Rafael A. F. Zanatta
A matéria publicada ontem pela jornalista Fabriana Cambricoli, no Estado de São Paulo (“Vazamento de senha do Ministério da Saúde expõe dados de 16 milhões de pacientes de Covid”), revelou uma situação absurda de violação à Lei Geral de Proteção de Dados Pessoais.
Um funcionário do Hospital Albert Einstein, alocado no Ministério da Saúde em razão de um projeto do Programa de Apoio do Desenvolvimento Institucional do Sistema Único de Saúde, disponibilizou em sua página pessoal no github uma lista com acesso a usuários e senhas que permitiam analisar dados de cidadãos que testaram positivo para Covid-19. Os sistemas envolvidos eram o E-SUS-VE e o Sivep-Gripe.
Conforme relatado por Cambricoli, “ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19 ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês por causa de um vazamento de senhas de sistemas do Ministério da Saúde”[1].
Ficaram expostos detalhes confidenciais sobre o histórico clínico dos pacientes, como doenças pré-existentes, informações do prontuário, e, em alguns casos, quais medicamentos foram utilizados durante a internação.
Se as importantes denúncias do Estadão se confirmarem, trata-se do maior caso de violação da Lei 13.709/2018, no momento em que a legislação mal completou o primeiro trimestre de efetividade.
De uma perspectiva jurídica, três elementos chamam atenção neste caso, que terá diversos desdobramentos nos meses seguintes.
O primeiro deles é a precariedade dos mecanismos de prevenção de incidentes de segurança, considerando a escala dos dados tratados (dados relacionados a milhões de pessoas), e a extrema sensibilidade dessas informações, considerando que são informações protegidas em caráter especial pelo direito.
Afinal, são dados sensíveis. Poderíamos até dizer que são ultra sensíveis, considerando que há inúmeros potenciais efeitos discriminatórios ao identificar que uma pessoa realizou um tratamento para Covid-19, uma doença que, segundo relatado pelo MIT Technology Review, pode trazer consequências cognitivas futuras, como aumento de desordens de ansiedade e problemas mentais.[2]
Evidente que há violações das regras básicas de segurança da informação – a lei diz que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados” (art. 46). O acesso ao sistema com fator único de segurança (usuário e senha) ignora os métodos razoáveis de acesso indevido a informações sensíveis.
Além disso, como afirmou o professor de segurança da informação Edison Fontes, não se testa com dados reais abertos e em ambiente público, como feito pelo cientista de dados do Hospital Albert Einstein. É inadmissível que o Ministério da Saúde tenha autorizado essa prática sem um Plano de Teste com regras e procedimentos.
O segundo elemento é que, considerando o ilícito, deve haver responsabilização dos agentes. A depender do formato do contrato e o grau de influência no tratamento de dados, o Hospital Albert Einstein também é controlador, aplicando o art. 42, II, da LGPD.
Se o Hospital privado demonstrar que apenas seguia instruções e comandos do Ministério da Saúde, também é responsabilizado por descumprir as obrigações de segurança da informação (melhores práticas e procedimentos razoáveis) previstos na LGPD, nos termos do art. 42, I, da LGPD.
O direito brasileiro vai além e explicita que “responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano” (art. 44, III).
A única forma de solucionar a dúvida sobre o grau de influência nessa relação é dar transparência total ao contrato do projeto do Programa de Apoio do Desenvolvimento Institucional do Sistema Único de Saúde. Para tanto, é salutar que o Congresso Nacional inicie questionamentos formais ao Ministério da Saúde e dê ampla publicidade aos documentos que estruturam juridicamente o compartilhamento de dados sensíveis dos cidadãos para entes privados.
O terceiro elemento é que esse é nitidamente um caso de danos coletivos e responsabilização, nos termos do art. 42, § 3º. É caso para tutela coletiva, considerando a natureza do dano e as violações tanto do artigo 46 quanto dos princípios previstos no artigo 6º, VII (“utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”, conceito do princípio da segurança) e VIII (“adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”, conceito do princípio da prevenção).
