Processo nº 00261.001886/2022-51
Autoridade Nacional de Proteção de Dados
Coordenação-Geral de Fiscalização
Coordenação de Fiscalização
Nº 4/2023/FIS/CGF/ANPD[1]

  1. IDENTIFICAÇÃO
    1.1. Nome/Razão Social do Autuado: Secretaria de Estado da Saúde de Santa Catarina
    1.2. CPF/CNPJ do Autuado: 82.951.245/0001-69
    1.3. Agente de tratamento: (X) Controlador ( ) Operador
    1.4. Nome do Encarregado ou Responsável Jurídico: Luiz Fernando de Oliveira Vieira
    Goulart
    1.5. Contato do Encarregado ou Responsável Jurídico: encarregado@saude.sc.gov.br
  2. REFERÊNCIAS
    2.1. Lei nº 13.709, de 14 de agosto de 2018 – Lei de Geral de Proteção de Dados Pessoais
    (LGPD);
    2.2. Regimento Interno da Autoridade Nacional de Proteção de Dados, aprovado pela Portaria nº
    01, de 08/03/2021 (RI-ANPD);
    2.3. Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no
    âmbito da ANPD, aprovado pela Resolução CD/ANPD nº 1, de 28/10/2021 (Regulamento de Fiscalização
  1. SUMÁRIO EXECUTIVO DO PROCESSO
    3.1. Auto de Infração: 14/09/2022 – Auto de Infração 9/2022/CGF/ANPD (SEI nº 3617432)
    3.2. Intimação: 14/09/2022 – Certidão de Intimação Cumprida (SEI nº 3660552)
    3.3. Dados de quem recebeu a intimação: Luiz Fernando de Oliveira Vieira Goulart,
    encarregado@saude.sc.gov.br
    3.4. Forma da Intimação: (X) Meio eletrônico ( ) Via postal ( ) Pessoal ( ) Comparecimento
    pessoal ( ) Por edital ( ) Cooperação internacional ( ) Outro meio
    3.5. Dispositivo(s) Legal(is) e Regulamentar(es) Infringido(s):
    a) Lei Geral de Proteção de Dados:
    Artigo 38 – Controlador não apresentou RIPD após solicitação da ANPD
    Artigo 48 – Não apresentou CIS ao titular em prazo razoável
    Artigo 49 – Sistema não atendeu aos requisitos de segurança
    RELATÓRIO DE INSTRUÇÃO
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1240
    b) Regulamento de Fiscalização:
    Artigo 5º – Agente de tratamento não apresentou documentos requisitados pela ANPD
    3.6. Defesa: 03/10/2022 – Defesa Defesa Administrativa (SEI nº 3666467); Anexo
    Manifestações encarregado (SEI nº 3666468); Termo Proposta TAC (SEI nº 3666469); Relatorio RIPD
    (SEI nº 3666470).
    3.7. Produção de Prova(s) pelo Autuado: (X) Não ( )Sim.
    3.8. Produção de Prova(s) pelo Denunciante/ Titular: (X) Não ( )Sim.
    3.9. Produção de Prova(s) pela ANPD: (X) Não ( ) Sim.
    3.10. Terceiro(s) Interessado(s): (X) Não ( ) Sim.
    3.11. Termo de Ajustamento de Conduta: (X)Não ( )Sim.
    3.12. Alegações Finais: ( )Não (X)Sim. – Alegações Alegações finais (SEI nº 4470739); Parecer
    Parecer encarregado de dados (SEI nº 4470740); Anexo Anexo I (SEI nº 4470741); Anexo Anexo II (SEI
    nº 4470742); Anexo Anexo III (SEI nº 4470743); Anexo Anexo IV (SEI nº 4470744); Anexo Anexo V
    (SEI nº 4470745).
    3.13. Medida(s) Preventiva(s) Aplicada(s) com base no Art. 32 do Regulamento de Fiscalização:
    ( ) Não (X) Sim – Aviso 18/2022 (SEI nº 3348561)
    3.14. Medida(s) Preventiva(s) Aplicada(s) com base no Art. 7º, IV, do RI-ANPD: (X) Não ( )
    Sim.
  2. RELATÓRIO
    4.1. Nos termos do art. 54 do Regulamento de Fiscalização, este Relatório de Instrução
    subsidiará a decisão de primeira instância e este processo seguirá concluso à Coordenação-Geral de
    Fiscalização (CGF/ANPD) para decisão. Assim, em consonância com os ditames normativos aplicáveis ao
    caso e demais documentos que constam dos autos, passa-se ao detalhamento dos atos processuais até a
    presente data.
    4.2. O Auto de Infração 9 (SEI nº 3617432) foi exarado em vista do Despacho Decisório 7 (SEI
    n º 3619480), que acolheu a Nota Técnica 73/2022/CGF/ANPD (SEI nº 3619476). Esta Nota Técnica
    apresenta os fatos que deram causa a este Processo Administrativo Sancionador (PAS).
    4.3. Em 21/08/2021, teria ocorrido um incidente de segurança nos sistemas da Secretaria de
    Estado de Saúde de Santa Catarina (SES/SC). Esta Secretaria teria tomada ciência do incidente em
    23/08/2021 e apresentou Comunicação de Incidente de Segurança (CIS) preliminar à ANPD em
    26/08/2021.
    4.4. O objeto do incidente de segurança teria sido a exfiltração de parte da base de dados da lista
    de espera do SUS em Santa Catarina, vinculada ao serviço de regulação hospitalar, disponibilizado no site
    listadeespera.saude.sc.gov.br. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
    4.5. O controlador alegou terem sido exfiltrados 4GB de dados (1,2 milhão de registros). Teriam
    sido afetados 48 mil titulares, a base conteria registros duplicados ou referentes a um mesmo titular. Os
    titulares seriam pacientes e prestadores de serviço, e não haveria dados de crianças ou adolescentes,
    conforme indicado no Formulário de Incidente de Segurança – ANPD (SEI nº 2837556), Relatório – SEI
    Relatório Complementar ANPD (SEI nº 3036397), OFICIO Processo SEI/ANPD nº 00261.001020/2021-6
    (SEI nº 3279023) e OFICIO Processo SEI/ANPD nº 00261.001020/2021-6 (SEI nº 3279024).
