Blog DSF Advogados

ANPD aplica sanção à Secretaria de Saúde de Santa Catarina por violação de dados pessoais do sistema público de saúde

19/10/2023

A Autoridade Nacional de Proteção de Dados (ANPD) no dia 18/10 sancionou a Secretaria de Saúde do Estado de Santa Catarina (SES/SC) por constatar que o órgão violou os artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) e artigo 5º, I, do seu Regulamento de Fiscalização, conforme consta no processo administrativo sancionador contra o órgão público.

A ANPD entendeu haver quatro infrações nas condutas da SES/SC, três delas consideradas graves, em decorrência de negligenciar a segurança do tratamento e armazenamento dos dados pessoais do sistema estadual público de saúde de milhões de cidadãos do Estado de Santa Catarina.

Resumidamente a imposição se baseou nos seguintes pontos:

(1) A SES/SC sofreu um incidente de segurança e não comunicou a ANPD sobre quais dados pessoais estariam suscetíveis de forma clara, adequada e tempestiva;
(2) A SES/SC não comunicou os usuários que tiveram seus dados vazados;
(3) A SES/SC não apresentou o Relatório de Impacto de Proteção de Dados Pessoais (RIPD);
(4) A SES/SC não disponibilizou outras informações solicitadas pela ANPD.

Dessa forma, a ANPD aplicou sanções para cumprimento da SES/SC, com a obrigação de condutas a serem tomadas, formas de comprovação do cumprimento e prazos para execução, dentre elas estão:

(1) Colocar um Comunicado Geral de Incidentes de Segurança (CIS) em seu site institucional por 90 (noventa) dias;
(2) Enviar o CIS de forma individualizada para todos os titulares de dados pessoais que tiveram seus dados afetados;
(3) Comprovar o cumprimento das obrigações dentro de um prazo de 20 (vinte) dias úteis.

Interessante ponto da decisão é a discussão sobre quanto é o “prazo razoável” para a comunicação da empresa que sofreu a violação dos dados. Como o incidente teria acontecido em agosto de 2021 e a comunicação aconteceu em março de 2022, a decisão entendeu que superou em muito o prazo de rápida comunicação, conforme a recomendação da ANPD de enviar o relato do incidente em até 2 dias úteis a contar do conhecimento do fato.

Outra atenção foi levantada para o formato de comunicação aos usuários sobre o incidente. Muito embora a SES/SC tenha demorado 11 meses para informar os titulares, a decisão questiona se a forma como foi apresentada a comunicação poderia ser considerada como suficiente para que os titulares pudessem tomar conhecimento.

Diante da decisão caberá recurso para a Secretaria Estadual de Saúde de Santa Catarina.

Link da decisão: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-sanciona-mais-um-orgao-publico/Relatorio_4_2023_e_DOU_versopblica.pdf

ACESSE AQUI O EBOOK DA ÁREA DE DIREITO DIGITAL
https://materiais.dsfadvogados.com.br/e-book-direito-digital
Gabriel Fontanive Dupont,

Partners