Dizem que no Brasil o ano só começa quando acaba fevereiro. Pelo visto, não para a Autoridade Nacional de Proteção de Dados. O órgão iniciou o mês de fevereiro com uma decisão condenatória que significa preocupante notícia no que diz respeito ao nível brasileiro de segurança digital e proteção de dados - envolvendo, mais uma vez, o próprio Poder Público.
No dia 1º de fevereiro de 2024, o Instituto Nacional da Seguridade Social (INSS) foi oficialmente sancionado pela ANPD por ter deixado de comunicar um incidente de segurança às respectivas vítimas e por não atender a medida preventiva designada pela ANPD, descumprindo assim a Lei Geral de Proteção de Dados (LGPD) e seus regulamentos [1].
O fato que originou a condenação, na verdade, ocorreu ainda em 2022, quando o INSS sofreu vazamento de dados, expondo informações pessoais de incontáveis cidadãos, como “nome, CPF, NIT, identidade, data de nascimento, sexo, ramo de atividade profissional, dados bancários e quantidade de dependentes”.
O problema maior, todavia, foi que, apesar do vazamento, do qual tomou conhecimento entre agosto e outubro de 2022, o INSS aparentemente ficou silente, deixando de comunicar o fato aos titulares dos dados - argumentando que seria tecnicamente inviável avisar tanta gente sobre o acontecimento.
Mas a coisa ainda fica pior. É que, mesmo sendo responsável pelo incidente, além de omitir o fato aos titulares, o INSS ainda desobedeceu às determinações da própria ANPD, que cobrou do órgão previdenciário uma divulgação formal, ampla e expressa sobre o ocorrido.
Pois bem, após o trâmite do processo administrativo sancionador, finalmente o INSS foi condenado a realizar a “publicização da infração”, sendo obrigado a divulgar o incidente na sua página, durante 60 dias, e enviar notificação individual aos usuários do aplicativo Meu INSS. E nada mais.
Em resumo, o cenário é o seguinte: mesmo lidando com volume imenso de dados pessoais, o INSS deixa de adotar medidas de segurança necessárias e suficientes para proteger as informações de seus usuários (LGPD, art. 46).
Consequentemente, por falta de segurança, são exfiltrados (nome técnico para “vazados”) inúmeros dados de incontáveis pessoas, até mesmo dados bancários e inclusive algumas informações ligadas à saúde (portanto, “dados pessoais sensíveis”, como define a LGPD, art. 5º, II). Tudo isso nas mãos de sabe-se-lá quem.
Não bastasse isso, o INSS toma conhecimento do incidente quase dois anos atrás, e opta por não avisar aos titulares que a confidencialidade de seus dados fora quebrada e que disso poderiam resultar danos, como golpes, fraudes e outros tipos de ilícito, descumprindo assim explicitamente a LGPD (art. 48).
Em quarto lugar, já sob fiscalização da ANPD, que lhe determina providências imediatas para corrigir o fato e comunicar o incidente aos titulares, o INSS simplesmente queda-se inerte, desobedecendo o órgão regulador.
Tudo isso para, no final das contas, ser condenado apenas a divulgar o incidente na sua página institucional - obrigação essa que, na verdade, já era dever legal do órgão desde o início, seja pelos princípios normativos de transparência, segurança, responsabilidade e prestação de contas (art. 6º), seja pela clara prescrição do art. 48 (acima mencionado).
Enfim, mais uma vez um órgão da Administração Pública descumpre a LGPD, oportunizando a ocorrência do incidente de segurança por omissão, gerando risco imenso para a privacidade dos cidadãos, e no máximo recebe um puxão de orelhas.
Mas a culpa disso não é da ANPD. O problema é que a própria LGPD somente autoriza a aplicação de sanções brandas ao Poder Público, como advertência ou publicização da infração - fato que não ajuda muito na otimização do ambiente regulatório-fiscalizatório, e pouco contribui para a concretização do constitucional princípio da eficiência estatal (art. 37).
Ora, se o Poder Público, que deveria ser o farol e a referência para que os cidadãos sigam a lei, está longe de cumprir as regras, o que podemos esperar?
Por fim, cumpre ressaltar que, no caso, as medidas de segurança - cuja ausência ocasionou o incidente - poderiam já ter sido adotadas desde sempre, tanto que o próprio INSS afirmou à ANPD que, uma vez tomando ciência do ocorrido, prontamente corrigiu as falhas para interromper novas invasões ou vazamentos.
Mas, no fundo, que diferença faria se não tivesse feito nada? Praticamente nenhuma. Até porque os titulares dos dados sequer têm a alternativa de escolher outro “fornecedor”, já que estamos falando do órgão legalmente responsável pelo tratamento de dados no âmbito da previdência e assistência social.
Talvez precisemos de novas regras para esse tipo de situação. Imagine o gasto de tempo, energia e dinheiro para conduzir todo um processo de fiscalização que, no final, não vai responsabilizar ninguém. Alguém precisa responder. Até porque órgãos públicos são feitos de pessoas. E pessoas tomam decisões, boas ou ruins.
Notas:
[1] Processo administrativo sancionador nº 00261.001888/2023-21
