JOTA Info
Opinião & Análise
Menu
  • Justiça
  • Casa JOTA
  • STF
    Voltar
    • STF
    • Do Supremo
    • SUPRA
  • Tributos & Empresas
    Voltar
    • Tributos & Empresas
    • Tributário
    • Concorrência
    • Saúde
    • Trabalho
    • Infraestrutura
    • Regulação
    • Mercado
  • Carreira
  • Dados
    Voltar
    • Dados
    • Aprovação dos Presidentes
    • Rui
    • Agregador de Pesquisas
  • Legislativo
  • Opinião & Análise
    Voltar
    • Opinião & Análise
    • Análise
    • Colunas
    • Artigos
  • Coberturas Especiais
    Voltar
    • Coberturas Especiais
    • Contencioso Tributário
    • Liberdade de Expressão
    • Inova&Ação
    • Nação Inovadora
    • Nova Economia
    • Segurança Jurídica e Investimento
  • Cadastre-se
  • Assine
  • Pro
Buscar
  • Cadastre-se
  • Assine
  • Pro
Login
  • Facebook
  • Twitter
  • Linkedin
  • Instagram
  • RSS

Home » Opinião & Análise » Artigos » Irresponsabilidade digital e responsabilidade civil

  • Compliance

    A liderança que parte do setor privado

  • Elas no JOTA

    Acordo judicial: ação com o Poder Público

  • Pauta Fiscal

    A destinação dos recursos do FUST: uma luz no fim do túnel!

  • Judiciário

    Colaboração premiada, sigilo e compartilhamento de dados

LGPD

Irresponsabilidade digital e responsabilidade civil

As consequências jurídicas do vazamento de senhas do Ministério das Saúde

  • Rafael A. F. Zanatta
27/11/2020 17:46 Atualizado em 28/11/2020 às 16:02
Facebook Twitter Whatsapp Email
comentários
vazamento médico
Crédito: (Ibrahim Boran/@ibrahimboran)

A matéria publicada ontem pela jornalista Fabriana Cambricoli, no Estado de São Paulo (“Vazamento de senha do Ministério da Saúde expõe dados de 16 milhões de pacientes de Covid”), revelou uma situação absurda de violação à Lei Geral de Proteção de Dados Pessoais.

Um funcionário do Hospital Albert Einstein, alocado no Ministério da Saúde em razão de um projeto do Programa de Apoio do Desenvolvimento Institucional do Sistema Único de Saúde, disponibilizou em sua página pessoal no github uma lista com acesso a usuários e senhas que permitiam analisar dados de cidadãos que testaram positivo para Covid-19. Os sistemas envolvidos eram o E-SUS-VE e o Sivep-Gripe.

Conforme relatado por Cambricoli, “ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19 ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês por causa de um vazamento de senhas de sistemas do Ministério da Saúde”[1].

Ficaram expostos detalhes confidenciais sobre o histórico clínico dos pacientes, como doenças pré-existentes, informações do prontuário, e, em alguns casos, quais medicamentos foram utilizados durante a internação.


Se as importantes denúncias do Estadão se confirmarem, trata-se do maior caso de violação da Lei 13.709/2018, no momento em que a legislação mal completou o primeiro trimestre de efetividade.

De uma perspectiva jurídica, três elementos chamam atenção neste caso, que terá diversos desdobramentos nos meses seguintes.

O primeiro deles é a precariedade dos mecanismos de prevenção de incidentes de segurança, considerando a escala dos dados tratados (dados relacionados a milhões de pessoas), e a extrema sensibilidade dessas informações, considerando que são informações protegidas em caráter especial pelo direito.

Afinal, são dados sensíveis. Poderíamos até dizer que são ultra sensíveis, considerando que há inúmeros potenciais efeitos discriminatórios ao identificar que uma pessoa realizou um tratamento para Covid-19, uma doença que, segundo relatado pelo MIT Technology Review, pode trazer consequências cognitivas futuras, como aumento de desordens de ansiedade e problemas mentais.[2]

Evidente que há violações das regras básicas de segurança da informação – a lei diz que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados” (art. 46). O acesso ao sistema com fator único de segurança (usuário e senha) ignora os métodos razoáveis de acesso indevido a informações sensíveis.

