A saúde é um dos alvos preferenciais de ataques de dados pessoais, dado seu caráter delicado, como já tivemos a oportunidade de examinar ao tratar da Telemedicina (1). Os criminosos virtuais atuam das mais variadas formas e, entre as novas práticas que exigem atenção está o sequestro de dados, tecnicamente chamado de ransomware.
Como noticiou o Canal Tech (2), recentemente, um monumental ataque com a técnica do ransomware (sequestro de dados) afetou várias redes hospitalares, foram atingidas “mais de 400 unidades do Universal Health Services nos Estados Unidos, Reino Unido e Porto Rico”, com sistemas que foram bloqueados, exigindo uso de papel e prejudicando os atendimentos, explica a notícia.
Na Alemanha, um paciente teve a morte diretamente a um ataque cibernético. Os promotores em Colônia dizem que uma paciente de Düsseldorf estava programada para passar por cuidados intensivos no hospital quando o ataque de 9 de setembro desativou os sistemas. Quando Düsseldorf não podia mais fornecer cuidados, ela foi transferida a 30 quilômetros de distância para outro hospital. Como noticiou o MIT Tecnology Review (3), o ex-presidente-executivo do National Cyber Security Center do Reino Unido declarou que “Se confirmada, esta tragédia seria o primeiro caso conhecido de morte diretamente ligada a um ciberataque”.
A indústria de ransomware é bilionária. A atuação adequada para proteção de dados nas mais variadas esferas integra a proteção jurídica, tecnologia e estratégias para gestão e monitoramento. Sob a perspectiva da LGPD, a confidencialidade, integridade e disponibilidade da informação (CID no jargão da segurança da informação) constituem aspectos centrais. Tanto assim que a lei consagra a prevenção, segurança e qualidade da informação como princípios fundamentais.
As empresas precisam realizar um trabalho integrado entre tecnologia da informação, jurídico e gestão para promover a conformidade com a LGPD e devem, para tanto, levar em conta os crimes digitais. Como adequar os contratos neste contexto? Quais cláusulas foram estipuladas com o servidor? Quais as políticas em relação aos funcionários?
Outras práticas podem envolver redundâncias, contratação de seguros, revisão da política de segurança de informação, treinamentos específicos das equipes. E se os dados vazarem? É preciso examinar o tipo de dado e acesso, para poder determinar a necessidade de comunicar ao paciente, à autoridade nacional de proteção de dados e mesmo à polícia.
Enfim, há um mundo novo a desvendar que demanda planejamento, monitoramento e sobretudo conhecer a matéria.
Gabriel Schulman
Advogado – Trajano Neto e Paciornik
Referências:
1- SCHULMAN,
Gabriel; AMADORI, C. C. As violações de dados pessoais na telemedicina:
tecnologia, proteção e reparação ao paciente 4.0. In: KFOURI, Miguel; NOGAROLI,
Rafaella. (Org.). Debates Contemporâneos em Direito Médico e da Saúde. 1ed.São
Paulo: Revista dos Tribunais, 2020, v. 1, p. 145-174.
2- https://canaltech.com.br/seguranca/ataque-de-ransomware-atinge-rede-com-mais-de-400-hospitais-em-tres-paises-172340/
3- https://www.technologyreview.com/2020/09/18/1008582/a-patient-has-died-after-ransomware-hackers-hit-a-german-hospital/
