ANPD considerou que o instituto comprometeu a privacidade dos dados.

A Autoridade Nacional de Proteção de Dados (ANPD) aplicou duas advertências contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE), marcando a segunda punição aplicada pela ANPD e a primeira direcionada a uma entidade pública.

A situação envolveu uma violação de dados, que foi identificada como um "incidente de segurança que potencialmente comprometeu a privacidade dos dados da organização devido a um acesso não autorizado a informações cadastrais por um usuário externo no início de 2022".

A conclusão da ANPD foi que o IAMSPE armazenava os dados de forma inadequada e não informou devidamente os titulares dos dados afetados. Além das informações pessoais cadastrais, informações como salários e endereços também foram expostas.

Em resposta, o Instituto emitiu o seguinte comunicado:

"O Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe), uma entidade vinculada à Secretaria de Governo e Gestão Digital (SGGD), reconhece as sanções impostas na sexta-feira (6) relacionadas ao processo da Autoridade Nacional de Proteção de Dados (LGPD) . O órgão está comprometido em adotar as melhores práticas de segurança e ciberdefesa em seu sistema de operação, com o objetivo de proteger os dados de seus beneficiários e dependentes."

Violação da LGPD

Após uma análise do caso, a Coordenação-Geral de Fiscalização da ANPD concluiu que o IAMSPE infringiu o artigo 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao não manter sistemas seguros para o armazenamento e tratamento dos dados pessoais de milhões de servidores públicos do estado de São Paulo e de seus dependentes, que são beneficiários dos serviços de apoio à saúde oferecidos pelo órgão.

Além disso, a ANPD considerou que, após o incidente de segurança, o IAMSPE não comunicou clara, adequada e prontamente aos titulares quais de seus dados pessoais poderiam ter sido afetados. Essa falta de transparência e demora na comunicação foi considerada uma violação do artigo 48 da LGPD, que exige que o controlador de dados pessoais informe à Autoridade Nacional e aos titulares sobre incidentes de segurança que possam representar um risco ou dano significativo aos titulares.

Como resultado, a ANPD emitiu duas advertências, uma para cada infração. Além disso, a Coordenação-Geral determinou medidas corretivas que o IAMSPE deve implementar para reduzir os impactos da violação da LGPD e evitar infrações semelhantes no futuro. 

O instituto foi instruído a criar um cronograma para melhorar a segurança de seus sistemas de armazenamento e tratamento de dados pessoais, tornando-os menos vulneráveis a incidentes de segurança. Também foi determinado que o comunicado aos titulares seja atualizado e mantido disponível no site do IAMSPE por pelo menos 90 dias.