Por Sueli Murakami

O consentimento é uma das bases legais das mais emblemáticas na Lei Geral de Proteção de Dados (LGPD) e, há que se observar algumas peculiaridades importantes para sua conformação. Ele deve ser dado de forma livre, inequívoco e informado, pois uma vez dado seu consentimento de forma consciente, o titular autoriza o tratamento de seus dos dados pessoais, para finalidades determinadas e legítimas.

Todavia, após 4 anos desde a entrada em vigor da lei, ainda são inúmeros os questionamentos sobre a forma mais adequada de tratar dados pessoais com base no consentimento.

Segundo o artigo 8º da LGPD, o consentimento deve ser fornecido por escrito, em cláusula destacada ou outro meio que possa comprovar a manifestação de vontade do titular, e essa manifestação, como já dito, deve ser livre, inequívoca e informada. Ou seja, livre de pressão, coação ou imposição.

Uma ação inequívoca feita pelo titular, sendo clara e precisa, além ser informado de forma compreensível de como os dados pessoais serão tratados, para qual finalidade, onde serão armazenados, por quanto tempo, com quem compartilha, quais medidas de segurança utilizam para manter suas informações resguardadas e monitoradas de acessos indevidos, perda, furto, entre outras tantas situações.

Caso o consentimento não seja dado para finalidades determinadas ou específicas, cujas autorizações sejam genéricas, vagas ou indefinidas, o tratamento será nulo, e o ônus da prova de que o consentimento foi obtido de acordo com a legislação, cabe à organização, enquanto agente de tratamento e guardiã dos dados pessoais de que trata.

Ainda, há que se ressaltar que o consentimento poderá ser revogado pelo titular a qualquer tempo, desde que sua vontade seja expressamente manifestada, em procedimento gratuito e facilitado. Todavia, o tratamento realizado sob o amparo do consentimento anteriormente manifestado fica ratificado, enquanto não houver requerimento de eliminação pelo titular.

Neste sentido, será que as organizações, ao oferecer um bem ou serviço online, estão sendo transparentes e informando adequadamente aos titulares que, ao clicar em “sim, aceito todos os cookies” ou “rejeito todos”, o fazem de forma consciente e de acordo com o que dispõe a lei? Ou estão sendo induzidos a tomar uma decisão inconsciente? Uma vez que é fundamental garantir que os usuários estejam informados com o que efetivamente estão concordando!

E o que dizer dos atendimentos presenciais? Os profissionais de linha de frente que coletam informações dos usuários estão preparados para comunicar ou esclarecer de forma simples, clara e inequívoca, garantindo que não restem dúvidas aos titulares que, ao entregarem seus dados pessoais para receber um atendimento ou um produto têm plena ciência do ato? A clareza na comunicação é fundamental para garantir que os usuários compreendam plenamente o que estão consentindo.

Lara Martins Advogados

Escritório de advocacia multidisciplinar com soluções jurídicas personalizadas para empresas e pessoas. A excelência é a nossa especialidade. Unidades em Goiânia, Rio Verde (GO) e São Paulo (SP). Brasil.

www.laramartinsadvogados.com.br

Por Sueli Murakami & Nycolle Silva

Novembro é o mês da Black Friday, uma tradição americana que acontece todos os anos, na sexta-feira após o Dia de Ação de Graças. Essa cultura se espalhou pelo Brasil e, atualmente, muitas lojas começam a oferecer promoções já no início do mês.  

Com o aumento do acesso à internet e o avanço das tecnologias digitais, as compras online experimentaram um crescimento significativo. Durante a Black Friday, os consumidores costumam aproveitar para adquirir não apenas produtos cuja oferta é tentadora, mas também presentes para as festividades de fim de ano. No entanto, esse aumento nas compras online também os torna mais vulneráveis a riscos, como crimes cibernéticos, que podem comprometer suas informações pessoais e financeiras. 

Desde setembro de 2020, com a entrada em vigor a Lei Geral de Proteção de Dados (LGPD), a legislação enfatiza a necessidade de proteger os direitos e liberdades fundamentais dos titulares de dados. A proteção de dados, bem como a segurança cibernética não devem ser vistas apenas como responsabilidade do consumidor, mas também como deveres do vendedor, que passa a custodiar alguns dados pessoais durante essas transações de venda.  

Durante a Black Friday, quando as compras aumentam e as ofertas são atraentes, a combinação da LGPD e do CDC se torna ainda mais relevante. Enquanto a LGPD protege os dados pessoais, o CDC assegura que os consumidores sejam tratados de forma justa e transparente, pois garante que eles tenham acesso a informações claras sobre os produtos e serviços, criando um ambiente de compras mais seguro e confiável. 

Todavia, é um período em que os criminosos virtuais estão mais ativos, aproveitando a alta demanda das ofertas e a pressa dos consumidores para comprar algo. Isso aumenta o risco de fraudes, ataques de phishing (uma forma de enganar as pessoas para que revelem informações pessoais como número de cartão de crédito, informações bancárias ou senhas, entre outros), além de outras ameaças cibernéticas. 

Para evitar esse tipo de ataque, ou dificultá-los, é essencial que os consumidores sigam as seguintes medidas de segurança, simples, mas necessárias como:  

• Verificar a Segurança do Site: confira se o endereço eletrônico possui o cadeado na barra de endereços. Isso significa que o site é seguro! 

• Usar Senhas Fortes: crie e utilize senhas com, no mínimo, 8 caracteres, contendo letras maiúsculas, minúsculas, números e símbolos, para torná-las mais seguras a ataques.  

• Desconfie de ofertas muito tentadoras: um desconto muito alto ou preços muito baixos pode ser sinal de uma armadilha.  

• Desconfie de e-mails e mensagens: não clique em links recebidos por e-mail, SMS e redes sociais. É recomendado que você confira a oferta no site oficial da loja.  

A Black Friday, embora ofereça boas oportunidades, também apresenta riscos, mas se os consumidores permanecerem vigilantes e informados, podem desfrutar das vantagens com maior segurança e tranquilidade. 

