Violações de privacidade configuram também (e necessariamente) de dados?

As violações de dados e de privacidade há muito são consideradas coisas diferentes. Mas, na verdade, há muitas sobreposições.

Dois casos recentes da Federal Trade Comission (FTC) abordam essa questão. Esses casos envolvem a Regra de Notificação de Violação de Saúde (Health Breach Notification Rule) , 16 CFR, Parte 318 (1), que dispõe sobre violações de dados de saúde, além da Health Insurance Portability and Accountability Act (Hipaa) (2).

A regra existia há muito tempo, mas a FTC só começou a aplicá-la em 2021 (3). De acordo com a regra, uma “quebra de segurança” é definida como “aquisição de informações de saúde identificáveis ​​PHR sem a autorização do indivíduo”.

Ao contrário da Seção 5 da Lei da FTC, que não impõe penalidades monetárias (a menos que um decreto de consentimento seja violado), a Regra de Notificação de Violação de Saúde acarreta multas de mais de US$ 50 mil por violação.

Na aplicação da regra, a FTC alegou que as violações de privacidade são violações de dados que deveriam ter sido denunciadas de acordo com a regra.

Em In Re GoodRx Holdings, Inc., (FTC 2023) (4), a FTC alegou que a empresa GoodRx Holdings compartilhou dados de saúde com anunciantes, contradizendo seu aviso de privacidade que afirmava que não compartilhava tais dados com terceiros.

Tradicionalmente, isso é uma violação de privacidade — um caso clássico de promessas quebradas. Mas a FTC alegou que se tratava de uma violação de dados porque terceiros obtiveram os dados sem a devida autorização. A FTC impôs uma multa de US$ 1,5 milhão de dólares por violação da regra.

Falha em aplicativo de fertilidade

Em outro caso daquele ano, In re Easy Healthcare Corp., (FTC 2023) (5), um aplicativo de fertilidade chamado Premom, compartilhou dados de saúde do usuário com terceiros, violando seu aviso de privacidade. A FTC afirmou que se tratava de uma violação de dados que deveria ter sido relatada de acordo com a Regra de Notificação de Violação de Saúde.

Esses casos são bastante notáveis ​​e vão muito além da Regra de Notificação de Violação de Saúde. Esses casos demonstram que a privacidade e a segurança cibernética estão bastante inter-relacionadas e não devem ser entendidas como os domínios separados, muitas vezes isolados, que são hoje.

As violações de dados não precisam ser causadas pela invasão de hackers ou quando os dados são vazados ou perdidos. Eles podem ocorrer mesmo quando uma empresa compartilha dados intencionalmente de forma inadequada — uma violação de privacidade comum.

O escândalo Cambridge Analytica (6) demonstra que a relação entre privacidade e segurança é de vital importância e está cada vez mais desgastada. Partes mal-intencionadas comprometeram extraíram os dados dos usuários do Facebook de uma forma diferente do padrão “hack and crack”, mas com quase o mesmo efeito.

A principal diferença é que os terceiros que roubaram os dados das pessoas não contornaram as salvaguardas tecnológicas do Facebook (Meta). Eles usaram a rede social exatamente para o propósito para o qual foi projetado.

Em outras palavras, esta foi uma violação que não ocorreu através de um arrombamento na porta dos fundos (backdoor), mas através de um arrombamento na porta da frente (frontdoor). Não podemos proteger os dados trancando-os no cofre se depois distribuirmos a combinação a quem a solicitar.

Proteção insuficiente e consequências

Embora a porta da frente seja essencial para a segurança, muitas vezes fica isolada no silo de privacidade, onde não recebe os extensos recursos do silo de segurança. Para muitas organizações, um foco muito míope na porta dos fundos resulta em proteção insuficiente para a porta da frente.

Diante do cenário retratado até aqui, é possível apresentar as seguintes consequências, a saber:

1. As violações de dados não envolvem apenas a falha na proteção da porta dos fundos; eles também envolvem falhas na proteção da porta da frente.

2. A verificação inadequada de clientes ou terceiros com quem os dados pessoais são partilhados pode constituir uma violação de dados se essas partes se revelarem mal-intencionadas. Este é o caso do ChoicePoint (7).

3. De forma ainda mais ampla, os casos recentes da FTC reconhecem que a partilha não autorizada de dados pessoais pode constituir uma violação. Basta recordarmos os casos GoodRx e Easy Healthcare.

4. Compartilhar dados com terceiros em violação ao aviso de privacidade pode constituir uma violação de dados.

5. A verificação inadequada de fornecedores ou outros terceiros com quem os dados pessoais são partilhados pode constituir potencialmente uma violação de dados se essas partes tiverem segurança de dados inadequada, tornando assim a partilha de dados com eles uma violação do aviso de privacidade de uma empresa.

6. Muitas formas de transferência inadequada de dados podem constituir potencialmente uma violação de dados. Isto pode incluir a partilha de demasiados dados (violação dos requisitos de minimização de dados), a partilha de dados de menores com anunciantes sem o consentimento dos pais, a não limitação do acesso interno de dados pessoais ao pessoal adequado, a transferência transfronteiriça de dados indevida e muito mais.

7. No geral, muitas práticas comumente entendidas como violações de privacidade também são violações de dados. E com as violações de dados, existem requisitos de notificação de violação, bem como outras leis que podem estar implicadas. De acordo com a Lei de Privacidade do Consumidor da Califórnia (CCPA), por exemplo, existe um direito privado de ação para violações de dados, mas não para violações de privacidade.

Para quem tiver interesse, recomendo a leitura do livro escrito por Daniel Slove intitulado “Breached! Por que a lei de segurança de dados falha e como melhorá-la” (Oxford University Press 2022).

No livro consta um interessante capítulo sobre a relação entre privacidade e segurança (disponível gratuitamente no SSRN).

Violações de privacidade, portanto, podem configurar também (mas não necessariamente) violações de dados.

___________________________

Referências bibliográficas

(1) A Health Breach Notification Rule, 16 CFR, Parte 318, pode ser acessada aqui:<https://www.ftc.gov/legal-library/browse/rules/health-breach-notification-rule>. Acesso em: 20.nov.2024.

(2) O Health Insurance Portability and Accountability Act pode ser acessado aqui:<https://www.govinfo.gov/content/pkg/PLAW-104publ191/pdf/PLAW-104publ191.pdf>. Acesso em: 20.nov.2024.

(3)Vide informações através do seguinte link: https://www.ftc.gov/news-events/news/press-releases/2021/09/ftc-warns-health-apps-connected-device-companies-comply-health-breach-notification-rule. Acesso em: 20.nov. 2024.

(4) Mais informações sobre o caso podem ser acessadas no link a seguir: https://www.ftc.gov/legal-library/browse/cases-proceedings/2023090-goodrx-holdings-inc. Acesso em: 20.nov.2024.

(5) Mais informações sobre o caso podem ser acessadas no link a seguir: https://www.ftc.gov/legal-library/browse/cases-proceedings/202-3186-easy-healthcare-corporation-us-v . Acesso em: 20.nov.2024.

(6) Sobre o tema, vide o seguinte link: https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html. Acesso em: 20.nov.2024.

(7) Sobre o tema, vide o seguinte link: https://www.ftc.gov/legal-library/browse/cases-proceedings/052-3069-choicepoint-inc. Acesso em: 20.nov. 2024.