Além disso, como afirmou o professor de segurança da informação Edison Fontes, não se testa com dados reais abertos e em ambiente público, como feito pelo cientista de dados do Hospital Albert Einstein. É inadmissível que o Ministério da Saúde tenha autorizado essa prática sem um Plano de Teste com regras e procedimentos.

O segundo elemento é que, considerando o ilícito, deve haver responsabilização dos agentes. A depender do formato do contrato e o grau de influência no tratamento de dados, o Hospital Albert Einstein também é controlador, aplicando o art. 42, II, da LGPD.

Se o Hospital privado demonstrar que apenas seguia instruções e comandos do Ministério da Saúde, também é responsabilizado por descumprir as obrigações de segurança da informação (melhores práticas e procedimentos razoáveis) previstos na LGPD, nos termos do art. 42, I, da LGPD.

O direito brasileiro vai além e explicita que “responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano” (art. 44, III).

A única forma de solucionar a dúvida sobre o grau de influência nessa relação é dar transparência total ao contrato do projeto do Programa de Apoio do Desenvolvimento Institucional do Sistema Único de Saúde. Para tanto, é salutar que o Congresso Nacional inicie questionamentos formais ao Ministério da Saúde e dê ampla publicidade aos documentos que estruturam juridicamente o compartilhamento de dados sensíveis dos cidadãos para entes privados.

O terceiro elemento é que esse é nitidamente um caso de danos coletivos e responsabilização, nos termos do art. 42, § 3º. É caso para tutela coletiva, considerando a natureza do dano e as violações tanto do artigo 46 quanto dos princípios previstos no artigo 6º, VII (“utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”, conceito do princípio da segurança) e VIII (“adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”, conceito do princípio da prevenção).

Como alertou Stefano Rodotà no início da década de 1970, a proteção de dados pessoais envolve problemas comunitários e direitos coletivos.[3] Não está em jogo o “dano individual” – imediato e concreto – que cada pessoa possa ter sofrido. O problema é a destruição da confiança e as violações das regras que protegem os interesses difusos.

Uma ação civil pública formulada pelo Ministério Público Federal ou pela Defensoria Pública da União pode explorar esses argumentos em profundidade, considerando que as falhas no tratamento de dados pessoais de pacientes de Covid-19 são graves e estão sendo alertadas, há meses, por entidades civis como a Open Knowledge Brasil.[4]

A única alternativa para tamanha irresponsabilidade é um debate sério sobre responsabilidade civil nos termos da LGPD.

Para concluir, vale lembrar que o direito à proteção de dados pessoais exige, por parte do Estado, uma série de obrigações positivas aptas a demonstrar a garantia desse direito, como reconhecido pelo Supremo Tribunal Federal no importante “caso IBGE”[5].

O direito fundamental à proteção de dados pessoais na ordem constitucional brasileira, nas palavras do ministro Gilmar Mendes, exige também um “dever de proteção do direito à autodeterminação informacional”, que deve ser atingido por meio de “mecanismos institucionais de salvaguarda traduzidos em normas de organização e procedimento”.

Lógica semelhante é decorrente da tradição que pensa os direitos da personalidade no Brasil. No nível mais abstrato, pode-se dizer que a proteção de dados pessoais, enquanto direito subjetivo, se contrapõe a um dever (ou deveres). Como dizia San Tiago Dantas, basta que o outro não cumpra o dever para que o direito esteja ferido.

Dizia Dantas: “este estado de desrespeito em que um direito subjetivo se encontra, quando o dever jurídico correspondente não observado, chama-se lesão do direito”[6]. A questão é precisamente a compreensão de quais deveres precisavam ser cumpridos, em termos de mecanismos institucionais de salvaguarda, para proteção dos dados pessoais.

