Em outubro de 2023, ocorreu a divulgação da terceira sanção administrativa aplicada pela Autoridade Nacional de Proteção de Dados (ANPD). A penalidade foi aplicada a um órgão público de saúde, a Secretaria de Saúde do Estado de Santa Catarina (SES-SC), após a conclusão de que houve um incidente de segurança nos sistemas da Secretaria. Isso resultou na exfiltração de dados sensíveis relacionados à saúde de cerca de 47 mil pessoas, incluindo pacientes e prestadores de serviços, abrangendo crianças, adolescentes e idosos.
A sanção foi fundamentada nas violações aos artigos 38, 48 e 49 da Lei Geral de Proteção de Dados (LGPD) e ao artigo 5º, inciso I, do Regulamento de Fiscalização, pois concluiu-se que o incidente ocorreu por falta de segurança nos sistemas de armazenamento e tratamento de dados pessoais utilizados pela Secretaria. Além disso, a Secretaria não atendeu ao prazo recomendado pela ANPD de notificação do incidente em até dois dias úteis contados a partir da ciência do fato, não adotou medidas de mitigação suficientes e não apresentou as informações e relatórios exigidos pela ANPD, solicitados em diversos momentos durante o Processo Administrativo. Isso resultou na aplicação de quatro sanções de advertência, uma para cada dispositivo infringido.
A ANPD é a autarquia federal responsável por regular e fiscalizar o cumprimento LGPD. Desde a sua instituição, a entidade tem desempenhado um papel fundamental na regulamentação da aplicação da lei, bem como na orientação e na educação da sociedade quanto ao tema, facilitando o acesso à informação.
Com a publicação do regulamento que trata do processo de fiscalização e do procedimento administrativo sancionador, assim como da dosimetria e da aplicação das sanções administrativas, a ANPD passou a ter parâmetros legais estabelecidos a partir do início de 2023 para definir a gravidade das sanções aplicáveis aos casos de violação da lei. Assim, a autarquia inaugurou a sua atuação repressiva.
A ocorrência envolvendo um grande órgão público reforça o entendimento de que a forma como se reage a um incidente de segurança é primordial para a mitigação de riscos e para atender às exigências formais da ANPD. Por isso, é recomendável que os agentes de tratamento tenham um plano efetivo de reação em casos de incidentes envolvendo dados pessoais.
Entre as sanções aplicadas à SES-SC, três das quatro foram consideradas graves. Isso ocorreu porque o tratamento de dados realizado pelas instituições de saúde envolve majoritariamente dados pessoais sensíveis, já que a exfiltração resultou no vazamento de informações de saúde, entre elas detalhes sobre doenças, diagnósticos e procedimentos agendados. Em razão de a LGPD atribuir uma proteção diferenciada a esta categoria de dados, o grau de classificação para a penalidade é elevado. Isso transforma uma infração que poderia ser classificada como média, em grave, como ocorre no caso em questão.
Diante desse cenário de responsabilização por vazamentos de dados por meio da fiscalização ativa da ANPD, reitera-se o alerta, em especial, para instituições da área de saúde, sejam públicas, sejam privadas. É cada vez mais imprescindível adequar-se à LGPD, adotando boas práticas de governança e investindo em segurança da informação aptas a proteger os dados pessoais que se encontram sob sua guarda.
Afinal, tais instituições lidam diariamente com uma vasta quantidade de dados pessoais sensíveis. Além das obrigações legais de sigilo e de confidencialidade impostas pela regulamentação setorial, a LGPD também prevê diversas obrigações que precisam ser atendidas para evitar a aplicação de sanções e a ocorrência de danos, muitas vezes irreparáveis, à imagem das instituições.
