Por Sérgio Longo
A proteção de dados pessoais é um assunto cada vez mais importante, especialmente no setor da saúde, onde informações sensíveis são frequentemente compartilhadas. Recentemente, dois casos de vazamento de dados pessoais chamaram a atenção no Brasil: UNIMED e Drogasil.
A UNIMED, uma cooperativa de saúde, deixou escapar informações sensíveis de pacientes por conta de uma falha em uma unidade em Porto Alegre. Dados como nome completo, e-mail, telefone, número IP, CPF, histórico de exames e consultas, medicações e materiais usados foram expostos. A Unimed Porto Alegre informou que está trabalhando constantemente em melhorias e que não foi constatado nenhum incidente que possa causar danos aos titulares dos dados.
A Lei nº 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais – LGPD estabelece os princípios, além da boa-fé, para tratamento de dados pessoais, sendo a segurança um deles, o que impõe a quem quer que trate dados pessoais a responsabilidade pela “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão” (art. 6º, VII).
Se o vazamento, como parece ser o caso da UNIMED Porto Alegre, decorrer de uma falha na construção dos sistemas de informática, fica evidente a violação a este dispositivo e, por consequência, deve haver a obrigação de reparar.
Já a Drogasil foi multada pelo Procon-MT por infringir a LGPD. Segundo o Procon-MT, a empresa coletou dados pessoais e biométricos dos consumidores sem fornecer informações adequadas ou informá-los plenamente sobre o tipo de processamento que estavam autorizando.
O tratamento de dados pessoais pressupõe que haja uma base legal para tanto, sendo o rol do art. 7º da LGPD claramente taxativo e não comportando extensão dele.
Aquele dispositivo arrola as hipóteses em que o tratamento de dados pessoais pode ocorrer, dentre elas o livre consentimento, execução de contratos ou de obrigação legal, o exercício regular de direito em processo judicial e para atender a legítimo interesse do controlador.
A diferença, aqui, é que o tratamento se deu com base no consentimento sem que este fosse devidamente fundamentado, em violação ao que dispõe o inciso VI do mesmo art. 6º. Também, no art. 8º da mesma Lei, o § 3º veda o tratamento com base em vício de consentimento, trazendo uma redundância (bem-vinda) para a proibição de atuar sem base legal adequada.
As primeiras decisões que importaram em condenação com base na LGPD foram justamente aquelas que entenderam pelo indevido compartilhamento dos dados pessoais.
Esses casos mostram a importância da proteção dos dados pessoais e a necessidade de as empresas adotarem medidas rigorosas para garantir a segurança dessas informações. É fundamental que os consumidores estejam cientes dos riscos associados ao compartilhamento de seus dados pessoais e tomem medidas para protegê-los. Além disso, é importante que as empresas sejam transparentes sobre como coletam, armazenam e usam os dados dos consumidores e que cumpram as leis e regulamentações aplicáveis.
O consumidor, sempre que se sentir lesado, deve, primeiro, buscar entender quais as bases de tratamento dos seus dados pessoais, já que a Lei obriga os controladores a informar isto. E, entendendo que não há qualquer fundamento, deve formalizar um pedido de exclusão de seus dados pessoais, porque é um direito que lhe é garantido pela LGPD.
Em caso de não cumprimento dos dispositivos da LGPD, o Consumidor pode procurar o PROCON, para que ela seja cumprida, ou o Judiciário, para que as medidas jurídicas mais adequadas sejam empregadas.
A venda de dados pessoais é uma prática ilegal que pode ter consequências graves para a privacidade e a segurança das pessoas. É importante que as empresas tomem medidas para garantir que os dados dos consumidores não sejam vendidos ou compartilhados sem o consentimento explícito deles.
Em resumo, os casos da UNIMED e Drogasil revelam a importância da proteção dos dados pessoais no setor da saúde e a necessidade de as empresas adotarem medidas rigorosas para garantir a segurança dessas informações. É fundamental que os consumidores estejam cientes dos riscos associados ao compartilhamento de seus dados pessoais e tomem medidas para protegê-los.
Com relação às multas da LGPD, as empresas que violarem a nova lei estarão sujeitas à aplicação de multas pesadas. Além disso, há uma crescente exigência por parte das empresas já adequadas à LGPD em contratar apenas com outras empresas também em conformidade com a lei. Isso mostra a importância da adequação à LGPD não apenas para evitar multas e sanções, mas também para manter relações comerciais saudáveis com outras empresas.
Em um mundo cada vez mais conectado, onde nossos dados pessoais são constantemente compartilhados e armazenados por diversas empresas, é fundamental que haja transparência e responsabilidade na coleta e uso dessas informações. Os casos da UNIMED e Drogasil nos lembram da importância de estarmos sempre atentos à proteção de nossos dados pessoais.
De acordo com a Surfshark, empresa sediada nas Ilhas Virgens Britânicas e que oferece ferramentas de privacidade e de segurança online, o Brasil ocupava, em 2021, o 6º local no ranking de países com mais vazamentos de dados pessoais no mundo. Somente de janeiro a novembro de 2021, mais de 24 milhões de perfis tiveram informações expostas a partir de ataques ou brechas de sistema.
Neste ranking, Estados Unidos, Irã e Índia ocupavam as três primeiras colocações e, somente o primeiro, já deu vazão a mais de 212 milhões de contas de cidadãos em 2021.
No entanto, os números brasileiros vêm em queda, ao contrário do fluxo mundial.
Globalmente, o número de vazamentos aumentou entre 2020 e 2021 em uma razão de 3,4%, ao passo que, no Brasil, houve queda de 31% se comparado com o período anterior.
Isto indica que o país tem conseguido efetivar políticas de mitigação dos vazamentos e tem melhorado as suas estruturas de proteção digital. Mas isso não quer dizer que o Brasil não precise intensificar ou continuar este investimento, já que, apesar de resultados positivos e de estar numa decrescente nos números, ainda há muito o que ser feito.
Não à toa, em 2022, o país caiu para a 12ª colocação neste ranking.
****************
Sérgio Alves Longo – Advogado formado pela Universidade Católica de Pernambuco, pós graduado em direito contratual pela Universidade Federal de Pernambuco, advogado militante em diversas áreas jurídicas, Membro e Presidente da Comissão de Direito Digital do Instituto dos Advogados de Pernambuco.