ANPD condena INSS por vazamento de dados de aposentados e pensionistas
A Autoridade Nacional de Proteção de Dados (ANPD), condenou o INSS por não comunicar a ocorrência de incidente de segurança aos titulares de dados, com o agravante de não ter atendido a determinações da Autoridade relacionadas ao caso.
O incidente aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento de aposentados e pensionistas, dados passíveis de serem usados em fraudes e em roubo de identidade.
A ANPD considerou que o incidente de segurança poderia acarretar danos relevantes aos direitos dos titulares dos dados pessoais, por envolver base de dados que continha informações sobre benefícios previdenciários. Desse modo, caberia ao INSS comunicar a ocorrência do incidente de segurança aos titulares afetados. O Instituto, entretanto, alegou inviabilidade técnica para individualizar as pessoas afetadas e não realizou a comunicação.
A Autoridade, por sua vez, não acatou a justificativa, uma vez que a entidade pública poderia ter realizado a comunicação de forma indireta – ou seja, por meio de ampla divulgação do incidente, conforme previsto na LGPD. Diante disso, condenou o INSS a publicizar a infração em seu site e no aplicativo Meu INSS durante 60 dias.
“A comunicação aos titulares é medida fundamental para que eles possam se proteger após um incidente de segurança. A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”, explica Fabrício Lopes, Coordenador-Geral de Fiscalização da ANPD.