Na última semana, acompanhamos nos noticiários o vazamento de dados da saúde de mais de 16 milhões de brasileiros, expondo nomes, CPF’s, endereços e diagnósticos de suspeita ou confirmação de Covid-19. Tais informações tinham origem em bancos de dados de redes públicas e privadas ligadas ao Ministério da Saúde.
O vazamento ocorreu pela divulgação de uma planilha com senhas em uma plataforma pública, realizada por funcionário de um hospital particular que atua em colaboração com o governo.
Os dados pessoais expostos são considerados como sensíveis pela Lei Geral de Proteção de Dados, de modo que exigem controles de segurança ainda mais rigorosos por parte daqueles que os detém e utilizam.
Conforme determina a Lei Geral de Proteção de Dados, as empresas que realizam tratamento de dados pessoais precisam estar enquadradas em uma das hipóteses legais que permitem o uso dos dados e forneçam informações aos titulares envolvidos. Além de tal enquadramento, é imprescindível a adoção de medidas de segurança técnica e boas práticas para evitar, justamente, um vazamento como o ocorrido, evitando, assim, possíveis sanções conforme determina a Lei.
O Instituto de Defesa do Consumidor solicitou ao Ministério Público Federal que investigue o caso. Apesar das sanções previstas na Lei Geral de Proteção de Dados começarem a ser aplicadas somente em agosto de 2021, o Poder Judiciário já tem atuado na defesa dos direitos dos titulares de dados pessoais.
Dessa forma, o ocorrido coloca os holofotes em um ponto de alta importância: os vazamentos de dados pessoais muitas vezes ocorrem por falha interna, e não por atuação de hackers ou terceiros mal intencionados. Neste caso, a implementação de procedimentos e controles baseados em análises de risco poderiam ter evitado o vazamento.
Por isso, quando se fala em adequação à Lei Geral de Proteção de Dados, fala-se de um projeto, que envolve a concepção de um programa de governança, parametrização de índices de gestão de risco, revisão de procedimentos, adoção de controles e outras medidas que garantem a adequada proteção aos dados pessoais em tratamento.
Grande parte das empresas já está implementando ações de conformidade à Lei Geral de Proteção de Dados, através destes programas de adequação completos e criteriosos, com o intuito de se precaver em relação às sanções que a Lei poderá impor. E a sua empresa, ela está adequada a LGPD?
Guilherme Belmudes, Advogado e Sócio na Alves Oliveira e Duccini Sociedade de Advogados. Responsável pela Área de Direito Digital.