Artigos

Vulnerabilidades Expostas: As Dimensões Éticas e Sociais do Uso Cruel de Dados Pessoais

por | abril 2024

A Globalização da Proteção de Dados: Impacto do GDPR e Leis Semelhantes

A implementação do Regulamento Geral sobre a Proteção de Dados (GDPR) pela União Europeia em maio de 2018 marcou um ponto de inflexão significativo na forma como os dados pessoais são tratados globalmente. O GDPR não apenas estabeleceu padrões rigorosos para a proteção de dados dentro da UE, mas também teve um efeito cascata na regulamentação de dados pessoais em todo o mundo, incentivando muitos países fora da UE a revisar e fortalecer suas próprias leis de proteção de dados.

Como exemplo, a CTDPA (Connecticut Data Privacy Act), que entrou em vigor em 1º de julho de 2023, confere aos residentes de Connecticut, direitos fundamentais sobre seus dados, estabelecendo padrões de proteção de privacidade para empresas que processam dados pessoais e usam as informações para publicidade direcionada ou criação de perfil.

Nos EUA há estados que aprovaram leis semelhantes, com outros estados considerando propostas legislativas nesta área crítica. Como a Lei Geral de Proteção de Dados no Brasil igualmente dispõe, na lei estadunidense, as empresas têm a obrigação de minimizar a coleta de dados, ser transparentes sobre quais dados são coletados, por que e para quem são compartilhados, limitando a utilização dos dados pessoais às finalidades específicas divulgadas aos consumidores, bem como manter os dados seguros e realizar avaliações de proteção de dados para atividades de processamento que apresentem risco elevado de danos aos consumidores.

Desafios na Implementação da Proteção de Dados: Casos e Consequências

Desde que a CTDPA entrou em vigor, a OAG (Office of the Attorney General) tomou medidas significativas para acelerar o cumprimento da nova lei, emitindo notificações de violação e solicitações de informações mais amplas. Todos os assuntos resultaram em acompanhamento adicional para garantir que as preocupações no âmbito da CTDPA sejam totalmente abordadas. Recentemente, foi apresentado relatório pelo Procurador, ressaltando alguns pontos trazidos pelos titulares de dados, como a insuficiência de mecanismos de direitos, a ausência de um link claro para os consumidores optarem por não receber publicidade direcionada ou a possibilidade de venda de seus dados.

A CTDPA é mencionada como um esforço para resolver essas questões. No entanto, observa que é difícil determinar quantas empresas resolveram completamente todas as deficiências. A CTDPA estabeleceu proteções reforçadas para os dados sensíveis dos residentes de Connecticut, incluindo dados genéticos/biométricos e dados precisos de geolocalização.

Entre o Comércio e a Ética: O Dilema da Privacidade de Dados na Economia Global

O relatório conclui com uma discussão sobre a necessidade de equilíbrio entre a privacidade das informações dos consumidores e a necessidade de utilizar e manter essas informações na economia global. Ressalta que ainda há muito a fazer nesta área e que a CTDPA é apenas um passo nessa direção.

Alguns casos levados ao Procurador foram abordados, como um caso cruel e alarmante de afronta ao princípio da dignidade pessoa humana em que o consumidor recebeu um anúncio de serviços de cremação após concluir a quimioterapia. O consumidor fazia parte de uma lista vendida à empresa de cremação por um corretor de dados. A extensão dos danos só aumenta dada a frequência com que estes dados estão sendo usados de forma errada. Portanto, não se trata apenas do risco de que dados recolhidos de forma invasiva sejam mal utilizados, mas também de que suposições incorretas e inferências equivocadas possam ser exploradas de formas que são praticamente indetectáveis e muitas vezes com resultados irreversíveis. Diversos casos de uso indevido de dados em publicidade estão sendo investigados.

Importante mencionar acordo recente veiculado nos EUA que aconteceu em torno da prescrição e uso de opioides. Gigante publicitária concordou em pagar 350 milhões de dólares para resolver alegações de que as suas campanhas publicitárias desempenharam um papel na crise dos opiáceos. A empresa justificou que o seu papel se limitava a prestar serviços de publicidade padrão para produtos que são prescritos aos pacientes.

No entanto, estes serviços incluíam a gravação e análise de conversas íntimas entre pacientes e médicos para ajudar as empresas farmacêuticas a orientar os médicos sobre como lidar com a resistência dos pacientes aos medicamentos e deixá-los confortáveis com o uso do medicamento em doses mais elevadas. A referida empresa de publicidade opera e realiza pesquisas proprietárias de diálogos em salas de exames, gravando conversas entre médicos e pacientes, através de uma unidade parceira que combina sua capacidade de acesso ao maior banco de dados sobre saúde do mundo com as de sua unidade de corretagem de dados.

