A Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor no Brasil desde setembro de 2020, estabelece diretrizes rigorosas para o tratamento de dados pessoais, com o objetivo de proteger a privacidade dos indivíduos.
Recentemente, uma decisão proferida pela Autoridade Nacional de Proteção de Dados (ANPD) em um Processo Administrativo Sancionador trouxe à tona a importância do cumprimento da LGPD pelas organizações. Neste artigo, analisaremos essa decisão em detalhes, destacando as infrações conforme os artigos da LGPD e as medidas corretivas aplicadas.
A Decisão da ANPD
A decisão da ANPD envolveu o Processo Administrativo Sancionador nº 00261.001886/2022-51 e a Secretaria de Estado da Saúde de Santa Catarina (SES/SC). Foram identificadas várias infrações à LGPD, levando à imposição de sanções e medidas corretivas.
Infração ao Artigo 38 da LGPD
O artigo 38 da LGPD estabelece que a Autoridade Nacional de Proteção de Dados (ANPD) pode determinar que o controlador de dados elabore um relatório de impacto à proteção de dados pessoais, incluindo dados sensíveis, referente às suas operações de tratamento de dados. Vejamos:
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Esse relatório é crucial para avaliar e garantir a conformidade com a LGPD.
Uma infração a este artigo ocorreria se a organização não cumprisse a determinação da ANPD de elaborar o relatório de impacto quando exigido. No entanto, no caso da SES/SC, uma advertência foi aplicada devido a uma infração ao artigo 38, e nenhuma medida corretiva específica foi imposta.
Infração ao Artigo 48 da LGPD
O artigo 48 da LGPD estabelece a obrigatoriedade de o controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante às informações pessoais.
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
A comunicação deve ser feita em um prazo razoável, conforme definido pela ANPD, e deve incluir informações essenciais, como a descrição da natureza dos dados afetados, informações sobre os titulares envolvidos, medidas de segurança adotadas e os motivos da demora, se houver.
No caso da SES/SC, uma advertência foi aplicada devido a uma infração ao artigo 48 da LGPD. Além disso, uma medida corretiva foi imposta, determinando que a SES/SC mantenha informações acessíveis aos titulares afetados por mais 90 dias após a publicação da decisão. Essa medida visa assegurar que os titulares tenham tempo suficiente para tomar conhecimento do incidente e das medidas tomadas para proteger seus dados.
Infração ao Artigo 49 da LGPD e Possível Falta de Evidências de Governança e Boas Práticas
O artigo 49 da LGPD estabelece que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, padrões de boas práticas, governança e princípios gerais previstos na lei.
Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
Esse artigo destaca a importância de as organizações adotarem medidas robustas de segurança e estabelecerem práticas de governança sólidas para proteger os dados pessoais.
No entanto, no caso da SES/SC, uma advertência foi aplicada devido a uma infração ao artigo 49 da LGPD. É importante notar que, apesar de não terem sido impostas medidas corretivas adicionais, a aplicação de uma advertência indica que a ANPD considerou a infração como relevante.
Embora não tenhamos acesso aos detalhes específicos do processo, uma possível interpretação é que a SES/SC pode não ter apresentado evidências adequadas de governança e boas práticas relacionadas ao tratamento de dados pessoais.
A falta de evidências de governança e boas práticas pode ser uma questão séria em relação à conformidade com a LGPD. Isso pode incluir a ausência de políticas claras de privacidade, medidas de segurança insuficientes, falta de treinamento dos funcionários ou a falta de documentação adequada de procedimentos de proteção de dados.
É fundamental que as organizações não apenas cumpram os requisitos legais da LGPD, mas também demonstrem de maneira transparente e documentada o compromisso com a proteção da privacidade e o respeito pelos direitos dos titulares de dados. A falta de evidências nesse sentido pode resultar em sanções e deve servir como um alerta para a importância de adotar medidas sólidas de governança e boas práticas no tratamento de dados pessoais.
Infração ao Artigo 5º do Regulamento de Fiscalização
O Artigo 5º do Regulamento de Fiscalização estabelece os deveres dos agentes regulados em relação à fiscalização da ANPD.
Esses deveres incluem a obrigação de fornecer documentos, dados e informações relevantes para avaliação das atividades de tratamento de dados pessoais, bem como permitir o acesso às instalações, sistemas e recursos tecnológicos relacionados a essas atividades.
No entanto, no caso da SES/SC, uma advertência foi aplicada devido a uma infração ao Artigo 5º do Regulamento de Fiscalização. Isso indica que a organização pode não ter cumprido adequadamente seus deveres de cooperação com a ANPD durante a fiscalização.
Uma análise adicional sugere a possibilidade de a empresa não ter apresentado evidências suficientes de governança e boas práticas relacionadas ao tratamento de dados pessoais, como exigido pelo Artigo 5º do Regulamento. É importante ressaltar que a falta de cooperação ou a omissão de informações relevantes durante a fiscalização podem resultar em sanções, conforme previsto na LGPD e no Regulamento de Fiscalização.
Portanto, além de cumprir as obrigações legais relacionadas à proteção de dados pessoais, as organizações também devem assegurar que estão dispostas a cooperar plenamente com a ANPD durante as investigações e a demonstrar de maneira transparente e documentada seu compromisso com a governança e as boas práticas de tratamento de dados.
Conclusão da Analise da Decisão
A decisão da ANPD em relação ao caso da Secretaria de Estado da Saúde de Santa Catarina destaca a importância do cumprimento rigoroso da LGPD. As infrações identificadas nos artigos 38, 48, 49 e 5º do Regulamento de Fiscalização refletem áreas críticas de conformidade que as organizações devem priorizar.
É fundamental que as empresas e órgãos públicos estejam cientes de suas obrigações sob a LGPD e implementem medidas de segurança de dados sólidas para proteger a privacidade dos indivíduos. Além disso, a cooperação com as autoridades de proteção de dados durante investigações é fundamental para garantir a conformidade legal.
Em um cenário cada vez mais orientado pela privacidade, o respeito à LGPD não apenas protege os indivíduos, mas também evita potenciais sanções e danos à reputação das organizações. Portanto, a conformidade com a LGPD deve ser uma prioridade para todas as entidades que tratam dados pessoais no Brasil.
Σχόλια