Em 18 de outubro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) impôs sua terceira sanção, sendo a segunda contra uma instituição pública (veja nossos alertas sobre a primeira e a segunda sanção).
De acordo com a ANPD, houve um incidente de segurança em que 1,2 milhão de registros da lista de espera para atendimento médico da Secretaria de Estado de Saúde de Santa Catarina (SES/SC) foram exfiltrados, impactando 48 mil pessoas e várias categorias de dados pessoais (por exemplo, nomes completos, dados de parentes, CPF, endereços, números de telefone e dados de saúde). Após esse incidente, a ANPD sancionou a SES/SC com base nos seguintes argumentos:
(i) a SES/SC não apresentou tempestivamente um relatório de impacto à proteção de dados pessoais, apesar da ordem da ANPD – violação ao Art. 38 da LGPD;
(ii) a SES/SC levou sete meses para notificar devidamente os indivíduos afetados sobre o incidente descrito acima – violação do Art. 48 da LGPD. Apenas uma notificação pública foi publicada no site da SES/SC e nenhuma notificação individualizada foi entregue até o momento, de acordo com a ANPD;
(iii) A SES/SC não implementou controles de segurança para proteger a confidencialidade dos dados pessoais (ou seja, garantir que os dados pessoais sejam acessíveis apenas por indivíduos autorizados), o que acabou resultando no incidente em questão – violação do Art. 49 da LGPD; e
(iv) a SES/SC não apresentou tempestivamente a documentação solicitada pela ANPD durante a investigação, ou seja, um relatório técnico do incidente, informando: (a) as categorias de dados pessoais e indivíduos afetados, e a metodologia utilizada pela SES/SC para identificá-los; e (b) se o servidor afetado mantinha registros de logs de acesso – violação ao Art. 5 da Resolução n.º 01/2021 da ANPD.
A investigação sobre a SES/SC foi aberta no final de 2021 a partir da notificação protocolada pela própria SES/SC na ANPD. Levou quase um ano para que a ANPD concluísse a investigação e o processo administrativo subsequente e emitisse uma decisão. Essa decisão ainda pode ser contestada em recurso administrativo endereçado para o conselho diretor da ANPD.
Nenhuma multa foi emitida contra a SES/SC, pois a LGPD não permite multas contra entidades públicas. Portanto, a SES/SC foi sujeita a:
(i) uma advertência ordenando que a SES/SC mantenha a notificação pública aos indivíduos afetados disponível no site da SES/SC por 90 dias, e envie uma notificação individualizada a cada titular de dados afetado; e
(ii) três outras advertências em decorrência de violações aos Arts. 38 e 49 da LGPD, e ao Art. 5 da Resolução n.º 01/2021. Apesar das advertências, nenhuma ordem foi emitida, pois (a) a violação ao Art. 38 foi sanada com a apresentação tardia do relatório de impacto à proteção de dados pessoais, (b) a violação ao Art. 49 foi totalmente superada com a implementação tardia de controles de segurança pela SES/SC, conforme evidenciado durante o processo administrativo, e (c) embora a violação ao Art. 5 persista, uma vez que não foi apresentado relatório técnico do incidente à ANPD, a autoridade foi capaz de apurar o incidente com base nas informações fornecidas pela SES/SC – em outras palavras, não houve necessidade de solicitar informações adicionais.