    4.6. No entanto, em momento posterior, a SES/SC apresentou Relatório RIPD (SEI nº 3666470)
    que descreve ser possível que o incidente tenha afetado crianças, adolescentes ou idosos: “Como a gama
    de pessoas atendidas pelo SUS é grande e irrestrita, são tratados dados de idosos e de menores
    representados por seus responsáveis legais (pois contamos com um Hospital Infantil Estadual)”.
    4.7. Não foi apresentado o relatório técnico do incidente ou análise dos registros de acesso que
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1241
    teriam embasado tal conclusão.
    4.8. Segundo o Relatório RIPD (SEI nº 3666470), os dados afetados no incidente seriam,
    especificamente, nome completo, filiação de mãe, CPF, endereço, contato de telefone, nome do médico
    que realizou o atendimento, nome do procedimento ou consulta agendado. O Formulário de Incidente de
    Segurança – ANPD (SEI nº 2837556) indica a exfiltração de dados médicos referentes à enfermidade,
    diagnóstico e procedimento agendado, dados sensíveis relacionados à saúde. Como consequência do
    incidente, o mesmo documento mencionou a possibilidade de aplicação de golpes utilizando os dados
    cadastrais e de saúde.
    4.9. Em 24/12/2021, a Coordenação-Geral de Tecnologia e Pesquisa (CGTP) analisou o
    incidente e se manifestou, por meio do Despacho (SEI nº 3082118). A gravidade do incidente de
    segurança foi considerada alta por terem sido exfiltrados dados pessoais sensíveis referentes à saúde de
    número relevante de titulares. As medidas de segurança adotadas pelo controlador, bem como as medidas
    de mitigação e comunicação do incidente aos titulares foram consideradas insuficientes.
    4.10. Entre novembro de 2021 e maio de 2022, esta CGF realizou diversas
    determinações à SES/SC, tanto no intuito de salvaguardar direitos dos titulares afetados quanto
    de reconduzir a SES/SC à conformidade.
    4.11. Em 08/11/2021, por meio do Despacho CGF/ANPD (SEI nº 2994422), a CFG determinou
    que a SES/SC apresentasse CIS complementar e os seguintes documentos:
    a) Relatório de apuração sobre os tipos de dados e o número de titulares afetados pelo
    incidente, apresentando a metodologia utilizada e justificando as premissas adotadas;
    b) Relatório técnico de tratamento do incidente;
    c) Comprovação da realização, forma, data e conteúdo da comunicação aos titulares
    afetados pelo incidente; e
    d) Relatório de Impacto à Proteção de Dados pessoais (RIPD), caso já tenha concluído
    sua elaboração.
    4.12. Em 29/11/2021, a SES/SC apresentou apenas o CIS complementar no Relatório – SEI
    Relatório Complementar ANPD (SEI nº 3036397).
    4.13. Diante da ausência dos documentos requisitados, em 11/03/2022, por meio do Despacho
    CGF/ANPD (SEI nº 3107909) a CGF determinou que a SES/SC realizasse a correção da nota informativa
    do site, em face do princípio da transparência, tomando os incisos do §1º do art. 48 como parâmetro, a fim
    de informar o real teor do incidente de segurança, com a possibilidade de exfiltração de dados, e a
    notificação individual acerca do incidente a todos os titulares de dados afetados. Além disso, a SES/SC
    deveria apresentar:
    a) Relatório de apuração sobre os tipos de dados e o número de titulares afetados pelo
    incidente, apresentando a metodologia utilizada e justificando as premissas adotadas;
    b) Relatório técnico de tratamento do incidente;
    c) Comprovação da realização, forma, data e conteúdo da comunicação aos titulares
    afetados pelo incidente; e
    d) RIPD ou informação sobre o prazo para sua conclusão.
    4.14. Em 28/03/2022, a SES/SC, por meio do OFICIO Processo SEI/ANPD nº
    00261.001020/2021-6 (SEI nº 3279023), indicou que cerca de 47 mil pessoas foram atingidas pelo
    incidente, sem informar metodologia utilizada e justificar as premissas adotadas para essa conclusão. A
    SES/SC não apresentou o relatório técnico de tratamento do incidente, a comprovação da realização,
    forma, data e conteúdo da comunicação aos titulares afetados pelo incidente, e o RIPD ou informação
    sobre o prazo para sua conclusão.
    4.15. Em 11/04/2022, o Despacho CGF/ANPD (SEI nº 3300944) deferiu o pedido de prazo para
    apresentação do RIPD e reiterou que a SES/SC apresentasse:
    a) Conteúdo e endereço em que foi publicada a nota informativa sobre o incidente;
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1242
    b) Comprovação da comunicação do incidente aos titulares afetados;
    c) Relatório de tratamento do incidente e, especificamente, a informação de se o servidor
    afetado possuía registros (log) de acesso que permita comprovar que somente parte da
    base teve sua confidencialidade comprometida; e
    d) RIPD.
    4.16. Em 06/05/2022, decorrido o prazo estipulado, sem que houvesse manifestação da SES/SC,
    foi expedido o Aviso 18/2022 (SEI nº 3348561) determinando à SES/SC que apresentasse:
    a) Conteúdo e endereço em que foi publicada a nota informativa sobre o incidente; e
    b) Comprovação da comunicação do incidente aos titulares afetados.
    4.17. Em 16/05/2022, a SES/SC, por meio do OFICIO OFICIO 976.2022 – ENC. DADOS
    SES/SC (SEI nº 3371302), apresentou o conteúdo e endereço da nota informativa. XXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX. Justificou não ter realizado
    a comunicação individual aos titulares por não possuir dados atualizados e completos para fazê-lo.
    Reafirmou estar elaborando o RIPD e que o entregaria no prazo estipulado. Solicitou, ainda, a realização
    de reunião entre os representantes da SES/SC e ANPD, para esclarecer dúvidas a respeito das providências
    a serem tomadas em razão do incidente.
    4.18. Em 24/05/2022, foi realizada a reunião, conforme solicitado, entre representantes da
    SES/SC e a CGF. Conforme Ata de Reunião ANPD e SES-SC (SEI nº 3424575), o controlador afirmou
    não ser capaz, com base na apuração realizada até então, determinar qual parte da base teria sido afetada.
    Foi apontada pela ANPD a insuficiência formal e material da comunicação sobre o incidente. Foi
    ressaltada a necessidade de adequação da comunicação sobre o incidente, e a realização da comunicação
    individual aos titulares cujos dados estivessem disponíveis.
