Tratamento dos dados sensíveis durante pandemia
Direito Direito Digital LGPD Lei Geral de Proteção de Dados
INTRODUÇÃO
O acréscimo de uma nova lei a legislação sempre gera na comunidade jurídica uma enxurrada de estudos, principalmente quando a nova lei gera grande impacto na sociedade.
Nos últimos anos tenho escutado muito sobre a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais, a LGPD.
A LGPD veio regular as atividades de tratamento de dados pessoais, previstos nos artigos 7º e 16 do Marco Civil da Internet, Lei nº 12.965, de 23 de abril de 2014, mas não se restringe aos dados pessoais nos meios digitais, conforme disposto no artigo 1º da LGPD.
Ainda de acordo com o artigo 1º da LGPD, o objetivo da lei é proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Na verdade, a quem diga que o Marco Civil da Internet foi um preparatório para a LGPD, haja vista que na época da criação daquela lei já se estudava sobre proteção de dados pessoais, no entanto o Estado promulgou uma lei que versa tão somente sobre meios digitais, que seria o Marco Civil, enquanto a LGDP engloba todos os meios, sendo uma lei muito mais abrangente.
Com a LGPD o Brasil passou a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos.
O Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia, que passou a ser obrigatório em 25 de maio de 2018 e aplicável a todos os países da União Europeia, e o California Consumer Privacy Act of 2018 (CCPA), nos Estados Unidos da América, implementado através de uma iniciativa em âmbito estadual, na Califórnia, onde foi aprovado no dia 28 de junho de 2018 (AB 375), são exemples.
A LGPD trouxe para a legislação brasileira um conjunto de novos conceitos jurídicos, como por exemplo os dados pessoais e os dados pessoais sensíveis, estabelece as condições nas quais os dados pessoais podem ser tratados, define um conjunto de direitos para os titulares dos dados, gera obrigações específicas para os controladores dos dados e cria uma série de procedimentos e normas para que haja maior cuidado com o tratamento de dados pessoais e compartilhamento com terceiros.
O tratamento dos dados pessoais sensíveis tem me chamado muita atenção, por uma série de questões, como, por exemplo, o uso dos dados pelas empresas de planos de saúde.
O presente artigo visa fazer um estudo sobre a divulgação dos dados sensíveis diante de uma pandemia, como a vivida pelo mundo no ano de 2020, com o COVID-19.
CONCEITO: DADOS PESSOAIS E SENSÍVEIS
Promulgada em 14 de agosto de 2018, a Lei nº 13.709, a Lei Geral de Proteção de Dados visa proteger os dados pessoais, inclusive nos meios digitais, regulamentando o seu tratamento por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, conforme previsto no seu artigo 1º.
De acordo com o artigo 5º, inciso I da lei, dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. Percebe-se, então, que a LGPD visa proteger somente a pessoa natural ou física, vejamos:
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
São exemplos de dados pessoais:
• Nome
• Endereço
• Números Únicos Identificáveis (RG, CPF, CNH)
• Geolocalização
• Hábitos de Consumo
• Exames Médicos
• Dados referentes à saúde
• Biometria
• Perfil Cultural
Os dados pessoais sensíveis, previstos no artigo 5º, inciso II da LGPD, são conhecidos como uma subcategoria de dados pessoais, mas são de extrema relevância, demandando uma proteção diferenciada.
Nota-se que os dados pessoais seriam os dados gerais de identificação da pessoa natural, enquanto os dados pessoais sensíveis seriam dados que devido a sua sensibilidade natural, podem levar à atitudes discriminatórias contra seus titulares.
Por essa razão, acredito que o inciso II do artigo 5º apresenta um rol taxativo, elencando quais são os dados sensíveis, vejamos:
Art. 5º
(...)
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Cabe frisar que os dados pessoais de crianças ou adolescentes não são dados sensíveis, visto que não encontra previsão no inciso II do artigo 5º, mas recebem um tratamento especial pela LGPD, conforme artigo 14.
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
Apresentados os conceitos, passamos ao tratamento dos dados pessoais sensíveis trazidos pela LGPD.
TRATAMENTO DOS DADOS PESSOAIS SENSÍVEIS
O chamado “tratamento” é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, conforme previsto no artigo 5º, inciso X, vejamos:
Art. 5º
(...)
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
O artigo 7º estabelece dez hipóteses que autorizam o tratamento dos dados pessoais, denominadas “bases legais”, ei-las:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Cabe comentar brevemente sobre estas hipóteses.
