SEI/ANPD - 0137529 - Despacho Decisório

Autoridade Nacional de Proteção de Dados
Coordenação-Geral de Fiscalização
Coordenação de Fiscalização

O COORDENADOR-GERAL DE FISCALIZAÇÃO DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, no uso de suas atribuições legais e regulamentares, em especial a disposta no art. 17, inciso I, do Regimento Interno da ANPD, aprovado pela Portaria nº 1, de 8 de março de 2021, examinando os autos do Processo em epígrafe, instaurado em face do Ministério da Saúde (MS), inscrito no CNPJ sob o nº 00.394.544/0036-05, em razão de indícios de infração à Lei Geral de Proteção de Dados Pessoais (LGPD); e

CONSIDERANDO o teor do Relatório de Instrução nº 4/2024/FIS/CGF/ANPD (SEI nº 0136258), cujas razões acolho e integro à presente decisão, inclusive como motivação, com fulcro no §1º do art. 50 da Lei nº 9.784/1999 c/c o art. 55 e seguintes do Regulamento de Fiscalização, aprovado pela Resolução CD/ANPD nº 1/2021;

ADVERTÊNCIA por violação ao art. 48 da LGPD, com a imposição da seguinte medida corretiva, nos termos do art. 55, §2º, I do Regulamento de Fiscalização, para impor ao Ministério da Saúde a obrigação de:

Ajustar, no prazo de 10 (dez) dias úteis da data de intimação deste Despacho Decisório, o comunicado já existente no sítio eletrônico do Ministério da Saúde, para que sejam retificados(as):

a descrição das categorias de dados pessoais que ficavam disponíveis para consulta durante a ocorrência da vulnerabilidade, caso fossem pesquisados CPFs válidos na RFB, a fim de que a informação esteja em consonância ao informado nas Alegações Finais (0098399) do autuado neste Processo Administrativo Sancionador;

o autuado deve retificar a coluna “Natureza dos dados potencialmente expostos” disponível em seu sítio eletrônico, com indicação da data de atualização, para que conste os seguintes dados pessoais: “unidade administrativa, data nascimento, nome mãe, CPF, número título eleitor, sexo, situação estrangeiro, situação residente exterior, tipo sexo, tipo situação CPF, município IBGE, data atualização RFB, data processamento, nome bairro, nome logradouro, nome município, nome, número CEP, número logradouro, sigla UF, situação registro ativo”, conforme mencionado no item 6.1 do Relatório de Instrução nº 4/2024/FIS/CGF/ANPD (SEI nº 0136258).

as medidas técnicas e de segurança utilizadas para a proteção dos dados, com a indicação de que foram adotadas melhorias ou que estão em curso as relacionadas a: controles de acesso, medidas de verificação de vulnerabilidades e demais ações que o Ministério da Saúde entenda ser pertinente sua publicação, observada eventual restrição de acesso legalmente aplicável;

os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares, indicando-se os riscos mencionados nos itens 7.29 e 7.30 do Relatório de Instrução nº 4/2024/FIS/CGF/ANPD (SEI nº 0136258), quais sejam: i) riscos de impedir ou limitar que os titulares tenham seu devido acesso à conta do sistema e ii) riscos de dano em situações, por exemplo, de discriminação e perturbações por fraudes em processos de autenticação ou validação de identidade em serviços específicos; e

os motivos da demora da realização da comunicação do incidente aos titulares.

A fim de se comprovar que a medida corretiva imposta em razão da violação ao art. 48 da LGPD foi cumprida:

o comunicado citado no item 2.1 deverá ser mantido no sítio eletrônico do Ministério da Saúde por pelo menos mais 90 (noventa) dias corridos a contar da data da intimação deste Despacho Decisório;

deverá ser juntada aos autos comprovação de que a medida corretiva do item "2.1” deste Despacho Decisório foi cumprida por meio da apresentação de, pelo menos, 9 (nove) capturas de tela do sítio eletrônico do Ministério da Saúde, com intervalo mínimo de 9 (nove) dias entre cada uma, contendo o comunicado e com visualização clara da data da captura;

a comprovação de cumprimento da medida corretiva deverá ser juntada aos autos em até 5 (cinco) dias úteis do final de cada período de 30 (trinta) dias, independentemente de nova intimação para tanto.

