A Autoridade Nacional de Proteção de Dados (ANPD) anunciou em 18 de outubro, uma sanção contra a Secretaria de Saúde do Estado de Santa Catarina (SES-SC) em decorrência de várias infrações à Lei Geral de Proteção de Dados Pessoais (LGPD). A decisão da ANPD foi resultado de uma investigação conduzida pela Coordenação-Geral de Fiscalização (CGF) em um processo administrativo sancionador contra o órgão público.
A SES-SC foi considerada culpada por violar os artigos 48 e 49 da LGPD, além do artigo 5º, I, do Regulamento de Fiscalização. Três dessas infrações foram classificadas como graves. A infração mais séria ocorreu quando a SES-SC negligenciou a segurança dos sistemas de armazenamento e tratamento de dados pessoais de milhões de cidadãos do estado de Santa Catarina que são atendidos pelo sistema estadual público de saúde. Isso claramente compromete a proteção dos dados sensíveis dos pacientes.
Além disso, a ANPD concluiu que a SES-SC sofreu um incidente de segurança, mas não comunicou de forma adequada e oportuna quais dados pessoais poderiam ter sido comprometidos. Isso afetou cerca de 300 mil titulares de dados que não foram notificados pela Secretaria. A falta de clareza e a demora na comunicação violaram o artigo 48 da LGPD, que exige que o controlador de dados pessoais informe prontamente a ocorrência de incidentes de segurança relevantes às autoridades e aos titulares.
Além disso, a SES-SC também foi penalizada por não apresentar o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) solicitado pela ANPD e por não disponibilizar outras informações requisitadas pela Autoridade, infringindo o artigo 38 da LGPD e o artigo 5º do Regulamento de Fiscalização.
A ANPD optou por aplicar quatro sanções de advertência, uma para cada infração. Além disso, a SES-SC deve tomar medidas corretivas, incluindo a manutenção de um comunicado geral de incidente de segurança (CIS) em seu site por 90 dias e a comunicação direta aos titulares de dados pessoais que foram afetados pelo incidente.
A Secretaria de Saúde de Santa Catarina tem um prazo de 10 dias úteis, a partir do recebimento da intimação, para recorrer da decisão. Qualquer recurso será avaliado pelo Conselho Diretor da ANPD.
Esse caso serve como um lembrete de que o órgão regulador da LGPD, a ANPD, está ativa e da importância de cumprir estritamente as exigências da Lei, garantindo a segurança e a privacidade dos dados pessoais dos cidadãos, bem como a tomada de ações apropriadas em caso de incidentes de segurança.
Fonte: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-sanciona-mais-um-orgao-publico