CONSENTIMENTO: o que deve se ter em mente é afastar a ideia dos contratos de adesão, onde o titular, a pessoa natural, apenas sinaliza no cashbox “li e concordo”, sem debater as cláusulas do contrato. É claro que o Código de Defesa do Consumidor já combatia este tipo de prática, mas a LGPD vem estendendo aos demais contratos. A permissão do titular deve ser livre, inequívoca e específica, contendo todas informações, claras e precisas.
OBRIGAÇÃO LEGAL: quando é necessário para o cumprimento de uma obrigação legal ou regulatória pelo controlador, ou seja, existe uma lei ou regulação que obriga o controlador a tratar aquele dado pessoal.
PROCESSO JUDICIAL OU EXERCÍCIO REGULAR DO DIREITO: atuação em processos judiciais, administrativos ou arbitrais.
EXECUÇÃO DE CONTRATO: para cumprir uma obrigação oriunda de um contrato, do qual seja parte o titular, a pedido do titular dos dados. Exemplo: IFOOD, UBER e demais aplicativos.
PESQUISA: Dados pessoais poderão ser tratados para realização de pesquisas, mas somente por órgãos de pesquisa (IBOPE). A lei determina, ainda, que nesses casos a anonimização deverá ser utilizada sempre que possível.
POLÍTICAS PÚBLICAS: Base legal destinada à administração pública que legitima o tratamento de dados pessoais para execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
PROTEÇÃO DA VIDA: quando identificado estado de perigo ou risco de vida do titular ou de terceiros, para que seja prestado socorro.
TUTELA DA SAÚDE: prestação de serviços ligados à saúde em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária.
PROTEÇÃO AO CRÉDITO: objetivo de diminuir o risco de inadimplência em casos de concessão de crédito por instituições financeiras. Exemplo: SERASA e SPC.
LEGITIMO INTERESSE: Poderá ocorrer o tratamento dos dados pessoais para atender interesses legítimos do controlador ou de terceiros. Por interesse legitimo entende-se apoio à promoção das atividades do controlador. Vale destacar que o legítimo interesse não pode ser considerado uma carta coringa para coleta de dados, ele deve ser usado somente para tratar os dados pessoais estritamente necessários para a finalidade pretendida, bem como tem que ser realizada a validação de sua utilização através do Legitimate Interests Assessment (LIA).
Deve-se esclarecer que a lei prevê as hipóteses, mas isso não quer dizer que o tratamento deve preencher todas as hipóteses. Por exemplo, se você é advogado e o seu cliente lhe busca para ingressar com uma ação em face do vizinho dele, você não precisa do consentimento do Réu
Quando se trata de dados sensíveis, o artigo 11 da LGPD especifica as bases legais aplicáveis, podendo ser apenas:
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
A leitura do dispositivo mostra que a regra geral para o tratamento dos dados pessoais sensíveis é com o consentimento do titular. Somente é admitido o tratamento sem o consentimento nas hipóteses de: obrigação legal; pesquisa; políticas púbicas; exercício regular do direito em processo; proteção da vida; tutela da saúde; garantia de prevenção à fraude e segurança do titular.
VAZAMENTO DE DADOS PESSOAIS
A Lei Geral de Proteção de Dados somente entra em vigor em Agosto de 2020, mas a jurisprudência atual já disciplina sobre o vazamento de dados pessoais, no que tange a matéria de direito do consumidor, orienta no sentido de que o vazamento de dados enseja reparação individual ou coletiva, desde que comprovada a ocorrência de dano ao consumidor, ainda mais quando se tratem de dados sensíveis, vejamos:
“Recurso Inominado. Ação de indenização por danos materiais e morais. Fraude perpetrada. Vazamento de informações cadastrais e negociais do autor. Danos morais não configurados. Ausência de previsão legal para impor danos morais com caráter meramente punitivo. (...) 1. Narra o autor que em razão do vazamento de seus dados sigilosos, foi levado a cair em uma fraude. 2. Sentença que julgou parcialmente procedente a ação, a fim de condenar o réu ao pagamento da quantia de R$ 814,02 a título de indenização por danos materiais. 3. Analisando o conjunto probatório, verifica-se que o autor não demonstrou de forma cabal o abalo moral sofrido, a fim de comprovar fato constitutivo de seu direito, ônus que lhe incumbia, nos termos do art. 373, I, do CPC. 4. Com efeito, o autor tinha um acordo com a ré, recuperadora de créditos, sendo que foi contatado por fraudadores, que dispunham dos dados do acordo e, mediante fraude, fizeram-no pagar uma parcela indevida. 