Lara Martins Advogados

Escritório de advocacia multidisciplinar com soluções jurídicas personalizadas para empresas e pessoas. A excelência é a nossa especialidade. Unidades em Goiânia, Rio Verde (GO) e São Paulo (SP). Brasil.

www.laramartinsadvogados.com.br

Entrevista concedida pela advogada, sócia e gestora jurídica do Lara Martins Advogados, especialista em Direito Médico e Proteção Jurídica Aplicada à Saúde, Nycolle Soares.

_Leia abaixo na íntegra.

Há décadas o sigilo médico é premissa do exercício da profissão. Ficou mais evidenciado no Código de Ética Médica, regido pela Resolução 1.931, de 2009, do Conselho Federal de Medicina. Nele está estabelecido: “O médico guardará sigilo a respeito das informações de que detenha conhecimento no desempenho de suas funções”. A Lei Geral de Proteção de Dados (LGPD), número 13.709, de 2018, que regula as atividades de tratamento de informações pessoais, ampliou a obrigação de profissionais e de empresas do setor de saúde.

Tudo relacionado ao paciente, desde nome e documento até questões genéticas, é considerado como “dados sensíveis” pelo inciso II do artigo 5º da LGPD. E não podem ser compartilhados com objetivo de obter vantagem econômica, ou seja, para uso comercial. Com milhares de informações sendo coletadas diariamente por hospitais, clínicas e consultórios — públicos e particulares —, os atores do segmento da saúde têm tomado as medidas para não infringir a legislação e serem penalizados em sanções que vão desde advertência administrativa até multa de R$ 50 milhões por infração.

“Se não quiserem sofrer graves sanções, as empresas da saúde devem compreender a LGPD e proteger as informações de seus clientes”, afirmou Nycolle de Araújo Soares, advogada, sócia e gestora jurídica do Lara Martins Advogados, com MBA em Direito Médico e Proteção Jurídica Aplicada à Saúde. A especialista sugere ajustes de procedimentos internos por parte das empresas, levando-se em consideração que tipo de dados são utilizados, em quais circunstâncias e quem acessa essas informações. “É preciso ainda capacitar todos que trabalham na instituição”, disse Nycolle.

A biotech gen-t (grafa-se a letra ‘g’ em minúscula) nasceu em 2021 adaptada à LGPD. A empresa realiza sequenciamento do genoma de milhares de brasileiros para auxiliar na detecção e evolução de doenças e criação de alvos terapêuticos e medicamentos. Segundo Lygia da Veiga Pereira, CEO da gen-t, PhD em genética e professora da USP, as pessoas que participam dos estudos aceitam o Termo de Consentimento Livre e Esclarecido e, com isso, permitem o uso de seus dados sensíveis, mas de forma anônima.

“Uma vez que os dados estão no sistema da gen-t, eles passam por algumas etapas de anonimização”, disse. A primeira etapa é a criptografia, antes de serem salvos no banco de dados. A segunda é a anonimização dos participantes, gerando uma chave hash (código único gerado por algoritmo de criptografia) dos dados que podem ser usados em identificação. “Temos bases de dados separadas com detalhamento diferentes entre elas, ou seja, cada área dentro da empresa só tem acesso a uma parte dos dados.”

A healthtech Nilo Saúde segue cartilha semelhante. A startup nasceu no início de 2020 e oferece um sistema de gestão de engajamento e relacionamento com pacientes, em solução SaaS (software como um serviço). É utilizada por operadoras de saúde, hospitais, corretoras e clínicas. Possui 400 mil pacientes cadastrados na plataforma. Tem um setor específico para manejo dos dados, o DPO (Data Protection Officer). “Mesmo para fins de estatística de saúde populacional, em que os dados estão anonimizados, qualquer mineração só pode ser feita com consentimento do paciente”, afirmou Leonardo Carvalho, CTO (chief technology officer) da Nilo Saúde.

Já a Qualicorp, uma das maiores empresas de venda e administração de planos de saúde do País, tem fortalecido a segurança da informação com treinamento contínuo de colaboradores, como apontou a advogada Nycolle Soares. Entre as iniciativas mais recentes, a equipe de Riscos e Segurança da Informação (SI) recebeu um curso de capacitação de acordo com a Norma ISO 27001. Segundo Hércules Silva, superintendente de Auditoria, Riscos, Antifraude e SI da Qualicorp, a estratégia da companhia é gerar melhor gestão da privacidade e o compromisso com a redução de risco, ao evitar invasões de hackers. Problema cada vez mais frequente em todas as empresas de todos os segmentos.

“Hoje os ataques são realizados com o objetivo de sequestrar informações digitais e pedir altas quantias para que as companhias possam recuperá-las”, afirmou Silva, acrescentando que a Qualicorp adota um sistema de monitoração e controle 24×7 para identificação de anormalidades em seu ambiente tecnológico. Quando há uma movimentação suspeita, o serviço é tirado do ar como forma de proteger o acesso às informações. “Nossos processos estão em desenvolvimento contínuo e, assim como nossas pessoas”, disse o superintendente.

Nycolle Araujo Soares

Advogada. Sócia e Gestora Jurídica do Lara Martins Advogados. MBA em Direito Médico e Proteção Jurídica Aplicada a Saúde. Pós-Graduada em Direito Civil e Processo Civil. Analista de Finanças pela FGV. Especialista em Ética e Compliance na Saúde pelo Einstein. Presidente do Instituto Goiano de Direito Digital – IGDD/GO

Entrevista concedida pela advogada, sócia do Lara Martins Advogados, especialista em Direito Direito Médico e Proteção Jurídica Aplicada a Saúde e Direito Digital, Nycolle Soares.

_Leia abaixo na íntegra.

Um paciente de 83 anos teve dados pessoais, foto de rosto e estado de saúde expostos indevidamente em um grupo de WhatsApp nesta sexta-feira (28) por um médico bolsonarista. Isso ocorreu logo depois de consulta e sem autorização prévia do idoso, em Rio Verde, a 232 km de Goiânia.

Gustavo Baiocchi comemorou com os colegas que convenceu o homem, no consultório, a votar no presidente Jair Bolsonaro (PL). Ele compartilhou informações sigilosas do paciente em um grupo de WhatsApp com 214 cardiologistas de Goiás.

A reportagem ligou para o cardiologista e enviou pedido de resposta para ele no WhatsApp, mas não recebeu resposta até o momento em que este texto foi publicado.

