A Autoridade Nacional de Proteção de Dados (ANPD) no dia 18/10 sancionou a Secretaria de Saúde do Estado de Santa Catarina (SES/SC) por constatar que o órgão violou os artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) e artigo 5º, I, do seu Regulamento de Fiscalização, conforme consta no processo administrativo sancionador contra o órgão público.
A ANPD entendeu haver quatro infrações nas condutas da SES/SC, três delas consideradas graves, em decorrência de negligenciar a segurança do tratamento e armazenamento dos dados pessoais do sistema estadual público de saúde de milhões de cidadãos do Estado de Santa Catarina.
Resumidamente a imposição se baseou nos seguintes pontos:
(1) A SES/SC sofreu um incidente de segurança e não comunicou a ANPD sobre quais dados pessoais estariam suscetíveis de forma clara, adequada e tempestiva;
(2) A SES/SC não comunicou os usuários que tiveram seus dados vazados;
(3) A SES/SC não apresentou o Relatório de Impacto de Proteção de Dados Pessoais (RIPD);
(4) A SES/SC não disponibilizou outras informações solicitadas pela ANPD.
Dessa forma, a ANPD aplicou sanções para cumprimento da SES/SC, com a obrigação de condutas a serem tomadas, formas de comprovação do cumprimento e prazos para execução, dentre elas estão:
(1) Colocar um Comunicado Geral de Incidentes de Segurança (CIS) em seu site institucional por 90 (noventa) dias;
(2) Enviar o CIS de forma individualizada para todos os titulares de dados pessoais que tiveram seus dados afetados;
(3) Comprovar o cumprimento das obrigações dentro de um prazo de 20 (vinte) dias úteis.
Interessante ponto da decisão é a discussão sobre quanto é o “prazo razoável” para a comunicação da empresa que sofreu a violação dos dados. Como o incidente teria acontecido em agosto de 2021 e a comunicação aconteceu em março de 2022, a decisão entendeu que superou em muito o prazo de rápida comunicação, conforme a recomendação da ANPD de enviar o relato do incidente em até 2 dias úteis a contar do conhecimento do fato.
Outra atenção foi levantada para o formato de comunicação aos usuários sobre o incidente. Muito embora a SES/SC tenha demorado 11 meses para informar os titulares, a decisão questiona se a forma como foi apresentada a comunicação poderia ser considerada como suficiente para que os titulares pudessem tomar conhecimento.
Diante da decisão caberá recurso para a Secretaria Estadual de Saúde de Santa Catarina.