Essa noção de lesão de direitos é crucial para pensarmos a defesa dos direitos. Esse é um dos debates em jogo.

 


O episódio 43 do podcast Sem Precedentes analisa a nova rotina do STF, que hoje tem julgado apenas 1% dos processos de forma presencial. Ouça:


[1] CAMBRICOLI, Fabiana. Vazamento de senha do Ministério da Saúde expõe dados de 16 milhões de pacientes de covid. Estadão, 26 de novembro de 2020. Disponível em: <https://saude.estadao.com.br/noticias/geral,vazamento-de-senha-do-ministerio-da-saude-expoe-dados-de-16-milhoes-de-pacientes-de-covid,70003528583>. Acesso em 27 de novembro de 2020.

[2] JEE, Charlotte. One in five covid-19 patients are diagnosed with a mental illness within three months. MIT Technology Review. 11/11/2020. Disponível em: <https://www.technologyreview.com/2020/11/11/1011987/one-in-five-covid-19-patients-are-diagnosed-with-a-mental-illness-within-90-days/>.

[3] RODOTA, Stefano. Privacy and data surveillance: Growing public concern. OECD. Policy issues in data protection and privacy, 1974 (sou grato a Bruno Bioni por compartilhar este texto, que resume ideias apresentadas em Elaboratori elettronici e controllo sociale, de 1973).

[4] OPEN KNOWLEDGE, Ministério da Saúde já havia deixado dados pessoais expostos no próprio sistema da Covid-19 em junho; aqui está a prova. Open Knowledge, 27/11/2020. Disponível em: <https://www.ok.org.br/noticia/ministerio-da-saude-ja-havia-deixado-dados-pessoais-expostos-no-proprio-sistema-da-covid-19-em-junho-aqui-esta-a-prova/>.

[5] STF. Referendo na Medida Cautelar na Ação Direta de Inconstitucionalidade 6.387-DF. Rel. Min. Rosa Weber. Plenário, 07/05/2020. Acórdão disponível em: <http://portal.stf.jus.br/processos/detalhe.asp?incidente=5895165>.

[6] DANTAS, San Tiago. Programa de Direito Civil: aulas proferidas na Faculdade Nacional de Direito. 3ª tiragem. Rio de Janeiro: Editora Rio, 1979, p. 376.

Rafael A. F. Zanatta – Mestre em Filosofia e Teoria Geral do Direito pela USP. Mestre em Direito e Economia Política pela Universidade de Turim. Doutorando pelo Instituto de Energia e Ambiente da USP. Diretor da Associação Data Privacy Brasil de Pesquisa. Advogado.

Compartilhe Facebook Twitter Whatsapp

Os artigos publicados pelo JOTA não refletem necessariamente a opinião do site. Os textos buscam estimular o debate sobre temas importantes para o País, sempre prestigiando a pluralidade de ideias.

Próxima
Macrolitigância tributária
Refis
Transação tributária e Refis: externalidades, incentivos e focalização

Tags LGPD proteção de dados vazamento de dados

Recomendadas

processos judiciais
Crédito: Flickr/@cnj_oficial

Elas no JOTA

Acordo judicial: ação com o Poder Público

Em 2019, havia 77,1 milhões de processos em andamento e as despesas com o Judiciário somaram R$ 100,2 bilhões

Gabriela Gonçalves Teixeira | Elas no JOTA

Crédito: unsplash

Pauta Fiscal

A destinação dos recursos do FUST: uma luz no fim do túnel!

Com a recente aprovação do PL nº 172/2020, essa realidade pode, finalmente, começar a ser alterada

Daniela Silveira Lara | Pauta Fiscal

Crédito: Pixabay

Judiciário

Colaboração premiada, sigilo e compartilhamento de dados

É possível a utilização dos elementos da colaboração em apurações de natureza não penal?