Representante da Ordem dos Advogados do Brasil em Goiás (OAB-GO), Nycolle Soares disse que o médico violou a Lei Geral de Proteção de Dados (LGPD) e o Código de Ética Médica.

Reprodução de grupo de WhatsApp de cardiologistas de Goiás mostra médico exibindo caneta com dizeres ‘Jair Bolsonaro presidente 2022’ entregue ao paciente – Reprodução/Redes sociais

O Conselho Regional de Medicina do Estado de Goiás (Cremego) disse à Folha que desconhece as ações do médico, mas disse que vai apurar a conduta dele.

Em vídeo no grupo do WhatsApp, o médico relatou ter pedido voto e, em tom de comemoração, divulgou as informações do homem, que teria sido convencido por ele a votar em Bolsonaro. Segundo o cardiologista, antes da consulta, o idoso teria dito que não votaria no segundo turno.

Uma sobrinha do paciente disse que o acompanhou na consulta às 7h30. A mulher contou que o Baiocchi ligou para ela por volta das 12h, porém ela não atendeu. Às 13h19, ainda segundo ela, o médico enviou no WhatsApp um pedido de autorização para “divulgar o caso” do paciente, mas ela só viu a mensagem às 16h29.

Ela disse que permitiu verbalmente, apesar de o tio dela ser “lúcido”.

No entanto, Baiocchi expôs os dados do paciente antes, às 8h22, no grupo Cardiologia Goiás, comemorando ter virado voto. “Último dia antes das eleições”, escreveu.

Em seguida, mandou aos colegas no aplicativo um vídeo em que que exibe a tela de computador com foto, nome completo, filiação, data de nascimento, CPF, RG, endereço e profissão do paciente.

“Esse cidadão aqui falou que não iria votar, não. Ele melhorou. Teve deficiência cardíaca, chegou aqui, com falta de ar, não conseguia nem falar. Agora ele está sequinho, falando, sorridente. Eu falei para ele: ‘Ó, nunca pedi favor nenhum para ninguém, mas para o senhor eu queria pedir. Vota’. Ele falou que vai votar”, disse.

Baiocchi pediu aos colegas que não tenham vergonha e disse jamais ter imaginado que postaria política em chats.

“Mas não quero que meus filhos leiam cartilhas comunas. Não quero que compartilhem banheiros com sexo oposto. Não quero que enxerguem que a desonestidade valha a pena. Prezemos a moral e os bons costumes”, escreveu.

Às 8h24, o cardiologista também publicou no grupo uma foto de uma caneta que distribui a seus pacientes, com a frase “Jair Bolsonaro presidente 2022”.

Ao fundo, a imagem mostra uma guia de plano de saúde à mesa.

“São agraciados com essa caneta. Sigo tentando até as últimas horas virar votos! Posto aqui apenas pra que se inflamem a fazer algo parecido pra depois não olhar pra trás e ficar aquela sensação que poderia ter feito algo”, escreveu, em seguida.

Outros médicos se manifestaram favoravelmente à ação de Baiocchi no grupo de WhatsApp.

A sobrinha disse que também já havia pedido ao idoso para votar em Bolsonaro, mas até então ele teria dito que não votaria neste segundo turno porque já tem 83 anos.

De acordo com a Constituição Federal, o voto é facultativo apenas para pessoas entre 16 e 18 anos, maiores de 70 anos e analfabetos.

“Ele [o médico] procurou se poderia falar da história do meu tio para mostrar [aos colegas]. Eu autorizei, falei para ele que poderia divulgar o assunto de dentro do consultório”, afirmou ela. “Ele deu a caneta do Bolsonaro para meu tio e pediu meu tio para votar no Bolsonaro.”

Presidente do Instituto Goiano de Direito Digital (IGDD) e integrante da Comissão de Direito da Saúde da OAB-GO, a advogada Nycolle Soares disse que o caso é grave.

“A gente vive em um mundo extremamente conectado, e o compartilhamento dessas informações pode ocorrer de forma ilimitada, sem controle”, disse. Ela afirmou que os dados podem ser usados por criminosos para cometer fraudes.

A divulgação no grupo do WhatsApp, segundo a OAB-GO, também viola o Código de Ética Médica, que estabelece sigilo na relação entre médico e paciente. “Nenhum tipo de informação relacionada ao paciente pode ser divulgado sem sua prévia autorização”, afirmou a especialista.

Além disso, segundo a advogada, mesmo que a sobrinha tenha autorizado o médico, a LGPD prevê que, em caso de dados sensíveis, deve haver termo específico que autorize a divulgação deles, incluindo quadro de saúde e manifestação política, por exemplo. “A divulgação disso em grupos de WhatsApp é até surreal”, afirmou.

Nycolle Araujo Soares

Advogada. Sócia e Gestora Jurídica do Lara Martins Advogados. MBA em Direito Médico e Proteção Jurídica Aplicada a Saúde. Pós-Graduada em Direito Civil e Processo Civil. Analista de Finanças pela FGV. Especialista em Ética e Compliance na Saúde pelo Einstein. Presidente do Instituto Goiano de Direito Digital – IGDD/GO

Nas últimas semanas, diversas notícias relacionadas a instituições de saúde acabaram ocupando posições de destaque nos veículos de comunicação. Desde questões sobre condutas profissionais e até mesmo propostas de projetos de lei relacionados aos serviços e atendimentos de saúde foram objeto de discussões.

Esse movimento, principalmente quando relacionado a “eventos” negativos, gera o chamado dano reputacional, e o impacto nas instituições por vezes é realmente muito intenso. Ao pensarmos na aplicação da Lei Geral de Proteção de Dados (LGPD), é impossível não considerar nessa equação justamente esse dano como um dos elementos cruciais na avaliação quanto a necessidade de realizar a adequação à LGPD nos serviços de saúde.

A bem da verdade é que com a lei em vigor, não deveria haver qualquer questionamento sobre a urgente necessidade de adequação por parte das instituições. Por outro lado, sabemos que as necessidades imediatas das empresas, na maioria das vezes, impossibilitam que projetos que não estão relacionadas a execução do objeto do negócio sejam realizados.

