Por André Damiani e Blanca Albuquerque*
Artigo publicado originalmente na ConJur
O recente vazamento de dados dos pacientes de um dos principais centros de psicoterapia da Finlândia leva-nos a questionar, mais uma vez, qual o real tratamento das informações pessoais disponibilizadas pelos indivíduos.
O centro de psicoterapia finlandês Vastaamo, que possui 25 unidades no país e atende a milhares de cidadãos, foi alvo de hackers que invadiram e sequestraram dados médicos e transcrições de sessões psiquiátricas de pelo menos 40 mil pacientes, incluindo crianças e adolescentes. Com isso, pleitearam ao centro um “resgate” de 450 mil euros em criptomoedas para não expor a intimidade desses pacientes. Contudo, com a recusa ao pagamento, os criminosos vazaram os dados de 300 pacientes e, noutra abordagem, passaram a chantagear os próprios titulares de dados, solicitando a quantia inicial de 200 euros para cada um, numa escala progressiva que alcançaria a cifra de 500 euros transcorrido o período de 24 horas sem a quitação.
Nesse contexto, os pacientes se viram numa situação digna de roteiro de filme de terror: a possibilidade de ter o conteúdo de suas sessões de terapia, ou seja, todos os seus segredos, anseios e vulnerabilidades expostos publicamente na internet, transformando suas vidas num livro aberto, sem censura e com acesso irrestrito, caso não pagassem o “resgate” de seus dados.
Os prejuízos oriundos de um incidente de segurança desse nível são severos e, em geral, irreversíveis, posto que os dados sensíveis compartilhados por meio digital, presumidamente, não ficarão em posse de apenas um cybercriminoso, transformando os pacientes em reféns eternos de seus próprios segredos, que, a priori, deveriam seguir protegidos pela clínica.
Paralelamente ao ocorrido na Finlândia, o mundo vivencia uma pandemia que acelerou o efetivo ingresso da sociedade na era da informação, consubstanciado, exemplificativamente, pelo aumento das consultas médicas e psicológicas online. Por isso se faz necessário compreender de que forma são tratados e armazenados dados tão sensíveis na sociedade brasileira.
Nesse sentido, durante a pandemia, o Conselho Federal de Psicologia (CFP) editou a Resolução nº 04/2020, suspendendo alguns dispositivos da Resolução CFP nº 11/2018, que regulamenta a prestação de serviços psicológicos online, para flexibilizar a prática. Em teoria, significa o melhor dos mundos participar de uma sessão online com seu psicólogo; contudo, os pacientes devem indagar: como estão sendo tratados dados tão sigilosos? É possível que terceiros invadam a sessão? Onde estão sendo armazenadas as informações sensíveis confiadas ao profissional? Em resumo, esses dados estão seguros?
A práxis dos serviços de saúde, como por exemplo aqueles prestados em hospitais privados e do SUS, é elaborar um prontuário eletrônico ou físico, inclusive de pacientes psiquiátricos, contendo toda a evolução do quadro clínico, os exames realizados etc. Aliás, tais prontuários deverão ser mantidos num database pelo prazo mínimo de 20 anos, conforme determina a legislação brasileira.
Pois bem. Com o implemento da Lei Geral de Proteção de Dados (LGPD), as pessoas naturais ou jurídicas que tratam dados pessoais devem se adequar aos preceitos intrínsecos à lei, devendo estar aptos para responder todos os questionamentos acima descritos, bem como para garantir a máxima segurança dos dados tratados e evitar prejuízo inestimável a indivíduos que lhes confiam seus dados, obstando, assim, que seu nome ou o da sua empresa seja marcado por desconfiança no mercado em virtude de um ataque cibernético como houve em Vastaamo.
*André Damiani é sócio-fundador do escritório Damiani Sociedade de Advogados e especialista em Direito Penal Econômico pela Fundação Getúlio Vargas (GV-LAW).
Blanca Albuquerque é associada do escritório Damiani Sociedade de Advogados e advogada especializada em proteção de dados pessoais pelo Data Privacy Brasil.