Entenda o caso
Em outubro de 2022 o INSS apresentou comunicação preliminar à ANPD pois foi identificado um alto número de consultas a dados sem justificativa operacional. Foram realizadas mais de 90 milhões de consultas ao Sistema Corporativo de BenefÍcios do INSS (SISBEN) e 9 milhões de consultas ao Sistema Único de Benefícios DATAPREV (BLH00), quantidade quase três vezes maior que a registrada no mês de junho do mesmo ano. Os acessos foram realizados a partir de credenciais de acesso válidas, concedidas pelo Instituto Nacional do Seguro Social (INSS) à Advocacia Geral da União (AGU).
O incidente afetou um número indeterminado de dados de comprovação de identidade oficial, dados financeiros e de saúde (tais como nome, CPF, NIT, identidade, data de nascimento, sexo, ramo de atividade profissional, dados bancários e quantidade de dependentes). Os dados envolvidos no incidente poderiam acarretar o risco de furto de identidade, fraudes, assédios comerciais, entre outros danos.
Após não atender a diversas determinações para comunicar os titulares emanados pela autoridade, foi instaurado processo administrativo sancionador em 23 de junho de 2023. O INSS então foi autuado nas seguintes infrações:
- Ausência de comunicação do incidente aos titulares (art. 48 LGPD);
- Falta de atendimento a medida preventiva (art.32, §2° do Regulamento de Fiscalização)
- Defesa apresentada e argumentação da autoridade
Defesa apresentada e argumentação da autoridade
Em sede de processo administrativo, o INSS formulou 4 argumentos. Abaixo iremos enumerá-los junto da resposta dada pela autoridade.
1 – A comunicação de incidente aos titulares precisa passar por uma análise de pertinência: De acordo com o INSS, era preciso averiguar se a comunicação do incidente faz prevalecer ou não o interesse público da instituição perante os interesses individuais dos titulares.
Resposta da ANPD: Não há que se falar em poder discricionário da Administração Pública quando o incidente carrega os requisitos que disparam o dever de comunicar a ANPD e os titulares. Caso o incidente seja potencialmente lesivo aos titulares e possa acarretar risco ou dano relevante, a comunicação dos titulares deve acontecer. Além disso, a autoridade ressaltou que o controlador precisa agir com cautela na avaliação dos riscos do incidente e que em caso de dúvida sobre a gravidade do incidente, deve-se comunicar os titulares como medida preventiva.
2 – A comunicação do incidente é irrazoável e prejudicial ao interesse público. O INSS, alegou que a comunicação aos titulares é irrazoável por conta da impossibilidade de individualizar tecnicamente os afetados pelo incidente. Além disso, argumentou-se que a comunicação seria prejudicial ao interesse público em relação ao interesse privado dos titulares na medida em que poderia gerar “ pânico e desconfiança em todo o contingente de segurados e beneficiários”.
Resposta da ANPD: A comunicação do incidente é possível mesmo em casos onde não é possível individualizar os titulares ou compreender a extensão do incidente não é medida irrazoável. Nesse sentido o art. 48 é razoável na medida em que o ônus de comunicar é maior para os controladores que não adotam medidas de segurança em conformidade com a LGPD. Nesse sentido, uma comunicação feita diretamente aos titulares de forma individualizada está intimamente ligada à capacidade do controlador de individualizá-los. De outra forma, uma comunicação mais difusa e de maior exposição para o controlador deve ocorrer quando este não tem medidas de segurança aptas a identificar quem foi afetado pelo incidente.
Além disso, a autoridade ressaltou que o controlador não pode se valer da negligência em relação a medidas de segurança como justificativa para não comunicar os titulares. Nas palavras da ANPD, permitir tal entendimento levaria a uma violação do dever de lealdade e transparência da boa-fé objetiva. Isto pois existe legítima expectativa do titular de ser informado que seus dados foram expostos. Trata-se de medida proporcional e razoável na medida em que a comunicação pode ser feita de várias formas e garante a prevenção dos efeitos adversos do incidente.