ADVERTÊNCIA por violação ao art. 49 da LGPD, com a imposição da seguinte medida corretiva, nos termos do art. 55, §2º, I do Regulamento de Fiscalização, para impor ao Ministério da Saúde a obrigação de:

Envio à Coordenação-Geral de Fiscalização de informações sobre o andamento de medidas técnicas que estão em curso no sistema SCPA, em especial quanto: i) aos registros (logs) de acesso à API afetada e volume de consultas realizadas ao sistema SCPA; ii) à implementação da ferramenta relacionada à verificação de vulnerabilidades relatada no item 2.3.3 da Nota Técnica nº 106/2022-CGIE/DATASUS/SE/MS (0050503); e iii) às ações de melhoria que foram suscitadas na Nota Técnica nº 17/2022 (0045589), conforme item 5.11 do Relatório de Instrução nº 4/2024/FIS/CGF/ANPD (SEI nº 0136258), mediante apresentação de um cronograma de implementação, com a especificação das etapas a serem adotadas, caso aplicável.

Envio de comprovação da implementação, na estrutura dos sistemas, de medidas técnicas (e administrativas, se aplicável) que já tenham sido realizadas, incluindo aquelas referentes: i) à existência de mecanismos de monitoramento de tráfego à base de dados; ii) à guarda de registros de acesso à referida base de dados; e iii) ao acesso restrito ao link que contém a base de dados em discussão, a fim de atestar que sua consulta somente pode ser realizada mediante uso de senha, com nova etapa de identificação, bem como com limitação de acesso para pessoa em nível gerencial (consoante relatado pela própria autuada na CIS [0042386]); bem como outras medidas que a SAS entenda serem cabíveis.

A fim de se comprovar o cumprimento desta medida corretiva, o Ministério da Saúde deverá juntar aos autos, no prazo de 20 (vinte) dias úteis da data de intimação do Despacho Decisório, documento (e.g. planilha, documento escrito de forma digital, apresentação de slides etc.) em que conste: i) a previsão das etapas do cronograma; e ii) a forma por meio da qual se comprovará o cumprimento de cada uma das etapas.

O prazo de cumprimento de todas as etapas previstas no cronograma não deverá ultrapassar 100 (cem) dias úteis, contados da data de intimação deste Despacho Decisório.

Subsidiariamente caso alguma medida técnica citada no item " [ 3.1] ", caput, deste Despacho Decisório, já tenha sido cumprida, determina-se a juntada de comprovação dos elementos supracitados no item "[ 3.1]", caput, que poderá ser realizada através de declaração assinada pela autoridade máxima do ministério e juntada aos autos, no prazo de 20 (vinte) dias úteis da data de intimação deste Despacho Decisório.

Pela intimação do autuado para cumprimento das sanções e medidas corretivas e/ou apresentação de recurso, em até 10 (dez) dias úteis da intimação deste Despacho Decisório, em consonância com o art. 56 da Lei nº 9.784/99 c/c o art. 58 do Regulamento de Fiscalização.

Aguarde-se o trânsito em julgado. Após, em caso de não cumprimento deste Despacho Decisório, encaminhe-se este Processo Administrativo Sancionador para a Controladoria-Geral da União, nos termos do art. 55-J, XXII, da LGPD, para que sejam tomadas as medidas administrativas necessárias em relação aos agentes públicos que deram causa ao descumprimento do disposto na legislação de proteção de dados pessoais.

Documento assinado eletronicamente por Fabrício Guimarães Madruga Lopes, Coordenador(a)-Geral de Fiscalização, em 07/08/2024, às 17:41, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://anpd-super.mj.gov.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0137529 e o código CRC B3B8D614.

SCN Quadra 06, Conjunto A, Ed. Venâncio 3000, Bloco A, 9º andar, - Bairro Asa Norte, Brasília/DF, CEP 70716-900
Telefone: (61) 2025-8168 - https://www.gov.br/anpd/pt-br