São os dilemas existentes diante do gargalo dos custos, e em outros momentos, não é o custo em si que inviabiliza, mas a não priorização desse trabalho. Só que é importante mencionar que um dos itens que tem cada vez mais pesado na escolha do consumidor é justamente a confiança naquele serviço e a segurança da instituição.

Por isso, quando pensamos na possibilidade de uma exposição da marca da empresa relacionada a um possível incidente com dados pessoais de pacientes, seja um acesso indevido, compartilhamento com terceiros ou qualquer outra conduta que exponha as informações dos pacientes, esse tipo de “fato” pode trazer um dano reputacional tão intenso quanto os demais tipos de incidentes que ocorrem nas instituições.

Por vezes existe a compreensão de que a proteção de dados é algo “menor” ou “supérfluo”, mas é justamente o que faz com que as instituições não destinem a devida atenção ao tema e colaborem com a própria exposição quando houver algum tipo de incidente com dados pessoais sensíveis.

Se algo dessa natureza ocorre, quem deverá assumir o “problema”? A T.I.? O RH? O Marketing? A Diretoria? Por onde começar? Quais documentos produzir? Como comunicar isso aos consumidores sem ampliar o dano e sem expor ainda mais a marca? E a pergunta mais importante: como esperar que tudo isso possa ser definido no pior momento para tomada de decisões, que é justamente quando o problema já ocorreu?

Dessa forma, o cenário em que há um trabalho de adequação prévio será sempre o mais confortável para as instituições, ainda que isso exija um investimento de recursos, já que é possível mensurar o quanto custará a adequação. Já no caso do dano é praticamente impossível mensurar quanto custará à marca a sua exposição de maneira negativa.

O paciente quando precisa buscar uma instituição de saúde, parte do pressuposto que além do cuidado relacionado a sua integridade física, haverá o cuidado com a sua integridade psíquica, que na atualidade está iminentemente liga à privacidade de cada indivíduo.

Pensar na proteção dos dados nas empresas do setor da saúde não é apenas cumprir com a LGPD, mas também garantir a proteção do paciente e a preservação da reputação da marca. Por isso a saúde precisa se preocupar com a LGPD sim, já que proteger os dados dos pacientes é proteger o paciente também!

Nycolle Araujo Soares

Advogada. Sócia e Gestora Jurídica do Lara Martins Advogados. MBA em Direito Médico e Proteção Jurídica Aplicada a Saúde. Pós-Graduada em Direito Civil e Processo Civil. Analista de Finanças pela FGV. Especialista em Ética e Compliance na Saúde pelo Einstein. Presidente do Instituto Goiano de Direito Digital – IGDD/GO

É importante iniciar o texto com uma afirmação óbvia: quando se fala de Estado, o sigilo é exceção. Os atos do Poder Público são, em sua ampla maioria, públicos. Isto, aliás, é imperativo do regime democrático.

Secretismo, afinal, só se coaduna com regimes ditatoriais, os quais não prestam, por sua natureza, contas à população.

No Brasil, o ordenamento jurídico consagra a publicidade dos atos públicos (está expressamente elencada no caput do artigo 37 da Constituição da República) como um princípio primordial do regime jurídico administrativo. A publicidade dos atos, então, está correlacionada à sua própria legitimidade. O controle exercido pela população, com o auxílio da imprensa (a liberdade de imprensa também é pilar de um regime que pretenda ser democrático), confere ao ato de poder mais robusta legitimidade.

É o cidadão, enfim, que acaba por ser o destinatário (ainda que indireto) dos atos do Estado; daí a Constituição prever no artigo 5º, inciso XXXIII, que “todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado”.

A Lei de Acesso à Informação (LAI) brasileira apenas foi promulgada em 2011 (lei nº 12.527), conferindo efetividade à norma acima transcrita. Apesar de ser bem nova a nossa lei, a transparência dos atos do Poder Público é um fenômeno relativamente recente: a maior parte das leis semelhantes de países desenvolvidos data do pós-guerra (EUA em 1966; Dinamarca em 1970, dentre outros), com diversos países elaborando suas normas já no século XXI. A notável exceção é a Suécia, que tem a mais antiga lei de transparência, datada de 1776 (!).

Na lei brasileira, as diretrizes previstas no artigo 3º trazem o que foi dito no início deste texto (“observância da publicidade como preceito geral e do sigilo como exceção”), além de relevantes preceitos como “divulgação de informações de interesse público, independentemente de solicitações” e “fomento ao desenvolvimento da cultura de transparência na administração pública”, além, é claro, de “desenvolvimento do controle social da administração pública”.

Percebe-se, logo, a relação intrínseca entre transparência/publicidade e controle social, corroborando o que já foi dito em linhas pretéritas.

No plano prático, portanto, o conhecimento público de contratações feitas pela Administração, por exemplo, é essencial e inafastável: deve o cidadão saber se um dado órgão do Estado (qualquer que seja o ente federativo ou suas entidades, destaque-se) comprou vinhos e espumantes; se adquiriu carros de luxo para compor sua frota; se contratou serviços médicos meramente estéticos; se os servidores do mencionado órgão viajam em voos comerciais e em que classe o fazem.

Os exemplos dados estão todos relacionados à contratação, mas a publicidade, como visto, gira em torno de quaisquer atos administrativos. A agenda de uma autoridade política, nesse sentido, deve ser pública; o espírito é o mesmo: encontros secretos de uma autoridade não se coadunam com o regime democrático.

Infelizmente, têm-se visto abusos com relação ao caráter sigiloso imposto aos dados de atos praticados pela Administração e seus agentes. Com frequência, a imprensa divulga que determinada questão teve sigilo decretado pelo Estado, às vezes de cem anos. Isto mesmo, um século de sigilo.

Como as normas contêm preceitos de indeterminação semântica, o Estado abusa de expressões como “soberania nacional”, “segurança das instituições ou de autoridades” ou, claro, diz que os dados se referem à “intimidade e vida privada” de pessoas (recomendo a leitura neste site dos diversos textos relativos à LGPD escritos ao longo do tempo por advogados do LM).

Em algumas situações, parece que há um propósito de evitar o escrutínio dos cidadãos (e da imprensa) e até mesmo de órgãos de controle estatais. Segundo já afirmado, afinal de contas, é próprio da democracia que a agenda de um ministro de Estado seja pública.

