A Agência Nacional de Proteção de Dados (ANPD) publicou sanção administrativa contra a Secretaria do Estado de Saúde do Estado de Santa Catarina (SES-SC), após constatar que o órgão cometeu infração aos Art. 39, 48 e 49 da LGPD, bem como ao Art. 5º, I, do Regulamento de Fiscalização.
Das quatro infrações cometidas, três foram consideradas graves.
Infrações Cometidas:
Art. 38: Falta de Relatório de Impacto de Proteção de Dados (RIPD)
O primeiro artigo violado pela SES-SC diz respeito à ausência de um Relatório de Impacto de Proteção de Dados (RIPD). Conforme a LGPD, a autoridade nacional pode requerer que as organizações elaborem esse relatório, que detalha como os dados pessoais são tratados, especialmente os dados sensíveis. A falta de apresentação do RIPD é uma infração clara e pode resultar em sanções.
Art. 48: Comunicação inadequada de incidente de segurança
Uma das infrações graves cometidas pela SES-SC envolve a comunicação inadequada de um incidente de segurança. O Art. 48 da LGPD estabelece que o controlador deve informar tanto à autoridade nacional quanto aos titulares de dados a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante. A falta de clareza, inadequação e intempestividade na comunicação violou este princípio fundamental da LGPD.
Art. 49: Negligência na segurança de sistemas
Outra infração grave relacionada à SES-SC foi a negligência na segurança dos sistemas de armazenamento e tratamento de dados pessoais. O Art. 49 da LGPD estabelece que os sistemas devem ser estruturados de acordo com requisitos de segurança e boas práticas. Ignorar esses padrões coloca em risco a proteção dos dados pessoais dos cidadãos.
A ANPD optou por aplicar quatro sanções de advertência à SES-SC, uma para cada infração identificada. Essas sanções de advertência servem como um alerta para a SES-SC sobre a gravidade de suas ações e a necessidade de cumprir a LGPD.
Além das sanções de advertência, a ANPD determinou uma série de medidas corretivas que incluem:
Comunicado Geral de Incidente de Segurança (CIS) por 90 Dias: A SES-SC é obrigada a manter um comunicado geral de incidente de segurança (CIS) em seu site oficial por um período de 90 dias.
Informação Direta aos Titulares de Dados Afetados: A SES-SC deve informar diretamente os titulares de dados pessoais que foram identificados como vítimas do incidente
A SES-SC tem um prazo de 10 dias úteis, a contar do recebimento da intimação, para recorrer das sanções e medidas corretivas impostas pela ANPD.
コメント