LGPD: 4 TIPOS DE VAZAMENTO DE DADOS NA SAÚDE

29/10/2024

 "Ainda não é noite o dia todo, ainda há uma manhã para cada noite."

(Ernst Bloch).

Na LGPD, um vazamento de dados é uma situação grave, um incidente de segurança dos mais temíveis, com enorme potencial de danos a depender do caso concreto.

Em razão das consequências que o vazamento de dados potencialmente apresenta, é fundamental tomar medidas apropriadas em todos os setores.

Contudo, o vazamento de dados na área da Saúde, tema e delimitação deste artigo, envolve consequências ainda mais graves, já que não estamos falando sobre qualquer tipo de dados, mas relacionados à saúde de um paciente, e frequentemente com informações sobre os seus familiares e canais para contato e emergências, criando-se um grande quadro contextual delicado, bastante explorado em crimes no Brasil, especialmente crimes digitais a partir dos dados e não restritos aos pacientes com dados expostos[i].

Nesse sentido, vamos destacar resumidamente quatro tipos de vazamento de dados que as empresas de saúde, como as clínicas, precisam conhecer bem, ficando atentas e redobrando a cautela, já que são vazamentos muito comuns no ambiente corporativo, e de enormes dimensões.

O primeiro deles é o funcionário/colaborador que acaba vazando dados do paciente, seja intencionalmente ou não. E como isso ocorreria na prática? Basicamente, muitas pessoas que trabalham em setores da saúde comentam com colegas sobre alguma situação de um paciente: comentam por exemplo em casa com parentes e entre amigos.

Por mais que muitos colaboradores entendam isso como prática normal, e não tenham sido instruídos sobre isso na época em que se formaram (o que até faz sentido, especialmente considerando o impacto exponencial relativamente recente do campo digital na atualidade do século XXI), isso é considerado um vazamento de dados, inclusive, podendo ocasionar e embasar uma demissão por justa causa.

Essa situação, quando ocorre de forma intencional, é ainda mais grave, atraindo consequências ainda maiores. De todo modo, é necessário lembrar que o vazamento de dados de pacientes por colaboradores gera consequências tanto para o colaborador quanto para a empresa, independente da intencionalidade da pessoa, se queria produzir danos, ou se apenas desabafava em um café com amigos, ou em casa. No âmbito da culpabilidade na esfera criminal, é claro que esse tipo de coisa importa para o incurso em determinados tipos penais atribuídos ao sujeito, bem como, para a fixação da imputação objeto de defesa, todavia, com ou sem intenções negativas, igualmente trata-se de uma violação da LGPD com pesos e repercussões para a empresa e sujeitos envolvidos, ainda que cada caso possua uma análise pormenorizada e singular, inclusive acerca da reprovabilidade e das sanções, qualitativamente e quantitativamente, por exemplo, no montante pecuniário a ser indenizado, para ficarmos em um aspecto básico.

Dessa forma, um ponto importante é que a LGPD, na prática, proíbe mesmo a chamada "fofoca corporativa". Parece brincadeirinha, mas não é. Uma ”fofoca corporativa” pode causar danos enormes, independentemente das intenções subjetivas do colaborador que vazou dados. Mas, o que seria fofoca corporativa? Basicamente: comentar sobre fatos da empresa, sobre fatos de pacientes, sobre coisas que acontecem no ambiente de trabalho, nos meios físico e digital. Tudo isso pode parecer exagero para desavisados, entretanto, os casos concretos que vemos no setor da Saúde evidenciam o enorme poder destrutivo da  "fofoca corporativa", tanto para pacientes quanto para as empresas envolvidas, ainda que de modo muito distinto.

As informações referentes aos pacientes e seus familiares, todo o quadro contextual envolvendo dados pessoais, sobretudo sensíveis, são protegidos pela confidencialidade e sigilo, com dados resguardados não apenas pela LGPD (legislação brasileira específica sobre dados), mas vinculados à Constituição Federal, que prevê a Garantia Fundamental de Proteção de Dados[ii].

