Processo nº 00261.001888/2023-21
Interessado: INSTITUTO NACIONAL DO SEGURO SOCIAL - INSS, EDSON PINHEIRO ALVARISTA
O COORDENADOR-GERAL DE FISCALIZAÇÃO DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS - ANPD, no uso de suas atribuições legais e regulamentares, com fundamento no art. 17, inciso I, do Regimento Interno da ANPD, aprovado pela Portaria nº 1, de 8 de março de 2021, examinando os autos do processo em epígrafe, instaurado em face do INSTITUTO NACIONAL DO SEGURO SOCIAL (INSS), inscrito no CNPJ/MF sob o nº 29.979.036/0001-40, em razão dos indícios de infração à Lei Geral de Proteção de Dados Pessoais (LGPD); e
CONSIDERANDO o teor do Relatório de Instrução nº 1/2024/CGF/ANPD (SUPER nº 0053354), cujas razões acolho e integro à presente decisão, inclusive como motivação, com fulcro no §1º do art. 50 da Lei nº 9.784/1999 c/c o art. 55 e seguintes do Regulamento de Fiscalização, aprovado pela Resolução CD/ANPD nº 1/2021;, decide:
1. Aplicar ao INSS a sanção de:
2. PUBLICIZAÇÃO DA INFRAÇÃO, por violação ao art. 48 da LGPD, com circunstância agravante nos termos do art. 32, §2º, II, da Resolução CD/ANPD nº 1/2021, com imposição da seguinte medida corretiva, nos termos do art. 55, §2º, I do Regulamento de Fiscalização, para impor ao INSS a obrigação de:
2.1. Publicar comunicado, na primeira página do sítio (https://www.gov.br/inss/pt-br), que deverá permanecer acessível pelo prazo de 60 (sessenta) dias, contados a partir da intimação da decisão que determinar a sanção administrativa, com o seguinte teor:
"O INSS, tendo em vista que foi condenado pela Autoridade Nacional de Proteção de Dados por infração ao dever de comunicar os titulares a ocorrência de incidente de segurança, comunica que tomou conhecimento da ocorrência de incidente de segurança entre os meses de agosto de setembro de 2022. O incidente pode ter comprometido a confidencialidade dos dados pessoais tratados pelo INSS por conta de acesso a volume extraordinário de dados por meio de consultas volumétricas ao sistema. Dentre os dados que podem ter sido afetados, estariam dados de comprovação de identidade oficial, dados financeiros e de saúde (tais como nome, CPF, NIT, identidade, data de nascimento, sexo, ramo de atividade profissional, dados bancários e quantidade de dependentes) de um número indeterminado de beneficiários e segurados do INSS, o que poderia acarretar o risco de furto de identidade, fraudes, assédios comerciais, entre outros danos.
Informamos que o Instituto realizou, imediatamente, ações preventivas e corretivas nos processos e sistemas informatizados da entidade visando mitigar a vulnerabilidade detectada no sistema. A fim de conter o possível incidente de segurança, foi realizado o bloqueio das credenciais dos usuários que possivelmente permitiram o acesso e consequente consulta. Além disso, o Instituto comunicou à ANPD do incidente em questão. Dúvidas ou outras solicitações podem ser encaminhadas à encarregada pelo Tratamento dos Dados no e-mail: [email protected]."
2.2. Enviar mensagem, via recurso de notificação, a todos os usuários do aplicativo Meu INSS, para que fique disponível no menu de 'notificações' do aplicativo Meu INSS, pelo período de 60 (sessenta) dias, com indicação visual de que há mensagem pendente de leitura/visualização, com o seguinte teor:
"O INSS, tendo em vista que foi condenado pela Autoridade Nacional de Proteção de Dados por infração ao dever de comunicar os titulares a ocorrência de incidente de segurança, comunica a ocorrência de incidente de segurança entre agosto e setembro de 2022. O incidente pode ter comprometido a confidencialidade dos dados pessoais tratados pelo INSS, saiba mais no link:" [apontar para o link criado para atender a determinação 2.1.]
3. Pela intimação do autuado para cumprimento das sanções e medidas corretivas e/ou apresentação de recurso, em até 10 (dez) dias úteis, em consonância com o art. 56 da Lei nº 9.784/99 c/c o art. 58 do Regulamento de Fiscalização.
4. Aguarde-se o trânsito em julgado. Após, em caso de não cumprimento desta decisão, encaminhe-se este Processo Administrativo Sancionador para a Procuradoria Federal Especializada - PFE da ANPD para a execução das medidas corretivas, bem como para a Controladoria Geral da União, nos termos do art. 55-J, XXII, da LGPD, para que sejam tomadas as medidas administrativas necessárias em relação aos agentes públicos que deram causa ao descumprimento do disposto na legislação de proteção de dados pessoais.