O vazamento de senhas de sistemas do Ministério da Saúde deixou expostos por quase um mês dados de ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19.
Um funcionário do Hospital Albert Einstein, de São Paulo, teria publicado uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas pelo novo coronavírus no país. Segundo o Einstein, o hospital tem acesso às informações porque está trabalhando em um projeto com o ministério.
Diversos políticos tiveram CPF, endereço, telefone e doenças pré-existentes revelados. Entre eles, o presidente Jair Bolsonaro e o governador de São Paulo, João Doria, por exemplo.
Para advogados, a LGPD (Lei Geral de Proteção de Dados Pessoais), em vigor há poucos meses, prevê reparações e punições em casos como esse.
“A partir da promulgação da LGPD, situações como essa são passíveis de ação de reparação de danos coletiva, prevista no artigo 42 da LGPD, bem como de sanções administrativas a serem aplicadas pela Autoridade Nacional, incluindo a possibilidade de multa de alta monta. Por outro lado, como é uma legislação muito nova, é preciso agir com cautela na resposta estatal à infração, dado o período de adaptação aos novos regramentos e de conscientização de toda a população a respeito da importância da proteção de dados na era digital”, avalia Paula Sion, do Cavalcanti, Sion e Salles Advogados, coordenadora do Grupo de Trabalho sobre Proteção de dados na Comissão de Direito Penal da OAB-SP.
A especialista em Direito Digital e privacidade Maria Hosken, do Nelson Wilians Advogados, destaca que incidentes de segurança envolvendo falha humana são muito comuns e, como nesse caso, podem gerar danos relevantes. “Esse episódio pode servir de lição a muitas organizações, pois demonstra a necessidade de se investir não apenas em sistemas e processos mais seguros, mas em treinamento adequado e constante a colaboradores”, ressalta.
Hosken lembra que é preciso minimizar ao máximo o risco de que tais situações aconteçam. “No setor público de saúde essa necessidade é ainda mais premente, considerando o tipo (dados sensíveis), o volume de informações e quantidade de pessoas envolvidas.”
Alan Thomaz, do escritório Alan Thomaz Advogados, advogado especializado em Tecnologia, Proteção de Dados e Cybersecurity, explica que, de acordo com a LGPD, tanto o Einstein quanto o Ministério da Saúde podem ser responsabilizados por terem permitido a divulgação não autorizada de dados pessoais de milhões de pessoas.
“A LGPD estabelece que ambas as entidades devem adotar medidas técnicas e administrativas para proteger e manter em sigilo os dados dos pacientes. Pelo grande risco que o tratamento de grandes bancos de dados e de dados de saúde oferece, é importante que as organizações públicas e privadas façam uma avaliação de risco relacionada ao tratamento de dados pessoais, e implementem mecanismos de proteção adequados para evitar esse tipo de incidente. O caso ainda precisa ser apurado, mas há indícios de que medidas técnicas como a segregação do banco de dados, limitação de acesso ou cópia poderiam ter sido implementadas para evitar ou mitigar os efeitos do incidente”, opina.
O advogado criminalista André Damiani, especializado em Direito Penal Econômico pela GV-Law e sócio fundador do Damiani Sociedade de Advogados, afirma que o novo vazamento, desta vez provocado por erro humano, é ainda mais sensível por envolver informações de saúde de milhões de pessoas.
“É inaceitável um erro tão crasso como o que ocorreu, cometido por um funcionário do hospital. A gravidade do dano é evidente, em virtude das informações vazadas como o diagnóstico de coronavírus, além de todo o histórico médico diretamente associados aos nomes de milhões de indivíduos. Imagine a magnitude do dano experimentado por alguém que porta uma doença e a mantém em sigilo, ao ter essa informação vazada publicamente”, enfatiza.
Segundo o advogado, a LGPD é clara sobre o restritivo tratamento de dados pessoais sensíveis. “Nos casos como o alegado pelo hospital, em que estaria trabalhando em um projeto junto ao Ministério da Saúde, deveria ser feita a anonimização dos dados, visto que as sequelas decorrentes de um incidente de segurança envolvendo dados sensíveis possuem alta lesividade para os titulares dos dados”, afirma.
Blanca Albuquerque, advogada associada de Damiani e especializada em proteção de dados pessoais pelo Data Privacy Brasil, completa: “Por que estes dados não estão anonimizados? Realmente é necessário vincular a pessoa? Quem tem acesso a eles? Com quem estão sendo compartilhados dados sensíveis concernentes à saúde de milhões de cidadãos do Brasil?”.
Luiza Sato, sócia de ASBZ Advogados, destaca a prevalência do fator humano nos riscos ao tratamento de dados. “Em estudo publicado este ano pela empresa CybSafe, com base nos dados apresentados pelo UK Information Commissioner’s Office (ICO), podemos atribuir notáveis 90% dos incidentes de segurança da informação a erros humanos, e nunca ficou tão claro que o investimento na área é obrigatório para empresas de todos os setores.”
Diante desse fator, Renato Valença, especialista em LGPD do Peixoto & Cury Advogados, explica que é necessário capacitar os profissionais. “É essencial que as empresas invistam em ações educativas aos seus colaboradores buscando mitigar esse risco. Os profissionais precisam ter conhecimento sobre as consequências que suas omissões ou ações irresponsáveis podem causar à empresa. A empresa, por sua vez, precisa ter um mapeamento de seus processos e redobrar a vigilância em relação às operações que tratem dados pessoais sensíveis”, opina.
Valença alerta para o constrangimento causado pelo vazamento, já que informações sensíveis, sobre doenças graves por exemplo, podem levar a situações discriminatórias.
“Em uma situação como essa, as pessoas que sofrerem eventual dano poderão buscar indenização contra os responsáveis. Quanto às penalidades governamentais, estas ainda não são aplicáveis, pois a LGPD determina que somente após agosto de 2021 a Autoridade Nacional de Proteção de Dados poderá determinar sanções, que poderão a chegar a R$ 50 milhões por infração”, conclui.
“A adequação à LGPD resguarda as organizações da sociedade civil de responsabilizações por violações ou vazamento de dados pessoais, notadamente aquelas que atuam em parceria com o Estado ou que desenvolvem ações na área da educação e da saúde, mas igualmente para as entidades da cultura, ciência e tecnologia e outras”, afirma Raquel Grazzioli, advogada do escritório Rubens Naves Santos Jr. Advogados.
Fonte: Revista Consultor Jurídico