INSS é condenado a divulgar incidente de vazamento de dados

O Conselho Diretor da ANPD negou o recurso do INSS e confirmou a sanção que obriga a divulgação da infração à LGPD cometida pela autarquia, que não notificou os titulares sobre o vazamento de dados. Com essa decisão, o INSS terá que publicar um comunicado em sua página principal detalhando quais dados podem ter sido comprometidos. Ainda, o Instituto deve enviar notificação a todos os beneficiários sobre o incidente de segurança.

O que aconteceu com o INSS?

O INSS sofreu um incidente de segurança em 2022, que levou ao vazamento de dados pessoais de pessoas cadastradas, como CPF, dados bancários e data de nascimento. Esses dados podem ser usados por criminosos para cometer vários tipos de fraudes.

A LGPD determina que incidentes de segurança que possam causar danos aos titulares devem ser comunicados a todos os afetados, mas o Instituto preferiu não divulgar o problema, e foi sancionado pela ANPD. O INSS alegou que seria impossível saber quais beneficiários foram afetados, de modo que não haveria possibilidade de comunicação individualizada. Ainda, argumentou que a divulgação poderia causar pânico e desconfiança. Entretanto, a ANPD decidiu que a comunicação é indispensável, e poderia ter sido feita de forma indireta, ou seja, com ampla divulgação em seus canais de comunicação.

O INSS foi penalizado, sendo obrigado a publicar aviso sobre o incidente de vazamento de dados em seu site e no aplicativo Meu INSS pelo prazo de 60 dias.

Lições para as cooperativas

Esse caso oferece lições valiosas para todos os controladores de dados pessoais, dentre eles as cooperativas:

1. Cumprimento da LGPD: A LGPD estabelece regras sobre como os dados pessoais devem ser protegidos e como os incidentes de segurança devem ser comunicados. É crucial seguir essas regras para evitar as sanções e proteger os dados dos associados.
2. Política de Segurança da Informação: As organizações devem adotar os meios técnicos e as boas práticas necessárias para evitar os incidentes envolvendo dados, como os vazamentos. É importante que os todos colaboradores que têm contato com dados pessoais tenham esses riscos em mente (Saiba mais sobre os documentos essenciais para a conformidade com a LGPD).
3. Comunicação de Incidentes: Em caso de vazamento de dados, a comunicação com os titulares afetados é essencial. A transparência ajuda a diminuir os danos, porque permite que os indivíduos tomem medidas para proteger suas informações. As cooperativas devem observar as disposições do Regulamento de Comunicação de Incidente de Segurança (saiba mais sobre o assunto).
4. Responsabilidade: A decisão da ANPD demonstra que não há tolerância para o descumprimento da LGPD. As cooperativas devem adotar boas práticas de proteção de dados e demonstrar que têm processos adequados para prevenir e gerenciar incidentes de segurança.

Resumindo...

Para as cooperativas, seguir a LGPD não é apenas uma obrigação legal, mas uma medida fundamental para conservar a confiança dos associados. Um incidente de violação de dados pessoais ou uma penalização pela ANPD pode ferir a reputação da Cooperativa e do Cooperativismo. A recente decisão da ANPD sobre o INSS destaca a necessidade de ter políticas claras e eficazes para proteger informações pessoais e comunicar incidentes de forma apropriada. O esforço na proteção de dados é crucial para evitar problemas legais e proteger o bom nome da organização.

Gostou do tema? Nos acompanhe e fique por dentro de todas as informações relevantes para o desenvolvimento de uma cultura de proteção de dados pessoais.