Autoridade Nacional de Proteção de Dados sanciona mais um órgão público
Coordenação-Geral de Fiscalização concluiu que a Secretaria de Saúde de Santa Catarina cometeu quatro infrações à legislação em vigor, sendo três graves
A Autoridade Nacional de Proteção de Dados (ANPD) publicou hoje (18/10) sanção contra a Secretaria de Saúde do Estado de Santa Catarina (SES- SC ). A ANPD constatou que o órgão violou os artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) , bem como o artigo 5º, I, do Regulamento de Fiscalização. A medida consta em decisão da Coordenação-Geral de Fiscalização (CGF) n o processo administrativo sancionador contra o órgão público.
Das quatro infrações, três foram consideradas graves. A CGF concluiu que a SES-SC infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao negligenciar a segurança d os sistemas de armazenamento e tratamento de dados pessoais de milhões de cidadãos do estado de Santa Catarina atendidos pelo sistema estadual público de s aú de .
Foi concluído , também , que a SES-SC sofreu um incidente de segurança e não comunicou sobre quais dados pessoais poderiam ter sido objeto desse incidente de forma clara, adequada e tempestiva . Foram cerca de 300 mil titulares de dados vítimas do incidente , que não receberam comunicação da S ecretaria . A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
A SES-SC foi sancionada, ainda, por infrações ao art. 38 da LGPD . O órgão não apresentou o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) requisitado pela A utoridade . Houve, ainda, violação ao artigo 5 º do Regulamento de Fiscalização da ANPD – a S ecretaria não disponibilizou outras informações requisitadas pela Autoridade.
Em resposta às violações, a ANPD aplicou qua t r o sanções de advertência , uma para cada infração . A SES-SC terá, ainda, que tomar as seguintes medidas corretivas , dentre outras : manter um comunicado geral de incidente de segurança (CIS) em seu sítio na Internet por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do inci dente.
A SES-SC tem 10 dias úteis, a contar do recebimento da intimação, para recorrer. E ventual recurso será analisado pelo Co nselho Diretor da ANPD.
Por: Autoridade Nacional de Proteção de Dados (ANPD)
A reprodução é gratuita desde que citada a fonte