A importância do Princípio da Responsabilização e Prestação de Contas nos processos de fiscalização e aplicação de sanção da ANPD com base na LGPD
Por Caroline Teófilo, sócia do Peck Advogados.
No último dia 18 de outubro, a Autoridade Nacional de Proteção de Dados (ANPD) publicou sanção aplicada à Secretaria de Saúde do Estado de Santa Catarina (SESC-SC) em razão de violação da Lei Geral de Proteção de Dados Pessoais (LGPD), uma vez que ocorreu um incidente de segurança nos sistemas que resultou na disponibilização de dados pessoais cadastrais e médicos.
De acordo com o Relatório n. 4/2023, o Controlador, em que pese ter comunicado o incidente à ANPD, após solicitação, não houve a apresentação do (i) relatório técnico do tratamento do incidente, (ii) nem a comprovação da realização da comunicação aos titulares e (iii) também não houve a entrega do Relatório de Impacto a Proteção de Dados Pessoais (RIPD).
Diante da não apresentação do RIPD houve o descumprimento do Art. 38 da LGPD. Já o Art. 48 trata da obrigatoriedade do Controlador em comunicar a ocorrência de incidentes que possam acarretar risco ou dano relevante aos titulares. Apesar de ter ocorrido a comunicação geral no site do Controlador, mesmo após diversas solicitações da ANPD e transcorrido o prazo razoável, não houve a comunicação individualizada aos titulares de dados afetados.
Já a última violação foi relacionada ao descumprimento do Art. 49 que determina que os sistemas utilizados no tratamento de dados pessoais devem atender requisitos de segurança, padrões de boas práticas e de governança, além dos princípios gerais da LGPD.
Todos os agentes de tratamento devem implementar Programas de Governança em Privacidade que possibilitem:
- Definição e implementação de um Plano efetivo de Resposta a Incidentes, com realização de simulações;
- Manutenção de evidências no processo de atendimento aos titulares e ações tomadas em face de incidentes;
- Definição dos responsáveis e formas de atendimento às solicitações da ANPD em caso de incidentes;
- Implementação de controles de segurança no desenvolvimento de sistemas que possibilitem a manutenção da confidencialidade, integridade e disponibilidade dos dados pessoais.
No entanto, ficou latente na decisão da ANPD que o Controlador não teve condições de evidenciar o RIPD, as comunicações realizadas e os controles de segurança implementados em seus sistemas. Desta forma, é essencial que os Programas de Governança em Privacidade tenham condições de cumprir com o princípio X do Art. 6, que trata da responsabilização e prestação de contas, sendo primordial para o agente de tratamento comprovar e demonstrar a ANPD o cumprimento das obrigações legais de proteção de dados.
Fonte: PartnerSales