Pela primeira vez o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) analisou e negou um recurso administrativo. O processo de nº 00261.001888/2023-21 teve sanção de publicização da infração e concedeu, devido à natureza histórica do ocorrido, um importante precedente em segunda instância da ANPD.

No caso concreto, no segundo semestre de 2022, houve uma falha de segurança cujo objeto seriam os dados do Sistema Corporativo de Benefícios do Instituto Nacional do Seguro Social (SISBEN), que expôs informações como CPF, dados bancários e data de nascimento de diversas pessoas. Tal incidente ensejou na condenação do INSS por não comunicar a ocorrência de incidente de segurança aos titulares de dados, com o agravante de não ter atendido determinações da ANPD sobre incidentes de segurança com dados pessoais, descumprindo assim o art. 48 da Lei Geral de Proteção de Dados Pessoais (LGPD), assim como o art. 32, §2º da Resolução CD/ANPD nº 1/2021, que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD.

O citado art. 48 da LGPD traz a obrigação de informar à ANPD e ao titular de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares dentro do prazo estipulado (três dias úteis).

Porém, mesmo após o recebimento do despacho decisório exigindo a comunicação, a Autarquia (INSS) se negou a cumprir a exigência, sustentando “não haver como precisar quais dados foram potencialmente acessados, consultados e eventualmente compartilhados, nem as pessoas casualmente afetadas”, e que não seria “logicamente possível que a comunicação do incidente fosse realizada de maneira individual, sob pena de não se alcançar o objetivo da medida”, além do fato de que ao disseminar a informação, poderia gerar um medo generalizado e desconfiança nos segurados.

A sanção aplicada ao INSS foi de publicar um comunicado sobre o incidente na primeira página do site da Autarquia e não poderá retirá-lo pelo prazo de 60 (sessenta) dias, além de notificar a todos os seus usuários através do aplicativo ‘Meu INSS’ sobre o ocorrido. Vale lembrar que a ANPD não possui competência para aplicar sanção de multa a órgãos públicos.

A decisão se mostra extremamente relevante, considerando ser a primeira vez que o Conselho Diretor julga um recurso administrativo contra a imposição de uma sanção em sede de segunda instância. Até então, apenas sete processos administrativos sancionadores haviam sido abertos e foram concluídos em primeira instância.

Deste modo, a decisão abre precedente de um caso concreto em que houve a aplicação da legislação ratificada em segunda instância, demonstrando a posição da ANPD no julgamento de processos administrativos sancionadores, indicando uma posição mais incisiva por parte da Autoridade.