Uma nova sanção foi dada à Secretaria de Saúde do Estado de Santa Catarina (SES-SC) por descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD). De acordo com a publicação da Autoridade Nacional de Proteção de Dados (ANPD), as infrações do órgão público foram dos artigos 48 e 49 da lei. A instituição ainda violou o artigo 5º, I, do Regulamento de Fiscalização.
Com isso, foi necessário que a Coordenação-Geral de Fiscalização (CGF) tomasse as medidas cabíveis e seguissem o processo administrativo sancionador contra o órgão. A partir da análise da CGF também foi possível classificar as infrações, sendo que três delas foram graves.
LEIA MAIS: Diretora da ANPD reforça que instituição deve ser fortalecida
De acordo com a Coordenação, a SES-SC atuou de forma contrária ao artigo 49 da lei ao não colocar em prática as medidas que iriam trazer segurança aos sistemas de armazenamento do órgão. O tratamento de informações pessoais dos titulares (dos diversos moradores do estado de Santa Catarina que utilizam o sistema estadual público de saúde) também foi deixado de lado.
A partir do estudo do caso notou-se a existência de um incidente de segurança que não foi informado adequadamente para as partes afetadas. Ao todo foram aproximadamente 300 mil pessoas afetadas e nenhuma obteve detalhes sobre o caso.
LEIA MAIS: ANPD publica consulta sobre sandbox regulatório de IA e proteção de dados pessoais no Brasil
Sendo assim, a ação foi vista como uma violação do artigo 48, que revela que o controlador precisa informar a ANPD e aos titulares sobre o acontecimento, uma vez que pode provocar danos consideráveis.
As sanções também foram dadas pela não aplicação do artigo 38 da LGPD, uma vez que o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) não foi encaminhado à Autoridade.
Por fim, o SES-SC não colocou em prática o artigo 5º do Regulamento de Fiscalização da ANPD, por não ter dado informações pedidas pelo ANPD. Diante dos fatos, a Autoridade aplicou 4 sanções de advertência em resposta às quatro violações.
Também foram firmadas ações a serem desempenhadas pelo órgão, como:
- Incluir um comunicado geral de incidente de segurança (CIS) em seus canais oficiais e site durante 90 dias;
- Detalhar o caso para os titulares afetados pelo ocorrido.
A Autoridade deu ao órgão 10 dias para recorrer. O recurso será checado pelo Conselho Diretor da ANPD.
Fonte: Gov Br