Da mesma maneira, gastos em cartões corporativos, sempre escondidos sob o manto do sigilo, merecem devassa. A pergunta que se faz é singela: tem o cidadão o direito de saber se pagou (porque é ele quem custeia o Estado, nunca é demais lembrar) coisas supérfluas para os usuários de cartão corporativo? A resposta tem de ser, invariavelmente, positiva.

Concluindo, repete-se a constatação óbvia feita no início: o sigilo é excepcional, sempre. A coisa pública (res publica) tem de estar sempre de portas e janelas abertas para os cidadãos. O retrocesso quanto à transparência dos atos de poder nos distancia do modelo democrático e republicano que tanto almejamos e que escolhemos em 1988 com a Constituição.

Frederico Meyer

Advogado. Especialista em Direito Público. Graduado pela Universidade Federal de Juiz de Fora (UFJF).

Fonte: Matéria elaborada e publicada pelo portal Veja Saúde.

Entrevista concedida pela advogada, sócia do Lara Martins Advogados, especialista em Direito Direito Médico e Proteção Jurídica Aplicada a Saúde, Nycolle Soares.

_Leia abaixo na íntegra.

Golpes virtuais estão ficando mais comuns no noticiário. O varejo é o setor mais prejudicado por esse tipo de crime, mas o segmento de saúde vem logo atrás, em segundo lugar. Só no passado, roubos que tiram proveito de dados de pacientes subiram 64% no Brasil, segundo relatório de cibersegurança publicado pela Check Point Research.

Um exemplo para ilustrar o cenário

Há alguns anos, a psicanalista Rinalda Duarte recebeu uma ligação no quarto em que estava internada em um hospital. A pessoa pedia o contato de algum acompanhante para resolver uma urgência. Medicada e um pouco fora do ar, ela passou o telefone do namorado.

O golpista então ligou para o namorado dizendo que Rinalda corria risco de morte se não fizesse um procedimento naquele momento. Na sequência, pediu uma transferência no valor de R$ 15 mil. Ele até tentou fazer o pagamento enquanto corria para o hospital, mas não conseguiu e, em paralelo, um amigo o alertou de que esse tipo de ocorrência não era praxe em hospitais.

O susto só passou quando ele conferiu o estado de saúde da namorada pessoalmente.

Dicas básicas:

• Depois de ser atendido no hospital, picote a pulseira que está com seus dados antes de jogar no lixo
• Nunca forneça senhas de acesso de seu plano de saúde em unidades de atendimento
• Se receber mensagens pelo WhatsApp, Facebook, Instagram e Telegram, confirme se são autênticas
• Esteja sempre atento ao remetente dos e-mails que recebe. É comum cibercriminosos usarem endereços semelhantes aos de empresas legítimas
• Não clique em links duvidosos. Se recebê-lo por e-mail, denuncie a mensagem como spam e delete sem clicar em nada
• Na configuração do WhatsApp, procure não deixar sua foto disponível para todos verem. Isso facilita que cibercriminosos usem a foto para aplicar golpes
• Se for vítima de golpes digitais, faça boletim de ocorrência. Muitos Estados brasileiros inclusive possibilitam fazer o BO online
• Evite publicar informações sobre seu estado de saúde nas redes sociais

Desconfiança e critério ao ceder seus dados

Com a telemedicina avançando e mais dados transitando por aí, o cuidado precisa ser redobrado, em especial com os aplicativos de mensagem instantânea, a exemplo do WhatsApp. Em uma situação de dúvida, o primeiro passo é usar um velho método: o telefone.

“Estamos habituados a resolver tudo pelo Whatsapp, mas uma ligação para o número fixo de uma empresa dá mais segurança para confirmar se o contato é mesmo legítimo”, recomenda Nycolle Soares, advogada especialista em direito médico, presidente do Instituto Goiano de Direito Digital (IGDD) e sócia do Lara Martins Advogados.

Não expor nas redes sociais informações sobre internações, medicamentos que toma ou doenças que trata é um caminho para a proteção. “Muita gente postou foto na campanha de vacinação da Covid-19 com os dados pessoais, o que deu bastante confusão”, exemplifica Nycolle.

Segundo ela, pessoas que desabafam sobre doenças na internet também podem ser procuradas por falsas associações pedido contribuições. “Tem de tudo”, resume a advogada.

Manter a privacidade e ter cuidado com seus dados pessoais deve ser um hábito em todas as áreas. “Precisamos ser criteriosos na hora de preencher formulários. Na saúde, é claro que precisaremos ceder informações, como a idade e o endereço. Mas há serviços que pedem até o número de passaporte no cadastro, e isso não faz sentido”, pondera Nycolle.

O principal problema de sair colocando uma informação ali e outra acolá é o chamado cruzamento de dados, segundo Ruy Rede, engenheiro eletrônico e sócio da Beelegal Soluções Tecnológicas. Ou seja, o cibercriminoso vai pinçando seus dados aos poucos e, com isso, garantindo informações que podem terminar em um golpe.

Por isso, é preciso refletir se há real necessidade de ceder um dado para obter aquele serviço.

O papel das empresas

Não dá para jogar toda a responsabilidade nas mãos do cliente que está buscando um serviço de saúde. Pelo contrário: a nova Lei de Proteção de Dados (LGPD) exige protocolos de segurança das empresas (de saúde inclusive) e abre caminhos para denúncias de quem não os cumpre.

Ruy Rede, que trabalha com projetos de segurança corporativa, conta que a maior responsabilidade está nas mãos das empresas. “É difícil o usuário ter controle de tudo. Hoje, as marcas pedem o consentimento do cliente para utilizar seus dados e, muitas vezes, a pessoa concorda por não ter alternativa”, relata.

Ele cita como exemplo bancos que repassam dados dos clientes a companhias de cobrança quando um empréstimo é assinado. Já os planos de saúde monitoram os remédios que a pessoa toma em troca de desconto na farmácia. Como não é simples escapar dessas relações, a LGPD vem para exigir mais transparência sobre elas.

“As empresas são obrigadas a investir em tecnologia, porque o custo de receber uma multa ou ter os dados de seus clientes sequestrados é muito mais alto”, relata Rede.

