ANPD condena INSS por vazamento de dados e essa não é a primeira sanção aplicada pelo órgão em 2024.
INSS condenado por vazamento de dados
Foram publicadas na semana pela ANPD – Autoridade Nacional de Proteção de Dados, decisões em dois processos onde a Autoridade aplicou sanções.
Um em face do INSS e outro da SEEDF – Secretaria de Estado de Educação do Distrito Federal.
Mas nesse conteúdo vamos tratar apenas o incidente envolvendo Vazamento de Dados pelo INSS.
De acordo com a ANPD, os dois órgãos públicos violaram disposições legais sobre o tratamento de dados pessoais e aplicou sanções em ambos os casos.
Conforme a decisão publicada no dia 1º/2, o INSS foi condenado por não comunicar a ocorrência de incidente de segurança aos titulares de dados.
Do incidente de segurança envolvendo o INSS
Conforme a decisão publicada no dia 1º/2, o INSS foi condenado por não comunicar a ocorrência de incidente de segurança aos titulares de dados.
De igual forma, a sanção foi agravada pelo fato do INSS não ter atendido a duas determinações da ANPD.
A primeira em relação ao (art. 48 da LGPD), e a segunda em relação ao art. 32 da resolução CD/ANPD 1/21).
O vazamento de dados ocorreu em 2022 e afetou diretamente o SISBEN – Sistema Corporativo de Benefícios do INSS.
O vazamento das informações pessoais ensejou a exposição de informações como CPF, dados bancários e data de nascimento.
Todos esses dados expostos, como sabemos, são passíveis de utilização nos mais diversos tipos de fraudes
Assim também, o órgão considerou que o incidente de segurança poderia trazer danos relevantes aos direitos dos titulares dos dados pessoais.
Sob o mesmo ponto de vista, entendeu que houve o vazamento de uma base de dados que continha informações importantes sobre os beneficiários do INSS.
Desse modo, de acordo com a ANPD, era responsabilidade do INSS comunicar a ocorrência do incidente de segurança aos titulares afetados.
Entretanto, o Instituto alegou inviabilidade técnica para individualizar as pessoas afetadas, não realizando a comunicação exigida pela lei.
Da não aceitação da justificativa pelo INSS
A ANPD não aceitou a justificativa de inviabilidade técnica para individualizar as pessoas afetadas.
A Autoridade, por sua vez, entendeu que diante da alegada inviabilidade técnica na individualização, poderia ter realizado a comunicação de forma indireta, avisando todos os titulares de dados que possuía em sua base de dados.
Ou seja, poderia ter comunicado o incidente de forma ampla, conforme disposições da nossa legislação de proteção de dados.
Da condenação imposta ao INSS pela ANPD – ANPD condena INSS por vazamento de dados
Diante disso, a Autoridade Nacional de Proteção de Dados condenou o INSS a publicizar a infração em seu site e no aplicativo Meu INSS durante 60 dias.
De acordo com Fabrício Lopes, coordenador-geral de fiscalização da ANPD:
“A comunicação aos titulares é medida fundamental para que eles possam se proteger após um incidente de segurança.
A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”, explicou.
DESPACHO ANPD DIÁRIO OFICIAL DA UNIÃO
Para saber mais sobre a ANPD (Autoridade Nacional de Proteção de Dados), CLIQUE AQUI!
Se você deseja ficar por dentro de tudo sobre LGPD, assine a nossa Newsletter AQUI!