    4.19. Em 25/05/2022, por meio do OFICIO Oficío manifest. Reunião ANPD de 24.05 (SEI nº
    3395376), a SES/SC solicitou prazo de 30 (trinta) dias para cumprimento das determinações feitas pela
    ANPD, quais sejam: a) Conteúdo e endereço em que foi publicada a nota informativa sobre o incidente;
    b) Comprovação da comunicação do incidente aos titulares afetados;
    c) Relatório de tratamento do incidente e, especificamente, a informação de se o servidor
    afetado possuía registros (log) de acesso que permita comprovar que somente parte da
    base teve sua confidencialidade comprometida.
    4.20. No mesmo Ofício, a SES/SC apresentou que a nota informativa do incidente seria ajustada
    e republicada, pelo prazo de seis meses, no endereço https://listadeespera.saude.sc.gov.br/#/home. Além
    disso, se comprometeu a apresentar o relatório do tratamento do incidente e, especificamente, a
    informação a respeito da existência de registros de acesso no servidor afetado. Não foi solicitado prazo
    adicional para apresentação do RIPD.
    4.21. Em 30/05/2022, o conteúdo da comunicação pública do incidente foi encaminhado para
    análise prévia pela CGF, que solicitou ajustes em seu conteúdo por meio do E-mail comunicação ao SESSC (SEI nº 3426632).
    4.22. Em 10/06/2022, o Despacho (SEI nº 3426634) deferiu a solicitação de prazo do OFICIO
    Oficío manifest. Reunião ANPD de 24.05 (SEI nº 3395376), ainda conferiu prazo de cinco dias para que o
    controlador comprovasse a publicação da nota informativa em seu sítio eletrônico, tendo em vista não ter
    sido localizada e que, segundo o controlador, seria “providenciada imediatamente”.
    4.23. Em 20/06/2022, a SES/SC, por meio do E-mail Encarregado – Publicação Aviso no Sítio
    Eletrônico (SEI nº 3443437), informou que a Nota de Aviso foi inserida no Site da Lista de Espera do
    SUS, conforme comprovado em NOTA Divulgação do Incidente (SEI nº 3443454), ainda, que foi
    finalizado o primeiro levantamento e identificação das pessoas que tiveram os dados vazados, para
    verificação da forma de efetivar a comunicação direta as pessoas atingidas.
    4.24. Decorrido o prazo estipulado, dia 25/06/2022, a SES/SC não se manifestou no processo,
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1243
    tampouco comprovou o cumprimento integral das determinações que lhe foram feitas no Despacho
    CGF/ANPD (SEI nº 2994422), Despacho CGF/ANPD (3107909), Despacho CGF/ANPD (SEI
    n º 3300944), Aviso 18/2022 (SEI nº 3348561). Em resumo, os despachos e o Aviso em questão
    determinavam a apresentação dos seguintes documentos, que nunca foram apresentados:
    a) RIPD;
    b) Comprovação da realização, forma, data e conteúdo da comunicação aos titulares
    afetados pelo incidente;
    c) Relatório técnico do incidente, inclusive com informações sobre: (i) a apuração dos
    tipos de dados e o número de titulares afetados pelo incidente, apresentando a
    metodologia utilizada e justificando as premissas adotadas; (ii) se o servidor afetado
    possuía registros (log) de acesso que permita comprovar que somente parte da base teve
    sua confidencialidade comprometida.
    4.25. Em 14/09/2022, cerca de três meses após o fim do prazo para SES/SC se manifestar, esta
    CGF lavrou o ANPD – Auto de Infração 9 (SEI nº 3617432) em que evidencia a possibilidade de infração
    dos art. 38, 48, 49, da LGPD, e do art. 5º, do Regulamento de Fiscalização.
    4.26. Em 29/09/2022, o autuado foi intimado do Auto de Infração conforme Certidão de
    Intimação Cumprida (SEI nº 3660552).
    4.27. Em 03/10/2022, sobreveio defesa administrativa por meio dos documentos Defesa Defesa
    Administrativa (SEI nº 3666467); Anexo Manifestações encarregado (SEI nº 3666468); Termo Proposta
    TAC (SEI nº 3666469); Relatorio RIPD (SEI nº 3666470). A SES/SC propõe Termo de Ajustamento de
    Conduta para arquivamento deste PAS.
    4.28. Na Defesa Defesa Administrativa (SEI nº 3666467), a SES/SC apresentou defesa de
    violação do art. 5º, do Regulamento de Fiscalização, como se o descumprimento desse dispositivo
    estivesse atrelado ao art. 38, da LGPD.
    4.29. A Secretaria apresentou que, apesar da exceção do atraso verificado na apresentação do
    RIPD, “não teria deixado de entregar nenhum dos documentos, dados ou informações consideradas
    relevantes para a avaliação das atividades de tratamento de dados pessoais, não se justificando, pois, a
    pretensão sancionatória”. Dessa forma, “não há se falar em descumprimento a determinação exarada pela
    ANPD, mas em mero atraso na elaboração do relatório de impacto à proteção de dados pessoais, motivado
    por questões de ordem técnica devidamente justificadas, sendo, portanto, improcedente a alegação de que
    houve violação ao artigo 38 da LGPD, c/c do artigo 5° da Resolução CD/ANPD n° 1 de 28/10/2021”.
    4.30. Sobre o CIS aos titulares afetados, o encarregado da SES/SC teria informado que “no
    tocante a notificação direta aos titulares, verificamos a partir da extração dos dados do arquivo veiculado
    pelo site “XXXXXX”, que quase totalidade de registros continham somente telefones para contato, e
    muitos não continham nem telefone e nem e-mail. Dessa forma, por meio do refino das informações, e
    para os contatos que já tínhamos conseguido associar um número de telefone, este encarregado está
    trabalhando em conjunto com a DITIG/SES em uma forma para realizar a notificação por meio de um
    SMS coletivo.” Ainda, “a implementação desta nova estratégia demanda tempo e muito trabalho, visto a
    necessidade de se refinar aproximadamente 1,2 milhões de registros, muitos em duplicidade, ou seja, um
    altíssimo volume de dados”.
