Primeira decisão da ANPD em recurso administrativo
Na sexta-feira, dia 26 de julho, a Autoridade Nacional de Proteção de Dados negou o recurso do Instituto Nacional do Seguro Social (INSS), fazendo com que a instituição tenha que tornar público o incidente de segurança ocorrido. A sanção reiterada refere-se ao incidente de falha de segurança que envolveu o Sistema Corporativo de Benefícios do INSS, SISBEN, ocorrido no ano de 2022. Esse incidente resultou na exposição de dados pessoais como CPF, data de nascimento e outras informações relativas a aposentados e pensionistas.
Na época, apesar de ter comunicado à ANPD, o INSS não realizou uma comunicação aos titulares afetados, afirmando que existiam dificuldades em identificar os dados potencialmente acessados e as pessoas afetadas pela falha de segurança.
Contudo, a Autoridade reafirmou que o vazamento de informações sigilosas tem o potencial de gerar danos significativos aos titulares dos dados. Dessa forma, determinou a publicação de um aviso nos sites e no aplicativo “Meu INSS” por um período de 60 dias, com o intuito de informar a população sobre o incidente.
A sanção foi publicada em fevereiro e o INSS recorreu, tendo seu pedido recusado e a determinação da publicação, mantida. Esse caso é significativo para a construção de precedentes na cultura de proteção de dados e da privacidade, pois fixa um dos primeiros entendimentos a serem julgados em segunda instância, fortalece o princípio da transparência e reforça o papel da Autoridade como órgão fiscalizador.
É importante mencionar que o incidente foi considerado de possível risco ou dano relevante aos titulares, o que, de acordo com a lei, torna sua comunicação aos titulares necessária. Entretanto, o INSS não respeitou a medida, justificando que essa atitude causaria pânico e desconfiança entre os segurados. A comunicação aos titulares, nesse caso, é essencial para que os titulares afetados tomem medidas preventivas contra possíveis infrações viabilizadas pelo vazamento de dados, como fraude.
Esse caso faz com que se evidencie cada vez mais a urgência pela adequação das empresas à Lei Geral de Proteção de Dados. Com a Autoridade ganhando progressivamente força e estabilidade, sua fiscalização se tornará mais ativa, estabelecendo um alto padrão de coerência dos setores com a LGPD.
Medidas de repressão, como a publicação do incidente reforçada ao INSS, geram diversas consequências negativas para as instituições, desde perda da confiança dos clientes até dano reputacional no mercado. Através de uma adequação eficaz, ativa e criteriosa, as empresas conseguem evitar – ou mitigar – essas consequências, assegurando sua conformidade e protegendo sua imagem, sua relação com a clientela e com a Autoridade, firmando seu nome no mercado como uma instituição ética, segura e transparente.