Sobre o conflito entre interesse público e privado, a ANPD argumentou que o caso em questão não se trata de conflito de interesse público e privado, mas de efetivação de um direito fundamental consubstanciado na constituição. Dessa forma, não há conflito que justifique a não comunicação aos titulares de dados.
3 – A decisão que determina a comunicação precisa ser motivada: O INSS alegou que a decisão que impôs a medida preventiva de de comunicação do incidente aos titulares precisa ser motivada especificamente, o que não foi feito no caso de acordo com a instituição;
Resposta da ANPD: De acordo com a autoridade, a decisão de comunicar o incidente adveio do elevadíssimo número de titulares potencialmente afetados, pois trata-se de sistemas que armazenam uma grande quantidade de dados pessoais, tais como Nome, CPF, NIT, identidade, data de nascimento, sexo, ramo de atividade profissional, dados bancários e quantidade de dependentes. Em outra ocasião, o próprio INSS admitiu que o incidente poderia acarretar risco ou dano relevante aos titulares.
4- A lei de acesso à informação e a lei que estabelece a Rede Federal de Gestão de Incidentes Cibernéticos, tem comandos legais que impedem a comunicação de incidentes de segurança aos titulares: De acordo com o INSS, o art. 23 da Lei de Acesso a Informação combinado com o art. 15 da Lei que estabelece a Rede Federal de Gestão de Incidentes Cibernéticos (Decreto 10.748, de 16 de julho de 2021) impedem a divulgação de informações sobre o incidente de segurança pois tais informações são “imprescindíveis à segurança da sociedade ou do Estado”.
Resposta da ANPD: O art. 23 não é hipótese autônoma de sigilo dos dados e depende de procedimento previsto em lei, procedimentos que não foram apresentados pelo INSS. Além disso, o art. 15 da Rede Federal de Gestão de Incidentes Cibernéticos diz respeito somente a medidas técnicas e administrativas para o acesso à informação dos incidentes, não impedindo uma comunicação mais genérica aos titulares para que eles possam tomar medidas para mitigar ou prevenir riscos do incidente. Por conta disso, a comunicação de incidente de segurança não se trata de informação sigilosa e portanto deve ser realizada.
Decisão
Ao final, a ANPD entendeu que o INSS efetivamente não comunicou o incidente aos titulares (art. 48 LGPD) e contou com a circunstância agravante de não atender a medida preventiva solicitada pela própria autoridade (art.32, §2° do Regulamento de Fiscalização). A infração foi considerada como grave, uma vez que o incidente afetou uma quantidade significativa de dados sensíveis relacionados à saúde e benefícios previdenciários conforme art. 8º, §3º, “a” e “d”, do Regulamento de Dosimetria.
Por conta disso, a ANPD sancionou o INSS a publicizar a infração em seu site e no aplicativo Meu INSS durante o período de 60 dias.
Recurso
Após a decisão em primeira instância administrativa, o INSS interpôs recurso administrativo onde argumentou sobre a nulidade do processo administrativo, a razoabilidade da sanção aplicada e seu conflito com o interesse público ao Conselho Diretor da ANPD. Em sua primeira decisão de recurso administrativo (Voto Nº 17/2024/DIR-JR/CD), a ANPD manteve a aplicação de sanção de publicização da sanção nos termos da decisão em primeira instância. Abaixo elencamos os principais argumentos e a resposta dada pela ANPD:
Preliminares
INSS: o órgão alegou a existência de nulidades processuais. Defende que o afastamento da tese do sigilo sobre o incidente de segurança (aplicação combinada do art. 23, da LAI, e do art. 15, do Decreto nº 10.748/2021) teve fundamentação inadequada.
