09/02/2024 ANPD condena INSS por vazamento de dados

Nesta primeira semana de fevereiro de 2024, a ANPD - Autoridade Nacional de Proteção de Dados, órgão responsável por zelar pela proteção de dados pessoais no Brasil, publicou decisões em dois processos sancionadores.

Em uma delas, o INSS foi condenado nas medidas legais por não comunicar a ocorrência de um incidente de segurança aos titulares de dados, o que é uma obrigação prevista na LGPD.

O incidente expôs informações sensíveis, como CPF, dados bancários e data de nascimento, podendo ser utilizadas em fraudes e roubo de identidade,e, portanto, condenou o INSS a publicizar a infração em seu site e no aplicativo Meu INSS durante 60 dias, bem como individualmente aos titulares dos dados, dentre outras medidas correcionais.

Em outra, a SEEDF - Secretaria de Estado de Educação do Distrito Federal, foi sancionada por violar uma série de dispositivos concorrentes à LGPD - Lei Geral de Proteção de Dados, dentre elas:

• Manter registro de operações de dados pessoais (art. 37 da LGPD).
• Elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD).
• Comunicar aos titulares a ocorrência de incidente de segurança que representasse risco ou dano relevante (art. 48 da LGPD).
• Usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD (art. 5º do Regulamento de Fiscalização da ANPD).

Essas violações resultaram na aplicação de quatro sanções de advertência pela ANPD.

Em caso de dúvidas ou necessidade de orientação sobre a LGPD, nossa assessoria jurídica especializada em proteção de dados encontra-se à disposição.