O Procon e a Autoridade Nacional de Proteção de Dados (ANPD) são os principais órgãos que recebem reclamações das pessoas que tiverem se sentido expostas ou desprotegidas por alguma instituição. Não hesite em entrar em contato.

Até por lidarem com dados muito sensíveis, as instituições ligadas à saúde tendem a gozar de confiança por parte dos clientes. Quem está em um hospital e recebe uma solicitação de informação tende a partir do pressuposto que o contato veio da própria organização de saúde – principalmente se o golpista tiver acesso a dados confidenciais. Mas nem sempre é assim. Sabendo disso, desconfie.

Há ainda golpes que miram os próprios médicos e empresas. Criminosos podem invadir o sistema de um plano de saúde, por exemplo, e “sequestrar” os dados dos usuários em troca de dinheiro. Profissionais autônomos já tiveram contas redes sociais e de troca de mensagens clonadas por criminosos que as usavam para marcar falsas consultas e vender produtos de saúde.

Para conter esses crimes, soluções de tecnologia estão surgindo frequentemente. A empresa Vitalicia criou uma plataforma para deixar mais segura a comunicação entre pacientes e médicos.

“O médico consegue deixar seu WhatsApp só para contatos pessoais e tem a garantia de conversar com pessoas autenticadas pelo sistema. Toda a troca de informação é criptografada”, promete Luis Albinati, CEO da Vitalicia diretor da empresa.

Ainda assim, o acesso a esses recursos é restrito no Brasil. O jeito é desconfiar, proteger-se e cobrar segurança das empresas.

Nycolle Araujo Soares

Advogada. Sócia e Gestora Jurídica do Lara Martins Advogados. MBA em Direito Médico e Proteção Jurídica Aplicada a Saúde. Pós-Graduada em Direito Civil e Processo Civil. Analista de Finanças pela FGV. Especialista em Ética e Compliance na Saúde pelo Einstein. Presidente do Instituto Goiano de Direito Digital – IGDD/GO

A cena já se tornou rotineira. Você precisa ir a uma consulta ou reunião e, ao chegar, a recepção do condomínio, solicita um documento de identificação para verificar se há cadastro prévio. Não havendo os dados, a partir daí eles são coletados e agora com um acréscimo: tiram uma foto sua que automaticamente é utilizada em um sistema de reconhecimento facial e que libera a catraca de acesso.

Eficiente? Sim! Mas, é seguro?

Essa é a página “dois” do cenário em que passamos a estar inseridos. Não refletimos, em muitos casos, que a mesma imagem que dá o acesso aos condomínios é a mesma que desbloqueia a tela do nosso celular ou do nosso aplicativo do banco, por exemplo.

Mas, e se a pergunta fosse assim: você entregaria a sua senha de acesso do celular para outras pessoas? Provavelmente a sua resposta seria não. Só que, na verdade, é exatamente isso que temos feito diariamente sem nos darmos conta do tamanho da responsabilidade e riscos que assumimos com esse compartilhamento.

Mesmo em um momento em que existe a Lei Geral de Proteção de Dados (LGPD) em vigor, há um tempo significativo, parece que a sensibilidade de muitos com o tema em questão não fora aguçada nem mesmo pelas notícias em que vazamentos de dados, e até mesmo o sequestro dessas informações, passaram a ser “protagonistas”.

Não é de se espantar, então, que a coleta e uso de dados pessoais, e até mesmo de dados pessoais sensíveis, continue acontecendo sem muitos pudores. A grande questão é que se estivéssemos tratando desse tema há quatro anos, essas discussões seriam apenas análises feitas com base em uma lei que ainda seria aprovada, e na atualidade, falamos dos fatos e ainda não conseguimos enxergar as consequências dessa aprovação.

Por outro lado, essa análise é por si só um efeito da existência da LGPD, e apesar dos pesares, muitas instituições seguem buscando um caminho em que a adequação à LGPD e a proteção de dados pessoais se tornaram diretrizes para tomada de decisões.

É importante ressaltar, ainda, que multas e condenações judiciais em decorrência da não observância do que prevê a LGPD já são uma realidade. A Autoridade Nacional de Proteção de Dados (ANPD), que é a responsável pela fiscalização e autuações nos casos de descumprimento da lei, segue avançando com a normatização dos procedimentos e com a sua estruturação para desempenho de suas atividades.

É impossível acompanhar a velocidade da tecnologia, que mesmo em um país como o Brasil, com um custo de aquisição de equipamentos muito alto, ainda assim avança no seu alcance e utilização. Ao mesmo tempo, é necessário e juridicamente indispensável, que existam previsões que proporcionem segurança e a previsibilidade para as operações realizadas utilizando as mais variadas tecnologias.

Talvez a grande questão seja compreendermos que a aplicação da LGPD e o respeito ao que está previsto nela, tem muito mais a ver com o nosso cotidiano do que possamos imaginar.

Para isso a pergunta sobre a quem você entregaria suas senhas seja muito mais eficaz na prática do que dizer que há uma lei que protege dados pessoais. Então, na próxima vez que for acessar algum espaço em que for solicitado uma foto ou um dado pessoal, pense se você entregaria suas senhas para aquela empresa/pessoa pois, na verdade, pode ser que você já esteja entregando e nem perceba.

Nycolle Araujo Soares

Advogada. Sócia e Gestora Jurídica do Lara Martins Advogados. MBA em Direito Médico e Proteção Jurídica Aplicada a Saúde. Pós-Graduada em Direito Civil e Processo Civil. Analista de Finanças pela FGV. Especialista em Ética e Compliance na Saúde pelo Einstein. Presidente do Instituto Goiano de Direito Digital – IGDD/GO

A espera se dava, principalmente, pela constatação de que empresas pequenas não conseguiriam empreender os mesmos esforços em prol da adequação à LGPD que as grandes empresas poderiam realizar. Além disso, o próprio questionamento quanto a isso não é razoável diante das condições financeiras e estruturais de cada empresa, e acabam gerando um anseio cada vez maior por um posicionamento da ANPD quanto a esse assunto.

A resolução traz definições importantes como quais tipos de agentes de tratamento serão considerados startups e empresas de pequeno porte, por exemplo, o que é um tratamento considerado de alto risco e a previsão de dispensa da nomeação do encarregado de dados, em casos específicos.

