Foto: Pixabay Alguns dias atrás, o Estado de Santa Catarina - através da Secretaria de Estado da Saúde - foi condenado por infração à Lei Geral de Proteção de Dados (LGPD) . A causa foi não ter adotado medidas adequadas de segurança da informação.
De acordo com o processo[1], a Secretaria foi alvo de um incidente de segurança que causou o vazamento de dados pessoais de milhares de cidadãos que estavam numa lista de espera para atendimento hospitalar junto ao SUS (Sistema Único de Saúde). Essa lista estava disponível no endereço “listadeespera.saude.sc.gov.br”.
Os dados capturados incluíam informações cadastrais (nome do paciente, endereço, telefone, CPF, entre outros) e médico-hospitalares (enfermidade, diagnóstico, procedimento aguardado, nome do médico, entre outros).
O incidente ocorreu em agosto de 2021 e a Secretaria comunicou o fato à Autoridade Nacional de Proteção de Dados (ANPD) poucos dias depois. Mas só agora o processo chegou à fase final.
De acordo com o Relatório de Impacto à Proteção de Dados (RIPD) apresentado - fora do prazo - à ANPD pela Secretaria de Saúde, o incidente ocorrido pode ensejar “aplicação de golpes utilizando os dados cadastrais e de saúde” dos envolvidos.
Ao longo do processo, a ANPD constatou que o sistema utilizado pela Secretaria para gerenciar os dados dos usuários do serviço de Saúde era inadequado, pois não apresentava medidas de segurança da informação suficientes.
Além disso, a Secretaria deixou de apresentar documentos e registros que seriam essenciais para averiguar a segurança do tratamento dos dados dos cidadãos. Também não entregou à fiscalização as informações que poderiam evidenciar sua diligência no tratamento do incidente ocorrido. Ademais, a ANPD considerou insuficiente a comunicação do incidente feita pela Secretaria aos usuários atingidos.
O que se pode ver, no conjunto da obra, foi o descumprimento de vários princípios e obrigações constantes da Lei Geral de Proteção de Dados, provocado por uma série de erros que levaram ao incidente.
A situação é deplorável, por si só, mas possui ainda, pelo menos, duas circunstâncias que tornam o fato ainda mais grave.
A primeira questão é que, como disse o próprio relatório de instrução do processo, “a obrigação de observar os requisitos de segurança nos sistemas utilizados pelo Estado é ainda mais severa, tendo em vista que os dados pessoais dos titulares afetados são tratados de forma compulsória”. Certamente, quando o único caminho para a atenção básica em Saúde passa pelo SUS, o cidadão não tem outra opção senão confiar sua privacidade ao Poder Público.
E a segunda questão decorre diretamente da primeira: estava em jogo, no caso, o tratamento de informações referentes à saúde do indivíduo, ou seja, aquilo que a LGPD classifica como “dado pessoal sensível”. E, justamente por ser uma informação ligada não apenas à privacidade, mas à intimidade da pessoa, a regulação legal é ainda mais restrita com o tratamento e a segurança desse tipo de dado.
Não obstante a gravidade do caso, a Secretaria de Saúde recebeu apenas uma advertência como punição. O motivo? A própria LGPD exclui a possibilidade de aplicar sanções de multa aos órgãos do Poder Público (art. 52, § 3º).
Qual a punição efetiva para o órgão público, então? Praticamente nenhuma. Uma advertência para a Secretaria de Saúde? Qual a prática disso? Praticamente nenhuma, diante de tantas outras advertências que deve receber no dia a dia.
E o gestor do órgão? Bom, a LGPD deixa ao cargo da Lei de Improbidade Administrativa a aplicação de sanções. A questão é: quem vai atrás disso mesmo? Por outro lado, o próprio Código de Defesa do Consumidor prevê que o serviço público deve ser prestado com eficiência e segurança (art. 6º, X, e art. 22.). E como fica o cliente-consumidor nesse caso?
O fato é que cidadãos tiveram sua privacidade e intimidade expostas por culpa do Poder Público e, simplesmente, os responsáveis não recebem qualquer sanção. E isso é legal. Não parece muito legal, não é mesmo?
*Gabriel Fortes, Advogado na área de proteção de dados e segurança digital do escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. CPC-PD ©.
Notas:
[1] Processo Administrativo Sancionador nº 00261.001886/2022-51