O método do negócio é oferecido aos interessados com informações expostas em seu site aberto, sem nenhum desconforto ou jogo de palavras para justificar o abuso no uso de dados pessoais biométricos e de saúde sensíveis, considerando que há muito dinheiro a ser ganho, talvez até valendo o risco de pagamento de multas milionárias.

Algumas empresas, como no caso dos opioides, fizeram acordos milionários, entretanto, muitas pessoas faleceram pelo uso excessivo dessas substâncias. Diante de tamanha violência, o que devemos ponderar é o dano no mundo real que resultam das falhas éticas da indústria que propõe esse tipo de acordo. Por aqui, um caso interessante na esfera judicial ratifica o prejuízo do uso de dados pessoais quando compartilhado de forma indevida.Consta no Tribunal de Justiça do Rio de Janeiro, demanda ajuizada contra negativa da Seguradora no pagamento de indenização devida em decorrência do sinistro morte do segurado, alegando má-fe e omissão de doença preexistente.

Conforme transcrito do acordão, a seguradora juntou ao processo, sem nenhum consentimento específico do segurado, de seus familiares, ou ainda mediante autorização judicial, os exames laboratoriais feitos pelo falecido no período de 2009 a 2019. E, após a análise das informações lá contidas, presumiram que o segurado estava ciente de que possuía hipertensão arterial. O Tribunal aplicou acertadamente a Lei Geral De Proteção de Dados:

“Apelação Cível. Ação de Obrigação de Fazer c/c Reparação por Danos Materiais e Morais. Relação de Consumo. Aquisição de veículo automotor. Cédula de crédito bancário. Contratação de seguro prestamista. Óbito do segurado. Alegação de negativa indevida de cobertura contratual. Sentença de improcedência. Reforma. Direito do Consumidor. Contrato de seguro. Ocorrência do sinistro. Recusa baseada em cláusula de exclusão de risco, quando a morte se der por doença preexistente. Conduta abusiva. Apesar da Lei admitir a restrição do risco (art. 54, §4º, da Lei 8.078/90), a preexistência patológica não exime a responsabilidade da Seguradora, se esta não exigiu exame do segurado ou não comprovou a ocorrência de má-fé, mediante prova inequívoca. Incidência da Súmula 609, do E. STJ: ‘A recusa de cobertura securitária, sob a alegação de doença preexistente, é ilícita se não houve a exigência de exames médicos prévios à contratação ou a demonstração de má-fé do segurado’. Obtenção de exames médicos, sem autorização, após o sinistro. Compartilhamento de dados pessoais sensíveis. Violação à Lei Geral de Proteção de Dados (Lei nº 13.709/18)…”
(Apelação Civil nº 0004356-56.2021.8.19.0209)

Conclusão

Diante do exposto, resta saber se a manipulação de dados dos pacientes ou a gravação de conversas entre médicos e pacientes para fins publicitários for considerada legítima, com possibilidade de acordos, isso pode ser considerado uma batalha perdida nos EUA e em outros países que militam em proteger os cidadãos de danos que põem em risco a integridade e a dignidade dos titulares das informações usadas indevidamente. Não estamos aqui falando de dados pessoais como CPF ou informações cadastrais que por si só já causam grande transtorno quando usadas de forma distinta da finalidade proposta na Lei.

Precisamos fazer melhor. As empresas precisam avaliar se sua atividade pode gerar risco efetivo no uso indevido dos dados pessoais coletados, quando compartilhados com terceiros que não estão comprometidos com a finalidade proposta e sim, com o grande ativo de uma economia global. Assumir riscos que podem levar a desdobramentos que perdurarão para sempre na vida dos consumidores.

Se a sua empresa não atua na proteção da privacidade de dados, em algum momento, sob a forma promíscua de combinação algorítmica, essa falta de cuidado poderá tocar em você ou em alguns dos seus.

Fontes:
https://portal.ct.gov/-/media/AG/Press_Releases/2024/CTDPA-Final-Report.pdf
https://www.wsj.com/articles/ad-agency-publicis-health-to-pay-350-million-over-opioid-marketing-1b489c19

Gisele Trigo

Gisele Trigo

A autora é especialista em Direito Digital, com formação em Política e Estratégia Cibernética pela Escola Superior de Guerra (ESG). Possui também especialização em Gestão Jurídica do Seguro e Resseguro - Risco Cibernético pela Escola Nacional de Seguros (ENS) e em Gestão Empresarial pela Universidade do Estado do Rio de Janeiro (UERJ). Mestranda em Direito Econômico pela Universidade Cândido Mendes (UCAM) e sócia da Divisão de Direito Digital do DLA, onde aplica sua expertise em questões de direito e tecnologia.

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


O período de verificação do reCAPTCHA expirou. Por favor, recarregue a página.