Para ter acesso a análise da resolução por completo basta clicar no link abaixo:

Regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.

Nycolle Araujo Soares

Advogada. Sócia e Gestora Jurídica do Lara Martins Advogados. MBA em Direito Médico e Proteção Jurídica Aplicada a Saúde. Pós-Graduada em Direito Civil e Processo Civil. Analista de Finanças pela FGV. Especialista em Ética e Compliance na Saúde pelo Einstein. Presidente do Instituto Goiano de Direito Digital – IGDD/GO

28 PRINCIPAIS CASOS DE VAZAMENTOS DE DADOS DA HISTÓRIA.

Núcleo Direito Digital / Lara Martins Advogados / Autoria: Nycolle Soares

28 de Janeiro – Dia Internacional da Privacidade de Dados.

Dia 28 de Janeiro é comemorado o Dia Internacional da Proteção de Dados, uma data que reforça a importância da proteção de direitos fundamentais de liberdade e privacidade relacionados ao uso de dados pessoais.

Ainda assim, mesmo com o Regulamento Geral sobre a Proteção de Dados (GDPR), na Europa, e com a Lei Geral de Proteção de Dados (LGPD), no Brasil, empresas ainda abusam de dados de clientes e usuários, seja coletando dados sigilosos e que deveriam ser totalmente pessoais, como também os armazenando em servidores vulneráveis, vazando, vendendo e até trocando com outros estabelecimentos.

Para destacarmos a relevância desta data, separamos abaixo os 28 casos mais conhecidos de vazamento de dados pessoais da última década:

1 – Carolina Dieckmann – Em maio de 2011, um hacker (criminoso virtual) invadiu o computador pessoal da atriz, possibilitando que ele tivesse acesso a 36 fotos pessoais de cunho íntimo. De acordo com a denúncia, o invasor exigiu R$ 10 mil para não publicar as fotos. Como a atriz recusou a exigência, acabou tendo suas fotos divulgadas na internet. Isso criou uma grande discussão popular sobre a criminalização desse tipo de prática, que ainda foi excessivamente fomentada pela mídia. A atriz abraçou a causa e cedeu seu nome à Lei nº 12.737/2012, o primeiro texto que tipificou os crimes cibernéticos, tendo foco nas invasões a dispositivos que acontecem sem a permissão do proprietário.

2 – LinkedIn – Em junho de 2012, a rede social LinkedIn sofreu uma invasão que expôs os dados pessoais de mais de 117 milhões de usuários. Além de permitir o acesso a senhas, o vazamento expôs dados pessoais como endereço de e-mail e nome de usuários.

3 – Evernote – Em março de 2013, os sistemas do aplicativo de texto Evernote sofreu uma invasão que resultou do acesso não-autorizado a nomes de usuários, endereços de e-mail e senhas associadas às contas dos usuários da plataforma da empresa.

4 – Yahoo – Em agosto de 2013, após sofrer uma invasão, o site Yahoo informou o vazamento de dados como nome, telefone, data de nascimento e senha de 3 bilhões de usuários.

5 – Facebook/Cambridge Analytica – Em 2014, a Cambridge Analytica valeu-se de informações básicas (nome, profissão, cidade) e de hábitos e preferências políticas de 50 milhões usuários do Facebook para a realização não autorizada de testes comportamentais, que futuramente foram utilizados na campanha presidencial do ex-presidente do EUA, Donald Trump, e na votação do Brexit.

6 – eBay – Em maio de 2014, um vazamento de dados expôs as contas de 145 milhões de usuários (nomes, endereços, datas de nascimento e senhas criptografadas) da eBay, uma das maiores empresas de comércio eletrônico do mundo. Segundo a empresa, hackers usaram as credenciais de três funcionários para acessar sua rede e tiveram livre acesso ao banco de dados dos usuários por 229 dias.

7 – Departamento de Imigração da Austrália – Em novembro de 2014, os dados pessoais dos líderes dos países que compõem o G20, tais como Barack Obama (EUA), Vladimir Putin (Russia), Angela Merkel (Alemanha) e Xi Jinping (China), foram expostos a partir de um acidente que ocorreu no Departamento de Imigração australiano. No caso, um funcionário do departamento enviou equivocadamente por e-mail dados pessoais como nome, data de nascimento, cargo, número de passaporte de 31 líderes mundiais que participaram de um encontro do G20 no país.

8 – British Airways – Em março de 2015, os dados pessoais de milhares de passageiros da companhia aérea britânica British Airways foram acessados sem autorização, após uma invasão ao banco de dados de passageiros da empresa.

9 – Uber – Em 2016, o aplicativo de transporte Uber foi vítima de uma invasão que resultou no roubo de dados de mais de 57 milhões de usuários, incluindo 200 mil brasileiros. Esse caso de vazamento de dados, no entanto, só veio a público em 2017 e a empresa foi multada em US$ 150 milhões pelo governo do estado da Califórnia, nos Estados Unidos.

10 – MySpace – Em maio de 2016, os usuários da rede social MySpace foram notificados que seus dados pessoais poderiam ter sido expostos e estar à venda online. Posteriormente, a Time Inc., empresa controladora da rede social, informou que o vazamento ocorreu em 2013 e afetou um total de 360 milhões de usuários.

11 – FriendFinder Network – Em novembro de 2016, os usuários da rede social de namoro FriendFinder Network tiveram seus dados pessoais acessados indevidamente por causa de mecanismos de segurança vulneráveis.

12 – Aeroporto de Heathrow (Reino Unido) – Em outubro de 2017, um pendrive foi perdido nas ruas de Londres contendo desde as medidas de segurança tomadas pela equipe da rainha da Inglaterra, bem como os números de identidade dos funcionários que acessam as áreas restritas de um dos maiores aeroportos do mundo.

13 – Netshoes – Em janeiro de 2018, o Ministério Público (MP) constatou que um incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras de clientes da empresa Netshoes. Em acordo assinado com o MP, o site de comércio eletrônico pagou R$ 500 mil de indenização por danos morais.

