Capa da publicação Mais uma vez, o poder público descumpre a LGPD. E agora?
Artigo Destaque dos editores

Mais uma vez, o poder público descumpre a LGPD. E agora?

19/02/2024 às 18:40

Resumo:


  • O INSS foi sancionado pela ANPD por não comunicar um incidente de segurança de dados e por não cumprir medidas preventivas exigidas, violando a LGPD.

  • O vazamento de dados ocorrido em 2022 incluiu informações sensíveis como CPF e dados bancários, e o INSS falhou em notificar os titulares dos dados.

  • A punição aplicada ao INSS foi a obrigatoriedade de divulgar o incidente em sua página e notificar usuários, destacando a limitação das sanções impostas ao Poder Público pela LGPD.

Resumo criado por JUSTICIA, o assistente de inteligência artificial do Jus.

A própria LGPD somente autoriza a aplicação de sanções brandas ao poder público, como advertência ou publicização da infração – fato que não ajuda na otimização do ambiente regulatório.

Dizem que no Brasil o ano só começa quando acaba fevereiro. Pelo visto, não para a Autoridade Nacional de Proteção de Dados. O órgão iniciou o mês de fevereiro com uma decisão condenatória que significa preocupante notícia no que diz respeito ao nível brasileiro de segurança digital e proteção de dados - envolvendo, mais uma vez, o próprio Poder Público.

No dia 1º de fevereiro de 2024, o Instituto Nacional da Seguridade Social (INSS) foi oficialmente sancionado pela ANPD por ter deixado de comunicar um incidente de segurança às respectivas vítimas e por não atender a medida preventiva designada pela ANPD, descumprindo assim a Lei Geral de Proteção de Dados (LGPD) e seus regulamentos [1].

O fato que originou a condenação, na verdade, ocorreu ainda em 2022, quando o INSS sofreu vazamento de dados, expondo informações pessoais de incontáveis cidadãos, como “nome, CPF, NIT, identidade, data de nascimento, sexo, ramo de atividade profissional, dados bancários e quantidade de dependentes”.

O problema maior, todavia, foi que, apesar do vazamento, do qual tomou conhecimento entre agosto e outubro de 2022, o INSS aparentemente ficou silente, deixando de comunicar o fato aos titulares dos dados - argumentando que seria tecnicamente inviável avisar tanta gente sobre o acontecimento.

Mas a coisa ainda fica pior. É que, mesmo sendo responsável pelo incidente, além de omitir o fato aos titulares, o INSS ainda desobedeceu às determinações da própria ANPD, que cobrou do órgão previdenciário uma divulgação formal, ampla e expressa sobre o ocorrido.

Pois bem, após o trâmite do processo administrativo sancionador, finalmente o INSS foi condenado a realizar a “publicização da infração”, sendo obrigado a divulgar o incidente na sua página, durante 60 dias, e enviar notificação individual aos usuários do aplicativo Meu INSS. E nada mais.

Em resumo, o cenário é o seguinte: mesmo lidando com volume imenso de dados pessoais, o INSS deixa de adotar medidas de segurança necessárias e suficientes para proteger as informações de seus usuários (LGPD, art. 46).

Consequentemente, por falta de segurança, são exfiltrados (nome técnico para “vazados”) inúmeros dados de incontáveis pessoas, até mesmo dados bancários e inclusive algumas informações ligadas à saúde (portanto, “dados pessoais sensíveis”, como define a LGPD, art. 5º, II). Tudo isso nas mãos de sabe-se-lá quem.

Não bastasse isso, o INSS toma conhecimento do incidente quase dois anos atrás, e opta por não avisar aos titulares que a confidencialidade de seus dados fora quebrada e que disso poderiam resultar danos, como golpes, fraudes e outros tipos de ilícito, descumprindo assim explicitamente a LGPD (art. 48).

Em quarto lugar, já sob fiscalização da ANPD, que lhe determina providências imediatas para corrigir o fato e comunicar o incidente aos titulares, o INSS simplesmente queda-se inerte, desobedecendo o órgão regulador.

Tudo isso para, no final das contas, ser condenado apenas a divulgar o incidente na sua página institucional - obrigação essa que, na verdade, já era dever legal do órgão desde o início, seja pelos princípios normativos de transparência, segurança, responsabilidade e prestação de contas (art. 6º), seja pela clara prescrição do art. 48 (acima mencionado).

Enfim, mais uma vez um órgão da Administração Pública descumpre a LGPD, oportunizando a ocorrência do incidente de segurança por omissão, gerando risco imenso para a privacidade dos cidadãos, e no máximo recebe um puxão de orelhas.

Mas a culpa disso não é da ANPD. O problema é que a própria LGPD somente autoriza a aplicação de sanções brandas ao Poder Público, como advertência ou publicização da infração - fato que não ajuda muito na otimização do ambiente regulatório-fiscalizatório, e pouco contribui para a concretização do constitucional princípio da eficiência estatal (art. 37).

Ora, se o Poder Público, que deveria ser o farol e a referência para que os cidadãos sigam a lei, está longe de cumprir as regras, o que podemos esperar?

Por fim, cumpre ressaltar que, no caso, as medidas de segurança - cuja ausência ocasionou o incidente - poderiam já ter sido adotadas desde sempre, tanto que o próprio INSS afirmou à ANPD que, uma vez tomando ciência do ocorrido, prontamente corrigiu as falhas para interromper novas invasões ou vazamentos.

Mas, no fundo, que diferença faria se não tivesse feito nada? Praticamente nenhuma. Até porque os titulares dos dados sequer têm a alternativa de escolher outro “fornecedor”, já que estamos falando do órgão legalmente responsável pelo tratamento de dados no âmbito da previdência e assistência social.

Talvez precisemos de novas regras para esse tipo de situação. Imagine o gasto de tempo, energia e dinheiro para conduzir todo um processo de fiscalização que, no final, não vai responsabilizar ninguém. Alguém precisa responder. Até porque órgãos públicos são feitos de pessoas. E pessoas tomam decisões, boas ou ruins.


Notas:

[1] Processo administrativo sancionador nº 00261.001888/2023-21

Assuntos relacionados
Sobre o autor
Gabriel Barroso Fortes

Advogado, Pós-Graduado em Direito Digital e Compliance, MBA em Liderança Estratégica e Gestão Financeira, Mestre em Direito Constitucional, Head da área de Proteção de Dados do escritório Fortes Nasar Advogados. CPC-PD ©

Como citar este texto (NBR 6023:2018 ABNT)

FORTES, Gabriel Barroso. Mais uma vez, o poder público descumpre a LGPD. E agora?. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 29, n. 7537, 19 fev. 2024. Disponível em: https://jus.com.br/artigos/108359. Acesso em: 18 dez. 2024.

Leia seus artigos favoritos sem distrações, em qualquer lugar e como quiser

Assine o JusPlus e tenha recursos exclusivos

  • Baixe arquivos PDF: imprima ou leia depois
  • Navegue sem anúncios: concentre-se mais
  • Esteja na frente: descubra novas ferramentas
Economize 17%
Logo JusPlus
JusPlus
de R$
29,50
por

R$ 2,95

No primeiro mês

Cobrança mensal, cancele quando quiser
Assinar
Já é assinante? Faça login
Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Colabore
Publique seus artigos
Fique sempre informado! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos