A Autoridade Nacional de Proteção de Dados (ANPD), em Despacho Decisório nº 1/2024/FIS/CGF, condenou o Instituto Nacional do Seguro Social (INSS) por infrações à Lei Geral de Proteção de Dados Pessoais (LGPD). O processo evidenciou falhas na comunicação de incidentes de segurança que comprometeram dados pessoais de beneficiários e segurados.
O relatório da ANPD, que embasou a decisão, aponta que entre agosto e setembro de 2022, um incidente de segurança resultou no acesso indevido a um volume extraordinário de dados através de consultas volumétricas ao sistema do INSS. Dados sensíveis, incluindo identificação oficial, informações financeiras e de saúde, foram potencialmente expostos, aumentando o risco de fraudes, furto de identidade e outros danos aos indivíduos afetados.
Como medidas corretivas, a ANPD determinou que o INSS publique a infração em sua página oficial e envie notificações aos usuários do aplicativo Meu INSS, informando sobre o incidente e as ações tomadas para mitigar os riscos e vulnerabilidades detectadas. O INSS deverá também comunicar-se diretamente com os usuários afetados, oferecendo detalhes sobre o incidente e orientações de como proceder.
