A Coordenação-Geral de Fiscalização (CGF) da Autoridade Nacional de Proteção de Dados (ANPD) impôs quatro sanções de advertência à Secretaria de Estado de Educação do Distrito Federal (DF) por infrações à Lei Geral de Proteção de Dados Pessoais (LGPD).
No despacho decisório publicado nesta quarta-feira (31/1) no Diário Oficial, a ANPD impôs sanções por infração aos artigos 37, 38 e 48 da LGPD, bem como por infração ao artigo 5º do regulamento de fiscalização da ANPD. As sanções são advertências e não impõem medida corretiva à secretaria.
O artigo 48 determina que o controlador de dados deve comunicar tanto à autoridade nacional quanto aos titulares dos dados a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
Já os artigos 37 e 38 determinam que o controlador deve manter o registro das operações de tratamento de dados que realiza e conferem à ANPD o poder de determinar que o controlador elabore um relatório de impacto à proteção de dados pessoais.
O artigo 5º do regulamento de processo de fiscalização, por sua vez, impõe ao fiscalizado o dever de “fornecer cópia de documentos físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD”.
Para Felipe Palhares, sócio de proteção de dados do BMA Advogados, as sanções de advertência contra a secretaria revelam falhas graves na conformidade com a LGPD.
Segundo o advogado, ainda que a lei não permita a imposição de multa a órgãos públicos, as sanções administrativas não devem ser ignoradas. “[Elas] podem gerar a responsabilização futura do gestor público por eventual ato de improbidade administrativa, além da imposição de sanções disciplinares aos servidores públicos federais, estaduais ou municipais”, diz Palhares.
Entenda o caso
O incidente com a secretaria de educação do DF foi julgado no processo administrativo 00261.001192/2022-14 da ANPD. No caso, a autoridade verificou que a secretaria estava expondo indevidamente dados cadastrais e de saúde de cerca de 3.000 candidatos cadastrados no Programa Educação Precoce. O problema foi originado devido a uma falha de segurança no formulário de inscrição do programa.
Após ser oficiada pela ANPD, a secretaria de educação do DF informou ter adotado providências para corrigir o problema. Os fiscalizadores da autoridade confirmaram que a secretaria adotou as medidas, mas consideraram que elas foram insuficientes para afastar a possibilidade de um novo incidente de segurança. Por isso, determinaram que o órgão público comunicasse o incidente de segurança formalmente à ANPD e aos titulares dos dados.
A secretaria formalizou a ocorrência à ANPD, mas disse não ter informado os titulares por entender que não havia certeza de que os dados teriam sido de fato publicados. A secretaria decidiu tratar o incidente como uma questão interna para “evitar um pânico exagerado”.
O processo foi encaminhado para a Coordenação-Geral de Tecnologia e Pesquisa da ANPD, que avaliou que o incidente de segurança era grave e que as medidas de segurança tomadas pela secretaria eram insuficientes.
A Coordenação-Geral de Fiscalização, então, reiterou a determinação de que a secretaria informasse os titulares dos dados sob pena de descumprimento do artigo 48 da LGPD. Também solicitou que a secretaria elaborasse um relatório de impacto à proteção de dados da atividade afetada pelo incidente e apresentasse o seu registro de operações de tratamento de dados.
Segundo o relatório, a secretaria não comprovou o cumprimento das determinações dentro do prazo estipulado pela ANPD e não se manifestou mais no processo, mesmo havendo comprovação do recebimento das determinações.
Fonte: JOTA