Como alertou Stefano Rodotà no início da década de 1970, a proteção de dados pessoais envolve problemas comunitários e direitos coletivos.[3] Não está em jogo o “dano individual” – imediato e concreto – que cada pessoa possa ter sofrido. O problema é a destruição da confiança e as violações das regras que protegem os interesses difusos.
Uma ação civil pública formulada pelo Ministério Público Federal ou pela Defensoria Pública da União pode explorar esses argumentos em profundidade, considerando que as falhas no tratamento de dados pessoais de pacientes de Covid-19 são graves e estão sendo alertadas, há meses, por entidades civis como a Open Knowledge Brasil.[4]
A única alternativa para tamanha irresponsabilidade é um debate sério sobre responsabilidade civil nos termos da LGPD.
Para concluir, vale lembrar que o direito à proteção de dados pessoais exige, por parte do Estado, uma série de obrigações positivas aptas a demonstrar a garantia desse direito, como reconhecido pelo Supremo Tribunal Federal no importante “caso IBGE”[5].
O direito fundamental à proteção de dados pessoais na ordem constitucional brasileira, nas palavras do ministro Gilmar Mendes, exige também um “dever de proteção do direito à autodeterminação informacional”, que deve ser atingido por meio de “mecanismos institucionais de salvaguarda traduzidos em normas de organização e procedimento”.
Lógica semelhante é decorrente da tradição que pensa os direitos da personalidade no Brasil. No nível mais abstrato, pode-se dizer que a proteção de dados pessoais, enquanto direito subjetivo, se contrapõe a um dever (ou deveres). Como dizia San Tiago Dantas, basta que o outro não cumpra o dever para que o direito esteja ferido.
Dizia Dantas: “este estado de desrespeito em que um direito subjetivo se encontra, quando o dever jurídico correspondente não observado, chama-se lesão do direito”[6]. A questão é precisamente a compreensão de quais deveres precisavam ser cumpridos, em termos de mecanismos institucionais de salvaguarda, para proteção dos dados pessoais.
Essa noção de lesão de direitos é crucial para pensarmos a defesa dos direitos. Esse é um dos debates em jogo.
O episódio 43 do podcast Sem Precedentes analisa a nova rotina do STF, que hoje tem julgado apenas 1% dos processos de forma presencial. Ouça:
[1] CAMBRICOLI, Fabiana. Vazamento de senha do Ministério da Saúde expõe dados de 16 milhões de pacientes de covid. Estadão, 26 de novembro de 2020. Disponível em: <https://saude.estadao.com.br/noticias/geral,vazamento-de-senha-do-ministerio-da-saude-expoe-dados-de-16-milhoes-de-pacientes-de-covid,70003528583>. Acesso em 27 de novembro de 2020.
[2] JEE, Charlotte. One in five covid-19 patients are diagnosed with a mental illness within three months. MIT Technology Review. 11/11/2020. Disponível em: <https://www.technologyreview.com/2020/11/11/1011987/one-in-five-covid-19-patients-are-diagnosed-with-a-mental-illness-within-90-days/>.
[3] RODOTA, Stefano. Privacy and data surveillance: Growing public concern. OECD. Policy issues in data protection and privacy, 1974 (sou grato a Bruno Bioni por compartilhar este texto, que resume ideias apresentadas em Elaboratori elettronici e controllo sociale, de 1973).
[4] OPEN KNOWLEDGE, Ministério da Saúde já havia deixado dados pessoais expostos no próprio sistema da Covid-19 em junho; aqui está a prova. Open Knowledge, 27/11/2020. Disponível em: <https://www.ok.org.br/noticia/ministerio-da-saude-ja-havia-deixado-dados-pessoais-expostos-no-proprio-sistema-da-covid-19-em-junho-aqui-esta-a-prova/>.
[5] STF. Referendo na Medida Cautelar na Ação Direta de Inconstitucionalidade 6.387-DF. Rel. Min. Rosa Weber. Plenário, 07/05/2020. Acórdão disponível em: <http://portal.stf.jus.br/processos/detalhe.asp?incidente=5895165>.
[6] DANTAS, San Tiago. Programa de Direito Civil: aulas proferidas na Faculdade Nacional de Direito. 3ª tiragem. Rio de Janeiro: Editora Rio, 1979, p. 376.