ARTIGO DO ADVOGADO SÉRGIO VALLIM
A Autoridade Nacional de Proteção de Dados (ANPD) ao rejeitar o recurso do INSS, mantendo a sanção que obriga a instituição a divulgar uma infração à Lei Geral de Proteção de Dados (LGPD). Esta é a primeira vez que o Conselho Diretor da ANPD julga um recurso administrativo contra uma sanção imposta.
O instituto foi penalizado por não comunicar aos titulares dos dados sobre um incidente de segurança, apesar de ter informado a ANPD. O fato ocorreu no segundo semestre de 2022, envolvendo o Sistema Corporativo de Benefícios do INSS (SISBEN) e comprometeu dados pessoais sensíveis em larga escala, como informações de identidade, dados financeiros e de saúde.
Em sua defesa, o INSS alegou que não era possível determinar quais dados foram acessados ou quem foram os titulares afetados, e que a divulgação poderia causar pânico entre os segurados. No entanto, em sua decisão, a ANPD através de seu órgão administrativo julgador de 2º grau, enfatizou que a comunicação é essencial para que os titulares possam tomar medidas preventivas contra possíveis danos, como fraudes e furtos de identidade.
Assim, a ANPD determinou que o INSS publique um comunicado na primeira página de seu site por 60 dias, informando sobre o incidente e as medidas tomadas para mitigar os riscos. Além disso, todos os usuários do aplicativo Meu INSS deverão ser notificados sobre o ocorrido. Este comunicado deverá informar que o INSS foi condenado por não cumprir a obrigação de avisar os titulares sobre o incidente de segurança, detalhando os tipos de dados que podem ter sido comprometidos e as ações preventivas e corretivas adotadas pela instituição. Um e-mail de contato também será disponibilizado para dúvidas e solicitações.
Importante ressaltar que até o momento, sete processos administrativos sancionadores foram concluídos pela ANPD, mas este é o primeiro a ser julgado em segunda instância, estabelecendo um precedente importante para futuros casos. Acredito que a importância da transparência e da comunicação com os titulares de dados em casos de incidentes de segurança, sublinhando a aplicação rigorosa da LGPD no Brasil somada a esta decisão da ANPD, reforça tal premissa, estabelecendo um precedente importante para a proteção de dados no país.
Sérgio Vallim é advogado, professor e diretor da Escola Superior de Advocacia (ESA-SP).