LGPD: a importância do princípio da responsabilização e prestação de contas

17/11/2023 - Notícias

A importância do Princípio da Responsabilização e Prestação de Contas nos processos de fiscalização e aplicação de sanção da ANPD com base na LGPD

Por Caroline Teófilo, sócia do Peck Advogados.

No último dia 18 de outubro, a Autoridade Nacional de Proteção de Dados (ANPD) publicou sanção aplicada à Secretaria de Saúde do Estado de Santa Catarina (SESC-SC) em razão de violação da Lei Geral de Proteção de Dados Pessoais (LGPD), uma vez que ocorreu um incidente de segurança nos sistemas que resultou na disponibilização de dados pessoais cadastrais e médicos.

De acordo com o Relatório n. 4/2023, o Controlador, em que pese ter comunicado o incidente à ANPD, após solicitação, não houve a apresentação do (i) relatório técnico do tratamento do incidente, (ii) nem a comprovação da realização da comunicação aos titulares e (iii) também não houve a entrega do Relatório de Impacto a Proteção de Dados Pessoais (RIPD).

Diante da não apresentação do RIPD houve o descumprimento do Art. 38 da LGPD. Já o Art. 48 trata da obrigatoriedade do Controlador em comunicar a ocorrência de incidentes que possam acarretar risco ou dano relevante aos titulares. Apesar de ter ocorrido a comunicação geral no site do Controlador, mesmo após diversas solicitações da ANPD e transcorrido o prazo razoável, não houve a comunicação individualizada aos titulares de dados afetados.

Já a última violação foi relacionada ao descumprimento do Art. 49 que determina que os sistemas utilizados no tratamento de dados pessoais devem atender requisitos de segurança, padrões de boas práticas e de governança, além dos princípios gerais da LGPD.

Todos os agentes de tratamento devem implementar Programas de Governança em Privacidade que possibilitem:

  • Definição e implementação de um Plano efetivo de Resposta a Incidentes, com realização de simulações;
  • Manutenção de evidências no processo de atendimento aos titulares e ações tomadas em face de incidentes;
  • Definição dos responsáveis e formas de atendimento às solicitações da ANPD em caso de incidentes;
  • Implementação de controles de segurança no desenvolvimento de sistemas que possibilitem a manutenção da confidencialidade, integridade e disponibilidade dos dados pessoais.

No entanto, ficou latente na decisão da ANPD que o Controlador não teve condições de evidenciar o RIPD, as comunicações realizadas e os controles de segurança implementados em seus sistemas. Desta forma, é essencial que os Programas de Governança em Privacidade tenham condições de cumprir com o princípio X do Art. 6, que trata da responsabilização e prestação de contas, sendo primordial para o agente de tratamento comprovar e demonstrar a ANPD o cumprimento das obrigações legais de proteção de dados.

 

Fonte: PartnerSales

Compartilhe

Últimas notícias

27/06/2022

Artificial Intelligence and Data Protection: A Comparative Analysis of AI Regulation through the Lens of Data Protection in the EU and Brazil

I. What is artificial intelligence? Artificial intelligence, according to Professor John McCarthy, ‘is the science and engineering of making intelligent machines, especially intelligent computer programs. […]

17/09/2024

Conflito de interesses na proteção de dados

Artigo publicado originariamente no Valor Econômico. Um dos temas relevantes na pauta de proteção de dados é sobre a questão do conflito de interesses. Afinal, […]

02/08/2024

Novas regras para proteção de dados no setor de energia – Decreto 12.068/2024

Por Cecília Helena de Castro, Gabriel Arantes e Patrícia Peck No final do mês de junho, entrou em vigor o Decreto nº 12.068/2024, o qual, […]

Veja mais publicações

ASSINE NOSSA NEWSLETTER

Receba conteúdos sobre Direito, Inovação e Negócios.

CADASTRE-SE

Nosso Escritório

Rua Henrique Schaumann, nº 270, 4º andar
Edifício Pinheiros Corporate,
São Paulo – SP | CEP: 05413-909
(11) 2189-0444