Então, as empresas (sobretudo na Saúde) precisam estar bem atentas: realizar a adequação à LGPD e conscientizar os seus colaboradores sobre o porquê de não ser permitido vazar dados, explicando a gravidade das consequências, que não são apenas aspectos ou questões formais, mas aspectos materiais profundos bastante sérios. Como exemplo, o colaborador não pode estar no horário do almoço ou fim de expediente, comentando sobre coisas que acontecem na empresa, inclusive porque, caso ocorra algum vazamento de dados nesse sentido, a pessoa vítima, no caso o paciente, pode procurar a Justiça e abrir um processo contra aquela empresa.

A empresa nessa situação deve comprovar que seguiu todos os procedimentos da LGPD e que fez tudo o que lhe cabia fazer, comprovando que o colaborador estava treinado, dessa forma, buscando restringir ao máximo a responsabilidade, delimitando a quem realmente deu causa.

Ou seja, a empresa deve comprovar que o colaborador assinou todos os documentos pertinentes e que foi devidamente instruído sobre como (não) proceder. Esse ainda é um exemplo comum, tão simples (de ocorrer) quanto perigoso.

Um outro tipo de vazamento de dados bem comum na área da Saúde, é a clínica ou empresa tirar fotos da pessoa e publicar em seu site, ou mesmo nas suas redes sociais. É preciso lembrar que para fazer a divulgação, é preciso ter uma autorização. Não é permitido filmar ou “sair fotografando” pacientes, especialmente pessoas que estão realizando algum procedimento mais particular e delicado, algo que expõe mais. A clínica precisa ter ciência de que esse tipo de conduta é considerado não apenas má prática (potencialmente vexatória), mas também, configura vazamento de dados quando fora das exigências da LGPD, com múltiplos requisitos e princípios a serem interpretados à luz da Constituição Federal.

Outra situação que é considerada vazamento de dados também na saúde é deixar os dados expostos na bancada de atendimento, de forma que qualquer pessoa que passa consiga ler ou ver o que está sendo acessado. Isso possui consequências graves ao expor os pacientes. Vale para outros exemplos, como documentos com dados de saúde desprotegidos nas impressoras visíveis a todos, sendo acumulados e espalhados em ambientes, sobretudo pouco organizados e tumultuados.

Outro ponto que é considerado vazamento de dados é entregar exame para terceiros não autorizados. O exame é um documento pessoal de quem realizou o procedimento; ele não pode ser fornecido para outra pessoa.

Outro ponto que as clínicas precisam se atentar para não cometer erros é no fornecimento de dados de pacientes a terceiros indevidamente. É necessário ter tudo bem estruturado e documentado dentro dos procedimentos para que não ocorra um vazamento de dados. A clínica ou empresa do setor precisa ter isso bem construído (regras materializadas em documentos refletidas no cotidiano). É necessário, então, que o compartilhamento, seja ele com planos de saúde, seja com terceiros, tenha autorização e embasamento legal. E que conte com controles e medidas de segurança compatíveis com a dignidade, privacidade e segurança dos pacientes.

Em suma, é absolutamente necessário que as clínicas médicas se adequem à LGPD, lembrando que isso é muito importante. A lei é de 2018 e não existe mais espaço para tropeços no setor da Saúde argumentando que a lei é nova. Não é. Contextualmente, pode-se dizer, por exemplo, que é uma legislação nova quando em comparação com outras. Mas jamais "nova" no sentido de buscar afastar a sua incidência e seu maior rigor e controle no tratamento de dados pessoais, especialmente dados de saúde. Tal defesa tende a prejudicar qualquer organização que sustenta esse discurso. Ademais, lembramos que privacidade e sigilo não são temas novos no setor da Saúde. Longe disso. Contudo, a LGPD e o reflexo da Proteção de Dados como Garantia Fundamental expressa na Constituição Federal criam um novo quadro de exigências, com requisitos e medidas obrigatórias para todos.