    4.31. Quanto ao prazo para CIS, a SES/SC afirma que “outro ponto relevante diz respeito ao fato
    de que o parágrafo 1° do art. 48 da Lei Geral de Proteção de Dados (LGPD) não estabelece prazo
    peremptório para que seja realizada a comunicação da ocorrência aos interessados. Com efeito, referido
    parágrafo sequer foi regulamentado pela ANPD, sendo, pois, juridicamente inviável interpretar-se
    extensivamente o termo “prazo razoável”, que é impreciso e genérico, em prejuízo à autuada, mormente
    ao se considerar que as providências administrativas relativas ao caso ainda estão em andamento. Assim,
    tendo em vista que as providências administrativas destinadas a comunicação do ocorrido aos interessados
    encontram-se em andamento e diante da lacuna regulamentar acerca do prazo para se efetivar tal
    diligência, não há falar em infringência ao artigo 48 da LGPD”.
    4.32. A respeito da alegada violação das obrigações de segurança da informação, a SES/SC
    defende que “banco de dados XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1244
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX confidencialidade. Em adição, conforme consta do
    ofício 701/21 (anexo ao RIPD), todas as medidas técnicas para estancar o vazamento foram
    realizadas, bem como o acionamento da polícia para investigação criminal da situação e
    notificação da empresa responsável pelo desenvolvimento da aplicação. E ainda, que a Diretoria de
    Tecnologia de Informação desta SES tem realizado o máximo possível de medidas de segurança em sua
    estrutura física e virtual. O evento foi isolado, devido a falhas pretéritas, mas já contingenciado.
    Portanto, resta claro que foram utilizadas medidas técnicas e administrativas aptas a proteger os
    dados pessoais de acessos não autorizados, pelo que se entende inexistir violação ao art. 49 c/c art. 6°,
    VII da LGPD”. Ainda, a SES/SC afirma ter sido vítima de uma invasão criminosa ao seu banco de dados.
    4.33. Não houve a produção de novas provas conforme disposto no artigo 53 do Regulamento de
    Fiscalização.
    4.34. Em 18/05/2023, foi realizada a análise de confidencialidade dos documentos que instruem o
    presente processo administrativo sancionador por meio do Despacho Decisório 21 (SEI nº 4246344). No
    mesmo dia, o encarregado disse estar de acordo com o despacho em questão por meio de Confirmação
    recebimento email (SEI nº 4261096).
    4.35. Em 13/07/2023, esta CGF, por meio de Despacho Decisório 2 (SEI nº 4414480), indeferiu a
    proposta de TAC, em vista de o art. 44 do Regulamento de Fiscalização dispor que o TAC será ferramenta
    a ser implementada no PAS após regulamentação própria da ANPD e da legislação aplicável. A previsão
    do TAC no PAS é norma de eficácia limitada, de forma a apenas produzir efeitos após regulamentação
    específica, esta está prevista na Agenda Regulatória desta ANPD a ser cumprida até o final de 2024, como
    previsto na Portaria ANPD nº 35, de novembro de 2022.[2]
    4.36. Na mesma data, foi emitido o ANPD – Ofício 8 (SEI nº 4414545) intimando o autuado a
    apresentar alegações finais no prazo de 10 (dez) dias úteis, tendo sido confirmado o recebimento no E-mail
    Confirmação de Recebimento (SEI nº 4442522), no dia 21/07/2023.
    4.37. Em 07/08/2023, foram apresentadas as Alegações Finais (SEI nº 4470739), com os anexos
    de Parecer Parecer encarregado de dados (SEI nº 4470740), Anexo Anexo I (SEI nº 4470741), Anexo
    Anexo II (SEI nº 4470742), Anexo Anexo III (SEI nº 4470743), Anexo Anexo IV (SEI nº 4470744),
    Anexo Anexo V (SEI nº 4470745). As alegações finais foram ligeiramente intempestivas, já que foram
    concedidos 10 dias úteis para manifestação a partir do dia 21/07/2023, finalizando o prazo em 04/08/2023.
    No entanto, os argumentos apresentados serão considerados, no que couber. Os documentos em questão
    indicam para a boa-fé e o esforço empreendido pelo encarregado da Secretaria de Estado da Saúde em
    garantia o cumprimento da LGPD com os recursos disponíveis.
    4.38. É o relatório.
  3. PRELIMINARES
    Competência
    5.1. A Lei nº 13.709, de 14/08/2018, conhecida como Lei Geral de Proteção de Dados (LGPD),
    determina no art. 48 que “o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de
    incidente de segurança que possa acarretar risco ou dano relevante aos titulares”. O §1º, por sua vez,
    estabelece que a comunicação deve ocorrer em prazo razoável e indicar a natureza dos dados pessoais
    afetados, os titulares envolvidos, as medidas técnicas e de segurança utilizadas para a proteção dos dados,
    os riscos relacionados ao incidente, os motivos da demora e as medidas que foram ou que serão adotadas
    para reverter ou mitigar os efeitos do prejuízo.
    5.2. Ainda, cabe à ANPD, de acordo com o art. 55-J, I e IV, da LGPD, “zelar pela proteção dos
    dados pessoais, nos termos da legislação”, bem como “fiscalizar e aplicar sanções em caso de tratamento
    de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o
    contraditório, a ampla defesa e o direito de recurso”.
    5.3. De acordo com o Regimento Interno da ANPD:
    Art. 17. São competências da Coordenação-Geral de Fiscalização, sem prejuízo de outras previstas
    na Lei nº 13.709, de 2018, no Decreto nº 10.474, de 2020, e na legislação aplicável:
    I – fiscalizar e aplicar as sanções previstas no artigo 52 da Lei nº 13.709, de 2018, mediante
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1245
    processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
    (…)
    III – promover ações de fiscalização sobre as ações de tratamento de dados pessoais efetuadas pelos
    agentes de tratamento, incluído o Poder Público;
    (…)
    IX – requisitar aos agentes de tratamento de dados a apresentação de Relatório de Impacto à
    Proteção de Dados Pessoais;
    5.4. O art. 48 do Regimento Interno da ANPD, ainda, determina que as “atividades da ANPD
    obedecerão, além dos princípios estabelecidos na Lei nº 13.709, de 2018, aos princípios da legalidade,
    motivação, moralidade, eficiência, celeridade, interesse público, impessoalidade, igualdade, devido
    processo legal, ampla defesa, contraditório, razoabilidade, proporcionalidade, imparcialidade, publicidade,
    economicidade, segurança jurídica, entre outros”. Esta é, portanto, a justificativa para análise do suposto
    incidente de segurança ocorrido na SES/SC em processo administrativo próprio, pois é necessário observar
    as diretrizes e os princípios incidentes sobre a atuação administrativa no cumprimento da atribuição de
    fiscalização.
