A exposição de dados pessoais e médicos de 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19 pode ser enquadrada na Lei Geral de Proteção de Dados Pessoais e eventualmente resultar em uma ação de reparação de danos coletiva, apontam especialistas consultados pelo Estadão. Para eles, o caso revela a necessidade de investimento não só em sistemas seguros, mas em treinamento a colaboradores, políticas de compliance e conscientização da população sobre a importância da proteção de dados na era digital.
A especialista em Direito Digital e privacidade Maria Hosken, do Nelson Wilians Advogados, destaca que incidentes de segurança envolvendo falha humana são muito comuns e, como nesse caso, podem gerar danos relevantes. "Esse episódio pode servir de lição a muitas organizações, pois demonstra a necessidade de se investir não apenas em sistemas e processos mais seguros, mas em treinamento adequado e constante a colaboradores", ressalta.
Hosken lembra que é preciso minimizar ao máximo o risco de que tais situações aconteçam. "No setor público de saúde essa necessidade é ainda mais premente, considerando o tipo (dados sensíveis), o volume de informações e quantidade de pessoas envolvidas."
Na mesma linha, o especialista em LGPD do Peixoto & Cury Advogados Renato Valença, ressalta que é 'essencial que as empresas invistam em ações educativas aos seus colaboradores buscando mitigar riscos'. "Os profissionais precisam ter conhecimento sobre as consequências que suas omissões ou ações irresponsáveis podem causar à empresa. A empresa, por sua vez, precisa ter um mapeamento de seus processos e redobrar a vigilância em relação às operações que tratem dados pessoais sensíveis", opina.
Para Fernanda Zucare, especialista em direito cível, é essencial que as empresas adotem uma política de compliance e solicite aos seus colaboradores que assinem um termo de confidencialidade, a fim de resguardar a empresa. "Além disso, a LGPD precisa ser melhor difundida nas empresas, pois, a partir do ano que vem, serão aplicadas as sanções da lei, incluindo multas de valores relevantes".
A LGPD determina que somente após agosto de 2021 a Autoridade Nacional de Proteção de Dados poderá determinar sanções, que poderão a chegar a R$ 50 milhões por infração, explica Valença.
Alan Thomaz, do escritório Alan Thomaz Advogados, advogado especializado em Tecnologia, Proteção de Dados e Cybersecurity, também ressalta medidas que podem ser tomadas para evitar vazamentos.
"A LGPD estabelece que ambas as entidades devem adotar medidas técnicas e administrativas para proteger e manter em sigilo os dados dos pacientes. Pelo grande risco que o tratamento de grandes bancos de dados e de dados de saúde oferece, é importante que as organizações públicas e privadas façam uma avaliação de risco relacionada ao tratamento de dados pessoais, e implementem mecanismos de proteção adequados para evitar esse tipo de incidente. O caso ainda precisa ser apurado, mas há indícios de que medidas técnicas como a segregação do banco de dados, limitação de acesso ou cópia poderiam ter sido implementadas para evitar ou mitigar os efeitos do incidente", indica.
Segundo o advogado, de acordo com a LGPD, tanto o Einstein quanto o Ministério da Saúde podem ser responsabilizados
O advogado criminalista André Damiani, especializado em Direito Penal Econômico pela GV-Law e sócio fundador do Damiani Sociedade de Advogados, afirma que o novo vazamento é ainda mais sensível por envolver informações de saúde de milhões de pessoas.
"É inaceitável um erro tão crasso como o que ocorreu, cometido por um funcionário do hospital. A gravidade do dano é evidente, em virtude das informações vazadas como o diagnóstico de coronavírus, além de todo o histórico médico diretamente associados aos nomes de milhões de indivíduos, inclusive figuras públicas como o presidente da República e o governador de São Paulo. Imagine a magnitude do dano experimentado por alguém que porta uma doença e a mantém em sigilo, ao ter essa informação vazada publicamente", enfatiza.
Segundo o advogado, a LGPD é clara sobre o restritivo tratamento de dados pessoais sensíveis. "Nos casos como o alegado pelo hospital, em que estaria trabalhando em um projeto junto ao Ministério da Saúde, deveria ser feita a anonimização dos dados, visto que as sequelas decorrentes de um incidente de segurança envolvendo dados sensíveis possuem alta lesividade para os titulares dos dados", afirma.
Blanca Albuquerque, advogada associada de Damiani e especializada em proteção de dados pessoais pelo Data Privacy Brasil, vai na mesma linha: "Por que estes dados não estão anonimizados? Realmente é necessário vincular a pessoa? Quem tem acesso a eles? Com quem estão sendo compartilhados dados sensíveis concernentes à saúde de milhões de cidadãos do Brasil?", questiona.
Ellen Carolina da Silva, especialista em LGPD e sócia do Luchesi Advogados, entende que a teoria da responsabilidade subjetiva pode ser aplicada no caso.
"No contexto da LGPD é obrigação do controlador - neste caso Einstein ou Ministério da Saúde - adotarem medidas que evitem vazamentos. Ao que tudo indica, em tese, o standard disposto em lei foi respeitado e os controladores teriam agido de acordo com as melhores normas de segurança e com boa-fé quando estavam tratando esses dados. O Einstein menciona que houve treinamento dos funcionários, que não houve invasão ao sistema de segurança e que os funcionários estariam cientes sobre as sanções penais e administrativas no caso de vazamento. Se comprovado que não houve violação deliberada da norma, estaríamos diante da aplicação da teoria da responsabilidade subjetiva e aplicação dos incisos II ou II do artigo 43 da LGPD no sentido de que caberia ao Einstein e ao Ministério da Saúde provarem agora que não houve violação à LGPD ou se houve que o dano foi decorrente de culpa exclusiva de terceiros, neste caso do funcionário que vazou deliberadamente as senhas", explica.
Ellen faz a ressalva de que a aplicação do artigo 43 não tem o condão de afastar por completo a responsabilidade do agente, pois a lei atribui responsabilidade do controlador, neste caso o Einstein e o Ministério da Saúde, em adotar todas as medidas procedimentais, técnicas, jurídicas e operacionais para evitar danos aos direitos dos titulares, o que não ocorreu completamente'.
"A partir da promulgação da LGPD, situações como essa são passíveis de ação de reparação de danos coletiva, prevista no artigo 42 da LGPD, bem como de sanções administrativas a serem aplicadas pela Autoridade Nacional, incluindo a possibilidade de multa de alta monta. Por outro lado, como é uma legislação muito nova, é preciso agir com cautela na resposta estatal à infração, dado o período de adaptação aos novos regramentos e de conscientização de toda a população a respeito da importância da proteção de dados na era digital", avalia ainda Paula Sion, do Cavalcanti, Sion e Salles Advogados, coordenadora do Grupo de Trabalho sobre Proteção de dados na Comissão de Direito Penal da OAB/SP.
