You are currently viewing LGPD: vazamentos, sanções e responsabilidades – o Caso da Clínica da Finlândia

LGPD: vazamentos, sanções e responsabilidades – o Caso da Clínica da Finlândia

Já falamos em nosso blog sobre a entrada em vigor da Lei Geral de Proteção de Dados, em 18 de setembro, neste ano de 2020.  Reforçamos na oportunidade a importância de conhecer e estudar os dispositivos legais, a fim de adequar todas as operações que envolvam dados pessoais e dados pessoais sensíveis. A LGPD, nos moldes da GPDR, lei europeia de proteção de dados,  prevê a punição dos responsáveis pelos dados pessoais de terceiros ( agentes de tratamento de dados) , inclusive,  pela falta de segurança dos bancos de dados – se for identificado que o banco de dados não contém os requisitos mínimos de segurança, a empresa ode ser punida.

O problema de vazamento de dados e de ataques cibernéticos é muito mais comum e frequente do que podemos imaginar. O Brasil é um dos países com mais ataques cibernéticos no mundo. Imaginem as consequências dramáticas do vazamento de dados pessoais sensíveis de pacientes, em posse de clínicas e hospitais, para mãos de criminosos. Foi o que ocorreu recentemente na Finlândia…

Pacientes de uma grande clínica de psicoterapia na Finlândia foram contatados individualmente por um chantagista, depois que seus dados foram roubados dos servidores da empresa. Os dados têm registros de identificação pessoal e notas sobre o que foi discutido nas sessões de terapia. A clínica se chama Vastaamo, e é uma rede finlandesa de terapia com cerca de 20 agências e milhares de pacientes. A empresa declara que os ataques começaram ainda em 2018, e depois em 2019.  (1)

Em outras palavras, tais registros contêm dados pessoais sensíveis desses pacientes e foram “roubados” por meio do ataque cibernético.  Centenas de pacientes estão sendo sofrendo as consequências de tais ataques e a reputação da clínica está seriamente comprometida.   

Outros pacientes declaram estar sendo vítimas de tentativas de extorsão, sendo contatados pelos chantagistas com a opção de pagar 200 euros (R$ 1,3 mil na cotação atual da moeda) para manter suas anotações psiquiátricas privadas. Caso o indivíduo não realize o pagamento dentro das primeiras 24 horas, o valor aumenta para 500 euros (cerca de R$ 3,3 mil). O atacante se identifica simplesmente como “ranson_man”. (2)  Diz ainda a reportagem, que grande parte dos pacientes são crianças e adolescentes.

Analisando tal situação sob a ótica da nossa legislação de proteção de dados, vejamos o que diz o art. 44, da LGPD: ” O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes…”  Outros artigos da lei ainda dispõem sobre as sanções e punições. (3)

Além da clínica, o agente controlador , diz o parágrafo único do art. 44: “Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano”.

Para entendermos um pouco mais os dispositivos legais da LGPD, vejamos quais são as hipóteses de sanções previstas:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração; X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (4)

Assim, não apenas pelas razões expostas, mas por muitas outras, estudar e compreender a LGPD é uma tarefa indispensável para quem – de alguma forma – faz o tratamento de dados pessoais e sensíveis de terceiros.

Conforme mostrou o exemplo da clínica da Finlândia, a área da saúde pode ser uma das mais impactadas pela falta de segurança dos bancos de dados. Os danos causados podem ser irreparáveis para as pessoas atingidas, a clínica terá prejuízos financeiros imensos e sua reputação será fortemente abalada.

Vale a pena estudar a LGPD… Em outros posts iremos abordar mais aspectos relevantes da lei.

( 1) https://thehack.com.br/apos-invadir-clinica-psiquiatrica-finlandesa-criminosos-tentam-extorquir-pacientes/

(2) https://www.bbc.com/portuguese/geral-54698957

(3) http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

(4) http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Deixe um comentário