VIOLAÇÃO DA LGPD: ANPD SANCIONA IAMSPE COM ADVERTÊNCIAS E MEDIDAS CORRETIVAS

16 de outubro de 2023

No último dia 6 de outubro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) concluiu um processo sancionatório contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) por violação da LGPD. Neste caso, a violação se relacionou à falha do IAMSPE em manter sistemas seguros para o armazenamento e tratamento adequado dos dados pessoais de milhões de servidores públicos e seus dependentes, configurando uma espécie de engenharia social que levou a erros por parte dos usuários, expondo seus dados pessoais, em violação ao artigo 49 da LGPD.

Conforme estabelece o artigo 49 da Lei 13.709/2018, os sistemas utilizados para o tratamento de dados pessoais devem atender a requisitos de segurança, boas práticas, governança e princípios gerais da lei, bem como outras normas regulamentares.

Além disso, o IAMSPE foi considerado responsável por um incidente de segurança no qual não comunicou de forma clara, adequada e tempestiva os titulares dos dados sobre quais dados pessoais poderiam ter sido comprometidos, infringindo o artigo 48 da LGPD, que estabelece os requisitos mínimos para uma comunicação eficaz de incidentes de segurança, tanto para a ANPD quanto para os titulares dos dados.

Diante dessas infrações, a ANPD aplicou ao IAMSPE advertências e apontou medidas corretivas, conforme despacho publicado no Diário Oficial da União. Isso reforça a importância para todas as organizações, sejam públicas ou privadas, de cumprir integralmente as disposições da LGPD. A ANPD tem demonstrado seu empenho em finalizar os processos e aplicar as sanções necessárias diante das violações, ressaltando a necessidade de conscientização e conformidade com a LGPD por parte de todas as empresas.

É importante que os contadores informem a seus clientes sobre a importância de se adequar à LGPD, buscando profissionais qualificados para realizar os procedimentos exigidos. Vale destacar que a cópia de políticas de privacidade ou a oferta de informações genéricas é ineficaz e pode configurar crime, conforme o artigo 184 do Código Penal. A adequação à LGPD é um assunto de extrema seriedade, e qualquer abordagem genérica é insuficiente.