ANPD: Em recurso, a ANPD considerou que a decisão foi devidamente fundamentada, tratando detidamente das circunstâncias do caso concreto. Em seguida, alegou que mesmo se ocorresse a aplicação combinada do art. 23, da LAI, e do art. 15 ,do Decreto nº 10.748/2021,a aplicação da LGPD não seria afastada.
Isto pois o ecossistema de segurança da informação da administração pública federal dialoga com a disciplina da proteção de dados pessoais a partir de uma interpretação sistemática do Decreto nº 10.748/2021 e nº 9.637/2018.
Ao se realizar uma leitura da LAI e dos decretos em questão, é possível ver que tais dispositivos não impõem sigilo ao próprio incidente de segurança em si, mas a determinadas informações dele. Dessa forma, não há conflito aparente dessas normas com a LGPD. Ou seja, a obrigação de comunicar o incidente permanece.
Por fim, a autoridade reforça que a LGPD é a lei que instituiu o regime jurídico de proteção de dados pessoais no Brasil e, por isso, deve ser observada quando a questão se relaciona à proteção de dados pessoais, como é o caso.
INSS: Alegou vício quanto à intimação, alegando que a intimação destinada à pessoas jurídicas de direito público devem ser encaminhadas a seu representante legal.
ANPD: Destaca que, de acordo com a LGPD, o encarregado de dados é a pessoa responsável por atuar como canal de comunicação entre o agente de tratamento e a autoridade, conforme art. 41 da LGPD, razão pela qual a intimação foi válida.
Mérito
INSS: alegou que a ANPD desconsiderou as medidas de mitigação tomadas para evitar consequências negativas aos titulares e por isso teria deixado de observar a boa-fé do INSS na dosimetria da sanção.
ANPD: A autoridade ressaltou que a tomada de medidas para proteger os dados dos titulares significa somente que o INSS cumpriu com o dever de segurança esperado dele e previsto pela LGPD. O fato de ter agido de boa-fé não apaga o fato de que a comunicação do incidente de segurança não foi realizada.
No caso em questão, poderiam ser aplicadas as sanções de advertência, publicização da infração, bloqueio dos dados pessoais, até a sua regularização, eliminação dos dados pessoais e suspensão parcial do funcionamento do banco de dados e suspensão do exercício da atividade de tratamento dos dados pessoais. Contudo, a ANPD entendeu que outras medidas mais gravosas como a eliminação dos dados não se faziam necessárias.
INSS: o órgão defendeu que a decisão em primeira instância seria desproporcional, desarrazoada e contrária ao interesse público preponderante uma vez que a restrição de acesso às informações do incidente se sobressai em relação aos poucos indivíduos que serão beneficiados pela comunicação ampla do incidente.
ANPD: A determinação da sanção de comunicação ocorreu pois a autoridade entendeu que essa era a medida que visaria proteger os direitos dos titulares e, por isso, é razoável. Acerca do interesse público, a ANPD reiterou o argumento de que a comunicação de incidente de segurança visa à garantia do direito fundamental à proteção de dados pessoais, razão pela qual não há conflito entre o interesse público alegado pela instituição.
Argumento 3: o INSS pediu que a metodologia indicada para a publicização da infração criou uma metodologia de sancionamento própria e portanto não poderia ser aplicada.
ANPD: Conforme art. 20 §2° da LGPD, a sanção de publicização deverá indicar o teor, o meio, a duração e o prazo para o seu cumprimento. No caso, a ANPD indicou o conteúdo que deve ser publicado, o meio (primeira página do sítio eletrônico do INSS e aplicativo Meu INSS), bem como o tempo em que a publicação deve ficar acessível (60 dias) e o prazo para cumprimento. Foram atendidas, plenamente, as disposições regulamentares afetas ao tema.
Com a primeira decisão em recurso, a ANPD fortalece uma série de entendimentos sobre a comunicação do incidente de segurança no setor público, garantindo segurança jurídica e mostrando um desenvolvimento institucional importante.
Até a próxima!