O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) rejeitou recurso do Instituto Nacional do Seguro Social (INSS) e manteve sanção à instituição para dar publicidade à infração à Lei Geral de Proteção de Dados (LGPD) cometida pela autarquia. O INSS foi autuado por ter comunicado à ANPD incidente de segurança, mas ter se oposto a comunicar aos titulares sobre a violação na proteção de dados. Esta é a primeira vez que o Conselho Diretor julga um recurso administrativo contra a imposição de uma sanção.
Tenha acesso ao JOTA PRO Poder, uma plataforma de monitoramento político com informações de bastidores que oferece mais transparência e previsibilidade para empresas. Conheça
Esse fato é relevante, segundo o sócio da área de Proteção de Dados do BMA Advogados, Felipe Palhares, porque nenhum outro caso administrativo havia sido analisado pela segunda instância da ANPD. “Até hoje tivemos sete processos administrativos sancionadores que foram concluídos. Em seis deles foi imposta uma sanção ao agente infrator. Só que esses seis processos foram concluídos somente em primeira instância. Então quem impôs a sanção foi a Coordenação Geral de Fiscalização”, explica.
De acordo com ele, há dois casos em que as partes interpuseram um recurso administrativo. Um foi interposto pela Secretaria de Estado de Educação do Distrito Federal, que ainda não foi julgado, além deste do INSS que foi concluído. “Então, esse é o primeiro caso em que a gente tem um precedente fixado pela ANPD de um caso concreto sobre a aplicação da legislação ratificada em segunda instância. É um marco significativo na história de proteção de dados no Brasil, justo por demonstrar a posição da autoridade no julgamento de processos administrativos sancionadores.”
Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas diariamente no seu email
Ao fazer a dosimetria da sanção ao INSS, a Coordenação Geral de Fiscalização considerou as infrações cometidas pela entidade como “grave”, por envolver o tratamento de dados pessoais em larga escala e dados pessoais sensíveis.
Incidente de segurança no INSS
Segundo o INSS informou à ANPD, houve um incidente de segurança, envolvendo dados do Sistema Corporativo de Benefícios do INSS (SISBEN), no segundo semestre de 2022. A instituição informou ainda que o incidente poderia gerar risco ou dano relevante aos titulares de dados pessoais.
Nesses casos, de acordo com a ANPD, a legislação de proteção de dados exige que seja feita uma comunicação aos titulares, visando a possibilidade de mitigar eventuais impactos negativos, decorrentes do incidente. A norma determina que esse informe deve ser feito o mais rapidamente possível.
O INSS, no entanto, resistiu em cumprir a determinação legal, “mesmo após diversas determinações feitas pela Coordenação Geral de Fiscalização, evidenciando o descumprimento da obrigação legal inserida no art. 48 da Lei Geral de Proteção de Dados Pessoais”.
À época, a instituição argumentou “não haver ‘como precisar quais dados foram potencialmente acessados, consultados e eventualmente compartilhados, nem as pessoas casualmente afetadas’”. Alegou ainda que, diante eventual impossibilidade de rastrear os titulares, não seria “logicamente possível que a comunicação do incidente fosse realizada de maneira individual, sob pena de não se alcançar o objetivo da medida”.
Também afirmou à ANPD que a divulgação do incidente tinha potencial de gerar pânico e desconfiança em todo o contingente de segurados.
A ANPD, porém, ressalta que o objetivo do comunicado é permitir ao titular a possibilidade de tomar medidas preventivas para se proteger de eventuais furtos de identidade, fraudes, assédios comerciais, entre outros danos.
De acordo com a sanção, a ANPD terá que publicar comunicado, na primeira página de seu site (https://www.gov.br/inss/pt-br), que deverá permanecer acessível pelo prazo de 60 dias, com o seguinte teor:
“O INSS, tendo em vista que foi condenado pela Autoridade Nacional de Proteção de Dados por infração ao dever de comunicar os titulares a ocorrência de incidente de segurança, comunica que tomou conhecimento da ocorrência de incidente de segurança entre os meses de agosto de setembro de 2022. O incidente pode ter comprometido a confidencialidade dos dados pessoais tratados pelo INSS por conta de acesso a volume extraordinário de dados por meio de consultas volumétricas ao sistema. Dentre os dados que podem ter sido afetados, estariam dados de comprovação de identidade oficial, dados financeiros e de saúde (tais como nome, CPF, NIT, identidade, data de nascimento, sexo, ramo de atividade profissional, dados bancários e quantidade de dependentes) de um número indeterminado de beneficiários e segurados do INSS, o que poderia acarretar o risco de furto de identidade, fraudes, assédios comerciais, entre outros danos.
Informamos que o Instituto realizou, imediatamente, ações preventivas e corretivas nos processos e sistemas informatizados da entidade visando mitigar a vulnerabilidade detectada no sistema. A fim de conter o possível incidente de segurança, foi realizado o bloqueio das credenciais dos usuários que possivelmente permitiram o acesso e consequente consulta. Além disso, o Instituto comunicou à ANPD do incidente em questão. Dúvidas ou outras solicitações podem ser encaminhadas à encarregada pelo Tratamento dos Dados no e-mail: encarregado@inss.gov.br.”
A entidade também deverá enviar mensagem, por meio de notificação, a todos os usuários do aplicativo Meu INSS, com o seguinte teor:
“O INSS, tendo em vista que foi condenado pela Autoridade Nacional de Proteção de Dados por infração ao dever de comunicar os titulares a ocorrência de incidente de segurança, comunica a ocorrência de incidente de segurança entre agosto e setembro de 2022. O incidente pode ter comprometido a confidencialidade dos dados pessoais tratados pelo INSS, saiba mais no link:” [apontar para o link criado para atender a determinação 2.1.]
Para o advogado, esse caso é paradigmático até por conta da sanção que foi imposta, de publicização da infração. Neste caso, a própria ANPD estabelece qual o texto da comunicação que será feito aos titulares. “Então esse é um precedente bem significativo e um momento histórico para a ANPD, que a partir de agora vai começar a crescer. E aos seus precedentes em segunda instância pelo Conselho Diretor”, pontua.
O processo tramita com o número 00261.001888/2023-21.