O vazamento de senhas de sistemas do Ministério da Saúde deixou expostos por quase um mês dados de ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19.
Um funcionário do Hospital Albert Einstein, de São Paulo, teria publicado uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por Covid no país. Segundo o Einstein, o hospital tem acesso às informações porque está trabalhando em um projeto com o Ministério.
Diversos políticos tiveram CPF, endereço, telefone e doenças pré-existentes revelados. Entre eles, o presidente Jair Bolsonaro e o governador de São Paulo, João Doria, por exemplo.
Para advogados, a LGPD (Lei Geral de Proteção de Dados Pessoais), em vigor há poucos meses, prevê reparações e punições em casos como esse.
“A partir da promulgação da LGPD, situações como essa são passíveis de ação de reparação de danos coletiva, prevista no artigo 42 da LGPD, bem como de sanções administrativas a serem aplicadas pela Autoridade Nacional, incluindo a possibilidade de multa de alta monta. Por outro lado, como é uma legislação muito nova, é preciso agir com cautela na resposta estatal à infração, dado o período de adaptação aos novos regramentos e de conscientização de toda a população a respeito da importância da proteção de dados na era digital”, avalia Paula Sion, do Cavalcanti, Sion e Salles Advogados, coordenadora do Grupo de Trabalho sobre Proteção de dados na Comissão de Direito Penal da OAB/SP.
A especialista em Direito Digital e privacidade Maria Hosken, do Nelson Wilians Advogados, destaca que incidentes de segurança envolvendo falha humana são muito comuns e, como nesse caso, podem gerar danos relevantes. “Esse episódio pode servir de lição a muitas organizações, pois demonstra a necessidade de se investir não apenas em sistemas e processos mais seguros, mas em treinamento adequado e constante a colaboradores”, ressalta.
Hosken lembra que é preciso minimizar ao máximo o risco de que tais situações aconteçam. “No setor público de saúde essa necessidade é ainda mais premente, considerando o tipo (dados sensíveis), o volume de informações e quantidade de pessoas envolvidas.”
Alan Thomaz, do escritório Alan Thomaz Advogados, advogado especializado em Tecnologia, Proteção de Dados e Cybersecurity, explica que, de acordo com a LGPD, tanto o Einstein quanto o Ministério da Saúde podem ser responsabilizados por terem permitido a divulgação não autorizada de dados pessoais de milhões de pessoas. “A LGPD estabelece que ambas as entidades devem adotar medidas técnicas e administrativas para proteger e manter em sigilo os dados dos pacientes. Pelo grande risco que o tratamento de grandes bancos de dados e de dados de saúde oferece, é importante que as organizações públicas e privadas façam uma avaliação de risco relacionada ao tratamento de dados pessoais, e implementem mecanismos de proteção adequados para evitar esse tipo de incidente. O caso ainda precisa ser apurado, mas há indícios de que medidas técnicas como a segregação do banco de dados, limitação de acesso ou cópia poderiam ter sido implementadas para evitar ou mitigar os efeitos do incidente”, opina.
O advogado criminalista André Damiani, especializado em Direito Penal Econômico pela GV-Law e sócio fundador do Damiani Sociedade de Advogados, afirma que o novo vazamento, desta vez provocado por erro humano, é ainda mais sensível por envolver informações de saúde de milhões de pessoas.
“É inaceitável um erro tão crasso como o que ocorreu, cometido por um funcionário do hospital. A gravidade do dano é evidente, em virtude das informações vazadas como o diagnóstico de coronavírus, além de todo o histórico médico diretamente associados aos nomes de milhões de indivíduos, inclusive figuras públicas como o presidente da República e o governador de São Paulo. Imagine a magnitude do dano experimentado por alguém que porta uma doença e a mantém em sigilo, ao ter essa informação vazada publicamente”, enfatiza.
Segundo o advogado, a LGPD é clara sobre o restritivo tratamento de dados pessoais sensíveis. “Nos casos como o alegado pelo hospital, em que estaria trabalhando em um projeto junto ao Ministério da Saúde, deveria ser feita a anonimização dos dados, visto que as sequelas decorrentes de um incidente de segurança envolvendo dados sensíveis possuem alta lesividade para os titulares dos dados”, afirma. Blanca Albuquerque, advogada associada de Damiani e especializada em proteção de dados pessoais pelo Data Privacy Brasil, completa: “Por que estes dados não estão anonimizados? Realmente é necessário vincular a pessoa? Quem tem acesso a eles? Com quem estão sendo compartilhados dados sensíveis concernentes à saúde de milhões de cidadãos do Brasil?”, questiona.
Renato Valença, especialista em LGPD do Peixoto & Cury Advogados, explica que a falha humana é muito comum nessa área. “É essencial que as empresas invistam em ações educativas aos seus colaboradores buscando mitigar esse risco. Os profissionais precisam ter conhecimento sobre as consequências que suas omissões ou ações irresponsáveis podem causar à empresa. A empresa, por sua vez, precisa ter um mapeamento de seus processos e redobrar a vigilância em relação às operações que tratem dados pessoais sensíveis”, opina.
Valença alerta para o constrangimento causado pelo vazamento, já que informações sensíveis, sobre doenças graves por exemplo, podem levar a situações discriminatórias.
“Em uma situação como essa, as pessoas que sofrerem eventual dano poderão buscar indenização contra os responsáveis. Quanto às penalidades governamentais, estas ainda não são aplicáveis, pois a LGPD determina que somente após agosto de 2021 a Autoridade Nacional de Proteção de Dados poderá determinar sanções, que poderão a chegar a R$ 50 milhões por infração.”
Para Fernanda Zucare, especialista em direito cível, é essencial que as empresas adotem uma política de compliance e solicitem aos seus colaboradores que assinem um termo de confidencialidade, a fim de resguardar a empresa. “Além disso, a LGPD precisa ser melhor difundida nas empresas, pois, a partir do ano que vem, serão aplicadas as sanções da lei, incluindo multas de valores relevantes”, conclui.
Ellen Carolina da Silva, especialista em LGPD e sócia do Luchesi Advogados, entende que a teoria da responsabilidade subjetiva pode ser aplicada no caso.
“No contexto da LGPD é obrigação do controlador – neste caso Einstein ou Ministério da Saúde – adotarem medidas que evitem vazamentos. Ao que tudo indica, em tese, o standard disposto em lei foi respeitado e os controladores teriam agido de acordo com as melhores normas de segurança e com boa-fé quando estavam tratando esses dados. O Einstein menciona que houve treinamento dos funcionários, que não houve invasão ao sistema de segurança e que os funcionários estariam cientes sobre as sanções penais e administrativas no caso de vazamento. Se comprovado que não houve violação deliberada da norma, estaríamos diante da aplicação da teoria da responsabilidade subjetiva e aplicação dos incisos II ou II do artigo 43 da LGPD no sentido de que caberia ao Einstein e ao Ministério da Saúde provarem agora que não houve violação à LGPD ou se houve que o dano foi decorrente de culpa exclusiva de terceiros, neste caso do funcionário que vazou deliberadamente as senhas”, explica.
Ellen faz a ressalva de que a aplicação do artigo 43 não tem o condão de afastar por completo a responsabilidade do agente, pois a lei atribui responsabilidade do controlador, neste caso o Einstein e o Ministério da Saúde, “em adotar todas as medidas procedimentais, técnicas, jurídicas e operacionais para evitar danos aos direitos dos titulares, o que não ocorreu completamente.”