Em decisão inédita, o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) rejeitou o recurso do Instituto Nacional do Seguro Social (INSS) e manteve a sanção que obriga a autarquia a publicizar uma infração à Lei Geral de Proteção de Dados (LGPD). O INSS foi autuado por ter comunicado à ANPD um incidente de segurança, mas ter se recusado a informar os titulares dos dados sobre a violação ocorrida. Esta é a primeira vez que o Conselho Diretor julga um recurso administrativo contra a imposição de uma sanção, estabelecendo um importante precedente na aplicação da LGPD no Brasil.
Até o momento, apenas dois casos envolveram a interposição de recursos administrativos à ANPD. Um desses casos foi apresentado pela Secretaria de Estado de Educação do Distrito Federal e ainda aguarda julgamento. O outro é o caso do INSS, que já foi concluído. Este é o primeiro caso concreto em que a ANPD fixa um precedente sobre a aplicação da legislação em segunda instância, marcando um avanço significativo na proteção de dados no país.
A Coordenação Geral de Fiscalização da ANPD classificou a infração cometida pelo INSS como “grave”, devido ao tratamento de dados pessoais em larga escala e à natureza sensível desses dados. O incidente de segurança, que ocorreu no segundo semestre de 2022, envolveu dados do Sistema Corporativo de Benefícios do INSS (SISBEN) e apresentava risco ou dano relevante aos titulares dos dados pessoais. Em tais casos, a legislação de proteção de dados exige que os titulares sejam informados o mais rapidamente possível para mitigar eventuais impactos negativos decorrentes do incidente.
No entanto, o INSS resistiu em cumprir a determinação legal, mesmo após diversas instruções da Coordenação Geral de Fiscalização, evidenciando o descumprimento da obrigação legal prevista no art. 48 da LGPD. A instituição argumentou que não havia como precisar quais dados foram potencialmente acessados, consultados e eventualmente compartilhados, nem identificar as pessoas afetadas. Alegou ainda que a comunicação individual aos titulares seria impraticável e poderia gerar pânico e desconfiança entre os segurados.
O processo tramita sob o número 00261.001888/2023-21.