Publicações

Autoridade Nacional de Proteção de Dados (ANPD) Aplica Advertências a Órgão Público

Como medida sancionatória pelas infrações incorridas pelo IAMSPE, a CGF aplicou duas sanções de advertência, uma para cada infração.

https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-conclui-processo-sancionador-contra-orgao-publico 09/10/2023
ANPD
ANPD

A Autoridade Nacional de Proteção de Dados (ANPD) publicou no Diário Oficial da União de hoje (06/10) decisão da Coordenação-Geral de Fiscalização (CGF) que conclui o processo administrativo sancionador contra o órgão público Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE). 

A CGF concluiu que o IAMSPE infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao não manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo, e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão. 

Foi concluído, ainda, que o IAMSPE sofreu um incidente de segurança e não comunicou os titulares de dados de forma clara, adequada e tempestiva sobre quais de seus dados pessoais poderiam ter sido objeto desse incidente. A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. 

Como medida sancionatória pelas infrações incorridas pelo IAMSPE, a CGF aplicou duas sanções de advertência, uma para cada infração. 

A Coordenação-Geral, ainda, determinou medidas corretivas a serem cumpridas pelo IAMSPE como forma de mitigar os efeitos decorrentes da infração à LGPD, também como forma de prevenir que as infrações se repitam no futuro. 

Foi determinada ao instituto a elaboração de um cronograma para que implemente medidas que tornem seus sistemas de armazenamento e tratamento de dados pessoais mais seguros e, portanto, menos vulneráveis a incidentes de segurança. Foi determinado, também, que o comunicado aos titulares seja atualizado e mantido disponível por, pelo menos, 90 dias no sítio eletrônico do IAMSPE na internet. 

O órgão público poderá recorrer da decisão da CGF interpondo recurso para o Conselho Diretor da Autoridade em até 10 dias úteis, a partir do recebimento da intimação emitida pela ANPD. 

 

Acesse aqui o Relatório da CGF/ANPD que embasou a decisão no processo do IAMSPE.