Empresas no setor da Saúde como Hospitais e Clínicas  precisam, então, realizar uma adequação consistente e profunda à LGPD. Precisam ter de modo organizado e transparente os documentos que são necessários para os colaboradores assinarem, precisam adotar boas práticas e ter os processos internos completamente alinhados e redimensionados em prol da conformidade, que longe de questão meramente formal, diz sobre a qualidade dos serviços prestados, inclusive confundindo-se materialmente com eles, na medida em que a forma na Proteção de Dados de pacientes pressupõe Garantia Fundamental, conteúdo material constitucional.

As empresas devem disponibilizar para os pacientes os documentos que eles têm direito em razão da LGPD (que não tem volta e não é moda), sendo vital na proteção tanto do paciente quanto da empresa e seus colaboradores adequado à lei. Por vital, destaca-se que a LGPD na Saúde é muito mais do que proteger a privacidade. Pequenas falhas em procedimentos e compartilhamentos de dados de saúde podem resultar em riscos literalmente letais e irreparáveis.

Cumpre insistir: letal ou vital, longe de jogos de palavras, esse é o peso da LGPD na Saúde nas sociedades contemporâneas regidas por dados[iii].

Entender isso é urgente.

 

Notas e referências:

PIRES, Guilherme Moreira. Abolicionismos e Sociedades de Controle: entre aprisionamentos e monitoramentos. Florianópolis: Editora Habitus, 2018.

SOUZA, Ricardim Timm de. Crítica da razão idolátrica: tentação de Thanatos, Necroética e sobrevivência. Editora Zouk, 2020.

[i] É consenso internacional que o vazamento de dados de saúde expõe não apenas o paciente com dados comprometidos: também coloca familiares e mesmo amigos próximos em situação mais vulnerável, marcados por situações de risco abrangentes de crimes complexos. Não é novidade que dados sensíveis (como de saúde) podem ser mobilizados por golpistas para criar narrativas persuasivas e emocionais personalizadas, que exploram o contexto familiar e social específico do paciente. Em geral, combinam vazamentos prévios (antigos, com dados já nas redes) com dados provenientes de novos vazamentos, mais atuais, com detalhes dotados de contemporaneidade, capazes de enganar e transmitir confiança, inclusive quando os golpistas confirmam esses dados, em tese inacessíveis, penetrando na esfera de confiança da(s) vítima(s). Em todo o país, isso passou a ser comum. Golpistas se passam por profissionais de saúde, de seguros e eventualmente até se passam por autoridades, para obter dinheiro ou capturar dados adicionais, aproveitando-se da preocupação e vulnerabilidade dos familiares e amigos da pessoa exposta (e muitas vezes, diretamente do paciente). Familiares e amigos são as principais vítimas associadas à vítima primária do vazamento de dados na Saúde. É concreto que a engenharia social explora vulnerabilidade, gatilhos como o de escassez (“deve pagar agora diante da complicação ocorrida para o procedimento necessário ser realizado com sucesso”) e o vínculo emocional dessas pessoas, amigos e familiares, mais suscetíveis a fraudes após vazamentos. De modo exemplificativo, mensagens e chamadas falsas prometendo novos tratamentos ou sustentando a necessidade de pagamento de contas médicas podem levar essas pessoas a atuarem impulsivamente, caindo em golpes, sem verificar a veracidade das informações, sobretudo porque a estrutura dos golpes envolve ameaças e coerções veladas, no sentido de a pessoa precisar pagar na hora para que grosso modo "algo não dê errado". Assim, de modo geral a vítima dos golpes comprovadamente não pensa direito sob extrema pressão e estresse, ou mesmo decide sem consultar terceiros, como médicos responsáveis, advogados etc. Essa exploração emocional aumenta os riscos de crimes financeiros e até mesmo amplia o comprometimento de outros dados pessoais, ampliando tanto os danos quanto a extensão dos vazamentos de dados. Vazamentos de dados de saúde facilitam um encadeamento de crimes contra uma multiplicidade de vítimas, em geral próximas do paciente. Longe de fantasia ou distopia, hoje isso tudo compõe o real, sendo parte da vida dos brasileiros. Evitar é melhor do que tentar consertar problemas, mesmo porque, situações de vazamentos podem escalar de um modo praticamente irreparável para as vítimas, com danos permanentes. Acrescente-se isso a um último apontamento: raramente os valores financeiros são recuperados em golpes no país atrelados a crimes digitais. Frisa-se que o dano nesses contextos tende a superar substancialmente o chamado mero dissabor do cotidiano, com abalos emocionais e danos muitas vezes irreparáveis, que prejudicam, por exemplo, recuperação de pacientes após procedimentos cirúrgicos, submetendo-os a elevado estresse adicional inadmissível dentro de um Estado de Direito, passível de reparação extrapatrimonial.

