LGPD – tratamento de dados pessoais sensíveis

• 24 de Agosto de 2022

Maria Cristina P C Velani e Luís Antonio Velani

 Após dois anos de vigência da lei 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados – LGPD, começaram a surgir as primeiras decisões, ainda de primeira instância, em litígios fundamentados nesse dispositivo legal.  

Segundo pesquisa divulgada pelo escritório Opice Blum, Bruno e Vainzof Advogados Associados, no último ano foram julgados cerca de 465 processos referente à LGPD. A pesquisa abrangeu Tribunais de Justiça de sete estados e três Tribunais Federais Regionais, sendo que apenas vinte e três por cento das ações foram julgadas procedentes.

            Conforme pesquisa os casos mais comuns de aplicação da lei (que representam 40% dos processos) são de incidentes de segurança,  como vazamento de dados. Outros temas que começam a ser discutidos na justiça são os  envolvendo direitos dos titulares.   

          Recentemente uma decisão do Tribunal de Justiça de São Paulo, que condenou um laboratório pelo uso de informações sem o consentimento de uma  gestante, chamou a atenção quanto a responsabilidade dos serviços de saúde por  vazamento de dados pessoais sensíveis.   

Conforme processo, dias após sofrer um aborto espontâneo uma mulher recebeu mensagens de WhatsApp de um laboratório com uma oferta de coleta e armazenamento de cordão umbilical. Ela alegou não ter fornecido seus dados pessoais, nem informações sobre a gravidez, para o laboratório. Em contestação,  o laboratório afirmou  que só teria utilizado dados não sensíveis e não sigilosos (nome e número de telefone).

No entendimento do TJ-SP, no entanto, a gravidez é um dado sensível,   nos termos do  artigo 5º, inciso II, da Lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), que  classifica como dado pessoal sensível qualquer informação referente à saúde das pessoas.

No caso desses autos a paciente poderia ter acionado, além do  laboratório que lhe ofertou a coleta,  o  laboratório  onde realizou o exame de gravidez pois  ambos, controlador e operador de dados, nos termos da LGPD  são responsáveis solidários e  partes legítimas para figurarem no polo passivo da ação.

 Outro caso, também recente, envolvendo um suposto vazamento de dados sensíveis sem o consentimento de gestante que repercutiu na mídia foi o de uma jovem atriz que relatou em carta aberta ao público que foi vítima de estupro, teve uma gravidez indesejada e decidiu entregar a criança para adoção, sob a proteção do Estatuto da Criança e Adolescente (Lei n. 8.069/90).

Segundo a atriz sua privacidade foi violada por uma funcionária do hospital que, logo após o parto, ainda na sala de cirurgia, passou a lhe fazer perguntas e ameaça-la de divulgar o caso para um colunista social.  Logo que chegou ao quarto do hospital recebeu mensagem do tal colunista e, dias depois, outro colunista lhe abordou para informações sobre a gravidez. Esse caso, segundo informações divulgadas nos meios de comunicação,  está sendo investigado. 

            A Constituição Federal assegura às pessoas, como direitos fundamentais, a inviolabilidade da intimidade, vida privada, honra, imagem e  proteção dos dados pessoais, inclusive nos meios digitais. (Art. 5º, incisos X e LXXIX).

A Lei Geral de Proteção de Dados – LGPD estabelece como dados pessoais sensíveis, entre outros, os dados referentes à saúde como: tratamentos, resultados, diagnósticos, etc.. 

Nos termos da LGPD os agentes de tratamento (controlador e operador)  ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação em relação aos dados pessoais, mesmo após o seu término ou seja,   todas as empresas, e seus funcionários,  são responsáveis pela segurança das informações.

As infrações cometidas às normas previstas na LGPD sujeitarão os infratores às sanções administrativas que podem ser nos termos do Art. 52 e incisos, desde simples advertência, com indicação de prazo para adoção de medidas corretivas, a multas fixadas sobre o faturamento das empresas, limitadas, no total, a cinquenta milhões de reais, por infração.

            Portanto, é extremamente importante que os serviços de saúde públicos e privados capacitem seus profissionais para evitar vazamentos ou compartilhamentos ilícitos de dados pessoais sensíveis. 

Maria Cristina P C Velani e Luís Antonio Velani são advogados da consultoria jurídica da da APM – Regional SJRio Preto.