

#ARTIGO – O QUE O VAZAMENTO DE DADOS PELO ALBERT EINSTEIN NOS REVELA SOBRE A NOSSA CULTURA DE PROTEÇÃO DE DADOS
Recentemente, uma falha de um cientista de dados do hospital Albert Einstein expôs os dados pessoais de cerca de 16 milhões de pacientes. Os dados divulgados, dentre eles dados sensíveis relacionados à saúde dos titulares, foram inseridos por engano numa plataforma utilizada por programadores e ficaram disponíveis por aproximadamente um mês.
Com o ocorrido, à luz das regras vigentes sobre o tratamento de dados trazidas pela LGPD (Lei nº 13.709/2018), uma série de questões relacionadas à forma com que os dados pessoais ainda são tratados no Brasil vem à tona. Por essa razão, o presente artigo visa trazer breves reflexões sobre o modo com que lidamos com a segurança dos dados pessoais.
Se olharmos para a legislação aplicável à proteção de dados de forma ampla, podemos afirmar que uma boa compreensão da responsabilidade dos agentes de dados passa, sobretudo, pelo entendimento do que se exige dos agentes de dados.
A LGPD, compreendendo a dificuldade do titular de promover a proteção dos seus dados contra o tratamento inadequado, fez recair sobre o controlador grande parte da responsabilidade por promover a defesa dos dados pessoais.
Grosso modo, pode-se afirmar que a lei impôs três principais exigências a eles: legitimidade, segurança e transparência. Nenhuma dessas obrigações deve ser lida de modo isolado, antes, de forma complementar e harmônica, bem como em consonância aos demais dispositivos da lei.
Quando falamos em legitimidade, dizemos que o tratamento precisa encontrar sua razão de existir em alguma das hipóteses previstas em lei, sendo que, sem tal justificativa, o tratamento não pode ocorrer, independentemente de estarem seguros ou de haver transparência (lembrando, os dados em si é que são o objeto de tutela da lei).
Pois bem, suponhamos que o tratamento seja necessário e está amparado pela lei. Ainda assim, recai sobre o controlador o dever de manter os dados pessoais protegidos, por intermédio de medidas técnicas que permitam o seu tratamento em ambiente controlado, seguro e restrito.
Além disso, de promover o engajamento e conscientização de toda a equipe, bem como de garantir a transparência e protagonismo do titular nas decisões relacionadas aos seus dados.
Feitos tais esclarecimentos, o vazamento pelo hospital Albert Einstein nos permite alguns questionamentos à luz das regras vigentes sobre proteção de dados, dentre eles, se o compartilhamento dos dados pessoais (inclusive os sensíveis) pelo Ministério da Saúde ao hospital poderia ter sido realizado.
Baixe nossa cartilha básica sobre a LGPD
Nesse sentido, o art. 7º, inciso III e o art. 11, inciso II, “b”, da LGPD, previram expressamente o tratamento compartilhado de dados, inclusive os dados sensíveis, pela administração pública, sem a autorização do titular, desde que necessários à execução de políticas públicas. Em tese, portanto, verifica-se a legitimidade para o tratamento.
No entanto, ainda pode-se questionar a adequação desses dados à finalidade a que se destinam, isto é, se são compatíveis com o fim para o qual foram coletados, além de que, se não deveriam estar anonimizados (tornados anônimos), tendo em vista que a lei exige a anonimização sempre que não houver necessidade da identificação individual do titular.
A legitimidade para o tratamento, no entanto, não retira a responsabilidade do Poder Público (ou da empresa) de zelar pela segurança desses dados. Como mencionado anteriormente, tratam-se de obrigações distintas. Assim, ainda que o tratamento seja legítimo, o agente de dados ainda poderá ser responsabilizado por tratamento inadequado ou vazamento de dados pessoais.
O fato de o vazamento ter decorrido de uma falha humana, grosseira, diga-se de passagem, também chama a atenção para o quão distantes ainda estamos de uma cultura de proteção de dados, como a Lei Geral de Proteção de Dados parece pretender estimular.
Por essa razão, ressalta a importância do engajamento, treinamento e conscientização sobre o valor estratégico dos dados pessoais, sobretudo os sensíveis, o que se dá por meio da conformação de toda a estrutura por meio de escritório especializado, seja dentro das empresas privadas ou da administração pública.