Blog

Invasão aos sistemas de Clínica de Psicologia na Finlândia gera condenação da empresa ao pagamento de multa equivalente a mais de três milhões de reais, condenação do CEO a três meses de prisão, e, mais recentemente, condenação do hacker a seis anos e três meses de prisão.

A invasão dos sistemas do Centro de Psicologia Vastaamo aconteceu entre 2018 e 2019, e os hackers obtiveram acesso ao histórico de todos os pacientes que passaram pela instituição de saúde mental desde 2008.

Assim, em 2020, os responsáveis pelo ataque cibernético chantagearam a empresa, ameaçando vazar as anotações das sessões de terapia dos pacientes, bem como seus prontuários eletrônicos, e depois passaram a extorquir os próprios pacientes para não vazar os relatos das sessões de terapia e as anotações médicas.

Foram calculadas 20.745 tentativas de chantagem por parte dos hackers e 9.231 vazamentos de dados pessoais dos pacientes. O ocorrido gerou o suicídio de um paciente, bem como diversos problemas de saúde às vítimas, que passaram a sofrer com ataques de pânico, tendo sido considerado o maior incidente de cybersegurança da história da Finlândia.

O hacker responsável pelo ataque estava preso desde 2023, e recebeu, em 30 de abril de 2024, a condenação a cumprir pena privativa de liberdade de seis anos e três meses de prisão.

Não obstante, em 2021, foi reconhecida a responsabilidade do Centro de Psicologia sobre a falta de segurança dos sistemas que armazenavam os dados pessoais dos pacientes, bem como do CEO, que teria sido negligente quanto à ausência de medidas eficazes de prevenção e de proteção de dados.

Após investigação, as autoridades finlandesas concluíram que a Vastaamo foi responsável pelo incidente, por não possuir práticas adequadas de segurança digital. Os históricos dos pacientes, por exemplo, não estavam criptografados, enquanto terminais e sistemas de acesso remoto compartilhavam senhas fáceis de serem descobertas.

Quatro meses após a violação, a empresa declarou falência. Em declaração publicada no seu portal em 2021, a Vastaamo afirmou que a falência é um resultado direto da violação de dados e da chantagem direcionada aos seus pacientes.

Destaca-se, nesse sentido, que a legislação da União Europeia que regulamenta a proteção de dados pessoais, o GDPR (General Data Protection Regulation), foi publicada em 2016 e encontra-se em vigor desde 25 de maio de 2018. A segurança do tratamento de dados é uma das razões de existir do GDPR, que determina a implementação de medidas técnicas e organizacionais necessárias em todas as organizações que tratem dados pessoais, para para conferir um nível de segurança adequado ao tratamento e ao uso dos dados coletados, de acordo com a probabilidade e gravidade de potenciais violações de segurança.

No Brasil, a legislação de regência, inspirada no GDPR, chamada LGPD (Lei Geral de Proteção de Dados Pessoais – Lei 13.709/2018), publicada em 2018, por forte influência da União Europeia, entrou em vigor em agosto de 2020, e igualmente determina o dever de segurança e prevenção por parte das companhias que utilizam dados de pessoas físicas, em especial se forem dados considerados sensíveis, tais como informações de saúde.

Dr.ª Mariana de Oliveira Alves

 OAB/MG 201.586