INSS perde uma estrelinha em sanção da ANPD

A Coordenação-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), publicou hoje (01) no Diário Oficial da União uma sanção administrativa de “Publicização da Infração” contra o INSS, por vazamento de dados derivados de um incidente de segurança ocorrido entre os meses de agosto e setembro de 2022. Porém, a decisão tomada pela fiscalização não é automática, ainda caberá recurso do órgão vinculado ao Ministério da Previdência Social.

A “punição” adotada pela fiscalização – que ainda poderá ser revista pela diretora da ANPD, caso o INSS num prazo de 10 dias recorra da sanção – visa obrigar que órgão federal publique durante 60 dias em sua página na Internet (www.gov.br/inss/pt-br) a seguinte mensagem para os leitores/usuários:

“O INSS, tendo em vista que foi condenado pela Autoridade Nacional de Proteção de Dados por infração ao dever de comunicar os titulares a ocorrência de incidente de segurança, comunica que tomou conhecimento da ocorrência de incidente de segurança entre os meses de agosto de setembro de 2022. O incidente pode ter comprometido a confidencialidade dos dados pessoais tratados pelo INSS por conta de acesso a volume extraordinário de dados por meio de consultas volumétricas ao sistema. Dentre os dados que podem ter sido afetados, estariam dados de comprovação de identidade oficial, dados financeiros e de saúde (tais como nome, CPF, NIT, identidade, data de nascimento, sexo, ramo de atividade profissional, dados bancários e quantidade de dependentes) de um número indeterminado de beneficiários e segurados do INSS, o que poderia acarretar o risco de furto de identidade, fraudes, assédios comerciais, entre outros danos.

Informamos que o Instituto realizou, imediatamente, ações preventivas e corretivas nos processos e sistemas informatizados da entidade visando mitigar a vulnerabilidade detectada no sistema. A fim de conter o possível incidente de segurança, foi realizado o bloqueio das credenciais dos usuários que possivelmente permitiram o acesso e consequente consulta. Além disso, o Instituto comunicou à ANPD do incidente em questão. Dúvidas ou outras solicitações podem ser encaminhadas à encarregada pelo Tratamento dos Dados no e-mail: encarregado@inss.gov.br.”

Além de publicar a mensagem acima, o INSS também é orbgado a enviar outra mensagem para todos os usuários do aplicativo “Meu INSS”, e que ela fique disponível no app pelo mesmo prazo de 60 dias. “Com indicação visual de que há mensagem pendente de leitura/visualização”, informa a fiscalização do órgão de proteção de dados. E o tero da mensagem no aplicativo será:

“O INSS, tendo em vista que foi condenado pela Autoridade Nacional de Proteção de Dados por infração ao dever de comunicar os titulares a ocorrência de incidente de segurança, comunica a ocorrência de incidente de segurança entre agosto e setembro de 2022. O incidente pode ter comprometido a confidencialidade dos dados pessoais tratados pelo INSS, saiba mais no link:” [apontar para o link criado para atender a determinação 2.1.]

Com a possibilidade de recurso, o INSS ainda poderá esperar o prazo de 10 dias para contestar a decisão da fiscalização da ANPD. E somente depois de transitado em julgado, ou seja, que a diretoria da Autoridade Nacional de Proteção de Dados, julgue essa decisão/recurso, é que o INSS poderá cumprir ou não a punição, a depender do que os diretores da ANPD diserem.

Se a decisão da direção da ANPD for pela manutenção desta sanção aplicada e ela não for cumprida de imediato pelo INSS, então a o processo deverá ser encaminhado para a Procuradoria Federal Especializada da ANPD e para a Controladoria-Geral da União (CGU). A partir daí o que seria uma mera sanção administrativa que apenas arranharia a imagem do INSS, passa a ter a possibilidade de virar um processo de investigação por improbidade administrativa dos responsáveis pelo descumprimento dessa autuação.

Independentemente de culpa ou não, mais uma vez a ANPD atua de forma tímida. Só mostra os dentes; não morde com pesadas multas os casos em que ocorrem vazamento de dados no Brasil. Como trata-se de órgão público, não é alcançado por multas. Mas advertência desse tipo é a pena mais branda para o INSS.

Após mais essa decisão, no meio jurídico o nome da autarquia ANPD já ganhou apelido de “Advertência Nacional de Proteção de Dados”.