    5.5. O Regulamento de Fiscalização da ANPD, aprovado pela Resolução CD/ANPD nº 1, de
    28/10/2021, dispõe de forma fundamental sobre a estruturação das atividades previstas no art. 17 do
    Regimento Interno da ANPD. De acordo com o art. 2º do Regulamento, a fiscalização volta-se à
    orientação, à prevenção e à repressão das infrações à LGPD, de sorte a, conforme o art. 3º, proteger os
    direitos dos titulares de dados, promover a implementação da legislação de proteção de dados pessoais e
    zelar pelo cumprimento das disposições da LGPD.
    5.6. Por força do art. 4º, I, do mencionado Regulamento, a SES/SC é considerada agente
    regulado pela ANPD, haja vista ser um agente de tratamento (art. 5º, IX, da LGPD). Cumpre especificar as
    atividades a que os agentes regulados estão submetidos, a teor do art. 5º, I:
    Art. 5º Os agentes regulados submetem-se à fiscalização da ANPD e têm os seguintes deveres,
    dentre outros:
    I – fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a
    avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais
    condições estabelecidas pela ANPD;
    5.7. Pelo exposto, não há dúvidas quanto à competência da ANPD no caso concreto para avaliar
    a conduta do autuado, controlador de dados e agente regulado, à luz da LGPD.
    5.8. No mais, o autuado não arguiu questões preliminares de mérito em sua defesa e a análise
    preliminar não verificou questões relevantes a serem trazidas a este Relatório de Instrução.
  4. ANÁLISE
    Circunstâncias da infração e autoria
    6.1. Conforme disposto no Regulamento de Fiscalização da ANPD em seu art. 37, o processo
    administrativo sancionador destina-se à apuração de infrações à legislação de proteção de dados de
    competência da ANPD, nos termos do artigo 55-J, IV, da LGPD. De acordo com o art. 54, o Relatório de
    Instrução subsidiará a decisão de primeira instância. Assim, a análise tem por objetivo avaliar os motivos
    da autuação e os argumentos apresentados pelo controlador face à legislação e às normas de proteção de
    dados, no âmbito do presente processo.
    6.2. Os documentos coligidos aos autos são suficientes para afirmar que houve um incidente de
    segurança nos sistemas da SES/SC o qual resultou na disponibilização parcial da base de dados da lista de
    espera do SUS em Santa Catarina no site XXXXXXX. Foram exfiltrados 4GB de dados, que incluíam
    dados cadastrais (nome, endereço, telefone, CPF, entre outros) e médicos (enfermidade, diagnóstico,
    procedimento aguardado, entre outros).
    6.3. A partir desse incidente, em 26/08/2021, por meio do Formulário de Incidente de Segurança
  1. DOSIMETRIA DAS SANÇÕES
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1250
    7.1. Em 27/02/2023, foi publicada a Resolução CD/ANPD Nº 4, de 24/02/2023, que aprovou o
    Regulamento de Dosimetria e Aplicação de Sanções Administrativas e, assim, regulamentou o art. 53 da
    LGPD. Nesse regulamento, são adotadas as seguintes definições, importantes para a conclusão do presente
    processo:
    Art. 2º Para fins deste Regulamento adotam-se as seguintes definições:
    II – infração: descumprimento de obrigação estabelecida na Lei nº 13.709, de 14 de agosto de
    2018 (LGPD), e nos regulamentos expedidos pela ANPD;
    IV – infrator: agente de tratamento que comete infração;
    7.2. Além disso, o regulamento previu balizas para a aplicação das sanções administrativas,
    conforme preconizado no art. 3º:
    Art. 3º As infrações sujeitarão o infrator às seguintes sanções administrativas:
    I – advertência, nos termos do art. 9º deste Regulamento;
    IV – publicização da infração, após devidamente apurada e confirmada a sua ocorrência, nos
    termos dos arts. 20 e 21 deste Regulamento;
    V – bloqueio dos dados pessoais a que se refere a infração, até a sua regularização, nos termos do
    art. 22 deste Regulamento;
    VI – eliminação dos dados pessoais a que se refere a infração, nos termos do art. 23 deste
    Regulamento;
    VII – suspensão parcial do funcionamento do banco de dados a que se refere a infração, nos
    termos do art. 24 deste Regulamento;
    VIII – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a
    infração, nos termos do art. 25 deste Regulamento; e
    IX – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, nos
    termos do art. 26 deste Regulamento.
    § 1º As sanções previstas nos incisos VII, VIII e IX do caput deste artigo somente serão aplicadas
    após já ter sido imposta ao menos uma das sanções de que tratam os incisos II, III, IV, V e VI do
    caput deste artigo para o mesmo caso concreto.
    § 5º O disposto nos incisos I e IV a IX, do caput deste artigo, poderá ser aplicado às entidades e
    aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei
    nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.
    7.3. Destaca-se que o §5º afasta a aplicação das sanções de multa simples e multa diária para
    entidades e órgãos públicos, sem prejuízo da aplicação da Lei de Improbidade Administrativa, além da Lei
    de Acesso à Informação e Lei nº 8.122. Ao mesmo tempo, o art. 55-J, XXII, da LGPD, determina que a
    ANPD deve comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos
    e entidades da administração pública.
    7.4. Como consequência, o § 1º indica que entidades e órgãos públicos que não sofreram
    sanções anteriores no mesmo caso concreto apenas podem se sujeitar às infrações de advertência,
    publicização da infração, bloqueio e eliminação dos dados pessoais.
    7.5. De acordo com o art. 8º do Regulamento de Dosimetria e Aplicação de Sanções
    Administrativas, a classificação das infrações divide-se desta maneira:
    Art. 8º As infrações são classificadas, segundo a gravidade e a natureza das infrações e dos
    direitos pessoais afetados, em:
    I – leve;
    II – média; ou
    III – grave.
    § 1º A infração será considerada leve quando não verificada nenhuma das hipóteses relacionadas
    nos §§ 2º ou 3º deste artigo.
    § 2º A infração será considerada média quando puder afetar significativamente interesses e
    direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a
    atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos
    ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais
    como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes
    financeiras ou uso indevido de identidade, desde que não seja classificada como grave.