5. O presente recurso cinge-se a postular danos morais por conta do manejo de dados fraudulentos. 6. In casu, não se trata de situação excepcional capaz de determinar a incidência de danos morais, porque tal se daria apenas em caráter punitivo. 7. Desta forma, entende-se que não restaram caracterizados os danos morais, já que a parte autora não comprovou que tivesse tido abalo em algum dos atributos da sua personalidade, em função da situação vivenciada, tratando-se de mero aborrecimento, o que não é capaz de gerar dano moral indenizável, salvo em situações excepcionais” TJ/RS, RI 0047026-37.2019.8.21.9000, Rel. Des. Fábio Vieira Heerdt, 3ª Turma Recursal Cível, j. 26/09/2019;
“APELAÇÃO CÍVEL - AÇÃO ANULATÓRIA DE CONTRATO E INDENIZAÇÃO POR DANOS MORAIS - CONTRATAÇÃO DE EMPRÉSTIMOS - CAIXA ELETRÔNICO - CULPA EXCLUSIVA DA VÍTIMA - NÃO CONFIGURADA - DEFEITO NA PRESTAÇÃO DO SERVIÇO BANCÁRIO - VAZAMENTO DE DADOS PESSOAIS - DANOS MORAIS CARACTERIZADOS - QUANTUM INDENIZATÓRIO – ADEQUAÇÃO DEVIDA - SENTENÇA REFORMADA EM PARTE. (...) Reveste-se de ilicitude a hipótese em que a instituição financeira permite ou não cuida para impedir o vazamento dos dados pessoais de seus clientes oportunizando, assim, a atuação ilícita de terceiros fraudadores”. TJ/MG, AC 1.0471.16.012594-7/001, Rela. Desa. Juliana Campos Hora, 12ª Câmara Cível, Dje. 08/08/2019;
“Consumidor. Reparação de danos. Divulgação de dados pessoais de alunos de universidade em grupo de e-mail. Falha humana. Diligencias adotadas pela ré imediatamente após o fato a fim de evitar prejuízo. Dano moral não configurado. Improcedência do pedido. (...) Em que pese seja incontroversa a indevida divulgação de dados cadastrais de alunos em um grupo de e-mail dos alunos do curso de arquitetura, com assunção de responsabilidade pela ré, não logrou a autora comprovar a ocorrência de lesão a quaisquer dos direitos da personalidade, ônus que a ela incumbia, na forma do art. 333, inc. I, do Código de Processo Civil. Ademais, a universidade comprovou ter tomado todas as providências pertinentes a fim de minimizar os prejuízos decorrentes do vazamento de informações, lançando nota em jornal local, registrando Boletim de Ocorrência, advertindo os alunos que receberam o e-mail com os dados para que não os repassassem, anotação junto ao SPC e SERASA através de intervenção judicial, dentre outras. Neste sentido, a ocorrência de divulgação de dados - diga-se, não sigilosos - por si só, não evidencia dano moral, uma vez que à míngua de comprovação específica, por não ser presumido, não resta caracterizado. Precedentes das Turmas Recursais em hipóteses análogos” TJ/RS RI 0013440-19.2013.8.21.9000, Rela. Desa. Camila Wollmeister, 1ª Turma Recursal Cível, j. 26/11/2013;
Além da jurisprudência sobre o direito do consumidor, também verificamos o mesmo entendimento no direito do trabalho, vejamos:
“DANO MORAL. VAZAMENTO DE SUSPEITAS. QUEBRA DE SIGILO. DIREITO À INDENIZAÇÃO. O fato de o trabalhador ser empregado em Banco e ter conta na instituição em que trabalha não autoriza o empregador a quebrar o sigilo bancário, a pretexto de proceder a investigação de eventual desvio de numerário (...) Ainda que o Banco seja gestor das contas de seus empregados e clientes, até porque é nula a prova obtida por meio ilícito e a Constituição resguarda o sigilo de dados (arts. 5º, LVI e XII, CF). A subordinação no contrato de trabalho não se estende à esfera da privacidade e intimidade do trabalhador. Além da obrigação de dar trabalho e de possibilitar a execução normal da prestação de serviços, incumbe ao empregador respeitar a honra, reputação, dignidade, privacidade, intimidade e integridade física e moral de seu empregado, por serem atributos que compõem o patrimônio ideal da pessoa, assim conceituado o conjunto de tudo aquilo que não seja suscetível de valor econômico” TRT 2ª Região, RO 2276200206502007, Rel. Des. Ricardo Artur Costa e Trigueiros, 4ª T., Dje 22/08/2006;
A LGPD traz em seu artigo 42 a responsabilidade e ressarcimento pelos danos sofridos pelo titular em detrimento do mal uso dos dados, vejamos:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
E o artigo 44 da LGPD disciplina quando o tratamento de dados pessoais será irregular, vejamos:
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Desta forma, mesmo que a relação em debate seja de consumo, quando falamos de violação de danos pessoais, sensíveis ou não, devemos fundamentar nos dizeres da LGPD.