Galtiênio da Cruz Paulino | Artigos

Carvalhosa
Manifestação contra a corrupção em Brasília. Crédito: Marcello Casal Jr/Agência Brasil

Compliance

A liderança que parte do setor privado

Empresas, associações, ONGs, profissionais liberais, artistas e cidadãos lideram revoluções

Carlos Fernando dos Santos Lima | Artigos

Amazonas
Manauaras em hospital / Crédito: Prefeitura de Manaus

Covid-19

‘Não há um só dia em que tenhamos fechado as portas da Justiça’, diz juíza do AM

Magistrada federal Jaíza Pinto Fraxe determinou à União a apresentação de um plano para socorrer o estado

Hyndara Freitas | Justiça

Amazonas e Maranhão pedem isenção de ICMS para produtos de combate à Covid-19
Crédito: Iano Andrade/CNI

Reunião extraordinária

Amazonas e Maranhão pedem isenção de ICMS para produtos de combate à Covid-19

Autorização para o benefício será discutida pelo Confaz; outros estados podem pedir adesão aos convênios

Flávia Maia | Tributário

LGPD

Direito Concorrencial

O que esperar do Cade em 2021?

Juliana Daniel, Elen Lizas

LGPD

Proteção de dados pessoais e vacinação contra Covid-19

Diogo Luís Manganelli de Oliveira

Casa JOTA

CASA JOTA

Conectividade no agronegócio: ganho de eficiência e de sustentabilidade

Clara Cerioni

Webinars

Casa JOTA: Agro e transformação digital – avanços na produtividade com a conectividade

Redação JOTA

Aprovômetro

Lista

Retrospectiva 2020 – As matérias e artigos mais lidos de janeiro

Redação JOTA

Aplicativos

Entregadores de aplicativo vão a Brasília por aprovação de projeto

Bernardo Gonzaga

TJSP

Direito Empresarial

Falência: a possível venda de ativo sem a aprovação dos credores

Leandro Aghazarm

Proporcionalidade

TJSP dá HC preventivo para que mulher plante maconha para tratamento de saúde

Ana Pompeu

Reforma tributária

ENTREVISTA

Appy: reforma tributária evitaria desindustrialização do país

Bárbara Mengardo, Mariana Ribas

Direito Tributário

Setor da saúde consegue liminares contra ajuste fiscal em São Paulo

Alexandre Leoratti

reforma administrativa

Administração Pública

A PEC 32/2020 pavimenta o caminho para a boa qualidade dos serviços públicos?

Ismar Viana

Reforma administrativa

Por uma reforma antirracista

Irapuã Santana do Nascimento da Silva, Pedro Fernando Nery

Regulação

Regulação

Oportunidades no mercado de capitais no movimento de aperfeiçoamento regulatório

Lucas Alfredo de Brito Fantin

Regulação

Sandbox regulatório nas agências reguladoras

Larissa Camargo, Paulo Samico

Liberdade de Expressão

Liberdade de imprensa

Rede pede que STF impeça PGR de ‘intimidar jornalistas’ em ação sobre Abin

Ana Pompeu

CENSURA

TJSP nega a Mizael Bispo direito ao esquecimento por morte de Mércia Nakashima

Clara Cerioni


  • EDITORIAS
    • STF
    • Tributário
    • Saúde
    • Trabalho
    • Regulação
    • Legislativo
    • Carreira
    • Colunas
    • Artigos
  • Temas
    • Congresso
    • LGPD
    • Anvisa
    • Reforma tributária
    • Carf
    • Liberdade de Expressão
    • TCU
    • Covid-19
    • PIS/Cofins
  • Siga o JOTA
    • YouTube
    • Spotify
    • Twitter
    • LinkedIn
    • Instagram
    • Facebook
  • Sobre
    • Quem Somos
    • About Us
    • Blog
    • Ética JOTA
    • Política de diversidade
    • Termos de uso
    • Política de privacidade
    • Seus dados
  • Assine
    • Cadastre-se
    • PRO
    • Atendimento
    • Contato
    • FAQ
    • Trabalhe Conosco

Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito
Vá para versão mobile