Curso de LGPD GRÁTIS - Semana de LGPD na Prática (5, 6 e 7 de março)
Condenações pela ANPD

ANPD condena INSS por vazamento de dados

ANPD condena INSS por vazamento de dados e essa não é a primeira sanção aplicada pelo órgão em 2024.

INSS condenado por vazamento de dados

Foram publicadas na semana pela ANPD – Autoridade Nacional de Proteção de Dados, decisões em dois processos onde a Autoridade aplicou sanções.

Um em face do INSS e outro da SEEDF – Secretaria de Estado de Educação do Distrito Federal.

Mas nesse conteúdo vamos tratar apenas o incidente envolvendo Vazamento de Dados pelo INSS.

De acordo com a ANPD, os dois órgãos públicos violaram disposições legais sobre o tratamento de dados pessoais e aplicou sanções em ambos os casos.

Conforme a decisão publicada no dia 1º/2, o INSS foi condenado por não comunicar a ocorrência de incidente de segurança aos titulares de dados.

Do incidente de segurança envolvendo o INSS

Conforme a decisão publicada no dia 1º/2, o INSS foi condenado por não comunicar a ocorrência de incidente de segurança aos titulares de dados.

De igual forma, a sanção foi agravada pelo fato do INSS não ter atendido a duas determinações da ANPD.

A primeira em relação ao (art. 48 da LGPD), e a segunda em relação ao art. 32 da resolução CD/ANPD 1/21).

O vazamento de dados ocorreu em 2022 e afetou diretamente o SISBEN – Sistema Corporativo de Benefícios do INSS.

O vazamento das informações pessoais ensejou a exposição de informações como CPF, dados bancários e data de nascimento.

Todos esses dados expostos, como sabemos, são passíveis de utilização nos mais diversos tipos de fraudes

Assim também, o órgão considerou que o incidente de segurança poderia trazer danos relevantes aos direitos dos titulares dos dados pessoais.

Sob o mesmo ponto de vista, entendeu que houve o vazamento de uma base de dados que continha informações importantes sobre os beneficiários do INSS.

Desse modo, de acordo com a ANPD, era responsabilidade do INSS comunicar a ocorrência do incidente de segurança aos titulares afetados.

Entretanto, o Instituto alegou inviabilidade técnica para individualizar as pessoas afetadas, não realizando a comunicação exigida pela lei.

Da não aceitação da justificativa pelo INSS

A ANPD não aceitou a justificativa de inviabilidade técnica para individualizar as pessoas afetadas.

A Autoridade, por sua vez, entendeu que diante da alegada inviabilidade técnica na individualização, poderia ter realizado a comunicação de forma indireta, avisando todos os titulares de dados que possuía em sua base de dados.

Ou seja, poderia ter comunicado o incidente de forma ampla, conforme disposições da nossa legislação de proteção de dados.

Da condenação imposta ao INSS pela ANPD – ANPD condena INSS por vazamento de dados

Diante disso, a Autoridade Nacional de Proteção de Dados condenou o INSS a publicizar a infração em seu site e no aplicativo Meu INSS durante 60 dias.

De acordo com Fabrício Lopes, coordenador-geral de fiscalização da ANPD:

“A comunicação aos titulares é medida fundamental para que eles possam se proteger após um incidente de segurança.

A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”, explicou.

DESPACHO ANPD DIÁRIO OFICIAL DA UNIÃO

Para saber mais sobre a ANPD (Autoridade Nacional de Proteção de Dados), CLIQUE AQUI!

Se você deseja ficar por dentro de tudo sobre LGPD, assine a nossa Newsletter AQUI!

Write A Comment