PANDEMIA – LIMITES DA DIVULGAÇÃO DE DADOS MÉDICOS
Pandemia é um termo utilizado para descrever uma situação em que determinada doença apresenta uma distribuição em larga escala, atingindo diversos países.
É possível citar duas pandemias na história da humanidade: a Peste Negra, resultando na morte de 75 a 200 milhões de pessoas na Eurásia, e a Gripe Espanhola, cerca de 50 milhões de pessoas morreram.
No final do ano de 2019 o Mundo viu o nascer de uma nova pandemia, a COVID-19, doença causada pelo vírus SARS-CoV-2.
Os primeiros casos do COVID-19 apareceram na cidade de Wuhan, capital da província de Hubei, na China, no final do ano de 2019. A doença apresentação como uma infecção branda, como uma gripe, mas que pode desencadear a pneumonia, insuficiência respiratória e até a morte.
Em 23 de janeiro de 2020 foi decretada quarentena na cidade de Wuhan, contudo, a doença continuou a se espalhar para demais regiões da China, seguindo pelo resto da Ásia.
Em 11 de março de 2020 a Organização Mundial de Saúde (OMS) decretou estado de pandemia da COVID-19, quando já havia mais de 118 mil casos da doença registrados em mais de 100 países e 4.291 mortes, principalmente na Itália e Espanha.
Diante disto, restou promulgada a Lei nº 13.979 de 06 de fevereiro de 2020, onde encontra-se previsto no artigo 6º que “é obrigatório o compartilhamento entre órgãos e entidades da administração pública de dados essenciais à identificação de pessoas infectadas, com a finalidade exclusiva de evitar sua propagação”.
De acordo com os §§ 1º e 2º do referido artigo, “a obrigação a que se refere o caput deste artigo estende-se às pessoas jurídicas de direito privado quando os dados forem solicitados por autoridade sanitária” e “o Ministério da Saúde manterá dados públicos e atualizados sobre os casos confirmados, suspeitos e em investigação, relativos à situação de emergência pública sanitária, resguardando o direito ao sigilo das informações pessoais”.
No tocante a LGPD, de acordo com Rafael Zanatta, da Data Privacy Brasil, “uma das bases legais da LGPD é o interesse público claramente identificado. Nesse caso, o dado pessoal pode ser divulgado, desde que anonimizado”[1].
Dados anonimizados sendo o inciso III do artigo 5º da LGPD são dados que não permitem a identificação do titular através da utilização de meio técnicos razoáveis. Tais dados não são considerados dados pessoais.
Logo, os dados, mesmo que sensíveis, poderiam ser divulgados, desde que anonimizado, não sendo considerados como dados pessoais para fins da LGPD, conforme artigo 12, vejamos:
Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.
Desta forma, os dados sensíveis poderiam ser divulgados, desde que preservando o anonimato.
Inobstante, não custa lembrar que o tratamento dos dados pessoais sensíveis pode ocorrer com o consentimento do titular e, na ausência deste, na proteção da vida ou da incolumidade física do titular ou de terceiros, na tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Como diz o ditado com saúde não se brinca, principalmente em tempos de pandemia, contudo, deve-se preservar o titular de uma possível fake news.
Se o Brasil já estivesse avançado no tratamento de dados, talvez a aplicação dos dados de saúde recebesse o devido zelo, evitando constrangimentos e a correta divulgação dos dados, visando a proteção da população com o correto tratamento desta pandemia.
REFERÊNCIAS BIBLIOGRÁFICA
BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
BRASIL. LEI Nº 13.979 DE 06 DE FEVEREIRO DE 2020. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/L13979.htm
[1] https://www.consumidormoderno.com.br/2020/03/24/coronavirus-privacidade-dados-medicos/?fbclid=IwAR0m8BBBw3H1zB67aXIuHLij_jLD_sgIrWIZMTN5pAo7KeS2BYRm1LXk-34
Ver WhatsApp