14 – MyFitnessPal – Em fevereiro de 2018, 150 milhões de usuários do aplicativo MyFitnessPal tiveram seus usuários e endereços de e-mail vazados. Posteriormente, foi descoberto que o vazamento ocorreu em razão do uso de mecanismos de segurança que historicamente já haviam sido explorados para o acesso não autorizado aos dados dos usuários da rede social de namoro FriendFinder Network.

15 – C&A – Em 2018, a C&A, uma das maiores redes varejistas do Brasil, teve cerca de 2 milhões de dados de clientes cadastrados no sistema de vales-presente e trocas de suas lojas vazarem depois de um ciberataque realizado por hackers.

16 – Banco Inter – Em 2018, o Banco Inter, um dos pioneiros em oferecer contas digitais no país, registrou um vazamento que deixou vulnerável cerca de 19 mil correntistas. O vazamento dos dados aconteceu em uma ação que envolveu o envio, por um suposto hacker, de um arquivo criptografado que teria como conteúdo senhas, códigos de verificação, cheques, declarações de imposto de renda e dados pessoais dos clientes do banco. Em dezembro do mesmo ano, a empresa fechou um acordo com o Ministério Público e pagou uma multa de R$ 1 milhão, que foi destinada a instituições públicas de caridade e a organizações que trabalham combatendo o crime cibernético.

17 – Twitter – Em maio de 2018, solicitou que seus 330 milhões de usuários alterassem suas senhas após a descoberta de uma vulnerabilidade no banco de dados da rede social. Importante relembrar que anos antes, o mesmo Twitter entrou em acordo com a U.S. Federal Trade Commission, após a conclusão de que houve graves falhas de segurança que permitiram duas vezes o acesso aos dados pessoais dos usuários da rede social.

18 – Mariott – Em novembro de 2018, a rede hoteleira Mariott sofreu o vazamento de 500 milhões de dados pessoais de hóspedes. O acesso não autorizado aos dados, entretanto, ocorria desde 2014, a partir do banco de dados da rede de hotéis Starwood, adquirida pelo Mariott em 2016.

19 – Detran-RN – Uma falha de segurança no site do Departamento de Trânsito do Rio Grande do Norte (Detran-RN) provocou o vazamento de dados de mais 70 milhões de motoristas em todo o país. O fato aconteceu em 2019 e, à época, todos os brasileiros que tinham CNH foram afetados, já que os Detrans possuem sistemas integrados.

20 – McDonald’s – Em outubro de 2019, mais de 2 milhões de registros sensíveis da rede McDonald’s Brasil vazaram e foi possível acessar dados pessoais como nome completo, faixa etária, tempo de experiência, cargo, seção, etnia, necessidades especiais, salário e até mesmo unidade de trabalho dos funcionários. O vazamento permitiu ainda acessar 76 mil registros de novas contratações, 12 mil fichas de demissão e uma lista com 245 fornecedores e parceiros, com dados como nome da empresa, e-mail de contato e CNPJ.

21 – Ministério da Saúde – No final de 2020, o vazamento da base cadastral do Ministério da Saúde expôs os dados de 243 milhões de cidadãos na Internet. O número, acima da população brasileira atual — estimada em 213,3 milhões de habitantes, segundo o IBGE —, é explicado pelo fato de haver também dados de pessoas já falecidas.

22 – Brasil – Em janeiro de 2021, arquivos com dados pessoais de mais de 223 milhões de brasileiros apareceram em fóruns usados por criminosos digitais. Os dados eram separados por número de CPF e também estão acompanhados de informações de veículos cadastrados no Brasil. Um ano depois, o episódio, que ficou conhecido como megavazamento de dados ainda é investigado pela Autoridade Nacional de Proteção de Dados (ANPD) e sua origem é desconhecida.

23 – Brasil – Menos de um mês após o megavazamento de dados, de janeiro de 2021, a empresa de cibersegurança Psafe descobriu outro banco de dados à venda na dark web com mais de 100 milhões de celulares brasileiros. Além do número do telefone, a base continha nome completo, endereço e CPF do assinante da linha. Até o momento a sua origem é desconhecida.

24 – Amazon – Em julho de 2021, a empresa recebeu a multa de € 746 milhões da Comissão Nacional de Proteção de Dados de Luxemburgo em razão da não conformidade aos princípios da proteção de dados do seu sistema de publicidade direcionada. Até o momento é a maior multa imposta desde a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (GDPR), na Europa.

25 – Lojas Renner – Em agosto de 2021, a rede Lojas Renner sofreu um ataque cibernético. O ataque resultou na inutilização temporária dos servidores da empresa, o que resultou na paralisação de parte das operações físicas e total das operações online.

26 – Banco do Estado de Sergipe – Em outubro de 2021, por meio da técnica de engenharia social, cerca de 395 mil chaves do sistema de pagamento instantâneo PIX que estavam sob a tutela do Banco do Estado de Sergipe (Banese) foram obtidas por hackers. Em nota, o Banco Central afirma que não foram expostos dados sensíveis, como senhas, valores movimentados e saldos nas contas. Ainda de acordo com o informativo, as chaves vazadas não são de clientes do banco, e que o acesso indevido aconteceu por conta de “falhas pontuais” no sistema do Banese.

27 – Twitch/Amazon – Em outubro de 2021, a Twitch, plataforma de streaming da Amazon, sofreu um vazamento de dados pessoais ocasionada por um erro de configuração dos servidores. Aproximadamente 125 GB de dados foram vazados, dentre os quais estão os pagamentos recebidos pelos streamers da plataforma nos últimos 2 anos.

28 – Facebook – Em outubro de 2021, os servidores da empresa responsável pelas redes sociais Facebook, Instagram e aplicativo de mensagens WhatsApp ficaram 6 horas fora ar por causa de um erro de configuração nos servidores, o que impediu cerca de 3.5 bilhões de usuários de acessarem as plataformas da empresa e suas informações pessoais.

Estamos seguros no mundo digital?

LGPD: uma nova realidade.

Lara Martins Advogados

Escritório de advocacia multidisciplinar com soluções jurídicas personalizadas para empresas e pessoas. A excelência é a nossa especialidade. Unidades em Goiânia, Rio Verde (GO) e São Paulo (SP). Brasil.

www.laramartinsadvogados.com.br