A Proteção (ou não) dos Dados Pessoais no Brasil

por

A invasão de uma das maiores operadoras de planos de saúde do Brasil nos lembra que o país ainda precisa melhorar muito na proteção de dados pessoais.

Foto: NEC Corporation of America with Creative Commons license.

Foto: NEC Corporation of America with Creative Commons license.

Recentemente um prolífico grupo de hackers (o mesmo que invadiu os computadores do CADE) entrou nos bancos de dados de uma operadora brasileira de saúde com 6 milhões de clientes em sua carteira. Justificando a invasão como “hacktivismo”, o grupo diz que a motivação teria sido as vultosas doações de campanha feitas pela empresa em 2014. O grupo pode ter tido acesso às principais bases de dados da empresa, com informações financeiras e médicas dos clientes.

Tivesse isto ocorrido nos Estados Unidos, a organização seria obrigada a notificar os seus clientes do vazamento de dados. A Califórnia possui desde 2004 legislação específica para isto, que vem sendo aprimorada continuamente. Mesmo se só há a suspeita de vazamento de dados, a empresa é obrigada a prontamente notificar os indivíduos com comunicado em linguagem acessível sobre que dados podem ser vazado e que ações a empresa está tomando para sanar o problema. Outros países como a Alemanha e Canadá também garantiram em lei o direito a confidencialidade e integridade dos dados pessoais.

No Brasil, o assunto ainda caminha a passo de tartaruga. Entre as iniciativas que visam corrigir isto está um Projeto de Lei no Senado e um anteprojeto de lei elaborado pelo Ministério da Justiça. Ao contrário da legislação dos EUA, no anteprojeto do MJ elaborado depois de 5 anos de consultas populares, a notificação para os usuários depende de decisão dos “órgãos competentes”, sendo somente obrigatória “nos casos em que for possível identificar que o incidente coloque em risco a segurança pessoal dos titulares ou lhes possa causar danos.

Mas o que é poder causar danos? Considere os exemplos hipotéticos abaixo:

  • Uma clínica de fertilidade tem os dados de seus pacientes vazados.

Há dano além da perda de privacidade? E se uma empresa usar indevidamente esta informação para decidir não contratar a candidata baseado em uma maior possibilidade dela entrar em breve em licença maternidade? O ponto é que a organização pode não estar em posição de julgar adequadamente se o vazamento daquela informação pode causar danos. E o indivíduo potencialmente afetado não irá ficar sabendo, não tendo portanto nenhuma chance de controlar isto.

Em especial, dados médicos podem ser abusados de diversas formas, o que tem levado a um aumento nos ataques contra instituições de saúde e na busca de soluções seguras para troca de dados de pacientes. A revista Fortune abordou isto recentemente, chamando o ano de 2015 de “year of the healthcare hack

Healthcare customers: Security experts warned in February that 2015 would be the year of the healthcare hack, and those forecasts have proven right. At the end of January, as many as 11 million Premera Blue Cross customers were affected by a hack. Anthem announced the following month that almost 80 million current and former customers’ personal information had been breached. In May, CareFirst BlueCross BlueShield, serving Maryland, Washington and Virginia, announced 1.1 million of its customers’ personal information had been compromised.UCLA Health System announced a data breach in July affecting 4.5 million people. In September, Excellus BlueCross BlueShield, based in upstate New York, said as many as 10 million people’s personal records had been exposed.”

Interessado em como outros países lidam com a privacidade dos dados? Veja este documento elaborado pela Barker Law, um compêndio com as informações mais relevantes sobre legislação de todo o mundo.

 

Categoria : Ataques, Other News
Tags : , ,