O G1 noticiou no dia 12.07 a circulação na Internet de uma lista de pessoas infectadas com coronavírus em Arapongas, interior do Paraná. Conforme a imprensa “Além do nome dos pacientes, a lista possui endereço, telefone, data em que receberam o resultado e o posto de saúde onde foram atendidos”.
O secretário da Saúde, apontou que a divulgação
sem o consentimento do município e dos pacientes é ilegal e o compartilhamento
também. Ainda, segundo o G1 “Conforme a prefeitura, quem tem a
responsabilidade sobre essas listas com os nomes e os demais dados são os
profissionais que realizam o monitoramento dos pacientes e que
que realizam o monitoramento dos pacientes e que fazem o encaminhamento deles
para os hospitais”.
Do ponto de vista legal, não se pode admitir que todo vazamento decorra estritamente de um profissional, quando o vazamento foi amplo. A situação reforça a importância de medidas de segurança de informação em face de invasores (como antivírus, firewalls, gestão de senhas), mas também a falha de planejamento, por exemplo, em medidas de anonimização, ou seja, para desidentificar os pacientes, o que faria com que a lista nem existisse.
O Município é legalmente responsável tanto se a falha foi de servidores do Município, quanto de prestadores que possa ter contratado para atendê-lo. A Lei Geral de Proteção de Dados Pessoais, mas também a Lei Orgânica da Saúde, o Código de Defesa do Consumidor, o Código Civil, Código de Ética Médica e sobretudo o texto constitucional asseguram a proteção à privacidade, sigilo, e também a autodeterminação informativa, ou seja, o direito de cada um gerir seus dados, decidindo o que, quando, para quem e para que revelar.
O registro de dados nos mais variados na saúde, não há dúvida é de grande importância, tanto para tratamento, quanto para planejamento. Como ensina a Medicina, a melhor maneira de cuidar é com medidas profiláticas (preventivas). No plano jurídico, são exemplos de medidas preventivas na proteção de dados, a contratação de regras específicas sobre proteção de dados pessoais com prestadores, com previsão (e fiscalização) de providências para proteção de dados pessoais; a identificação de vulnerabilidades para evitar incidentes de segurança, o estabelecimento de protocolos de segurança da informação e a revisão de termos de consentimento.
É preciso destacar, para além do fato do enorme custo para reparação dos danos morais (e eventualmente materiais) aos pacientes, os danos causados as pessoas não são potencialmente irreversíveis.
Gabriel Schulman
Advogado – Trajano Neto e Paciornik Advogados