*Recurso de imagem obtido a partir do site Freepik.com

A Autoridade Nacional de Proteção de Dados (ANPD) recentemente aplicou, no âmbito de Processo Administrativo Sancionador instaurado em face da Secretaria de Estado da Saúde de Santa Catarina (SES/SC) [1-2], a terceira de suas sanções.

Conforme o processo, um incidente de segurança nos sistemas da SES/SC em agosto de 2021 teria causado a exfiltração de parte da base de dados da lista de espera do SUS do Estado de Santa Catarina, disponibilizado no website listadeespera.saude.sc.gov.br. Em decorrência do acesso e retirada ilegais, cerca de 48 mil titulares teriam sido afetados, inclusive – presumivelmente – crianças, adolescentes ou idosos totalizando cerca de 1,2 milhão de registros entre nome, CPF, contato de telefone e dados sensíveis relacionados à saúde.

Após deliberação, a ANPD aplicou quatro sanções ao órgão autuado, por infrações à Lei Geral de Proteção de Dados (Lei n. 13.709/2018; LGPD) e ao Regulamento de Fiscalização da ANPD[3].

1. O artigo 38 da LGPD prevê que poderá ser determinado ao controlador, por parte da agência protetiva de dados, que elabore Relatório de Impacto à Proteção de Dados (RIPD), documento que descreve pormenorizadamente as operações de tratamento de dados e as medidas de mitigação de riscos adotadas pelo controlador. Apesar das solicitações da Coordenação-Geral de Fiscalização (GCF) – setor da ANPD responsável pela apuração de infrações relativas ao tratamento de dados – para que fosse apresentado RIPD, a SES/SC não cumpriu com essa determinação, ensejando a aplicação da sanção de advertência sem a imposição de medidas corretivas adicionais.
2. Houve também a aplicação de advertência devido à violação do artigo 48 da LGPD. Conforme essa norma, em caso de incidente de segurança, há obrigação do controlador de apresentação de Comunicação de Incidente de Segurança (CIS), em prazo razoável, à ANPD e aos titulares dos dados sujeitos ao incidente. O órgão autuado, contudo, promoveu tal comunicação de forma geral, no website governamental de acesso à lista de espera do SUS, o que a ANPD interpretou como não sendo apto a cumprir com o requisito de apresentação do CIS. Ademais, foi apresentada CIS somente em março de 2022, sete meses após a ocorrência da exfiltração dos dados no sistema SES/SC, o que evidenciaria violação ao período razoável para promoção da comunicação.

Devido ao descumprimento desse dever de comunicação, a ANPD promove aplicação de duas medidas corretivas específicas a esse respeito. A autuada deverá, conforme o Despacho Decisório, manter disponibilizada a CIS, no website de acesso à lista, por 90 dias, devendo tal obrigação ser comprovada pela apresentação capturas de tela do sítio da SES/SC. Ainda, foi determinado que fosse realizado o envio individualizado da Comunicação para cada um dos titulares vitimados pelo incidente, medida cujo cumprimento deverá ser comprovado pela apresentação de planilha com informações de contato dos sujeitos notificados, para que seja possibilitada, por amostragem, a validação da comunicação.

3. Conforme o artigo 49 da LGPD, os sistemas de tratamento de dados pessoais devem observar requisitos de segurança. No caso concreto, foi verificada pela ANPD a falha de implementação de mecanismos suficientes para a garantia da confidencialidade dos dados, uma vez que se atestou que “a falta de cuidado no desenvolvimento de um sistema seguro permitiu a concretização de incidente que pode ser causa para fraudes financeiras e uso indevido de identidade”, ensejando a aplicação de advertência pela infração desse artigo, sem imposição de medidas corretivas.
4. Por fim, o artigo 5º do Regulamento de Fiscalização estabelece os deveres de colaboração dos regulados em relação à ANPD, mediante as obrigações de fornecimento de documentos, permissão de acesso às instalações físicas e disponibilização de acesso a sistemas de tratamento de dados, entre outras. No âmbito desse Processo Administrativo, requisições de apresentação de documentos não foram atendidas por parte da SES/SC, inclusive em relação a um relatório técnico do incidente que apesentaria informações acerca dos tipos e quantidade de dados e titulares afetados pela extração, de forma que foi aplicada a sanção de advertência, sem imposição de medida corretiva.

Com o despacho de aplicação dessas sanções publicado no Diário Oficial de 18 de outubro, está em curso prazo de 10 dias úteis para a interposição de recurso por parte da Secretaria de Saúde de Santa Catarina, ou para que o órgão ateste o cumprimento das sanções e medidas corretivas impostas.

[1] ANPD. Despacho Decisório. Processo Administrativo Sancionador n. 00261.001886/2022-51. Publicação em 18 out. 2023. Disponível em https://www.in.gov.br/web/dou/-/despacho-decisorio-517000207. Acesso em 18 out. 2023.

[2] ANPD. Relatório de Instrução n. 4/2023/FIS/CGF/ANPD. Assinatura em 11 out. 2023. Disponível em https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-sanciona-mais-um-orgao-publico/Relatorio_4_2023_e_DOU_versopblica.pdf.  Acesso em 18 out. 2023.

[3] ANPD. Resolução CD/ANPD. Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados. Publicado em 29 out. 2021. Disponível em www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021.  Acesso em 18 out. 2023.