Recentemente, uma falha de um cientista de dados do hospital Albert Einstein expôs os dados pessoais de cerca de 16 milhões de pacientes. Os dados divulgados, dentre eles dados sensíveis relacionados à saúde dos titulares, foram inseridos por engano numa plataforma utilizada por programadores e ficaram disponíveis por aproximadamente um mês.

Com o ocorrido, à luz das regras vigentes sobre o tratamento de dados trazidas pela LGPD (Lei nº 13.709/2018), uma série de questões relacionadas à forma com que os dados pessoais ainda são tratados no Brasil vem à tona.  Por essa razão, o presente artigo visa trazer breves reflexões sobre o modo com que lidamos com a segurança dos dados pessoais.

Se olharmos para a legislação aplicável à proteção de dados de forma ampla, podemos afirmar que uma boa compreensão da responsabilidade dos agentes de dados passa, sobretudo, pelo entendimento do que se exige dos agentes de dados.

A LGPD, compreendendo a dificuldade do titular de promover a proteção dos seus dados contra o tratamento inadequado, fez recair sobre o controlador grande parte da responsabilidade por promover a defesa dos dados pessoais.

Grosso modo, pode-se afirmar que a lei impôs três principais exigências a eles: legitimidade, segurança e transparência. Nenhuma dessas obrigações deve ser lida de modo isolado, antes, de forma complementar e harmônica, bem como em consonância aos demais dispositivos da lei.

Quando falamos em legitimidade, dizemos que o tratamento precisa encontrar sua razão de existir em alguma das hipóteses previstas em lei, sendo que, sem tal justificativa, o tratamento não pode ocorrer, independentemente de estarem seguros ou de haver transparência (lembrando, os dados em si é que são o objeto de tutela da lei).

Pois bem, suponhamos que o tratamento seja necessário e está amparado pela lei. Ainda assim, recai sobre o controlador o dever de manter os dados pessoais protegidos, por intermédio de medidas técnicas que permitam o seu tratamento em ambiente controlado, seguro e restrito.

Além disso, de promover o engajamento e conscientização de toda a equipe, bem como de garantir a transparência e protagonismo do titular nas decisões relacionadas aos seus dados.

Feitos tais esclarecimentos, o vazamento pelo hospital Albert Einstein nos permite alguns questionamentos à luz das regras vigentes sobre proteção de dados, dentre eles, se o compartilhamento dos dados pessoais (inclusive os sensíveis) pelo Ministério da Saúde ao hospital poderia ter sido realizado.

Baixe nossa cartilha básica sobre a LGPD

Nesse sentido, o art. 7º, inciso III e o art. 11, inciso II, “b”, da LGPD, previram expressamente o tratamento compartilhado de dados, inclusive os dados sensíveis, pela administração pública, sem a autorização do titular, desde que necessários à execução de políticas públicas. Em tese, portanto, verifica-se a legitimidade para o tratamento.

No entanto, ainda pode-se questionar a adequação desses dados à finalidade a que se destinam, isto é, se são compatíveis com o fim para o qual foram coletados, além de que, se não deveriam estar anonimizados (tornados anônimos), tendo em vista que a lei exige a anonimização sempre que não houver necessidade da identificação individual do titular.

A legitimidade para o tratamento, no entanto, não retira a responsabilidade do Poder Público (ou da empresa) de zelar pela segurança desses dados. Como mencionado anteriormente, tratam-se de obrigações distintas. Assim, ainda que o tratamento seja legítimo, o agente de dados ainda poderá ser responsabilizado por tratamento inadequado ou vazamento de dados pessoais.

O fato de o vazamento ter decorrido de uma falha humana, grosseira, diga-se de passagem, também chama a atenção para o quão distantes ainda estamos de uma cultura de proteção de dados, como a Lei Geral de Proteção de Dados parece pretender estimular.

Por essa razão, ressalta a importância do engajamento, treinamento e conscientização sobre o valor estratégico dos dados pessoais, sobretudo os sensíveis, o que se dá por meio da conformação de toda a estrutura por meio de escritório especializado, seja dentro das empresas privadas ou da administração pública.