Vazar dados pessoais por motivos políticos é crime!

Médicos que participaram da audiência pública organizada pelo Ministério da Saúde sobre a vacinação para crianças tiveram seus dados pessoais vazados e divulgados em grupo de Whtasapp. Estas informações constavam das declarações que preencheram para participar do evento.

Durante e depois do evento, estes profissionais passaram a receber ofensas e ameaças em seus telefones e páginas das redes sociais.

Este episódio não é único. O pesquisador que comprovou a ineficácia da cloroquina passou a ser ameaçado e hostilizado e o presidente da república ameaçou divulgar os nomes e os dados dos funcionários da ANVISA que aprovaram a vacinação para crianças. Depois disso, diretores, técnicos da ANVISA e sues familiares passaram a ser ofendidos e ameaçadas e recorreram à justiça para garantir segurança e proteção.

As diretrizes da LGPD são bastante claras:

“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I – o respeito à privacidade;

II – a autodeterminação informativa;

III – a liberdade de expressão, de informação, de comunicação e de opinião;

IV – a inviolabilidade da intimidade, da honra e da imagem;

V – o desenvolvimento econômico e tecnológico e a inovação;

VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Considerando que as informações dos participantes estavam sob a guarda do Ministério da Saúde, é responsabilidade da entidade assegurar a privacidade e a inviabilidade dos dados sob sua sua custódia. Porém, as evidências mostram que não é este o compromisso da entidade.

O Ministério da Saúde tem sido envolvido em problemas de vazamento e invasão de dados em diversas oportunidades e até o momento, não houve uma explicação objetiva e transparente da causa destes incidentes:

O jornal Estadão publicou em sua edição de 26/11/2020, matéria sobre o vazamento de senhas contida em uma planilha de dados do Ministério da Saúde. Segundo o artigo, as senhas permitiam acesso a dados como CPF, endereço, telefone e doenças pré-existentes de pelo menos 16 milhões de pessoas em todo o país. Ainda segundo a matéria, as senhas foram publicadas no GitHub, uma plataforma de hospedagem de código fonte, em 28/10/2020.
Artigo publicado no Tecnoblog em 13/12/2021 informa que “os hackers teriam conseguido credenciais de acesso de pelo menos 23 órgãos do governo. Com isso, foi possível acessar o sistema do ConecteSUS hospedado na Amazon e deletá-lo. No domingo (12), porém, o ataque teria sido diretamente à rede da pasta, mas foi bloqueado.

As consequências do ataque ao SUS em dezembro último estão repercutindo até hoje: Durante cerca de 10 dias, exatamente durante a polêmica sobre a exigência de comprovante de vacinas para viajantes, os cidadãos brasileiros não conseguiam acessar seus certificados de vacinação. As informações referentes ao Coronavirus continuam indisponíveis, criando impactos negativos durante mais um grande surto provocado pela variante Omicron.

Mesmo diante desta realidade, da pressão da opinião pública, de instituições ligadas à proteção de dados e mesmo da justiça, não existe posicionamento oficial sobre o grave incidente de segurança e uma expectativa de restauração dos serviços.

A Lei 14.298, de 3 de janeiro de 2022, vai valer?

Frente a este cenário, será que a privacidade dos portadores de infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV) e das pessoa com hanseníase e com tuberculose estará efetivamente protegida, conforme definido na Lei 14.289, de 3 de janeiro de 2022?

Aparentemente não.

Diz a lei:

“Art. 1ºEsta Lei dispõe sobre a obrigatoriedade de preservação do sigilo sobre a condição de pessoa que vive com infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV) e de pessoa com hanseníase e com tuberculose, nos casos que estabelece.

Art. 2º É vedada a divulgação, pelos agentes públicos ou privados, de informações que permitam a identificação da condição de pessoa que vive com infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV) e de pessoa com hanseníase e com tuberculose, nos seguintes âmbitos:

I – serviços de saúde;

II – estabelecimentos de ensino;

III – locais de trabalho;

IV – administração pública;

V – segurança pública;

VI – processos judiciais;

VII – mídia escrita e audiovisual.

Parágrafo único. O sigilo profissional sobre a condição de pessoa que vive com infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV) e de pessoa com hanseníase e com tuberculose somente poderá ser quebrado nos casos determinados por lei, por justa causa ou por autorização expressa da pessoa acometida ou, quando se tratar de criança, de seu responsável legal, mediante assinatura de termo de consentimento informado, observado o disposto no art. 11 da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).”

Quem é responsável?

A realidade dos fatos mostra que a responsabilidade pela proteção de dados pessoais e sigilosos começa na alta direção de qualquer entidade pública ou privada.

Não há tecnologia, norma, processo e sistema de monitoração que resolva a falta de compromisso dos gestores com a aderência e aplicação do que determinam as leis.

É inaceitável que o mais alto gestor de uma entidade se exima da responsabilidade, afirmando que “não é fiscal de dados”.

Em outras palavras, sempre que ocorrer um incidente grave de Segurança de Dados ou envolvendo a LGPD, a diretoria da organização tem que chamar para si a responsabilidade de gerenciar a análise do incidente, a identificar as causas, aprovar um plano de correção emergencial e definitiva do problema e comunicar aos envolvidos os fatos relevantes envolvendo o incidente. Assim como é sua responsabilidade assegurar que a entidade possuam uma Política de Segurança e administrar as auditorias frequentes que asseguram que esta política está sendo executada.

Da mesma forma, a responsabilidade pelo cumprimento da legislação referente à LGPD e proteção de dados é de todos os cidadãos. Da mesma forma, é inadmissível que uma Deputada Federal, presidente de Comissão de Constituição e Justiça, solicite dados pessoais de participantes de um evento promovido por uma entidade do governo federal, e os publique em grupos de Whatsapp. Segue o posicionamento da deputada, membro do Congresso Nacional, responsável por criar e aprovar as leis que devem ser respeitadas por todos os cidadãos:

confirmou ter enviado as informações para um grupo de WhatsApp. “Não vazei nenhum documento. Não foi vazamento. Os termos me foram passados sem qualquer restrição. O termo de compromisso é um documento público e fui informada que seria publicado no site do MS”.

Em resumo:

Errou a pessoa que passou as informações para a Deputada sem proteger os dados confidenciais
Errou e Deputada, que deveria saber, mais do que qualquer cidadão brasileiro, que divulgar dados pessoais confidenciais é contrário a LGPD e errou ao passar essas informações para um grupo de pessoas que utilizou os dados para ameaçar os médicos e seus familiares.
Errou o Ministro da Saúde, que não chamou para si a responsabilidade de apurar os fatos e proceder aos trâmites que a situação exige.
Está errando o Ministério da Justiça que até o momento não tomou qualquer ação para apurar e punir uma ação ilegal.

Conclusão

A lei precisa ser aplicada para todos ou então será desacreditada e não terá valor. Será mais uma das leis que “não pegou“.