Em tempos de contínuo aperfeiçoamento das técnicas de proteção de dados é necessário atentar não apenas para o método, mas também para os objetivos desses métodos. Desta forma, a Lei Geral de Proteção de Dados recorda em seu artigo 1º que seu objetivo é “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, logo a inobservância da lei é passível de correção pelos órgãos competentes.
Uma dessas entidades competentes é a Autoridade Nacional de Proteção de Dados, a ANPD, autarquia cuja participação vem se tornando mais sentida, seja com sua agenda regulatória com abordagens de importantes temas, seja pela sua atuação na garantia de um fluxo de dados que respeite os titulares.
Recentemente, mais uma sanção foi publicada pela ANPD, ainda sem apresentação do processo completo, mas da versão acessível ao público. Segundo site1 da autarquia o processo se originou a partir da comunicação da autuada, qual seja, a Secretaria do Estado de Saúde de Santa Catarina (SES/SC). Teria ela sido informada de um incidente de segurança o qual mais tarde foi demonstrado enquanto vazamento de dados de cerca de 48 mil titulares, dentro os quais estariam servidores, pacientes de todas as idades, bem como informações de saúde, caracterizadas como dados sensíveis, conforme art.5º, II da LGPD.2
Durante o processo administrativo a autarquia entendeu que houve demoras sucessivas no atendimento das exigências, cuja finalidade era permitir conhecer e fiscalizar o caso em questão. Esse é um ponto importante a ser levado, uma vez que o tardar do atendimento das exigências, como Relatório de Impacto a Proteção de Dados que foi requisitado, influenciou não somente na não cooperação em tempo hábil, mas também na forma como foi interpretado o cuidado para com os dados pessoais dos titulares afetados. Tendo em vista que, sendo um vazamento de dados considerado grave pela Resolução nº4 da ANPD3 como dados sensíveis e dados de crianças e adolescentes.
Ficou muito nítido que ao mesmo tempo que o autuado deve se atentar para dirimir os pontos apresentados pela autarquia ele deve, concomitantemente, garantir os direitos dos titulares que foram afetados, não descuidando de um ou outro quando do andamento do processo.
Diferente da primeira sanção imposta pela ANPD em um processo administrativo, a qual culminou na aplicação de multa à microempresa4 no valor de R$14.400,00, no caso do SES/SC não foi aplicado valor pecuniário, tendo em vista o disposto no art.3º, §1º da Resolução nº4, exprimindo que “entidades e órgãos públicos que não sofreram sanções anteriores no mesmo caso concreto apenas podem se sujeitar às infrações de advertência, publicização da infração, bloqueio e eliminação dos dados pessoais”. Ainda que essa comparação seja muito limitada, por serem casos diferentes com sujeitos e elementos diferentes, vale destacar que as primeiras sanções podem vir a dar certo termômetro para cada um dos agentes de tratamento, sejam eles públicos ou privados.
Outro ponto levantado pelo Relatório da ANPD foi a questão do serviço público prestado, influenciando de duas formas: i) a primeira exprimiu que cabia maior rigor ao autuado, pois os dados seriam tratados de forma compulsória e o não tratamento correto dos dados de saúde poderia inviabilizar a garantia do direito à saúde ao cidadão; ii) ao mesmo tempo, em função do interesse público, mesmo caracterizando uma infração grave por abarcarem dados sensíveis, não foram aplicadas medidas como publicização da infração, bloqueio dos dados ou usa eliminação, enquanto medidas dispostas no art.52m incisos IV, V e VI da LGPD.
Mesmo dessa forma a ANPD, na aplicação das sanções, especificou que dentre as advertências deve ser tomada medidas que permitem o Incidente de Segurança ser comunicado a todos os titulares, tanto no sítio eletrônico da SES/SC, bem como individualmente, sendo a primeira comprovada por pelo menos 9 capturas de tela, enquanto que a comunicação pessoal deve ser comprovada por planilha contendo todos os nomes contatados individualmente.
Nota-se que, apesar de não aparecerem valores pecuniários o endereçamento real do bem lesado pode demandar atitudes e correções distintas. Dessa forma, tendo em vista que os dados sensíveis podem ser utilizados por criminosos enquanto vantagens, é de suma importância que tanto quanto a indenização de uma vítima quanto o sancionamento é a importância de notificar os titulares a fim de que possam se autodeterminar frente a situação de vazamentos de dados.
Ainda é cedo dizer, mas justamente por estarmos nas primeiras fases de aplicação de multas é necessário destacar aos agentes de tratamento quais boas práticas podem ser interessantes de serem seguidas e quais violam a lei.
Referências
____________________
1. ANPD sanciona mais um órgão público. ANPD. Disponível em: link. Acesso em: 24 out. 2023.
2. Art. 5º Para os fins desta Lei, considera-se: II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
3. Art. 8º As infrações são classificadas, segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, em: § 3º A infração será considerada grave quando: d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
4. ANPD publica primeira multa por descumprimento à LGPD. ANPD. 07 jul. 2023. Disponível em: link. Acesso em: 25 out. 2023.
