Por Brenda Evelin Wischral
A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 18 de outubro a penalidade aplicada à Secretaria de Saúde de Santa Catarina após constatar que o órgão estadual catarinense violou os arts. 48 e 49 da LGPD e ainda o art. 5º, I, do Regulamento de Fiscalização.
Os citados arts. 48 e 49 da LGPD tratam, respectivamente, sobre:
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
Das quatro infrações constatadas, três foram consideradas graves pela ANPD. A Autoridade concluiu que a Secretaria de Saúde de Santa Catarina infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao negligenciar a segurança dos sistemas de armazenamento e tratamento de dados pessoais de milhões de cidadãos do estado de atendidos pelo sistema estadual público de saúde (SUS).
A ANPD ainda pontuou que:
Foi concluído, também, que a SES-SC sofreu um incidente de segurança e não comunicou sobre quais dados pessoais poderiam ter sido objeto desse incidente de forma clara, adequada e tempestiva. Foram cerca de 300 mil titulares de dados vítimas do incidente, que não receberam comunicação da Secretaria. A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
A SES-SC foi sancionada, ainda, por infrações ao art. 38 da LGPD. O órgão não apresentou o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) requisitado pela Autoridade. Houve, ainda, violação ao artigo 5º do Regulamento de Fiscalização da ANPD – a Secretaria não disponibilizou outras informações requisitadas pela Autoridade.
As penalidades aplicadas à Secretaria de Saúde foram quatro advertências, uma para cada infração cometida, além de determinar à SES que mantenha um comunicado geral de incidente de segurança em seu site por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do incidente.
Em nota, a Secretaria de Saúde afirma que sofreu uma invasão cibernética em agosto de 2021 e que dados da lista de espera do SUS, como nome, CPF, data de nascimento, nome de mãe, endereço, informação do tipo de procedimento solicitado para entrar na lista de espera, a unidade e profissional que realizou o cadastro foram acessados.
Ainda, informa que a Diretoria de Informática da Secretaria de Saúde já efetuou uma análise dos dados vazados e constataram que foram atingidas cerca de 48 mil pessoas, o que representaria menos de 1% do banco de dados total do servidor atingido.
O JCM Advogados Associados permanece atento a todas as novidades e decisões para mantê-los sempre atualizados e permanecemos à disposição para solucionar suas dúvidas sobre o tema.
Fonte:
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-sanciona-mais-um-orgao-publico
https://listadeespera.saude.sc.gov.br/#/home
