Processo nº 00261.000456/2022-12
Interessado: Ministério da Saúde (MS)
O COORDENADOR-GERAL DE FISCALIZAÇÃO DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, no uso de suas atribuições legais e regulamentares, em especial a disposta no art. 17, inciso I, do Regimento Interno da ANPD, aprovado pela Portaria nº 1, de 8 de março de 2021, examinando os autos do Processo em epígrafe, instaurado em face do Ministério da Saúde (MS), inscrito no CNPJ sob o nº 00.394.544/0001-85, em razão de indícios de infração à Lei Geral de Proteção de Dados Pessoais (LGPD); e
CONSIDERANDO o teor do Relatório de Instrução nº 5/2024/FIS/CGF/ANPD (SEI nº 0152934), cujas razões acolho e integro à presente decisão, inclusive como motivação, com fulcro no §1º do art. 50 da Lei nº 9.784/1999 c/c o art. 55 e seguintes do Regulamento de Fiscalização, aprovado pela Resolução CD/ANPD nº 1/2021;, decide:
1. Aplicar ao Ministério da Saúde as sanções de:
1.1 ADVERTÊNCIA por violação ao art. 23, III, da LGPD, sem a imposição de medida corretiva, uma vez que a designação do Encarregado pelo tratamento de dados no Ministério da Saúde foi formalizada em 16/03/2022, após a instauração do presente Processo Administrativo Sancionador. Registre-se que a atual encarregada de dados foi designada pela Portaria GM/MS nº 953, de 11 de maio de 2023 (SEI nº 0095578).
1.2 ADVERTÊNCIA por violação ao art. 38 da LGPD, com a imposição das seguintes medidas corretivas, nos termos do art. 55, §2º, I do Regulamento de Fiscalização:
a) Apresentar, no prazo de 10 (dez) dias úteis da data de intimação da decisão deste Despacho Decisório, o Relatório de Impacto de Proteção de Dados dos sistemas considerados críticos pelo Ministério da Saúde, conforme apresentado na alínea e), do item 3.1, da Nota Técnica nº 10/2022-COSEGI/CGGOV/DATASUS/SE/MS (SEI nº 0048855): SIVEP-Gripe, e-SUS Notifica, HEMOVIDA, e-SUS AF, cuja previsão de conclusão, segundo o cronograma divulgado pela autuada, seria dezembro de 2022.
b) Apresentar, no prazo de 10 (dez) dias úteis da data de intimação da decisão deste Despacho Decisório, o Relatório de Impacto de Proteção de Dados dos demais sistemas afetados pelo incidente de segurança que originou o presente Processo Administrativo Sancionador - caso ainda estejam operacionais -, conforme apresentado no item 3.1 da Nota Técnica nº 10/2022-COSEGI/CGGOV/DATASUS/SE/MS (SEI nº 0048855), e item 7.68 do Relatório de Instrução nº 5/2024/FIS/CGF/ANPD (SEI nº 0152934): CADSUS, SGOP, SIPNI, NOTIFICA, RNDS, CONECTESUS e CORONAVIRUSUS.
c) Alternativamente, caso os RIPDs mencionados nas alíneas a) e b) acima não tenham sido concluídos até a presente decisão, apresentar, no prazo de 10 (dez) dias úteis da data de intimação da decisão deste Despacho Decisório, cronograma de elaboração dos documentos para cada um dos sistemas. O prazo de cumprimento de todas as etapas previstas no cronograma não deverá ultrapassar 180 (cento e oitenta) dias, contados da data de intimação deste Despacho Decisório.
2. Pela intimação do autuado para cumprimento das sanções e medidas corretivas e/ou apresentação de recurso, em até 10 (dez) dias úteis da intimação deste Despacho Decisório, em consonância com o art. 56 da Lei nº 9.784/99 c/c o art. 58 do Regulamento de Fiscalização.
3. Aguarde-se o trânsito em julgado. Após, em caso de não cumprimento deste Despacho Decisório, encaminhe-se este Processo Administrativo Sancionador para a Controladoria-Geral da União, nos termos do art. 55-J, XXII, da LGPD, para que sejam tomadas as medidas administrativas necessárias em relação aos agentes públicos que deram causa ao descumprimento do disposto na legislação de proteção de dados pessoais.
4. Publique-se no DOU, segundo o art. 55 da Resolução CD/ANPD nº 1/2021.