Foi recentemente publicada (06/10/2023) uma nova decisão proferida pela Autoridade Nacional de Proteção de Dados em face de violação à privacidade.
No caso concreto, as vítimas, reconhecidas pela LGPD como titulares de dados, foram os contribuintes e seus dependentes filiados ao Iamspe – Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo.
A CGF concluiu que o IAMSPE infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao não manter sistemas seguros de armazenamento e tratamento de dados pessoais de milhões de servidores públicos do estado de São Paulo, e de seus dependentes, que são beneficiários dos serviços de apoio à saúde prestados pelo órgão.
Foi concluído, ainda, que o IAMSPE sofreu um incidente de segurança e não comunicou os titulares de dados de forma clara, adequada e tempestiva sobre quais de seus dados pessoais poderiam ter sido objeto desse incidente. A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
A pena aplicada pela ANPD foi a de advertência e de adoção de medida corretiva (processo nº 00261.001969/2022-41).
Ainda, o Iamspe deverá adotar e evidenciar um Plano de 3 e 6 meses de execução de medidas consistentes em melhorias de controles de acesso, saneamento de vulnerabilidades no sistema de cadastro dos clientes, dentre outras, além da manutenção em seu site, por 90 dias, de comunicado aos titulares com texto devidamente ajustado pela ANPD.
