Uma rede privada de hospitais firmou contrato com uma sociedade empresária para implementar um sistema de inteligência artificial destinado a analisar exames laboratoriais de pacientes. A empresa de tecnologia, com sede no Brasil e controlada por um grupo estrangeiro, passou a receber dados dos pacientes, inclusive dados sensíveis de saúde, para treinar o algoritmo, armazenando-os em servidores situados na Europa.
O hospital não se comunicou previamente com os titulares dos dados sobre essa nova finalidade, tampouco obteve consentimento específico. Depois da investigação instaurada pela Autoridade Nacional de Proteção de Dados (ANPD), apurou-se que os dados estavam sendo usados sem anonimização adequada e sem a adoção de medidas de segurança compatíveis com seu grau de sensibilidade.
Com base na Lei Geral de Proteção de Dados Pessoais (LGPD), assinale a afirmativa correta.
- A Como a empresa de tecnologia atua apenas como operadora de dados, e os dados não foram compartilhados com terceiros não autorizados, não há a violação à LGPD.
- B O tratamento de dados sensíveis exige consentimento expresso e específico do titular, e sua ausência, aliada à falta de medidas de segurança e anonimização, caracteriza infração grave à LGPD.
- C A transferência internacional de dados sensíveis para servidores na Europa é lícita, desde que o país de destino possua legislação semelhante à brasileira, independentemente de consentimento do titular.
- D A LGPD não se aplica ao tratamento de dados realizados com fins de desenvolvimento tecnológico e pesquisa científica, desde que os dados sejam pseudonimizados.
- E A responsabilidade pela infração recai exclusivamente sobre o hospital, enquanto controlador, sendo o operador isento de responsabilização por atos realizados no exercício da atividade delegada.
