O vazamento de dados em área médica é uma preocupação crescente, pois as informações confidenciais dos pacientes estão cada vez mais digitalizadas e armazenadas em sistemas eletrônicos. Esse tipo de vazamento pode ocorrer por uma variedade de razões, incluindo erros humanos, violações de segurança cibernética e uso indevido de informações por funcionários ou prestadores de serviços.
Os dados médicos são altamente sensíveis e incluem informações pessoais, como históricos médicos, resultados de testes, prescrições de medicamentos e informações de seguros de saúde. O vazamento dessas informações pode ter consequências graves, tais como;
Danos à privacidade do paciente: O vazamento de dados pode expor informações pessoais e médicas confidenciais a terceiros, o que pode levar à violação da privacidade e confidencialidade dos pacientes. Vejamos exemplos recentes de condenações por esse tipo de vazamento:
APELAÇÕES CÍVEIS. DANOS MORAIS. DANOS MATERIAIS. DIVULGAÇÃO DE PRONTUÁRIO MÉDICO. HIV. Dados médicos do autor disponibilizados ao público no site (...) a simples inserção de seu CPF e sua data de nascimento, informações essas de fácil acesso. Ausência de senha de acesso que torna a informação, na prática, pública. O vazamento do prontuário médico do requerente (fls. 31/35), ao indicar ser ele portador do vírus do HIV, gerou situação embaraçosa e degradante no ambiente de trabalho. A responsabilidade civil objetiva exige apenas a ocorrência do dano, a existência de nexo causal entre a conduta e este dano e a ausência de culpa excludente da vítima (art. 37, § 6º CF). O sigilo dos dados pessoais ganha contornos cada vez mais sensíveis, sendo matéria cada dia mais regulada na seara legislativa. Eventuais vazamentos de dados particulares são evidentes fatos geradores de danos, seja de ordem moral ou material, e o legislador tende a protegê-los, especialmente quando digam respeito aos direitos de personalidade. Art. 5º, X, Constituição Federal, art. 42 da Lei nº 13.709/2018 ( LGPD) e art. 4º da Lei 13.787/2018. Danos morais configurados. Quantum indenizatório majorado. Danos materiais não configurados. Ausência de prova de nexo de causalidade entre a exposição dos dados médicos e a efetiva demissão do autor. Honorários advocatícios readequados. Recurso do autor parcialmente provido. Recurso do réu desprovido. (TJ-SP - AC: 10168440320208260068 SP 1016844-03.2020.8.26.0068, Relator: Heloísa Martins Mimessi, Data de Julgamento: 05/07/2021, 5ª Câmara de Direito Público, Data de Publicação: 07/07/2021)
(...) PRONTUÁRIO DE PACIENTE INTERNADO NO HOSPITAL. INFORMAÇÕES. ACESSO INDEVIDO. FRAUDE. DEVER DE GUARDA. FALHA NA PRESTAÇÃO DO SERVIÇO. DANO MATERIAL E DANO MORAL. CONFIGURAÇÃO. VALOR ARBITRADO. RAZOÁVEL E PROPORCIONAL. (...) Na espécie, é notória a pertinência subjetiva, se a parte autora alega falha na segurança dos procedimentos do hospital réu, que deixou vazar informações confidenciais da paciente (genitora da autora), que ali estava internada, possibilitando o golpe e a consequente reparação pelos danos suportados. 2. A responsabilidade objetiva pelo fato do serviço na relação de consumo, consoante o art. 14 do CDC, é oponível aos hospitais na parcela dos serviços relacionados ao estabelecimento empresarial, a exemplo da internação, alimentação, instalações e serviços auxiliares. No caso, presente a falha na prestação de seu serviço, porquanto terceiros tiveram acesso a dados confidenciais extraídos do prontuário da paciente que estavam sob a guarda do hospital, circunstância que possibilitou que a autora (filha da paciente) fosse vítima de estelionato. 3. Diante de evidente negligência do hospital na guarda das informações pessoais da paciente, possibilitando a manobra fraudulenta, impõe-se o ressarcimento da quantia desembolsada pela vítima da fraude. 4. Atingido o direito da personalidade diretamente, o dano moral (puro ou direto) estará vinculado à própria existência do fato (in re ipsa), cujos resultados são presumidos, ao contrário de quando é atingido o direito da personalidade mediante lesão a bens de natureza patrimonial (dano moral impuro ou indireto). 5. Na hipótese, é inegável que o agravamento considerável do estado de saúde da paciente atinge a personalidade jurídica da autora, que se encontrava em situação de fragilidade emocional em virtude da internação de sua genitora. Assim, sem olvidar as finalidades compensatória, punitiva ao ofensor, pedagógica e preventiva da condenação, bem assim às circunstâncias da causa, inclusive a capacidade das partes, afigura-se adequado o valor fixado na sentença. 6. Apelações conhecidas e não providas. (TJDF. 5ª Turma Cível. Processo N. APELAÇÃO CÍVEL 0708698-23.2021.8.07.0009 APELANTE(S) ELISSANDRA DE MELO E SILVA e HOSPITAL SANTA MARTA LTDA APELADO(S) HOSPITAL SANTA MARTA LTDA e ELISSANDRA DE MELO E SILVA Relator Desembargador FÁBIO EDUARDO MARQUES. Acórdão Nº 1616700, DJe em 03/10/2022)
Danos financeiros: O vazamento de dados pode resultar em perdas financeiras significativas aos médicos e as instituições de saúde, incluindo multas, ações judiciais, perda de receita e danos à reputação.
