A Autoridade Nacional de Proteção de Dados (ANPD) aplicou sanções de advertência a um órgão público após um incidente de segurança que resultou na exposição de dados pessoais, incluindo informações sensíveis de 3030 crianças e adolescentes. A exposição ocorreu devido a uma configuração inadequada em um formulário do Google Forms utilizado para inscrição em uma política pública.

A ANPD identificou múltiplas violações à Lei Geral de Proteção de Dados (LGPD), incluindo a falta de comunicação do incidente aos titulares dos dados e a ausência de medidas adequadas de segurança da informação. Especificamente, o órgão não realizou o registro das operações de tratamento de dados (ROT), não apresentou o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) solicitado pela ANPD, e falhou em comunicar o incidente de segurança dentro do prazo considerado razoável, violando os artigos 37, 38, e 48 da LGPD, além do artigo 5º do Regulamento de Fiscalização.

A defesa do órgão argumentou que não havia necessidade de comunicação do incidente por falta de divulgação pública do formulário e ausência de danos identificados. Contudo, a ANPD ressaltou que a comunicação aos titulares é obrigatória independentemente da concretização de danos, visando permitir que os afetados tomem medidas para proteger-se de potenciais riscos ou danos.

Apesar das justificativas, o órgão só comunicou o incidente aos titulares afetados após 8 meses e somente após a instauração de um processo administrativo sancionador pela ANPD. Além disso, não foram implementadas medidas de gestão de incidentes de informação e privacidade, nem foi apresentado um plano de incidentes, ROT, ou RIPD, demonstrando uma falha sistemática no cumprimento das obrigações legais de proteção de dados.

Diante da gravidade das infrações e considerando o princípio da proporcionalidade, a ANPD decidiu pela aplicação de advertências, pois a legislação vigente proíbe a imposição de multas a órgãos públicos. Este caso destaca a importância da conformidade com a LGPD e a necessidade de adotar práticas robustas de segurança da informação e privacidade de dados.

DESPACHO DECISÓRIO Nº 3/2024.

Com informações da ANPD.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

6 de Fevereiro, 2024

ANPD aplica sanção à Secretaria de Educação do DF

Quer ficar por dentro das ultimas notícias na área?

Posts recentes