Milhares de informações de cunho pessoal dos trabalhadores de uma distribuidora de gás foram expostos na internet, segundo divulgado recentemente pela imprensa .
Além de dados como CPF, datas de nascimento e nomes completos, houve a exposição de informações sensíveis como consultas e exames médicos, testes de gravidez e doenças sexualmente transmissíveis, internações em urgências, datas de partos, registros de medicamentos, envolvendo também os dependentes do trabalhadores da empresa, inclusive menores.
O vazamento é atribuído à seguradora de saúde contratada pela empresa de gás, que teria sofrido um incidente de segurança relativo a estas informações.
A seguradora de saúde informou que apurações técnicas indicam que os seus sistemas e bancos de dados não foram comprometidos e que investe constantemente em segurança e tecnologia para evitar estes incidentes.
A distribuidora de gás, por sua vez, tenta se esquivar da responsabilidade, ao argumento de que os dados estavam sob tutela de um fornecedor com o qual não mantém mais relação contratual.
O propósito deste artigo é utilizar um caso concreto para avaliar um pouco a situação jurídica configurada, por ser algo de ocorrência frequente na sociedade.
Apesar das alegações da seguradora de saúde, as medidas a seu cargo, para assegurar a proteção dos dados pessoais, não se restringem àquelas de natureza técnica ou tecnológica, mas inclui medidas administrativas, conscientização do pessoal interno em proteção de dados pessoais, organização e armazenamento da base de dados sob critérios orientados pelos parâmetros da proteção de dados pessoais e não apenas pelos de segurança da informação.
A conformidade em proteção de dados é jurídica e não técnica, de modo que conceitos e critérios que atendem à segurança da informação podem ser insuficientes ou mesmo inadequados para atender às exigências do direito fundamental à proteção de dados pessoais.
É possível que seja realizada auditoria e/ou perícia técnica nos sistemas da seguradora de saúde, administrativamente pela ANPD ou em ação judicial, sendo seu dever demonstrar a implementação das medidas de conformidade e a aptidão destas medidas para assegurar a proteção dos dados, como decorrência do princípio da responsabilização e prestação de contas.
Por outro lado, a seguradora de saúde figura como fornecedora da empresa de gás e obteve os dados dos trabalhadores desta última em razão da relação contratual estabelecida entre ambas.
Para efeito da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), aqueles que realizam tratamento de dados podem ser Controladores (os responsáveis pelos dados, cujo interesse justifica o seu tratamento) ou Operadores (quem realiza tratamento de dados pessoais sob instruções do Controlador, mas sem subordinação ou hierarquia). Contudo, a relação entre dois agentes de tratamento também admite que ambos sejam Controladores.
No caso analisado, independentemente do tipo de relação entre as empresas, a distribuidora de gás figura como Controladora, o que significa ter o dever de definir o modo como os dados seriam tratados pela sua fornecedora, bem como as responsabilidades de cada uma, com disposição do acordado em contrato.
A LGPD determina a obrigação dos agentes de tratamento de garantir a segurança dos dados pessoais mesmo após o seu término (art. 47).
Além disso, é dever do Controlador definir o destino dos dados ao final da atividade de tratamento. Logo, deveria ter sido disposto em contrato se a seguradora de saúde manteria consigo os dados dos trabalhadores da distribuidora de gás e seus dependentes, após o encerramento da relação contratual entre elas, sob que fundamentos e em que condições, além de qual delas faria a comunicação aos respectivos titulares, para que pudessem exercer, dentre outros, o seu direito de oposição, se fosse o caso.
Na ausência de uma adequada definição de regras e obrigações entre as empresas, são ambas corresponsáveis tanto pelos eventuais danos causados aos titulares das informações expostas, quanto pelo incidente de segurança com os dados pessoais dos trabalhadores da distribuidora de gás, sendo passíveis de penalização pela Autoridade Nacional de Proteção de Dados - ANPD.