ANPD aplica novas sanções administrativas

Marco Tulio Castro
Marco Tulio Castro
Advogado
31 de Janeiro 17:16
  • Enviar por e-mail
    Enviar por e-mail
    Para múltiplos destinatários separe os e-mails por vírgula.
  • Salvar em PDF

A ANPD aplicou 4 (quatro sanções de advertência) contra a Secretaria de Estado de Educação do Distrito Federal (SEEDF), (processo nº 00261.001192/2022-14).

Foi apurado que a SEEDF expôs indevidamente dados pessoais de estudantes em razão de uma falha de segurança no formulário de inscrição do Programa Educação Precoce, construído com a ferramenta Google Forms. As respostas enviadas pelos cidadãos estavam publicamente disponíveis, mostrando dados cadastrais e de saúde de 3.030 crianças e adolescentes, bem como de seus responsáveis.

A ANPD aplicou as seguintes penalidades:

a) Advertência por descumprimento ao art. 37 da LGPD, uma vez que a SEEDF não apresentou registro de operações de tratamento quando solicitada;

b) Advertência por descumprimento ao art. 38 da LGPD, em razão da não apresentação de Relatório de Impacto à Proteção de Dados Pessoais (RIPD) após solicitação da ANPD.

c) Advertência por descumprimento ao art. 48 da LGPD, em razão do atraso na comunicação aos titulares de dados pessoais, o que somente ocorreu oito meses após a primeira determinação de que o comunicado fosse emitido.

d) Advertência por descumprimento ao art. 5º do Regulamento de Fiscalização, em função da falta de apresentação dos documentos requeridos pela ANPD em sua atividade de fiscalização.

É importante destacar que o incidente de segurança se deu por falha de um usuário do Google Forms, que configurou equivocadamente a ferramenta, possibilitando a visualização das respostas.

A ausência de treinamento adequado caracteriza, em tese, que não foram adotadas as medidas administravas necessárias à utilização do sistema em que os dados estavam sendo tratados, o que seria uma violação ao art. 46 da LGPD. Mas a ANPD interpretou que a pandemia de Covid-19 foi um caso de força maior, que justifica a não realização do treinamento.

Essa decisão da ANPD reforça a importância (i) da elaboração do Registro de Operações de Tratamento e do Relatório de Impacto à Proteção de Dados Pessoais (RIPD); (ii) do estabelecimento de um processo claro para lidar com incidentes de segurança, incluindo a necessidade de comunicação aos titulares e (iii) da implantação de medidas administrativas de treinamento e capacitação dos usuários que utilizam sistemas que realizam operações de tratamento de dados pessoais.

AI Summit in Rio 2024

Descubra como aumentar a competitividade do seu negócio com líderes globais em Inteligência Artificial.

Faça sua inscrição aqui
Políticas Públicas LGPD
Comentários
Assespro-RJ

Praça Pio X, 55 - Sala 901
Cep 20040-020 - Rio de Janeiro / RJ

+55 21 2507-7181

equipe-assespro@assespro.rio

Federação Assespro

SRTVS Qd. 701, Bloco A, Salas 829-831
Cep 70340-907 – Brasília/DF

+55 61 3201-0932

staff@assespro.org.br

Sobre a Assespro-RJ

A Assespro-RJ é a associação empresarial do segmento de tecnologia, inovação e empreendedorismo com maior abrangência e penetração de mercado no Brasil.

Nosso objetivo é proporcionar um ambiente de negócios e prosperidade para os associados, seus clientes e parceiros, e apoiar institucionalmente o desenvolvimento do nosso setor, com foco nacional e internacional.

© 2023 Assespro-RJ