Alm de dados como F, datas de nascimento e nomes completos, houve a exposio de informaes sensveis como consultas e exames mdicos, testes de gravidez e doenas sexualmente transmissveis, internaes em urgncias, datas de partos, registros de medicamentos, envolvendo tambm os dependentes do trabalhadores da empresa, inclusive menores.

O vazamento atribudo seguradora de sade contratada pela empresa de gs, que teria sofrido um incidente de segurana relativo a estas informaes.

A seguradora de sade informou que apuraes tcnicas indicam que os seus sistemas e bancos de dados no foram comprometidos e que investe constantemente em segurana e tecnologia para evitar estes incidentes.

A distribuidora de gs, por sua vez, tenta se esquivar da responsabilidade, ao argumento de que os dados estavam sob tutela de um fornecedor com o qual no mantm mais relao contratual.

O propsito deste artigo utilizar um caso concreto para avaliar um pouco a situao jurdica configurada, por ser algo de ocorrncia frequente na sociedade.

Apesar das alegaes da seguradora de sade, as medidas a seu cargo, para assegurar a proteo dos dados pessoais, no se restringem quelas de natureza tcnica ou tecnolgica, mas inclui medidas istrativas, conscientizao do pessoal interno em proteo de dados pessoais, organizao e armazenamento da base de dados sob critrios orientados pelos parmetros da proteo de dados pessoais e no apenas pelos de segurana da informao.

A conformidade em proteo de dados jurdica e no tcnica, de modo que conceitos e critrios que atendem segurana da informao podem ser insuficientes ou mesmo inadequados para atender s exigncias do direito fundamental proteo de dados pessoais.

possvel que seja realizada auditoria e/ou percia tcnica nos sistemas da seguradora de sade, istrativamente pela ANPD ou em ao judicial, sendo seu dever demonstrar a implementao das medidas de conformidade e a aptido destas medidas para assegurar a proteo dos dados, como decorrncia do princpio da responsabilizao e prestao de contas.

Por outro lado, a seguradora de sade figura como fornecedora da empresa de gs e obteve os dados dos trabalhadores desta ltima em razo da relao contratual estabelecida entre ambas.

Para efeito da Lei Geral de Proteo de Dados – LGPD (Lei n 13.709/2018), aqueles que realizam tratamento de dados podem ser Controladores (os responsveis pelos dados, cujo interesse justifica o seu tratamento) ou Operadores (quem realiza tratamento de dados pessoais sob instrues do Controlador, mas sem subordinao ou hierarquia). Contudo, a relao entre dois agentes de tratamento tambm ite que ambos sejam Controladores.

No caso analisado, independentemente do tipo de relao entre as empresas, a distribuidora de gs figura como Controladora, o que significa ter o dever de definir o modo como os dados seriam tratados pela sua fornecedora, bem como as responsabilidades de cada uma, com disposio do acordado em contrato.

A LGPD determina a obrigao dos agentes de tratamento de garantir a segurana dos dados pessoais mesmo aps o seu trmino (art. 47).

Alm disso, dever do Controlador definir o destino dos dados ao final da atividade de tratamento. Logo, deveria ter sido disposto em contrato se a seguradora de sade manteria consigo os dados dos trabalhadores da distribuidora de gs e seus dependentes, aps o encerramento da relao contratual entre elas, sob que fundamentos e em que condies, alm de qual delas faria a comunicao aos respectivos titulares, para que pudessem exercer, dentre outros, o seu direito de oposio, se fosse o caso.

Na ausncia de uma adequada definio de regras e obrigaes entre as empresas, so ambas corresponsveis tanto pelos eventuais danos causados aos titulares das informaes expostas, quanto pelo incidente de segurana com os dados pessoais dos trabalhadores da distribuidora de gs, sendo veis de penalizao pela Autoridade Nacional de Proteo de Dados - ANPD.