    § 3º A infração será considerada grave quando:
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1251
    I – verificada a hipótese estabelecida no § 2º deste artigo e cumulativamente, pelo menos, uma das
    seguintes:
    a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger
    número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem
    como a duração, a frequência e a extensão geográfica do tratamento realizado;
    b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração
    cometida;
    c) a infração implicar risco à vida dos titulares;
    d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de
    adolescentes ou de idosos;
    e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais
    previstas na LGPD;
    f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
    g) verificada a adoção sistemática de práticas irregulares pelo infrator;
    II – constituir obstrução à atividade de fiscalização.
    7.6. No caso sob análise, ficaram caracterizadas infrações aos arts. 38, 48 e 49 da LGPD, bem
    como ao art. 5º do Regulamento de Fiscalização, cuja dosimetria será empreendida a seguir, em acordo
    com o Regulamento de Dosimetria.
    INFRAÇÃO AO ART. 38 DA LGPD
    Classificação da infração
    7.7. A não apresentação do RIPD após requisição da ANPD viola o art. 38. Considerando que a
    não apresentação do RIPD não afetou significativamente os interesses e direitos fundamentais dos
    titulares, a infração não pode ser classificada como média. Consequentemente, por falta de cominação de
    um dos requisitos da infração como média, no caso concreto, a infração não pode ser considerada grave.
    7.8. Outrossim, no caso concreto, a não apresentação do RIPD é infração autônoma e não
    obstruiu a atividade de fiscalização por não ter impedido a apuração do incidente de segurança.
    7.9. A infração resta configurada como leve, em vista do caráter residual.
    Definição do tipo de sanção administrativa
    7.10. O art. 9º, I, do Regulamento de Dosimetria, indica que a sanção de advertência é adequada
    quando a infração for leve e não for caracterizada reincidência específica. No caso, a infração é leve e não
    há reincidência específica.
    7.11. Ainda para a definição do tipo de sanção adequada, o art. 10, I, do Regulamento de
    Dosimetria, indica ser aplicável multa simples quando o infrator não tenha atendido as medidas
    preventivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável. Como será explicitado
    no [item 7.13], a multa não é aplicável neste caso.
    7.12. Quanto às circunstâncias agravantes e atenuantes previstas nos art. 12 a 13, nota-se que
    houve o descumprimento de medida preventiva no processo de fiscalização (art. 12, III), e a cessação da
    infração após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira
    instância no âmbito do processo administrativo sancionador (art. 13, I, b).
    7.13. No entanto, a aplicação da sanção de multa simples é afastada no caso concreto, em
    conformidade com o art. 52, §3º da LGPD c/c o art. 3º, §5º, do Regulamento de Dosimetria. Resta a
    aplicação da advertência. Apesar da sanção de advertência, não cabe impor medida corretiva, já que o
    RIPD foi apresentado.
    7.14. Acerca do Relatorio RIPD (SEI nº 3666470) apresentado, é importante frisar que o
    Relatório de Impacto de Proteção de Dados Pessoais é “documentação do controlador que contém a
    descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e
    aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Por
    vezes, o Relatorio RIPD (SEI nº 3666470) apresenta informações específicas sobre o incidente de
    segurança, e não sobre o tratamento de dados realizado pela SES/SC para organização da fila de espera
    para acesso ao SUS. Nesse sentido, a ANPD explica que:
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1252
    Conforme o art. 38 da LGPD, o RIPD deverá conter, pelo menos: a) a descrição dos tipos de dados
    pessoais coletados ou tratados de qualquer forma; b) a metodologia usada para o tratamento e para
    a garantia da segurança das informações; e c) a análise do controlador com relação a medidas,
    salvaguardas e mecanismos de mitigação de riscos adotados.
    É importante que o relatório seja suficientemente detalhado, para que a ANPD e o próprio
    controlador tenham compreensão ampla de como ocorre o tratamento dos dados pessoais e os
    possíveis riscos associados a ele.
    Assim, recomenda-se ao controlador descrever os tipos de dados pessoais tratados, as operações de
    tratamento (art. 5º, X, da LGPD), suas finalidades (incluindo interesses legítimos) e hipóteses
    legais, e avaliar a necessidade e a proporcionalidade das operações de tratamento, os riscos para os
    direitos e liberdades dos titulares de dados e as medidas a serem adotadas para minimizar esses
    riscos.[5]
    7.15. Logo, o RIPD apresentado pela SES/SC é suficiente para atender o objetivo do processo de
    fiscalização em questão e por isso foi aceito por esta CGF. Porém ele não está de acordo com o que é
    esperado de um relatório de impacto.
    INFRAÇÃO AO. ART. 48 DA LGPD
    Classificação da infração
    7.16. O art. 48, caput e incisos, determina que o controlador deve apresentar CIS adequada tanto
    à ANPD quanto ao titular em prazo razoável. O infrator realizou CIS geral, não individualizado, após
    diversas requisições da ANPD e transcorrido prazo irrazoável, delimitado no caso concreto.
    7.17. A obrigação de CIS ao titular é evidente, já que, desde o início da apuração do incidente, a
    SES/SC, por meio do Formulário de Incidente de Segurança – ANPD (SEI nº 2837556), conhecia que o
    incidente de segurança em questão poderia acarretar risco ou dano relevante aos titulares. Quanto ao prazo,
    como descrito neste relatório do [item 6.29] ao [item 6.32], a SES/SC não observou o período de tempo
    que a comunicado deveria ocorrer definido no caso concreto pela ANPD.
    7.18. A falta de CIS ao titular em prazo razoável, especialmente quando resulta na exposição de
    dados pessoais em espaço não controlado de acesso, inclusive de dados de saúde, pode afetar
    significativamente interesses e direitos fundamentais dos titulares. Isso porque o titular não sabe que seus
    dados foram expostos e, com isso, não toma cuidado qualificado em evitar uso indevido de identidade,
    fraudes financeiras e outros danos que a exposição de dados possa causar. No caso concreto, os dados
    expostos (nome, CPF, data de nascimento, nome de mãe, endereço, informação do tipo de procedimento
    solicitado para entrar na lista de espera, a unidade e profissional que realizou o cadastro) permitem que o
    titular sofra esse tipo de dano, além de perturbações por ligações indevidas e fraudes em processos de
    autenticação ou validação de identidade em serviços específicos.
