Buscar:

Nova sanção da ANPD reflete falta de maturidade na governança de dados pessoais nas instituições públicas

Imprimir PDF
Voltar

Especialista em Direito Digital do PG Advogados, Alexandra Krastins Lopes, analisa as quatro infrações instauradas pela Autoridade e pondera: “o zelo pelo cumprimento da transparência deveria ser premissa”

Por Alexandra Krastins Lopes*

e17b0e78-f7d2-44a3-b144-f5c321b5b254A Autoridade Nacional de Proteção de Dados (ANPD) publicou nas últimas semanas, sanção contra a Secretaria de Estado da Saúde de Santa Catarina (SES/SC). Segundo a Coordenação-Geral de Fiscalização (CGF) da Autoridade, o órgão estadual violou os artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD). “Esta decisão demonstra a falta de maturidade de órgãos públicos na governança de dados pessoais dos cidadãos”, analisa Alexandra Krastins Lopes, especialista em Direito Digital do PG Advogados, plataforma de serviços jurídicos de São Paulo.

O despacho decisório apresenta quatro sanções de advertência ao órgão público. A primeira infração refere-se ao descumprimento do artigo 38 da LGPD sobre a possibilidade de a Autoridade determinar a elaboração do Relatório de Impacto à Proteção de Dados Pessoais, conhecido como RIPD. “Este é um documento que deve ser elaborado em alguns casos, durante as ações de governança dos dados pessoais de uma instituição, e contém a descrição dos processos de tratamento de dados pessoais que podem gerar alto risco aos princípios da LGPD, às liberdades civis e aos direitos fundamentais do titular de dados”, explicou a especialista que complementa: “Apesar de não ter regulamentado o tema, a ANPD já publicou orientações sobre o assunto. E as boas práticas do mercado, já há algum tempo, sugerem que tivesse sido elaborado o RIPD em diversas situações, como no tratamento de dados pessoais sensíveis, incluindo os de saúde”.

Outra infração da SES/SC refere-se ao art. 48 da LGPD, relativo à obrigação de comunicar à ANPD e aos titulares a ocorrência de incidente de segurança envolvendo dados pessoais e que possa acarretar risco ou dano relevante aos titulares. Segundo Alexandra, além da sanção, foi determinado que o órgão público faça a publicação sobre o incidente em seu site, pelo período mínimo de 90 dias (nos termos descritos pela ANPD), e proceda com a comunicação direta e individualizada aos titulares afetados e identificados. “Ressalta-se que essa sanção, por se tratar de órgão público, possui especial relevância. O zelo pelo cumprimento da transparência deveria ser uma premissa”, pontua.

Medidas de transparência sobre falhas de segurança podem gerar receio reputacional para gestores de órgãos públicos, mas o cumprimento da Lei deve ser priorizado, inclusive porque não existe correlação direta entre comunicar e ser punido. “O agente de tratamento de dados que comunicar o incidente à Autoridade também poderá contar com sua orientação, o que pode ser positivo para a correção das vulnerabilidades”, acrescenta a advogada do PG.

Outra sanção se refere à falta de estrutura dos sistemas para atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais da LGPD e, por fim, sanção a respeito da não cooperação com a fiscalização da Autoridade. “Outra sanção que chama bastante atenção pela falta de maturidade do órgão sancionado em lidar com as questões atuais, mas que não são mais novidade, sobre fiscalização e proteção de dados”, avalia Alexandra.

Ainda segundo a especialista, embora haja críticas à ANPD por, novamente, autuar o Poder Público enquanto diversos agentes de tratamento do setor privado seguem com práticas em desacordo com a legislação, vê-se que a Administração Pública ainda tem muito a evoluir em matéria de governança, transparência e cooperação interinstitucional.

“O papel principal da ANPD é zelar pela proteção de dados dos titulares, por isso, tanto empresas privadas quanto públicas podem ser multadas pela Autoridade se estiverem em desacordo com a legislação, e não para satisfazer clamores populares e de mercado. O objetivo é satisfazer o interesse público e o cumprimento de sua maior competência”, ponderou.

Além disso, com reiteradas decisões envolvendo órgãos públicos, a Autoridade dá o recado de que a Lei vale para todos, e que o descumprimento de obrigações tão importantes como a governança, a segurança de dados de saúde e a transparência não ficarão impunes. Para a especialista no tema, “isso favorece o ecossistema de proteção de dados e a democracia”.

*Alexandra Krastins Lopes
Líder de Direito Digital do PG Advogados

(31.10.2023)