Procurei a Autoridade Nacional de Proteção de Dados para saber se medidas estão sendo adotadas pelo órgão, após denúncia na imprensa de que três médicos tiveram seus dados pessoais divulgados pelo Ministério da Saúde e propagados em grupos de aplicativos de mensagens por uma deputada federal, não por acaso a presidente da Comissão de Constituição e Justiça, Bia Kicis.
A resposta da ANPD foi que, neste caso especifico, será preciso haver ” um fato certo” para que possa agir. A Autoridade ainda se pronunciou com relação as ações que já vem empreendendo junto ao Ministério da Saúde após as notícias do ataque hacker ocorrido no final do ano passado, que tirou os principais sistemas do ar. Vejam a íntegra da resposta:
RESPOSTA DA ANPD
“A ANPD já está fiscalizando os últimos incidentes relacionados ao Ministério da Saúde. Porém, esse caso específico que você citou precisa ser um fato certo para que se enquadre no exercício e competência da ANPD para a fiscalização.
Para que a ANPD exerça o poder de polícia, que tem caráter predominantemente preventivo, podendo ser repressivo e fiscalizador é necessário indícios de fatos concretos, ou seja, não basta que a deputada coloque informações no Twitter apenas, é preciso que as informações cheguem até a ANPD de forma fundamentada. A deputada não é a controladora desses dados pessoais. Somente o controlador dos dados pessoais poderá esclarecer se houve ou não vazamento de dados.
O Ministério da Saúde já foi notificado sobre os incidentes ocorridos no mês passado, mas não deu retorno até o presente momento. A ANPD está tomando providências para que o MS se manifeste e esclareça os fatos ocorridos.
O Ministério da Saúde, na qualidade de controlador de dados pessoais, submetido às disposições da LGPD, não comunicou ainda a série de incidentes de segurança ocorridos, conforme o Comunicado de Incidentes de Segurança previsto no art. 48 da LGPD.
O qual prevê que esse comunicado mencione, no mínimo:
- descrição sobre a natureza dos dados pessoais afetados pelo ataque,
- informação sobre os titulares que foram envolvidos,
- indicação das medidas técnicas e de segurança usadas para proteger os dados,
- os riscos relacionados ao incidente,
- os motivos da demora, no caso de a comunicação não ter sido imediata e
- quais as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
O encaminhamento da comunicação à ANPD não se confunde com a resposta e com o tratamento que deve ser dado aos incidentes pelo controlador. O controlador deve adotar todos os mecanismos e procedimentos administrativos necessários para o tratamento seguro dos dados pessoais, conforme previsão dos Art. 46 a 49 da LGPD. O tratamento de dados pessoais sem as devidas salvaguardas pode configurar hipótese do Art. 44 da LGPD, culminando com a determinação de suspensão total do tratamento de dados pessoais.
A ANPD adota procedimento preliminar de fiscalização, conforme seu regulamento, para verificar situações de incidentes em que não há colaboração efetiva do controlador. No caso de controladores públicos, as entidades e aos órgãos públicos, por exemplo, o encarregado e os gestores, envolvidos no tratamento de dados pessoais e TI, sujeitam-se às penalidade previstas na Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o Regime Jurídico dos Servidores Públicos Civis da União, na Lei nº 8.429, de 2 de junho de 1992 (Lei de Improbidade Administrativa) e na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).
Além das penalidades previstas no Art. 52 para os órgãos públicos e para os servidores envolvidos, a ANPD possui o dever de comunicar aos órgãos de controle interno o descumprimento do disposto na LGPD por órgãos e entidades da administração pública federal, sujeitando tais controladores às competências de órgãos como CGU e TCU.
A maior consequência é o dano à privacidade dos titulares e o atendimento das demandas geradas nos incidentes, principalmente em obediência ao princípio da transparência.
A ANPD está adotando todas providências cabíveis para que os controladores observem a LGPD, realizem o tratamento de dados pessoais de forma segura e atendam aos direitos dos titulares”.
