A Autoridade Nacional de Proteção de Dados rejeitou recurso do INSS e manteve a condenação ao instituto por não comunicar a ocorrência de incidente de segurança aos titulares de dados, com o agravante de não ter atendido a determinações da Autoridade relacionadas ao caso.
O incidente aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento de aposentados e pensionistas, dados passíveis de serem usados em fraudes e em roubo de identidade.
A ANPD considerou que o incidente de segurança poderia acarretar danos relevantes aos direitos dos titulares dos dados pessoais, por envolver base de dados que continha informações sobre benefícios previdenciários. Desse modo, caberia ao INSS comunicar a ocorrência do incidente de segurança aos titulares afetados. O Instituto, entretanto, alegou inviabilidade técnica para individualizar as pessoas afetadas e não realizou a comunicação.
“Houve um incidente de segurança, envolvendo dados do Sistema Corporativo de Benefícios do INSS (SISBEN), a comunicação do evento adverso aos titulares afetados justificar-se-ia em virtude do elevadíssimo número de pessoas naturais potencialmente afetadas, uma vez que a base de dados envolvida armazena uma grande quantidade de dados pessoais, tais como nome, CPF, NIT, RG, data de nascimento, sexo, ramo de atividade profissional, dados bancários e quantidade de dependentes, cuja publicação indevida poderia expor os titulares a riscos de fraudes e roubo de identidade”
Ainda segundo a ANPD, mesmo com a prorrogação do prazo pedido pelo INSS, o Instituto ainda assim não comunicou o incidente aos titulares.