Danos à reputação: Nesse caso, o vazamento de dados pode afetar negativamente a reputação dos médicos e das instituições de saúde, o que pode levar à perda de confiança dos pacientes e da comunidade em geral.
Consequências éticas e legais: O vazamento de dados pode resultar em violações éticas e legais, incluindo violações do Código de Ética Médica e da Lei Geral de Proteção de Dados (LGPD), o que pode levar a sanções disciplinares, penais e administrativas.
Para proteger as informações de seus pacientes e prevenir vazamentos de dados, os médicos podem tomar diversas medidas, incluindo:
- Adotar medidas de segurança cibernética: Os profissionais devem implantar medidas de segurança cibernética, como firewalls, antivírus, senhas fortes e criptografia, para proteger as informações dos pacientes.
- Limitar o acesso às informações: Os médicos devem limitar o acesso às informações dos pacientes apenas aos profissionais de saúde autorizados e garantir que as informações sejam armazenadas em sistemas seguros.
- Treinar a equipe: Deve-se realizar treinamento da equipe em medidas de segurança e garantir que todos os membros estejam cientes das políticas de privacidade e segurança da informação.
- Gerenciar os riscos: É necessário que sejam realizadas avaliações de riscos regulares para identificar possíveis vulnerabilidades e implementar medidas para mitigar essas situações.
- Manter as informações atualizadas: Os médicos devem garantir que as informações dos pacientes sejam atualizadas regularmente e que informações desnecessárias sejam descartadas com segurança.
- Mas o que fazer caso ocorra algum vazamento de dados?
- Se ocorrer um vazamento de dados, é importante que os médicos ajam rapidamente para minimizar os danos e cumprir suas obrigações legais e éticas. As medidas a serem tomadas incluem:
- Notificar as autoridades competentes: Os médicos devem notificar as autoridades competentes, como a Agência Nacional de Proteção de Dados (ANPD).
- Comunicar os pacientes afetados: Os médicos devem notificar os pacientes afetados pelo vazamento de dados o mais rápido possível, informando-os sobre o que aconteceu, quais informações foram afetadas e quais medidas estão sendo tomadas para remediar a situação.
- Tomar medidas corretivas: Os médicos devem tomar medidas corretivas para evitar futuros vazamentos de dados, como melhorar as medidas de segurança cibernética, implementar novas políticas e procedimentos e treinar a equipe.
- Coletar evidências: Os médicos devem coletar evidências sobre o vazamento de dados, incluindo registros de atividades, logs e outros documentos relevantes, para documentar a violação e ajudar nas investigações.
- Informar as seguradoras: Os médicos devem informar suas seguradoras sobre o vazamento de dados para verificar a cobertura de seguro e tomar medidas para mitigar os danos financeiros.
Os vazamentos de dados dos pacientes representam um risco significativo para a privacidade e a segurança dos pacientes, além de terem consequências graves para os médicos e as instituições de saúde. É crucial que todos envolvidos no tratamento dos dados implementem medidas de segurança robustas para proteger as informações dos pacientes, como criptografia de dados, monitoramento de acesso a dados e treinamento de funcionários em segurança de dados. Além disso, as leis e regulamentos devem ser rigorosamente aplicados para prevenir as sanções aplicadas pelos órgãos fiscalizadores.