    7.19. Logo, a infração ao art. 48 ora analisada se subsome aos requisitos do art. 8º, §2º, do
    Regulamento de Dosimetria, atendendo ao critério para ser classificada como média. Além disso, no
    presente caso, a infração de falta de CIS versa sobre dados sensíveis, como destacado neste Relatório, o
    que eleva o grau de classificação da infração que, por esse motivo, passa a ser considerada como grave,
    segundo art. 8º, §3º, “d”, da LGPD.
    Definição do tipo de sanção administrativa
    7.20. O art. 9º, II, do Regulamento de Dosimetria, indica que a sanção de advertência é adequada
    quando houver necessidade de imposição de medidas corretivas. Esta hipótese se subsome a esta infração.
    7.21. Cabe impor as duas medidas corretivas que se seguem.
    a) Manter o CIS ao titular geral indicada por esta CGF na primeira página do
    https://listadeespera.saude.sc.gov.br/#/home, página inicial do sítio, por mais 90
    (noventa) dias a contar da data da publicação da decisão neste PAS, já que após a
    publicação dessa decisão é possível que os titulares tomem ciência do incidente em
    questão e busquem mais informações junto à SES/SC.
    b) Enviar CIS ao titular de maneira individualizada para os titulares identificados por
    meio da extração de informação do arquivo vazado e veiculado no site
    “XXXXXX”. A viabilidade desta medida decorre de ter sido indicada pelo próprio
    autuado
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1253
    na proposta de TAC enviada à esta CGF, conforme Termo Proposta TAC (SEI nº
    3666469) e corroborado em Parecer encarregado de dados (SEI nº 4470740), diante da
    possibilidade de uso da ferramenta Notifica-BR.
    7.22. A fim de se comprovar o cumprimento das medidas corretivas, a SES/SC deverá:
    a) juntar aos autos comprovação de que a medida corretiva “a” descrita foi cumprida por
    meio da apresentação de, pelo menos, 9 (nove) capturas de tela do sítio da SES/SC
    contendo o comunicado e com visualização clara da data da captura sendo que cada
    captura deve ser feita no intervalo mínimo de 9 (nove) dias entre cada uma. A
    comprovação de cumprimento da medida corretiva deverá ser juntada aos autos em até 5
    (cinco) dias úteis do final de cada período de 30 (trinta) dias.
    b) juntar aos autos, no prazo de 20 (vinte) dias úteis da data de intimação, comprovação
    de que a medida corretiva “b” descrita no [item 7.19] foi cumprida por meio da
    apresentação de uma planilha com a lista completa de todos os titulares identificados que
    foram individualmente comunicados contendo (i) o nome completo do titular; (ii) e
    informação de contato utilizada para a comunicação individual (o número de telefone, se
    por meio telefônico; o e-mail, se por correio eletrônico etc.), a fim de que seja possível
    que a CGF valide, por amostra, a comunicação feita ao titular.
    7.23. Apesar de ser uma infração grave, as outras sanções, previstas nos incisos IV, V e VI do art.
    52 da LGPD, não são adequadas para esta infração, em função do interesse público que justifica a
    necessidade do tratamento dos dados.
    INFRAÇÃO AO ART. 49 DA LGPD
    Classificação da infração
    7.24. Os agentes de tratamento devem utilizar sistemas para tratamento de dados pessoais que
    atendam aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios da
    LGPD e às normas regulamentares. No entanto, a SES/SC, neste caso concreto, não observou
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXX.
    7.25. O uso de sistema sem a devida segurança pela SES/SC pode afetar significativamente os
    interesses e direitos dos titulares. A falta de cuidado no desenvolvimento de um sistema seguro permitiu a
    concretização de incidente que pode ser causa para fraudes financeiras e uso indevido de identidade.
    Ainda, a exposição de dados, diante de sistema inseguro, possibilita a concretização de outros danos,
    como perturbações por ligações indevidas e fraudes em processos de autenticação ou validação de
    identidade em serviços específicos.
    7.26. Alcançados os requisitos da infração média, importa considerar que a infração será
    classificada como grave quando, além de preencher as condições do §2º (infração média), for verificada
    uma das hipótese do art. 8º, §3º do Regulamento de Dosimetria. Considerando que a infração do art. 49
    envolveu o tratamento de dados sensíveis, de acordo com art. 8º, § 3º, I, “d”, do Regulamento de
    Dosimetria, ela deve ser classificada como grave.
    Definição do tipo de sanção administrativa 7.27. O art. 9º, II, do Regulamento de Dosimetria, indica que a sanção de advertência é adequada
    quando houver necessidade de imposição de medidas corretivas. Esta hipótese se subsome a esta infração.
    7.28. Ainda para a definição do tipo de sanção adequada, o art. 10, II, do Regulamento de
    Dosimetria, indica ser aplicável multa simples quando a infração for classificada como grave. Como será
    explicitado no [item 7.28], a multa não é aplicável neste caso.
    7.29. Quanto às circunstâncias agravantes e atenuantes previstas nos art. 12 e 13, nota-se que
    houve a cessação da infração com a implementação das medidas de segurança antes da instauração deste
    PAS (art. 13, III), a partir do informado no Relatorio RIPD (SEI nº 3666470).
    7.30. No entanto, a aplicação da sanção de multa simples é afastada no caso concreto, em
    conformidade com o art. 52, §3º da LGPD c/c o art. 3º, §5º, do Regulamento de Dosimetria. Resta a
    aplicação da advertência.
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1254
    7.31. Definida a sanção de advertência, constata-se que as medidas corretivas que seriam
    determinadas já foram cumpridas, além de outras complementares sobre o funcionamento do sistema. O
    Relatorio RIPD (SEI nº 3666470) indica que houve a implementação das medidas de segurança, XXX
    XXXXXXXXXXXXXXXX, após o incidente de segurança. Apesar de ser uma infração grave, as outras
    sanções, previstas nos incisos IV, V e VI do art. 52 da LGPD, não são adequadas para esta infração, em
    função do interesse público que justifica a necessidade do tratamento dos dados.
    INFRAÇÃO ART. 5º DO REGULAMENTO DE FISCALIZAÇÃO
    Classificação da infração
    7.32. É dever do regulado fornecer documentos, dados e informações relevantes para a avaliação
    das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas
    pela ANPD. A não apresentação do relatório técnico do incidente após diversas determinações da CGF
    configura violação do art. 5º, I, do Regulamento de Fiscalização.