[ii] Aproveitando o momento, vale reforçar a centralidade desse "detalhe", a Proteção de Dados é matéria constitucional e Garantia Fundamental de todo cidadão. Questões delicadas e/ou polêmicas relativas a dados pessoais, especialmente em empresas de saúde, por exemplo, envolvendo novas tecnologias e procedimentos operacionais, jamais devem ter a última palavra tomada por setores avessos ao papel dos juristas especialistas na área. Exemplo de prática reprovável ainda comum, é a palavra final sobre assuntos delicados envolvendo dados pessoais ser da equipe ou setor de TI, Marketing e outros, culminando em verdadeiros desastres constitucionais, com violações à LGPD e à CF, que muitas vezes ensejam até mesmo repercussão criminal. Ainda é subestimado que o conhecimento jurídico é necessário na correta aplicação constitucional da LGPD. E assim, muitas vezes a LGPD é aplicada de modo invertido, prejudicando o titular de dados, ou negando direitos de modo infundado, inclusive direitos que a própria LGPD permite. Hoje, é preciso entender que interpretações constitucionais sobre dados pessoais devem contar, sempre, com limites e restrições, inexistindo tratamento de dados irrestrito, por exemplo, para quaisquer fins e de qualquer modo. Empresas não devem meramente buscar, por exemplo, um especialista em contratos. Precisam contar com pessoas que entendam do tema dentro de como é caracterizado no Brasil: matéria constitucional. E, invertendo o senso comum, o que paralisa uma empresa não é adequar-se à LGPD, mas um incidente de segurança com investigação e repercussão criminal e midiática, cada vez mais frequentes no cotidiano, por exemplo, quando procedimentos operacionais e deveres de cuidado são subestimados, gerando problemas como erros e falhas em resultados de exames, troca de resultados e documentos, perda desse material etc.

[iii] Na Sociedade de Controle e sua dinâmica de dados abordada em Pires (2018), contra a Necroética explicada por Souza (2020), cabe mobilizar o tema da Proteção de Dados na Saúde acima de qualquer visão de curto-prazo de paradigmas mercadológicos, que corroem controles e medidas de segurança, desincumbindo-se da pulsão de morte que retroalimentam. A dignidade de pacientes e seus familiares depende de transformações concretas no cotidiano corporativo, o que não acontece por mágica, mas por esforço estratégico, qualificado e estruturado, no sentido de proteger as pessoas na prática.

 

Imagem Ilustrativa do Post: sem nome // Foto de: CopperScaleDragon // Sem alterações

Disponível em: https://www.flickr.com/photos/copperscaledragon/26749818602

Licença de uso: http://creativecommons.org/licenses/by/4.0/legalcode 

O texto é de responsabilidade exclusiva do autor, não representando, necessariamente, a opinião ou posicionamento do Empório do Direito.

Sugestões de leitura