Em decisão publicada em 31/01/24 foram aplicadas sanções de advertência, por violações:

• ao art. 48 da LGPD pela demora de comunicação do incidente de segurança aos titulares;
• ao art. 5º do Regulamento de Fiscalização pelo não fornecimento de documentação solicitada no procedimento preparatório;
• ao art. 38 da LGPD, pela não elaboração de RIPD após solicitação da ANPD; e
• ao art. 37 da LGPD, ante a não realização de registro das operações de tratamento dos dados pessoais.
• Com relação à violação ao art. 37, o Relatório de instrução menciona que o documento apresentado pela SEEDF continha apenas apontamentos sobre o incidente de segurança e medidas adotadas e “em nada registra informações elementares de operações de tratamento, tais como os dados pessoais coletados, a forma de armazenamento, o uso conferido a esses dados, entre outras informações básicas.”.
  Não houve aplicação de medidas corretivas pelo fato de a coleta de dados não se dar mais pela mesma ferramenta (formulário).

Com relação ao processo sancionatório instaurado em face do Instituto Nacional do Seguro Social – INSS, também relacionado a incidente de segurança, foi aplicada a sanção de publicização da infração, por violação ao art. 48 da LGPD, com circunstância agravante (art. 32, §2º, II da Resolução CD/ANPD nº1/2021), com a determinação de:

• publicação de comunicado por 60 dias, na primeira página do site no INSS, informando sobre o incidente de segurança, conforme redação constante da decisão; e
• envio de comunicação sobre o incidente de segurança a todos os usuários do aplicativo meu INSS, por meio do recurso de notificação do aplicativo.