    7.33. Em acordo com o art. 6º, do Regulamento de Fiscalização, o não fornecimento de
    documentos pode caracterizar obstrução à atividade de fiscalização, sujeitando o infrator a medidas
    repressivas, sem prejuízo da adoção das medidas necessárias com o objetivo de concluir a ação de
    fiscalização obstruída por parte da ANPD.
    7.34. No caso concreto, a não apresentação do relatório técnico do incidente constituiu obstrução
    à atividade de fiscalização, já que a falta do documento em questão impediu a CGF de avaliar as medidas
    técnicas adequadas e suficientes para prevenir e mitigar os efeitos do incidente.
    7.35. Segundo art. 48, §2º, da LGPD, compete à ANPD verificar a gravidade do incidente e, caso
    necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de
    providências. Para tanto, é fundamental que o autuado forneça informações, a SES/SC não apresentou e
    isto impediu que a CGF cumprisse seu dever de fiscalizar.
    7.36. Como esse descumprimento do dever de fornecer documentos configurou obstrução à
    fiscalização, a infração deve ser classificada como grave, em acordo com art. 8º, §3º, II, do Regulamento
    de Dosimetria.
    Definição do tipo de sanção administrativa
    7.37. Para a definição do tipo de sanção adequada, o art. 10, II, do Regulamento de Dosimetria,
    indica ser aplicável multa simples quando a infração for classificada como grave.
    7.38. Quanto às circunstâncias agravantes e atenuantes previstas nos art. 12 a 13, nota-se que
    houve o descumprimento de medida preventiva no processo de fiscalização (art. 12, III).
    7.39. No entanto, a aplicação da sanção de multa simples é afastada no caso concreto, em
    conformidade com o art. 52, §3º da LGPD c/c o art. 3º, §5º, do Regulamento de Dosimetria. Resta a
    aplicação da advertência.
    7.40. Apesar da sanção de advertência, não cabe impor medida corretiva, já que as circunstâncias
    do incidente restaram caracterizadas no Relatorio RIPD (SEI nº 3666470). Igualmente, muito embora seja
    uma infração grave, as outras sanções, previstas nos incisos IV, V e VI do art. 52 da LGPD, não são
    adequadas para esta infração, em função do interesse público que justifica a necessidade do tratamento dos
    dados.
    7.41. Em tempo, considerando a postura da SES/SC que, após a instauração de processo
    sancionador, apresentou as informações solicitadas no relatório técnico do incidente por meio do RIPD,
    consideram-se ausentes a conveniência e oportunidade de encaminhar notícia ao órgão de controle interno
    do Estado de Santa Catarina para apuração de eventual falta funcional.
  2. CONCLUSÃO
    8.1. Ante o exposto, considerando que o conjunto probatório dos autos demonstra que autoria e
    materialidade restam devidamente comprovadas nos autos, e que os fatos descritos correspondem às
    infrações tipificadas pelos enquadramentos indicados no ANPD – Auto de Infração 9 (SEI nº 3617432),
    conclui-se pelas seguintes recomendações:
    Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1255
    8.1.1. Por violação ao art. 38 da LGPD, pela aplicação da sanção de ADVERTÊNCIA à SES/SC,
    sem a imposição de medida corretiva;
    8.1.2. Por violação ao art. 48 da LGPD, pela aplicação da sanção de ADVERTÊNCIA à SES/SC,
    com imposição de medida corretiva, nos termos do [item 7.19] e do [item 7.20], conforme disposto no art.
    52 da LGPD c/c o artigo 9º inciso II do Regulamento de Dosimetria e Aplicação de Sanções
    Administrativas;
    8.1.3. Por violação ao art. 49 da LGPD, pela aplicação da sanção de ADVERTÊNCIA à SES/SC,
    sem a imposição de medida corretiva;
    8.1.4. Por violação ao art. 5º do Regulamento de Fiscalização, pela aplicação da sanção de
    ADVERTÊNCIA à SES/SC, sem a imposição de medida corretiva;
    8.2. Por fim, é importante salientar que a classificação das infrações, a definição das sanções
    (inclusos agravantes e atenuantes) e a adoção de medidas corretivas restringem-se às circunstâncias deste
    caso.
  3. ENCAMINHAMENTOS
    9.1. O presente Relatório de Instrução deve ser encaminhado ao Coordenador-Geral de
    Fiscalização para decisão, de acordo com art. 55 da Resolução CD/ANPD nº 1/2021.
    9.2. Após proferida a decisão, o autuado deverá ser intimado para cumprimento da sanção e/ou
    apresentação de recurso, em até 10 dias úteis, em consonância com o art. 56 da Lei nº 9.784/99 e art. 58 da
    Resolução CD/ANPD nº 1/2021.
    9.3. A decisão deve ser publicada no DOU, segundo o art. 55 da Resolução CD/ANPD nº
    1/2021.
    9.4. Após trânsito em julgado, este Processo Administrativo Sancionador passa para a fase de
    cumprimento da decisão para acompanhamento de eventuais obrigações de fazer.
    RAVVI AUGUSTO DE ABREU C. MADRUGA
    Coordenador de Fiscalização

[1] Este Relatório de Instrução foi elaborado com a participação de Eduarda Costa Almeida, assistente desta
Coordenação-Geral de Fiscalização.
[2] https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-agenda-regulatoria-2023-
2024/AgendaRegulatria20232024.pdf
[3] https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-deseguranca-cis
[4] https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-aprotecao-de-dados-pessoais-ripd#p3
[5] https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-aprotecao-de-dados-pessoais-ripd#p1
Documento assinado eletronicamente por Ravvi Augusto de Abreu Coutinho Madruga ,
Coordenador(a), em 11/10/2023, às 09:49, conforme horário oficial de Brasília, com fundamento no §
3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020 .
A autenticidade do documento pode ser conferida informando o código verificador XXXXX e o código
CRC XXXXX no site:
https://super.presidencia.gov.br/controlador_externo.php?
acao=documento_conferir&id_orgao_acesso_externo=0
Referência: Processo nº 00261.001886/2022-51 SEI nº 4478157
Relatório 4/2023 de Instrução (4478157) SEI 00261.001886/2022-51 / pg. 1256

Membro
Cadastramento

Por favor, preencha todos os campos abaixo para prosseguir com o seu cadastro. Ao concluir, você será direcionado à página de pagamento. Seu cadastro é o primeiro passo para acessar nossos serviços exclusivos. Agradecemos a preferência!”

Preencha os dados do cartão de crédito abaixo.