A Autoridade Nacional de Proteção de Dados (ANPD) publicou na última quarta-feira (18/10) sanção em face da Secretaria de Saúde do Estado de Santa Catarina (SES-SC). A ANPD constatou que o órgão violou os artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD), bem como o artigo 5º, I, do Regulamento de Fiscalização. A medida consta em decisão da Coordenação-Geral de Fiscalização (CGF) no processo administrativo sancionador contra o órgão público.

Dos Fatos

Em 21/08/2021, teria ocorrido um incidente de segurança nos sistemas da Secretaria de Estado de Saúde de Santa Catarina (SES/SC). O objeto do incidente de segurança teria sido a exfiltração de parte da base de dados da lista de espera do SUS em Santa Catarina, vinculada ao serviço de regulação hospitalar, disponibilizado no site listadeespera.saude.sc.gov.br.

Cerca de 300 mil pessoas foram atingidas pelo incidente, sendo que os dados afetados seriam, especificamente, nome completo, filiação de mãe, CPF, endereço, contato de telefone, nome do médico que realizou o atendimento, nome do procedimento ou consulta agendada, trata-se de dados sensíveis relacionados à saúde.

De acordo com a Coordenação-Geral de Tecnologia e Pesquisa (CGTP) que analisou o caso se manifestou pela gravidade do incidente de segurança e considerou alta por terem sido exfiltrados dados pessoais sensíveis referentes à saúde de número relevante de titulares.

Da Defesa da Secretaria de Saúde

A SES/SC elencou cerca de oito atividades que o seu encarregado está implementando para garantia da conformidade da Secretaria com as determinações da LGPD. Entre as atividades, indica a organização de reuniões, acompanhamento e análise de documentos e contratos, além do reconhecimento de grupos e estruturas organizacionais internas do Estado de Santa Catarina

Da Sanção Aplicada pela ANPD

Das quatro infrações instauradas pela ANPD, três foram consideradas graves. A Coordenação-Geral de Fiscalização (CGF) concluiu que a SES-SC infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao negligenciar a segurança dos sistemas de armazenamento e tratamento de dados pessoais de milhões de cidadãos do estado de Santa Catarina atendidos pelo sistema estadual público de saúde.

Além disso, foi concluído que a SES-SC sofreu um incidente de segurança e não comunicou sobre quais dados pessoais poderiam ter sido objeto desse incidente de forma clara, adequada e tempestiva. Foram cerca de 300 mil titulares de dados vítimas do incidente, que não receberam comunicação da Secretaria.

Desta forma, de acordo com a ANPD a falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Ademais, a SES-SC foi autuada, ainda, por infrações ao art. 38 da LGPD. O órgão não apresentou o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) requisitado pela Autoridade. Houve, violação ao artigo 5º do Regulamento de Fiscalização da ANPD – a Secretaria não disponibilizou outras informações requisitadas pela Autoridade.

Em resposta às violações, a ANPD aplicou para cada infração uma sanção de advertência com imposição de medida corretiva de divulgação da decisão na página inicial do seu sítio eletrônico pelo período de 90 (noventa) dias, além da obrigação de enviar de maneira individualizada a decisão para os titulares que tiveram os seus dados vazados. A SES-SC terá 10 (dez) dias úteis, a contar do recebimento da intimação, para recorrer. Eventual recurso será analisado pelo Conselho Diretor da ANPD.

Das Considerações acerca da Fiscalização por parte da ANPD

Recentemente a ANPD encerrou outro processo administrativo sancionador, em face o órgão público Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) igualmente por negligência na segurança dos sistemas de armazenamento e tratamento de dados pessoais e por deixar de comunicar incidente de segurança, aplicando sanções de advertência.

Observa-se que em que pese as sanções se limitem à advertências, confirmam que a fiscalização por parte da ANPD vem ocorrendo, sendo de suma importância a redação da adequação à LGPD, com especial atenção aos treinamentos dos colaboradores, visando a implementação da cultura de atenção e proteção de segurança de dados.

Acesse a íntegra do Relatório da CGF/ANPD que embasou a decisão no Processo Administrativo n° 00261.001886/2022-51 da SES-SC.

Fonte: AGF Advice - Consultoria Legislativa do SEPRORGS