+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Protegendo Dados Pessoais Sensíveis: O Papel das Clínicas de Saúde

Conformidade, Proteção e Privacidade de Dados

“Hackers vazam imagens de pacientes de cirurgia plástica nus e prontuários de clínica de saúde sexual”

O título e o subtítulo deste artigo pode parecer intrigante, em um primeiro momento. Mas, as Clínicas de Saúde têm responsabilidade legal de zelar pelos dados pessoais e dados pessoais sensíveis de sujeitos de cuidado, ou seja, pacientes, e até mesmo de seus próprios colaboradores e terceiros. A LGPD está aí para isso.

O subtítulo deste artigo foi utilizado como título de jornal de grande circulação. Mas, antes de analisar o caso, permita-nos fazer algumas considerações.

Adequações à LGPD

É comum escutar que houve uma adequação superficial aqui, outra acolá, que houve uma palestra sobre a LGPD e nada mais. O que, às vezes, os gestores não percebem é que uma adequação bem feita, a esta Lei, reforçará não apenas os requisitos, fluxos e processos relacionados à privacidade, mas paralelamente, se estenderá, num geral, à Segurança da Informação, podendo mitigar riscos relacionados a incidentes, incluindo ataques com emprego de ransomware.

Sim, podemos começar por uma palestra, um webinar, um curso básico. Contudo, há de se pagar montante proporcional ao valor da equipe deste projeto. Não, uma adequação bem feita, com equipe multidisciplinar, em um projeto de um ano, não será equivalente a um salário de um gestor, será mais do que isso, considerando que esta adequação será realizada por profissionais sêniores, e não juniores ou estagiários. Entretanto, seguramente, será mais barato do que o dano causado por um ataque de cibercriminosos, considerado o impacto na marca, o financeiro, o de escrutínio pelo regulador, dentre outras consequências.

Sobre os incidentes

Voltando ao caso da clínica de saúde. Este incidente envolveu consultórios de cirurgia plástica nos estados do Rio Grande do Sul e do Paraná. Trata-se de crime envolvendo a prática de ransomware, assumido pelo grupo Qiulong, que divulgou na Dark Web imagens íntimas, dados financeiros, conversas entre médicos e pacientes e prontuários destes pacientes. O grupo de cibercriminosos segue pedindo pagamento de resgate destes dados, sob ameaça de prosseguirem com as divulgações em meios da Surface Web, parte da web que é facilmente acessível e indexada pelos motores de busca padrão, como o Google, Bing e Yahoo, dentre outros.

Ao que tudo indica, três clínicas foram vitimadas pelo grupo Qiulong. Segundo os cibercriminosos, eles têm em sua posse, mais de 64 Giga de informações. Vale evidenciar que a saúde é um dos setores mais visados no Brasil por cibercriminosos que pretendem utilizar ransomware.

“Os principais meios de infecção continuam sendo o e-mail e o emprego da engenharia social, que tanto falamos por aqui, por isso a necessidade cada vez maior das empresas conscientizarem os seus funcionários”

Léo Farias, da CEO ACPD Brasil

Pequenas e médias empresas (PMEs), como consultórios médicos, muitas vezes não possuem uma equipe de segurança dedicada, o que as torna mais vulneráveis a ciberataques.

Regulamento de Comunicação de Incidente de Segurança

Cabe ressaltar que Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução n.º15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS). O normativo tem por objetivo estabelecer os procedimentos para Comunicação de Incidente de Segurança, que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da LGPD, que impõe aos controladores o dever de comunicar aos titulares e à própria ANPD a ocorrência de incidentes que possam causar riscos ou danos relevantes aos titulares. 

Embora a LGPD determine aos agentes de tratamento de dados pessoais (controladores e operadores) a adoção de medidas para prevenir a ocorrência de danos aos titulares em virtude de suas atividades, e na eventualidade de um incidente de segurança, uma importante medida de mitigação de danos é a comunicação da ocorrência aos titulares dos dados pessoais violados, paira a dúvida se as clínicas seguiram estas exigências, após os incidentes.

Segundo a matéria no jornal, o gestor de uma das clínicas, adotou as seguintes medidas: 

  • registrou Boletim de Ocorrência;
  • procurou o responsável técnico pelo tratamento;
  • entrou em contato com o Conselho Regional de Medicina (CRM);
  • buscou a Justiça; e
  • tomou medidas para estar em acordança com a LGPD. Resta saber se de fato as obrigações relacionadas a estas exigências foram cumpridos.

Sociedade Brasileira de Cirurgia Plástica

A Sociedade Brasileira de Cirurgia Plástica (SBCP) enfatiza a importância de seus associados adotarem protocolos de segurança avançados, realizarem backups frequentes e manterem-se atualizados em relação à legislação, como a LGPD. A SBCP reforça o compromisso com a preservação da confidencialidade e privacidade dos pacientes, ressaltando que isso é de máxima prioridade para garantir a integridade e segurança dos dados.

Estados Unidos

Nos Estados Unidos, onde o setor de saúde é frequentemente alvo de ataques cibernéticos, o plano de saúde UnitedHealth Group viu-se obrigado a pagar resgate pelos dados de seus clientes após um ataque em fevereiro, e ainda enfrenta ameaças por parte de criminosos. Houve imenso impacto em vários atores, incluindo clínicas de saúde.

Superior Tribunal de Justiça

Com a entrada em vigor da LGPD, as vítimas de vazamentos de dados terão que demonstrar os prejuízos sofridos em ações contra as empresas por danos morais. O Superior Tribunal de Justiça (STJ), em julgamento recente, decidiu que vazamentos de dados pessoais não presumem automaticamente dano moral à vítima. Na segunda turma da corte, por unanimidade, foi recusado o pedido de indenização de Maria Edite de Souza, uma idosa cujos dados contratuais com a concessionária de energia Eletropaulo foram vazados.

Até então, advogados usavam o Código de Defesa do Consumidor para argumentar que cabia às empresas a responsabilidade de comprovar que não houve danos.

Conclusão

A convergência entre o crescente risco de ataques de ransomware, a implementação da LGPD e as dificuldades enfrentadas por PMEs, especialmente consultórios médicos, na adequação às novas exigências, configura um cenário preocupante no âmbito da saúde. As medidas preventivas continuam sendo uma das melhores ações. Entre em contato com o nosso time. Estamos prontos para atendê-los. Conheça os nossos serviços clicando aqui.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Open chat
Olá 👋
Como podemos te ajudar?