INSS e Secretaria de Educação do DF Recebem Sanção da ANPD: Entenda o Caso
Violações à LGPD! Nesta semana, a Autoridade Nacional de Proteção de Dados (ANPD) emitiu decisões sobre dois processos sancionatórios: um envolvendo o Instituto Nacional do Seguro Social (INSS) e outro a Secretaria de Estado de Educação do Distrito Federal (SEEDF).
A ANPD determinou que os órgãos públicos violaram disposições legais relacionadas ao tratamento de dados pessoais e impôs sanções a ambos.
Na decisão divulgada na última quinta-feira (1º), o INSS foi considerado culpado por não informar aos titulares de dados sobre um incidente de segurança ocorrido em 2022, além de não ter cumprido as exigências da ANPD.
Esse incidente afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo dados como CPF, informações bancárias e data de nascimento, que podem ser usados para fraudes e roubo de identidade. A ANPD avaliou que esse incidente poderia resultar em danos significativos aos direitos dos titulares dos dados, especialmente por envolver informações sobre benefícios previdenciários.
Apesar da alegação de impossibilidade técnica por parte do INSS para identificar os titulares afetados, a ANPD considerou que a comunicação indireta do incidente era viável e ordenou que o INSS publique a infração em seu site e no aplicativo Meu INSS por 60 dias.
“A comunicação aos titulares é medida fundamental para que eles possam se proteger após um incidente de segurança. A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”, destacou Fabrício Lopes, Coordenador-Geral de Fiscalização da ANPD.
Já a SEEDF foi sancionada por violar diversos dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade. Como resultado, a ANPD emitiu quatro advertências à SEEDF em um despacho decisório publicado na última quarta-feira (31).
A ANPD constatou que a Secretaria falhou em manter registros das operações de dados pessoais, elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD, comunicar aos titulares a ocorrência de incidentes de segurança relevantes e usar sistemas que atendam aos requisitos de segurança e princípios da LGPD.