Ministério da Justiça e Segurança Pública
Autoridade Nacional de Proteção de Dados
Coordenação-Geral de Fiscalização
DESPACHO DECISÓRIO ANPD/FIS/CGF Nº 12/2024
Processo nº 00261.001963/2022-73
Interessado: Secretaria de Assistência Social, Combate à Fome e Políticas sobre Drogas (SAS)
O COORDENADOR-GERAL DE FISCALIZAÇÃO DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS - ANPD, no uso de suas atribuições legais e regulamentares, com fundamento no art. 17, inciso I, do Regimento Interno da ANPD, aprovado pela Portaria nº 1, de 8 de março de 2021, examinando os autos do processo em epígrafe, instaurado em face da Secretaria de Assistência Social, Combate à Fome e Políticas sobre Drogas (SAS), inscrita no CNPJ/MF sob o nº 08.642.138/0001-04, em razão dos indícios de infração à Lei Geral de Proteção de Dados Pessoais (LGPD); e
CONSIDERANDO o teor do Relatório de Instrução nº 3/2024/FIS/CGF/ANPD (SEI nº 0116664), cujas razões acolho e integro à presente decisão, inclusive como motivação, com fulcro no §1º do art. 50 da Lei nº 9.784/1999 c/c o art. 55 e seguintes do Regulamento de Fiscalização, aprovado pela Resolução CD/ANPD nº 1/2021;
CONSIDERANDO que o Despacho Decisório 11 (0116517) deixou de mencionar a medida corretiva subsidiária sugerida no item 8.1.3 do Relatório de Instrução nº 3/2024/CGF/ANPD (0116664), por violação ao art. 49 da LGPD;, decide:
1. Aplicar à SAS as sanções de:
2. ADVERTÊNCIA, por infração ao art. 48 da LGPD, com a imposição das seguintes medidas corretivas, acompanhadas de suas comprovações:
2.1. Envio de comunicação direta e individualizada a cada um dos 413 titulares afetados pela exposição dos dados no sítio eletrônico da SAS.
2.1.1. O teor da comunicação individual poderá ser o mesmo da segunda versão da Nota de Esclarecimento (0050478), desde que: i) sejam incluídos os motivos da demora da comunicação, por não ter sido imediata, consoante art. 48, §1º, V, da LGPD; ii) sejam alteradas as informações eventualmente desatualizadas, como, por exemplo, os dados do encarregado e o que mais a SAS entender necessário.
2.1.2. Deverá ser juntada aos autos, no prazo de 20 (vinte) dias úteis da data de intimação, comprovação de que a medida corretiva descrita no item 2.1 foi cumprida por meio da apresentação de uma planilha com a lista completa de todos os 413 titulares afetados identificados que foram individualmente comunicados contendo (i) o nome completo do titular; (ii) data de contato; (iii) informação de contato utilizada para a comunicação individual (o número de telefone, se por meio telefônico; o e-mail, se por correio eletrônico; o endereço, se por meio físico etc.); e iv) o envio do inteiro teor de 40 comunicações realizadas por e-mail ou por meio físico, a fim de que seja possível que a CGF valide, por amostragem, a comunicação feita ao titular.
2.2. Atualização do comunicado no sítio eletrônico da SAS, conforme segunda versão juntada aos autos (0050478), incluídas as alterações mencionadas no item 2.1.1, na página em que os usuários se cadastram no Programa PE Livre Acesso (https://www.sdscjpvd.pe.gov.br/seses/pe-livre-acesso-intermunicipal/ ou correspondente), bem como na página específica relacionada à LGPD (https://www.sas.pe.gov.br/lgpd/ ou correspondente), por pelo menos mais 90 (noventa) dias corridos a contar da data da intimação da decisão deste PAS.
2.2.1. Deverá ser juntada aos autos comprovação de que a medida corretiva do item 2.2 foi cumprida por meio da apresentação de, pelo menos, 9 (nove) capturas de tela do sítio eletrônico da SAS contendo o comunicado e com visualização clara da data da captura sendo que cada captura deve ser feita no intervalo mínimo de 9 (nove) dias entre cada uma.
2.2.2. A comprovação de cumprimento da medida corretiva deverá ser juntada aos autos em até 5 (cinco) dias úteis do final de cada período de 30 (trinta) dias, independentemente de nova intimação para tanto.
3. ADVERTÊNCIA, por violação ao art. 49 da LGPD, com a imposição da seguinte medida corretiva, acompanhada de sua comprovação:
3.1. Envio de comprovação da implementação, na estrutura dos sistemas, de medidas técnicas (e administrativas, se aplicável) que já tenham sido realizadas, incluindo aquelas referentes i) à existência de mecanismos de monitoramento de tráfego à base de dados, ii) à guarda de registros de acesso à referida base de dados, e iii) ao acesso restrito ao link que contém a base de dados em discussão, a fim de atestar que sua consulta somente pode ser realizada mediante uso de senha, com nova etapa de identificação, bem como com limitação de acesso para pessoa em nível gerencial (consoante relatado pela própria autuada na CIS [0042386]); bem como outras medidas que a SAS entenda serem cabíveis.
3.1.1. A comprovação dos elementos supracitados no item 3.1 pode ser realizada através de declaração assinada pelo Secretário da Secretaria de Assistência Social, Combate à Fome e Políticas sobre Drogas (SAS).
3.1.2. A fim de se comprovar o cumprimento da medida corretiva, determina-se à SAS que junte aos autos, no prazo de 20 (vinte) dias úteis da data de intimação da decisão deste PAS, comprovação de implementação das providências indicadas nesta medida corretiva, que poderá ser realizada por meio da declaração mencionada no item 3.1.1.
3.2 Subsidiariamente à medida imposta no item 3.1 e subitens, em virtude da violação ao art. 49 da LGPD, admitir-se-á a apresentação de um cronograma para a implementação das medidas do item 3.1. deste Despacho Decisório, com a especificação das etapas a serem adotadas.
3.2.1 A fim de se comprovar o cumprimento desta medida corretiva, a SAS deve juntar aos autos, no prazo de 20 (vinte) dias úteis da data de intimação deste Despacho Decisório, documento (e.g. planilha, documento escrito de forma digital, apresentação de slides etc.) em que conste i) a previsão de todas as etapas do cronograma e ii) a forma por meio da qual se comprovará o cumprimento de cada uma das etapas.
3.2.2 O prazo de cumprimento de todas as etapas previstas no cronograma não deverá ultrapassar 110 (cento e dez) dias úteis, contados da data de intimação deste Despacho Decisório.
4. Tornar sem efeito o Despacho Decisório nº 11/2024 (0116517).
5. Pela intimação da autuada, para cumprimento das sanções e medidas corretivas e/ou apresentação de recurso, em até 10 (dez) dias úteis da intimação da decisão, em consonância com o art. 56 da Lei nº 9.784/99 c/c o art. 58 do Regulamento de Fiscalização.
6. Aguarde-se o trânsito em julgado. Após, em caso de não cumprimento desta decisão, encaminhe-se este Processo Administrativo Sancionador para a Controladoria-Geral do estado de Pernambuco, nos termos do art. 55-J, XXII, da LGPD, para que sejam tomadas as medidas administrativas necessárias em relação aos agentes públicos que deram causa ao descumprimento do disposto na legislação de proteção de dados pessoais.
FABRÍCIO GUIMARÃES MADRUGA LOPES
(DOU de 02.05.2024 – pág. 76 – Seção 1)
