*Imagem: OpenIcons; CC BY.
A Autoridade Nacional de Proteção de Dados (ANPD) emitiu quatro advertências à Secretaria de Estado de Saúde de Santa Catarina em relação a um incidente de segurança ocorrido em janeiro de 2022, e que resultou no vazamento de dados de 298 mil residentes de SC devido a uma falha no sistema conhecido como Covidômetro.
As advertências se baseiam em várias violações, incluindo a falta de um relatório de impacto sobre dados sensíveis, a omissão de comunicação tanto à ANPD quanto aos titulares sobre o incidente de segurança, que apresentou risco significativo. Além disso, a ANPD apontou a ausência de requisitos de segurança no sistema e obstáculos à fiscalização como motivos para as advertências.
O despacho foi publicado no Diário Oficial da União desta quarta-feira, dia 18 de outubro, pela Coordenação-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados (ANPD).
Baseado no artigo 17, inciso I, do Regimento Interno da ANPD, aprovado pela Portaria nº 1, de 8 de março de 2021, após análise do processo em questão, aberto em relação à Secretaria de Estado da Saúde de Santa Catarina - SES/SC, registrada sob o CNPJ/MF nº 82.951.245/0001-69, devido a suspeitas de violações à Lei Geral de Proteção de Dados Pessoais (LGPD) e considerando o conteúdo do Relatório 4/2023 de Instrução (SEI nº 4478157), de acordo com o §1º do artigo 50 da Lei nº 9.784/1999 e os artigos 55 e subsequentes do Regulamento de Fiscalização, aprovado pela Resolução CD/ANPD nº 1/2021, decidiu impor à SES/SC as seguintes penalidades:
* Advertência, por violação ao artigo 38 da LGPD, sem a imposição de medidas corretivas.
* Advertência, por violação ao artigo 48 da LGPD, juntamente com a imposição da seguinte medida corretiva, de acordo com o artigo 55, §2º, I do Regulamento de Fiscalização, com a finalidade de obrigar a SES/SC a:
- Manter a Comunicação de Incidentes de Segurança (CIS) acessível ao titular geral mencionado por esta Coordenadoria-Geral de Fiscalização na primeira página do site https://listadeespera.saude.sc.gov.br/#/home, por um período adicional de 90 (noventa) dias após a publicação desta decisão neste Processo Administrativo Sancionador, considerando que após essa publicação, os titulares podem tomar conhecimento do incidente em questão e buscar mais informações junto à SES/SC.
- A SES/SC deve fornecer, em até 5 (cinco) dias úteis após o término de cada período de 30 (trinta) dias, comprovação de que a medida corretiva mencionada foi cumprida, incluindo pelo menos 9 (nove) capturas de tela do site da SES/SC, contendo o comunicado e a data de captura claramente visível, com cada captura feita com intervalos mínimos de 9 (nove) dias entre elas.
- Enviar a Comunicação de Incidentes de Segurança (CIS) de forma individualizada aos titulares identificados por meio da extração de informações do arquivo vazado e divulgado no site "RAID FORUMS". A viabilidade dessa medida decorre do fato de que ela foi sugerida pelo próprio autuado na proposta de Termo de Ajustamento de Conduta (TAC) enviada a esta Coordenadoria-Geral de Fiscalização, conforme Termo Proposta TAC (SEI nº 3666469), e corroborada no Parecer do Encarregado de Dados (SEI nº 4470740), devido à possibilidade de uso da ferramenta Notifica-BR.
- A SES/SC deve fornecer, em até 20 (vinte) dias úteis a partir da data da intimação, comprovação de que a medida corretiva mencionada foi cumprida, incluindo uma planilha contendo a lista completa de todos os titulares identificados que foram comunicados individualmente, com (i) o nome completo do titular e (ii) as informações de contato usadas para a comunicação individual (número de telefone, se a comunicação foi realizada por telefone, ou e-mail, se a comunicação foi por e-mail, etc.), a fim de permitir a validação, por amostragem, da comunicação feita ao titular.
* Advertência, por violação ao artigo 49 da LGPD, sem a imposição de medidas corretivas.
* Advertência, por violação ao artigo 5º do Regulamento de Fiscalização, sem a imposição de medidas corretivas.
O autuado deve ser notificado para cumprir as sanções e medidas corretivas, e/ou apresentar recurso, dentro do prazo de 10 (dez) dias úteis, em conformidade com o artigo 56 da Lei nº 9.784/99 e o artigo 58 do Regulamento de Fiscalização.
O processo aguardará o trânsito em julgado. Em caso de não cumprimento desta decisão, o Processo Administrativo Sancionador será encaminhado à Procuradoria Federal Especializada - PFE da ANPD para a execução das medidas corretivas.
Fonte: Imprensa Nacional