Lições da Punição Aplicada pela ANPD

Por Marco Túlio de Rose

Publicações - 06/11/2023 às 09:00

	Lições da Punição Aplicada pela ANPD

                Agência Nacional de Proteção de Dados (ANPD) foi criada em 2018 e, desde a fundação, seus dirigentes sempre frisaram que seus primeiros tempos seriam mais voltados, didaticamente, a orientar a correta aplicação da Lei nº 13.709, a Lei Geral de Proteção de Dados (LGPD), do que, ao contrário do que parece ser a regra de muitas agências reguladoras, e a Agência Nacional de Saúde Suplementar é o exemplo disso, punir por punir, sem efeito didático relevante. 

 

              Esta promessa vem sendo cumprida. São poucas as decisões punitivas da ANPD e, quando elas são publicadas, o setor profissional que cuida do assunto sobre elas se debruça para entendê-la e procurar aplicar as lições dela decorrentes. O “efeito didático”, em decorrência, vira de promessa em realidade.

 

              A recente punição da Secretaria de Saúde de Santa Catarina, por desobediência da LGPD e do Regulamento de Fiscalização, é exemplo notável do que acima foi afirmado. Este artigo pretende, logo a seguir, explicitar o que aconteceu, o que foi considerado ilícito, a punição havida e as conclusões que do acontecimento são aproveitáveis.

 

                                                                                    O Caso

 

              A Secretaria de Saúde, em agosto de 2021, teria sido invadida e dela teriam sido exfiltrados[1], dados pessoais sensíveis de 48 mil titulares (entre eles idosos e crianças), a saber, dados pessoais identificativos, dados do médico que atendeu e nome do procedimento ou consulta agendada. Esses dados eram colhidos para agendamento de atendimentos pelo Sistema Único de Saúde.

 

               ANPD foi informada pela Secretaria, que realizou a Comunicação de Incidente de Segurança (CIS) três dias após esta tomar conhecimento do fato. A Agência analisou o fato em quatro meses, aproximadamente, considerando grave o incidente e insuficientes as medidas de segurança adotadas pela controladora, assim também as providências para diminuição dos danos e igualmente a comunicação aos titulares lesionados.

 

                A  Agência, em maio de 2022, determinou que a Secretaria tomasse as seguintes medidas:

a) relatório de apuração sobre os tipos de dados e o número exato de titulares afetados;

b) relatório do tratamento dado ao incidente;

c) comprovante da comunicação aos titulares afetados; e

d) o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), se concluído.

 

                A Secretaria descumpriu as determinações, apenas complementando a Comunicação do Incidente de Segurança, tendo inicialmente pedido prazo para apresentação do RIPD, o que foi deferido, mas ainda assim nada foi realizado. A ANPD, em setembro de 2022, lavrou o auto de infração por descumprimento das normas da LGPD e do Regulamento de Fiscalização. A Secretaria defendeu-se, não negando os fatos contidos no auto, mas estabelecendo distinta interpretação jurídica.

                                                                           

                                                                                 Decisão

 

                  A ANPD condenou a Secretaria, por três fundamentos:

-não ter apresentado satisfatório Relatório de Impacto à Proteção de Dados Pessoais (art. 38, LGPD);

- não ter apresentado a Comunicação do Incidente de Segurança aos titulares dos dados de forma individualizada, nem dentro dos sucessivos prazos que lhe foram permitidos realizar o ato (art. 48, LGPD); e

- não ter demonstrado ter um padrão de boas práticas para o tratamento dos dados pessoais (art. 49, LGPD).

 

A infração, nos termos regulamentares, embora capitulada de média, foi considerada, por envolver pessoas vulneráveis, grave, levando em conta a conduta da Secretaria, não fornecendo os dados, documentos e informações que lhe foram solicitados pela ANPD (art. 5, Regulamento ANPD)

 

                                                                             Pena

 

                 A Secretaria foi condenada à pena de advertência, dado que seria descabida a condenação em multa, visto ser absurdo o Poder Público multar o próprio Poder Público. A advertência deve ser seguida das seguintes obrigações:

- publicação do CIS na página institucional da Secretaria por mais 90 dias, comprovando com pelo menos nove capturas de tela do sítio desta; e

- remessa do CIS para todos os titulares identificados, comprovando tal fato.

 

              O caso é ilustrativo e permite algumas conclusões, quais sejam:

- a ANPD dá relevância, na sua ação fiscalizadora, à proteção dos dados pessoais sensíveis, principalmente os que condizem com a saúde dos titulares;

- os incidente de segurança devem ser avisados imediatamente aos titulares dos dados;

- a ANPD demonstra alta capacidade de diálogo com os controladores, concedendo prazos mais que razoáveis para cumprir suas determinações, mas sendo inflexível quanto ao cumprimento;

- a comunicação aos titulares parece ter prioridade no juízo regulatório, seu desrespeito convocando a aplicação de sanções.

                       

[1] Exfiltração, em linguagem informática, define-se como um ataque cibernético (ciberataque) com objetivo de transferir, de forma não autorizada, dados de um sistema informático fechado.