Em decisões recentes, a ANPD (Autoridade Nacional de Proteção de Dados) condenou o INSS (Instituto Nacional do Seguro Social) e a SEEDF (Secretaria de Estado de Educação do Distrito Federal) em processos sancionadores por violações de disposições legais sobre o tratamento de dados pessoais, aplicando sanções para ambos.
O INSS foi condenado por não comunicar a ocorrência de incidente de segurança aos titulares de dados, com o agravante de não ter atendido a determinações da ANPD (art. 48 da LGPD e art. 32 da resolução CD/ANPD 1/21, respectivamente). O incidente, que ocorreu em 2022, afetou o SISBEN, o Sistema Corporativo de Benefícios do INSS, e expôs dados como CPF, dados bancários e data de nascimento.
A SEEDF, por sua vez, foi sancionada por descumprir uma série de dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade, referentes a manutenção de registro de operações de dados pessoais, elaboração de Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD), comunicação aos titulares de ocorrência de incidente de segurança que representasse risco ou dano relevante, e ao uso de sistemas que atendam à LGPD. Por estas infrações, a ANPD aplicou quatro sanções de advertência.