dias úteis, cujas iniciativas devem ser concluídas em não mais do que 1 ano.
Observações iniciais:
(i) Não há ainda detalhes do processo administrativo que permitam dar mais informações neste momento. Sabe-se, pela sugestão de comunicado, que os dados envolvidos no incidente são “dados cadastrais, salário e endereço” de clientes do IAMSPE.
(ii) O art. 48 da LGPD trata da comunicação à ANPD e aos titulares, dos incidentes que possam causar risco ou dano relevante aos titulares – neste caso, houve alguma publicação na página do IAMSPE quanto ao incidente. Apenas não se sabe, agora, em que momento ocorreu. Aparentemente, a ANPD não havia sido notificada.
(iii) É relevante que as organizações, de qualquer tamanho e dos setores público e privado, invistam em medidas de segurança e tenham programa de governança, de modo a minimizar a ocorrência de incidentes e de modo a demonstrar que possuíam um programa de privacidade e trabalhavam em medidas de segurança previamente a eventual incidente.
(iv) Dados de salário não são dados sensíveis segundo a LGPD, mas são dados extremamente relevantes, cuja exposição pode trazer inúmeras consequências aos titulares.
(v) Ter um Encarregado ou Encarregada de proteção de dados, ou ainda um/a especialista em proteção de dados (caso não seja mandatório Encarregado ou Encarregada) é importante para assessoria no gerenciamento de crise.