Recentemente, houve grande divulgação na imprensa sobre a possibilidade de o Hospital Israelita Albert Einstein ter sido alvo de um vazamento que expôs dados pessoais e informações médicas de mais de 16 milhões de pacientes testados, diagnosticados e internados por covid-19.
Em razão deste incidente, o Hospital foi notificado pelo Procon do Estado de São Paulo, no último dia 30, para demonstrar, com base na Lei Geral de Proteção de Dados (LGPD), a implementação de medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Ainda, consta ter sido o Hospital indagado acerca das medidas práticas que foram adotadas para a contenção de danos decorrentes do incidente e da existência de protocolo de prevenção de vazamento de dados.
Esclarece-se que ainda não se sabe as causas e a real extensão do vazamento, fatos que serão objeto de defesa do Hospital.
Sobre o tema, a LGPD prevê que, quando da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, como é o caso do vazamento de dados, o controlador deverá comunicar o fato aos titulares e à Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável. A LGPD também estabelece o conteúdo mínimo desta comunicação, que deverá conter:
(i) a descrição da natureza dos dados pessoais afetados;
(ii) as informações sobre os titulares envolvidos;
(iii) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
(iv) os riscos relacionados ao incidente;
(v) os motivos da demora, no caso de a comunicação não ter sido imediata; e
(vi) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Ainda que realize a comunicação na forma da LGPD, o controlador poderá ser responsabilizado, civil e administrativamente, pela ocorrência do incidente de segurança.
Na esfera cível, o controlador poderá ser responsabilizado pela reparação do dano decorrente do incidente, seja ele patrimonial, moral, individual ou coletivo, sendo que os dispositivos que tratam dessa responsabilidade estão em vigor desde o início da vigência da LGPD, em setembro deste ano.
Já na esfera administrativa, estará sujeito à aplicação das penalidades que vão desde advertência até multas, que podem alcançar, a depender do caso, o patamar de R$ 50 milhões. Esclarece-se que tais sanções administrativas poderão começar a ser aplicadas apenas a partir de 1º de agosto de 2021.
Assim, levando-se em consideração que nenhum sistema é totalmente seguro, de modo que todo agente de tratamento está sujeito à ocorrência de incidentes de segurança, é essencial que as empresas adotem programas de adequação à LGPD, não só como uma forma de mitigar os riscos decorrentes do tratamento de dados pessoais como também para reduzir o valor das penalidades em caso de responsabilização.
Afinal, de acordo com a LGPD, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos, voltados ao tratamento seguro e adequado dos dados pessoais, deverá ser utilizada como parâmetro pela ANPD para a aplicação das sanções administrativas.
Além do mais, as empresas que controlam dados pessoais devem também se atentar se os terceiros com os quais compartilham dados pessoais apresentam nível adequado de segurança da informação e proteção de dados, visto que, caso esse terceiro viole o disposto na LGPD, por exemplo, o controlador também pode ser solidariamente responsabilizado.
Por essa razão, é muito importante que os contratos que regulam esses compartilhamentos de dados sejam revistos para a inclusão de regras relativas ao tratamento de dados pessoais, bem como para a delimitação das responsabilidades de cada uma das partes.
Beatriz Valentim Paccini
E-mail: beatriz.paccini@brasilsalomao.com.br
Telefone: (16) 99193-8364
Henrique Furquim Paiva
E-mail: henrique.furquim@brasilsalomao.com.br
Telefone: (16) 99961-0727
Ricardo Sordi
E-mail: ricardo.sordi@brasilsalomao.com.br
Telefone: (16) 99135-9585
Verônica Marques
E-mail: veronica.marques@brasilsalomao.com.br
Telefone: (14) 99743-9967
