Considerando os recentes acontecimentos relacionados aos vazamentos de dados no âmbito da saúde e o advento da Lei Geral de Proteção de Dados (LGPD), é de suma importância abordar e analisar a responsabilidade das partes envolvidas nos incidentes envolvendo dados pessoais, principalmente à luz da LGPD, vez que essa norma foi instituída justamente para regulamentar a seara da proteção de dados pessoais. Dentre os dados pessoais divulgados nos incidentes estão nome, CPF e endereço, inclusive os dados sensíveis referente ao histórico médico dos pacientes.
Ao realizar análise dos incidentes de vazamento de dados logo percebe-se a falta de conscientização e medidas ou salvaguardas minimamente necessárias para garantir a segurança da informação, tanto nos sistemas tecnológicos quanto na disseminação da cultura da proteção de dados.
Conforme noticiado, mais de 243 milhões de pessoas (titulares) tiveram seus dados pessoais vazados em decorrência de uma exposição da base cadastral do Ministério da Saúde, ultrapassando o número de brasileiros vivos até a presente data, ou seja, também houve divulgação de dados pessoais de pessoas falecidas.
Pouco se sabe ainda sobre a real extensão do dano que o titular poderá sofrer, vez que estes dados podem ser utilizados conforme interesse de quem teve acesso à essas informações, existindo o risco de utilização para fins ilícitos. Ressalta-se que se houvesse a criptografia dos dados contidos nessa base seriam mitigados os riscos envolvidos no incidente.
Ainda que os dados pessoais estivessem armazenados somente em base de dados de instituição hospitalar privada, todos os envolvidos no incidente também poderão ser responsabilizados, com fundamento na LGPD ou em outras legislações vigentes, por isso é tão importante estabelecer e analisar a responsabilidade dos envolvidos no ocorrido.
Nesta linha, o artigo 42 da LGPD prevê que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”, ou seja, a responsabilização poderá recair tanto sobre Pessoa Jurídica quanto Pessoa Física.
Quando o operador der causa ao dano sofrido pelo titular, responderá solidariamente se for verificado o descumprimento das obrigações e disposições da LGPD ou das instruções lícitas do controlador. Já o controlador responderá solidariamente pelos danos causados quando estiver diretamente envolvido no tratamento que deu causa ao dano, salvo disposto no artigo 43 da LGPD.
A partir da ocorrência do incidente, é possível obter diversas lições aprendidas, não somente para os envolvidos, mas para todas as organizações que em algum momento tratam dados pessoais, especialmente sensíveis como os de saúde. Então, atenção!
Seguir algumas diretrizes básicas faz toda a diferença:
Compartilhe os dados pessoais de forma consciente, entregando somente os dados necessários para o atingimento da finalidade em questão, e com agente comprometido com a LGPD assim como você. De preferência, preveja isso no contrato ou instrumento similar entre as partes;
Faça uso de mecanismos de criptografia ou outros que dificultem o acesso às informações, especialmente se você compartilha dados pessoais sensíveis, que podem levar a qualquer tipo de discriminação do titular se mal utilizados;
Após o encerramento da finalidade, verifique a real necessidade de ambas as partes continuarem tendo acesso aos dados. Se não houver necessidade, retire o acesso concedido ou solicite a devolução/exclusão correta dos dados pessoais compartilhados;
Não pense que somente quando as sanções administrativas da LGPD estiverem em vigor (agosto/2021) a organização ou os empregados podem ser punidos. Nada exime o responsável de sofrer outras sanções, como o pagamento de indenização de natureza cível ou criminal, instauração de processo administrativo ou até mesmo a demissão do empregado.
O fato de a Autoridade Nacional de Proteção de Dados Pessoais ainda não estar em plena execução dos trabalhos dificulta a uniformização das diretrizes neste momento, mas incidentes como os recentes aqui mencionados são graves e precisam ser evitados desde já.
Não espere, procure uma consultoria especializada e adeque seus processos à LGPD. Fale conosco!
Samanta Faleiro Porto Costa
Analista Jurídica da Every
Camila Borges Pires
Analista Jurídica da Every
Comments