Lições da Punição Aplicada pela ANPD
Por Marco Túlio de Rose
Publicações - 06/11/2023 às 09:00
Agência Nacional de Proteção de Dados (ANPD) foi criada em 2018 e, desde a fundação, seus dirigentes sempre frisaram que seus primeiros tempos seriam mais voltados, didaticamente, a orientar a correta aplicação da Lei nº 13.709, a Lei Geral de Proteção de Dados (LGPD), do que, ao contrário do que parece ser a regra de muitas agências reguladoras, e a Agência Nacional de Saúde Suplementar é o exemplo disso, punir por punir, sem efeito didático relevante.
Esta promessa vem sendo cumprida. São poucas as decisões punitivas da ANPD e, quando elas são publicadas, o setor profissional que cuida do assunto sobre elas se debruça para entendê-la e procurar aplicar as lições dela decorrentes. O “efeito didático”, em decorrência, vira de promessa em realidade.
A recente punição da Secretaria de Saúde de Santa Catarina, por desobediência da LGPD e do Regulamento de Fiscalização, é exemplo notável do que acima foi afirmado. Este artigo pretende, logo a seguir, explicitar o que aconteceu, o que foi considerado ilícito, a punição havida e as conclusões que do acontecimento são aproveitáveis.
O Caso
A Secretaria de Saúde, em agosto de 2021, teria sido invadida e dela teriam sido exfiltrados[1], dados pessoais sensíveis de 48 mil titulares (entre eles idosos e crianças), a saber, dados pessoais identificativos, dados do médico que atendeu e nome do procedimento ou consulta agendada. Esses dados eram colhidos para agendamento de atendimentos pelo Sistema Único de Saúde.
ANPD foi informada pela Secretaria, que realizou a Comunicação de Incidente de Segurança (CIS) três dias após esta tomar conhecimento do fato. A Agência analisou o fato em quatro meses, aproximadamente, considerando grave o incidente e insuficientes as medidas de segurança adotadas pela controladora, assim também as providências para diminuição dos danos e igualmente a comunicação aos titulares lesionados.
A Agência, em maio de 2022, determinou que a Secretaria tomasse as seguintes medidas:
a) relatório de apuração sobre os tipos de dados e o número exato de titulares afetados;
b) relatório do tratamento dado ao incidente;
c) comprovante da comunicação aos titulares afetados; e
d) o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), se concluído.
A Secretaria descumpriu as determinações, apenas complementando a Comunicação do Incidente de Segurança, tendo inicialmente pedido prazo para apresentação do RIPD, o que foi deferido, mas ainda assim nada foi realizado. A ANPD, em setembro de 2022, lavrou o auto de infração por descumprimento das normas da LGPD e do Regulamento de Fiscalização. A Secretaria defendeu-se, não negando os fatos contidos no auto, mas estabelecendo distinta interpretação jurídica.
Decisão
A ANPD condenou a Secretaria, por três fundamentos:
-não ter apresentado satisfatório Relatório de Impacto à Proteção de Dados Pessoais (art. 38, LGPD);
- não ter apresentado a Comunicação do Incidente de Segurança aos titulares dos dados de forma individualizada, nem dentro dos sucessivos prazos que lhe foram permitidos realizar o ato (art. 48, LGPD); e
- não ter demonstrado ter um padrão de boas práticas para o tratamento dos dados pessoais (art. 49, LGPD).
A infração, nos termos regulamentares, embora capitulada de média, foi considerada, por envolver pessoas vulneráveis, grave, levando em conta a conduta da Secretaria, não fornecendo os dados, documentos e informações que lhe foram solicitados pela ANPD (art. 5, Regulamento ANPD)
Pena
A Secretaria foi condenada à pena de advertência, dado que seria descabida a condenação em multa, visto ser absurdo o Poder Público multar o próprio Poder Público. A advertência deve ser seguida das seguintes obrigações:
- publicação do CIS na página institucional da Secretaria por mais 90 dias, comprovando com pelo menos nove capturas de tela do sítio desta; e
- remessa do CIS para todos os titulares identificados, comprovando tal fato.
O caso é ilustrativo e permite algumas conclusões, quais sejam:
- a ANPD dá relevância, na sua ação fiscalizadora, à proteção dos dados pessoais sensíveis, principalmente os que condizem com a saúde dos titulares;
- os incidente de segurança devem ser avisados imediatamente aos titulares dos dados;
- a ANPD demonstra alta capacidade de diálogo com os controladores, concedendo prazos mais que razoáveis para cumprir suas determinações, mas sendo inflexível quanto ao cumprimento;
- a comunicação aos titulares parece ter prioridade no juízo regulatório, seu desrespeito convocando a aplicação de sanções.
[1] Exfiltração, em linguagem informática, define-se como um ataque cibernético (ciberataque) com objetivo de transferir, de forma não autorizada, dados de um sistema informático fechado.