No início do mês de novembro, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou advertências a duas organizações que enfrentaram problemas de segurança de dados sem procederem com a devida comunicação aos titulares afetados. Na oportunidade, o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) e a Secretaria de Saúde do Estado de Santa Catarina (SES-SC) tiveram seus bancos de dados violados e vazados, com exposição de informações, como: nomes, endereços, CPF e até salários de contribuintes, dependentes e beneficiados, em expressa violação aos artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD).
É relevante notar que a advertência aplicada, caracterizada como uma sanção majoritariamente educativa pela ANPD, resultou da falta de uma comunicação eficaz aos titulares afetados, algo claramente reprovado pelo texto da legislação correspondente. Desde a implementação da LGPD, a legislação tem enfatizado a importância da autonomia informativa do titular, a pessoa física, em relação às formas e aos procedimentos de tratamento de dados realizados por diversos agentes e organizações. Não há espaço para aqueles que não aderem aos princípios da necessidade, da proporcionalidade e, especialmente, da transparência com as pessoas diretamente envolvidas.
Conforme as ações da ANPD na fiscalização da aplicação correta da LGPD, não é suficiente que os responsáveis pelo tratamento de dados comuniquem de forma genérica aos titulares, por meio de notas oficiais ou avisos amplos, sobre incidentes de violação ou vazamento. É imprescindível que cada titular seja notificado individualmente, utilizando e-mails, mensagens ou até mesmo ligações, informando detalhadamente quais de seus dados foram comprometidos, a gravidade da infração, a extensão do vazamento e as medidas tomadas para reduzir o risco. Além disso, é crucial que essa notificação seja realizada de maneira rápida, em conformidade com as normas legais estabelecidas.
A medida de impor advertências às entidades envolvidas é crucial para garantir a eficácia da LGPD, que visa resguardar a autonomia informativa das pessoas naturais, reconhecendo-as como verdadeiras “proprietárias” de seus dados pessoais. Diante disso, é imperativo que qualquer operação incidente nessas informações seja prontamente comunicada aos titulares, sem margem para interpretações genéricas ou omissões.
A LGPD, alinhada ao direito à privacidade, elevado a status constitucional desde 2022, estabelece uma base sólida para assegurar que todas as entidades e órgãos tratem os dados pessoais com o devido respeito e transparência, reforçando a importância da comunicação específica e imediata em caso de incidentes de segurança. Essa medida não apenas protege os direitos individuais dos titulares, mas também promove a conformidade integral com a legislação, assegurando que o tratamento de dados seja realizado de acordo com os princípios fundamentais da LGPD.
Por:
Eduardo Anversa Scremin- OAB/RS 110.840
Luiza Gabbi Biesdorf – OAB/RS 124.380
