A condenação de um hospital a pagar indenização atriz Klara Castanho por vazamento de informações sigilosas é o mais recente exemplo de como a falta de cuidados com a proteção de dados e privacidade pode causar danos às pessoas e prejuízos financeiros e reputacionais a instituições como hospitais. Segundo a imprensa, o hospital foi condenado a pagar R$ 200 mil para a atriz, porque profissionais de saúde da instituição teriam vazado a informação de que Klara tinha sido estuprada, engravidado e dado o bebê para a adoção.
De um lado, o valor da indenização resulta da reparação moral pelo sofrimento da atriz. De outro, coloca em perspectiva a necessidade de que instituições e profissionais de saúde se preocupem cada vez mais com a proteção dos dados pessoais que coletam e manuseiam.
A preocupação se deve a um fato simples, mas que vai exigir cada vez mais atenção de gestores. O setor de saúde utiliza dados sensíveis, nos termos do artigo 5º, II, da Lei Geral de Proteção de Dados – LGPD, necessitando, por conta de sua criticidade, de cuidados mais robustos. O uso indevido de dados de saúde pode resultar em toda a sorte de discriminações e danos à intimidade. A depender das circunstâncias, pode causar riscos à integridade física e moral das pessoas que tiveram seus dados violados, produzir abalos psicológicos severos e acarretar prejuízos financeiros.
A violação de dados clínicos, de exames, de prontuários, entre outros, traz alto risco às instituições, uma vez que tendem a impactar severamente seus orçamentos, seja em casos de condenações judiciais, seja em procedimentos administrativos da Autoridade Nacional de Proteção de Dados (ANPD).
Um equívoco comum é considerar que o uso de softwares seguros é uma panaceia para todos os males das violações de dados. Embora aplicações de qualidade sejam necessárias, e possam evitar perda de confidencialidade, integridade e disponibilidade dos dados tratados por organizações de saúde, a governança em privacidade não decorre apenas de compras tecnológicas. É fruto dos procedimentos instalados, da estratégia de acesso a dados, dos programas de treinamentos que promovam consciência da importância do resguardo da privacidade.
Um programa de governança em privacidade para hospitais requer estratégias específicas à regulação do setor, precisando abordar normas como a Lei 13.787/2018, que trata da digitalização e uso de sistemas informatizados para prontuários de pacientes, e a Lei 14.289, que trata da obrigatoriedade de preservação do sigilo sobre a condição de pessoas com imunodeficiência humana (HIV), hepatites crônicas, hanseníase e tuberculose. Questões como essas trazem complexidade adicional, necessitando de abordagens técnicas que permitam o cumprimento do direito de proteção de dados em padrões mais elevados.
O caso de Klara Castanho demonstra também a necessidade de que a estratégia de proteção de dados leve em conta os diferentes cenários possíveis para a ocorrência de uma violação. Nem sempre a causa será um ataque hacker ou um sequestro de base de dados (embora eles ocorram com certa frequência). Às vezes, será resultado de uma ação interna intencional; outras, um erro de procedimento (quando se encaminha e-mail para destinatários errados, por exemplo).
Há casos em que a violação ocorre pela eliminação inadequada de documentos (sem que sejam picotados, por exemplo), ou pelo furto ou roubo de laptops, pendrives e hardwares externos com informação sensível de pacientes desprotegidos (sem senhas ou sem uso de criptografia). Isso sem falar nos arquivos físicos, que, embora estejam caindo em desuso, em muitos lugares ainda armazenam grande quantidade de informações sensíveis de pacientes.
As autoridades europeias de proteção de dados, com mais tempo de atividade que a brasileira, possuem uma grande quantidade decisões sobre casos como esses, geralmente com multas elevadas por conta do impacto das violações sobre os direitos das pessoas. Esses cenários e outros tantos devem ser considerados em avaliações de risco, a fim que seja possível estabelecer as medidas que permitam tratar o risco identificado. Um sistema de gestão de privacidade deve levar em conta não só dos riscos notórios, mas também aqueles que, embora raros, podem comprometer a saúde financeira do negócio.
Nesse sentido, o caso Klara Castanho traz o alerta de que um sistema de gestão de informação e proteção de dados para a saúde vai ser tão mais robusto quanto estimular uma cultura de privacidade em hospitais Instituir um ambiente que preserve a proteção de dados e a privacidade durante todo o tratamento de dados é uma tarefa que necessita de esforço considerável, por tratar de comportamento de uma grande quantidade de funcionários de prestadores de serviço. Mas permite o aperfeiçoamento ao longo do tempo, evitando prejuízos que possam minar a capacidade das instituições de saúde de cumprir com seus objetivos primordiais, entre eles o de proteção da vida e da intimidade das pessoas.
Rhodrigo Deda, advogado, doutorando em Engenharia de Software, mestre em Tecnologia e Sociedade, sócio de Advocacia Correa de Castro e Advogados Associados.