Incidentes de vazamento de dados são uma realidade
Duas recentes notícias relacionadas à Lei Geral de Proteção de Dados (Lgpd) movimentaram o cenário nacional e reafirmam a necessidade de repensarmos a cultura sobre a proteção e também a privacidade dos dados pessoais, seja no âmbito empresarial ou como titulares de dados.
Lista Online do Serasa
A primeira delas foi a decisão proferida pelo Tribunal de Justiça do Distrito Federal, que, acatando pedido do Ministério Público, deferiu a liminar a fim de que o Serasa suspenda a venda de dados pessoais dos titulares por meio dos produtos “Lista Online” e “Prospecção de Clientes”. A atividade seria realizada à revelia dos cidadãos, o que extrapolaria os limites da finalidade, necessidade e adequação.
Cabe esclarecer que os dados coletados pelo Serasa são habitualmente fornecidos por seus titulares nas relações negociais e empresariais e o referido tratamento estaria amparado nas bases legais do legítimo interesse do controlador ou de terceiros e da proteção do crédito.
A controvérsia a ser enfrentada pelo Poder Judiciário visa a estabelecer o equilíbrio necessário entre o direito à privacidade do cidadão e o livre desenvolvimento econômico, tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor. Poderia o Serasa, e outras empresas que comercializam dados, fazê-lo sob o fundamento do legítimo interesse do controlador ou de terceiro e, mesmo assim, atender à legítima expectativa do cidadão?
Controvérsia
A decisão é provisória, mas, diante da controvérsia, é fundamental que as empresas busquem rever seus processos de modo a alcançar a adequação às normas de proteção e de privacidade de dados; e a implementação de Políticas de Proteção e Privacidade para realizar o contingenciamento dos riscos envolvidos no tratamento de dados e, assim, fazê-lo de forma fundamentada, legal, adequada, específica e dentro da estrita necessidade. Isso, certamente, trará às empresas benefícios que impactarão positivamente à imagem reputacional e agregará valor ao negócio.
Vazamento de dados sensíveis
A segunda notícia diz respeito ao vazamento de dados sensíveis, cujo incidente expôs cerca de 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19.
A exposição das informações ocorreu durante quase um mês por causa do vazamento de senhas do Ministério da Saúde. A situação foi depois que um funcionário do Hospital Albert Einstein divulgou uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas por Covid-19 em todo o Brasil. Foram vazados dados de CPF, endereço, telefone e doenças pré-existentes.
Falha humana
O episódio demonstra que a falha humana foi o vetor para o incidente de tamanha proporção e expõe a imprescindibilidade das corporações, sejam públicas, sejam privadas, de estabelecer uma rígida Política de Proteção de Dados, Política de Segurança da Informação, com processos claros e transparentes para o tratamento de dados, aliado ao constante treinamento colaboradores, prestadores de serviços e terceirizados quanto aos procedimentos a serem adotados, às medidas de segurança, às responsabilidades e às consequências sobre o descumprimento das normas legais e das regras políticas.
Juliane Zancanaro Bertasi
juliane@gahauer.com.br