Imaginar que os controladores podem acordar com uma ordem judicial de busca e apreensão em suas residências, ou serem flagrados em seu ambiente de trabalho com a apreensão de equipamentos, computadores, celulares e outras evidências de infração à LGPD. Esse evento ocorreu esta semana aqui em São Paulo, capital, por meio de uma decisão proferida pelo Poder Judiciário em razão de suspeita de infração a Lei Geral de Proteção de Dados diante do uso indevido de dados pessoais no segmento de corretoras de saúde. Já se espera que tal evento tenha um desdobramento na esfera cível e criminal e venha a abranger outras empresas em São Paulo e no Rio de Janeiro.
Como podemos verificar por meio dessa grave ocorrência – certamente foram encontradas evidências contundentes de uso indiscriminado e não conformidade, principalmente no uso de dados pessoais sensíveis no segmento de saúde, que não foram devidamente protegidos conforme determina a LGPD.
Lembre-se que “dados pessoais sensíveis”, nos termos do artigo 5º da lei 13709/2018, são aqueles que dizem respeito aos seguintes aspectos do titular de dados tais como origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou organização de caráter religioso, filosófico ou político; dados referentes à saúde ou vida sexual e até dados genéticos ou biométricos. Em resumo, são considerados sensíveis os dados que podem causar exposição de alguma característica ou informação da esfera íntima ou privada do indivíduo.
É importante destacar que em empresas desse ramo, estamos falando de uma gama extensa de dados pessoais, quer seja de dados do titular, de seus dependentes/familiares, e ainda dados que venham a expor a privacidade de informações sobre a saúde dos envolvidos. Podendo inclusive supor que pode tratar-se de dados pessoais de menores também, uma vez que, somente podem ser tratados desde que com o consentimento específico dos pais, tutores, por meio de autorização formal de pelo menos um dos pais ou pelo responsável legal.
Vale lembrar que nessa atividade que envolve instituição de saúde ou fornecedora de serviços e produtos do segmento é necessário assegurar a procedência, o tratamento adequado e a correspondente prova de exclusão dos dados, devendo haver o consentimento do usuário para qualquer ação na qual a prestadora de serviços se responsabiliza no âmbito de sua contratação. Devendo inclusive registrar todos os eventos concernentes ao manuseio dos dados na rotina de suas atividades e estar preparada para eventuais pedidos de acesso do titular, portabilidade, ou até outros previstos em leis, com o fim de evitar riscos de incidentes de vazamento ou outros acidentes com os dados, no âmbito da previsão legal.
Foram determinadas claramente as limitações e os direcionamentos que norteiam os setores, e tecnicamente mais rigorosos, no âmbito da Saúde: que detêm informações ou dados de saúde do titular, sobre o estado de saúde passado, atual ou futuro de um indivíduo.
Os dados de saúde devem também estar protegidos pelo sigilo médico/paciente e referir-se a diversas situações tais como (i) histórico sobre lesão, doença, incapacidade ou risco de doença, incluindo histórico médico, pareceres médicos, diagnóstico e tratamento clínico; (ii) exames médicos, resultados de testes, dados de dispositivos médicos ou dados de rastreadores de aptidão; (iii) informações coletadas do indivíduo quando se cadastram em serviços de saúde ou tratamento de acesso, dentre outros. Enfim, abrange uma série de detalhes específicos de condições médicas, exames ou de tratamento da condição de saúde e das peculiaridades do titular ou de seus dependentes/familiares.
Portanto, não se pode mais deixar de exigir o compromisso das empresas na implementação do Projeto LGPD em qualquer segmento. Não existe qualquer desculpa para não preparar sua empresa. Temos visto constantes vazamentos: sequestro de redes (caso recente da JBS que pagou um resgate de seu banco de dados no valor de RS 55 milhões de reais para que pudesse retornar à rotina de suas operações sem ferir sua reputação); além de outros exemplos como a invasão do aplicativo do UBER, que possui uma plataforma de dados pessoais com 22 milhões de usuários, afetando os motoristas do aplicativo, gerando um risco incalculável ao seu negócio.
Reitero – não se pode mais permitir que as empresas não priorizem ou invistam em segurança digital e programas de alta competência em inteligência artificial na proteção de seus principais ativos – seus negócios, clientes, colaboradores e o mais importante – sua reputação.
A judicialização de demandas não é a melhor resposta ou a única resposta, mas a ferramenta que os titulares dispõem e, certamente, farão uso para resguardar seus direitos e exigir o cumprimento de uma legislação que permitiu às empresas a adequação no prazo dos últimos 2 anos.
Diante desse fato que tirou o sono do controlador ou um de seus funcionários, de muito valeu para atacar o cerne da questão, ou seja, não dá mais para esperar e ver que os clientes/consumidores buscarão aquelas empresas que possuam uma plataforma séria e concreta na privacidade de dados.
Vamos ver com maior frequência notícias como essas. Podemos dizer que os meios/requisitos foram colocados à disposição dos controladores e dos titulares para que ambos se protejam diante do alto índice de riscos cibernéticos que o Brasil e demais países do mundo enfrentam.
Não aguarde mais para se dedicar ao tema ou buscar a defesa de seus direitos. não se pode mais deixar de exigir o compromisso das empresas na implementação do Projeto LGPD em qualquer segmento LGPD é uma realidade de fato e de direito!
Por Thais Carloni
Crédito da foto: Divulgação
Leia outras notícias no portal Mundo Agro Brasil
