Desafios do controle de bancos de dados sensíveis na vacinação da covid-19

Desafios do controle de bancos de dados sensíveis na vacinação da covid-19

Paulo Vinícius de Carvalho Soares*

26 de janeiro de 2021 | 10h20

Paulo Vinícius de Carvalho Soares. FOTO: DIVULGAÇÃO

Tema de intenso debate nas últimas semanas, a vacinação como forma de prevenção aos efeitos da Covid-19, traz novos desafios ao Poder Público dentre os quais se destacam: a negociação para aquisição dos insumos das vacinas; a distribuição por um território continental e o controle do banco de dados da população diante das regras vigentes de proteção de dados pessoais.

Sobre este último tópico é importante ressaltar que a Lei Geral de Proteção de Dados Pessoais está em vigor no país desde setembro de 2020, motivo pelo qual os órgãos públicos e privados da área da saúde devem se adequar aos preceitos protetivos da privacidade e garantir meios de proteção e segurança informacional sobre os dados pessoais de seus titulares, os quais são considerados como sensíveis quando se referem à saúde, raça, gênero, orientação sexual, etc.

Assim, o controle dos bancos de dados populacionais para vacinação ganha mais importância e traz desafios: como tratar dados pessoais sensíveis nesta situação? Do mesmo modo que é necessário um alto nível de comprometimento aos protocolos de segurança para se evitar o contágio da Covid-19, deve haver o compromisso com a segurança dos dados pessoais e a conformidade com suas normas protetivas de modo a evitar a exposição indevida. Um exemplo a se evitar foi a exposição de dados de algumas vacinas da Covid-19 que pertenciam à Agência Europeia de Medicamentos que foi vítima de ataque hacker em dezembro de 2020[1].

A LGPD determina que os dados pessoais sensíveis, por serem de uma categoria especial, demandam um nível maior de segurança do que os demais dados pessoais. Neste sentido, todos aqueles que tratam este tipo de dados devem ser conscientizados e treinados sobre a importância e a responsabilidade sobre os atos de tratamento, pois é sabido que grande parte dos incidentes de segurança e violação de dados pessoais decorre de falha humana[2], evitando-se violações de dados pessoais como ocorrido no Ministério da Saúde, em dezembro de 2020 (243 milhões de dados de brasileiros)[3].

Outra questão que deve vir a debate é: Como os órgãos públicos devem tratar as bases de controle de indivíduos vacinados com a finalidade de divulgação para a imprensa? Prioritariamente, quando possível, as bases devem ser tratadas de forma anonimizada para esta finalidade, ou seja, de forma que não seja possível identificar o titular dos dados com base nas informações daquela base de dados e tampouco quando se cruzar com outros dados ou bases, conferindo-se maior segurança no tratamento destes dados e respeitando a finalidade da contagem dos indivíduos vacinados, vez que não é importante a identificação de cada indivíduo para a finalidade de divulgação.

Isto não significa que os órgãos que têm a nobre incumbência da vacinação devem tratar apenas dados anonimizados. Para outras finalidades tais como controles internos das doses (quando a vacina requer tal procedimento) ou demais finalidades, os dados pessoais podem vir a ser tratados sem anonimização. Para tanto, recomenda-se a elaboração de um Relatório de Impacto de Proteção de Dados Pessoais (DPIA) de modo a se observar, riscos, ameaças e implantação de ações preventivas para garantir o correto o tratamento dos dados pessoais de acordo com a categorização feita em tal estudo.

Mais um ponto importante que demonstra que prevenir é melhor que remediar refere-se ao custo da prevenção versus a resolução de uma violação de dados pessoais. Da mesma forma que o custo com máscaras e álcool em gel é muito menor do que uma diária em uma UTI, a prevenção e tratamento seguro de dados pessoais pode ser infinitamente mais barato ao país do que o custo da reparação de um incidente de gigantescas proporções, na medida em que na medida em que a LGPD prevê a reparação individual ou coletiva diante da violação de dados pessoais quando não respeitados os seus preceitos.

Desta maneira, como temos visto a aplicação da metodologia cientifica e seus acertos para o combate à Covid-19, os estudos técnicos e a metodologia de implementação de técnicas de segurança da informação e proteção de dados pessoais para garantia da privacidade dos titulares devem ser balizadores para o cotidiano daqueles que operam dados pessoais na área da saúde. Com a aplicação das melhores técnicas e ações protetivas proativas, o país poderá ter um futuro muito mais seguro para todos, em todos os aspectos.

*Paulo Vinicius de Carvalho Soares é advogado, sócio da Lee, Brock, Camargo Advogados (LBCA), DPO (Encarregado de Dados do escritório), coautor da obra Lei Geral de Proteção de Dados – Ensaios e Controvérsias da Lei 13.709/18

[1] https://www.correiodopovo.com.br/jornalcomtecnologia/hackers-roubam-dados-de-vacinas-contra-covid-19-manipulam-e-publicam-na-dark-web-1.558432

[2] https://www.venafi.com/blog/7-data-breaches-caused-human-error-did-encryption-play-role

[3] https://g1.globo.com/economia/tecnologia/noticia/2020/12/02/nova-falha-do-ministerio-da-saude-expoe-dados-de-243-milhoes-de-brasileiros-na-internet-diz-jornal.ghtml

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.