Recentemente, o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) manteve a sanção aplicada ao Instituto Nacional do Seguro Social (INSS) devido a uma infração à Lei Geral de Proteção de Dados (LGPD). A infração ocorreu porque o INSS comunicou à ANPD sobre um incidente de segurança, mas não informou os titulares dos dados afetados.
O incidente de segurança envolveu o Sistema Corporativo de Benefícios do INSS (SISBEN) e aconteceu no segundo semestre de 2022. Segundo o INSS, havia risco ou dano potencial aos titulares dos dados pessoais envolvidos.
A LGPD determina que, em casos de incidentes de segurança, as pessoas cujos dados foram comprometidos devem ser informadas rapidamente. O objetivo é possibilitar que os titulares adotem medidas preventivas para mitigar possíveis impactos negativos.
Apesar dessa exigência legal, o INSS resistiu em notificar os titulares dos dados, mesmo após diversas determinações da Coordenação Geral de Fiscalização da ANPD. A autarquia alegou que não tinha como identificar precisamente quais dados foram acessados ou as pessoas afetadas, o que dificultaria a comunicação individualizada.
Outro argumento do INSS foi que a divulgação do incidente poderia gerar pânico e desconfiança entre os segurados. No entanto, a ANPD ressaltou que a comunicação é essencial para que os titulares possam se proteger de possíveis fraudes, furtos de identidade e assédios comerciais.
Como parte da sanção, a ANPD determinou que o INSS publique um comunicado em seu site oficial, informando sobre o incidente de segurança e as medidas tomadas para mitigar a vulnerabilidade. Esse comunicado deve permanecer visível por 60 dias.
Além disso, o INSS deverá enviar uma notificação aos usuários do aplicativo Meu INSS, informando sobre o incidente e direcionando-os para mais informações em um link específico.
Esse caso marca a primeira vez que a ANPD julga um recurso administrativo contra a imposição de uma sanção, destacando a importância do cumprimento da LGPD e a necessidade de transparência em casos de violação de dados.
A comunicação rápida e clara de incidentes de segurança é fundamental para proteger os direitos dos titulares de dados e garantir a confiança nas instituições que tratam informações pessoais sensíveis.
Esse exemplo ressalta a necessidade de todas as entidades que lidam com dados pessoais adotarem práticas robustas de segurança e estarem preparadas para agir com transparência em casos de incidentes, assegurando a proteção e a confiança dos cidadãos.
Jayme do Espírito Santo Pinheiro Neto – é advogado, graduado pelo Centro Universitário Salesiano de São Paulo, Pós-Graduado em Investigação Criminal e Legislação Penal pela Faculdade Unyleya, membro da Comissão de Compliance da OAB/SP, com cursos de extensão nas áreas de LGPD, Compliance, sendo certificado pelo Curso de Compliance Anticorrupção pela LEC – Legal, Ethics & Compliance, além de possuir o Curso de Alinhamento Conceitual do Programa Nacional de Capacitação e Treinamento no Combate à Corrupção e à Lavagem de Dinheiro pela Academia Nacional de Polícia. É advogado do escritório Losinskas, Barchi Muniz Advogados Associados – www.lbmadvogados.com.br