A Agência Nacional de Proteção de Dados (ANPD) proferiu sanções recentemente contra a Secretaria de Estado da Saúde de Santa Catarina por violações aos artigos 48 e 49 da Lei Geral de Proteção de Dados (LGPD). Segundo análise da advogada Alexandra Krastins Lopes, representante do escritório PG Advogados, essas medidas indicam uma carência de maturidade por parte dos órgãos públicos no que diz respeito à governança dos dados pessoais dos cidadãos.
O despacho decisório resultou em quatro sanções de advertência direcionadas ao referido órgão público. A primeira infração refere-se à falta de cumprimento do artigo 38, que trata da possibilidade de a Autoridade determinar a elaboração do Relatório de Impacto à Proteção de Dados pessoais (RIPD). Este documento, conhecido como RIPD, deve ser elaborado em certos casos durante as atividades de governança dos dados pessoais de uma instituição e contém a descrição dos processos de tratamento de dados pessoais que possam representar alto risco para os princípios da LGPD, as liberdades civis e os direitos fundamentais dos titulares de dados.
De acordo com a especialista, embora o tema ainda não tenha sido regulamentado, a ANPD já emitiu orientações a respeito. Além disso, as boas práticas do mercado há algum tempo recomendam a elaboração do RIPD em várias situações, especialmente no tratamento de dados pessoais sensíveis, incluindo os relacionados à saúde.
Outra violação cometida pela Secretaria de Estado da Saúde de Santa Catarina está relacionada ao artigo 48 da LGPD, que estipula a obrigação de notificar a ANPD e os titulares sobre incidentes de segurança envolvendo dados pessoais que possam resultar em risco ou dano significativo aos titulares.
Segundo Alexandra, além das sanções, foi determinado que o órgão público publique informações sobre o incidente em seu site, pelo período mínimo de 90 dias, conforme descrito pela ANPD, e comunique diretamente e individualmente aos titulares afetados e identificados.
A advogada destaca a importância especial dessas sanções, uma vez que se aplicam a um órgão público, onde a transparência deveria ser uma premissa fundamental.
A advogada enfatiza que medidas de transparência quanto a falhas de segurança podem gerar preocupações de reputação para os gestores de órgãos públicos. No entanto, o cumprimento da lei deve ser uma prioridade, uma vez que não existe uma correlação direta entre a notificação de incidentes e a imposição de sanções.
Outra sanção refere-se à falta de estrutura dos sistemas para atender aos requisitos de segurança, às normas de boas práticas e de governança e aos princípios gerais da LGPD. Por fim, uma sanção adicional diz respeito à falta de cooperação com as atividades de fiscalização realizadas pela Autoridade.
Segundo a especialista, a falta de maturidade do órgão sancionado para lidar com questões de fiscalização e proteção de dados é notável e merece destaque. Ela observa que, embora haja críticas quanto à ANPD focar novamente em órgãos públicos, em contraste com inúmeras entidades do setor privado que não cumprem a legislação, a Administração Pública ainda precisa evoluir consideravelmente no que diz respeito à governança, transparência e cooperação entre instituições.
A advogada reforça que o papel principal da ANPD é assegurar a proteção dos dados dos titulares, de modo que tanto empresas privadas quanto públicas podem ser sancionadas pela Autoridade caso não cumpram a legislação. O objetivo, no entanto, é satisfazer o interesse público e garantir o cumprimento de sua principal competência.
Ela ressalta que, com essas decisões reiteradas envolvendo órgãos públicos, a ANPD está enfatizando que a lei é aplicável a todos e que o descumprimento de obrigações fundamentais, como a governança, a segurança dos dados de saúde e a transparência, não ficará impune.
Para a especialista, essa abordagem favorece o ecossistema de proteção de dados e a democracia.
Fonte: Migalhas.
