Comentários à LGPD (Lei 13.709/2018): vazamento de informações pelo Ministério da Saúde à luz da Lei Geral de Proteção de Dados

No último dia 26, foi registrada falha nos sistemas eletrônicos do Ministério da Saúde, levando à exposição de senhas que permitiram o acesso aos dados pessoais de mais de 16 milhões de brasileiros que tiveram suspeita ou diagnóstico confirmado de infecção pela COVID-19. Dentre os dados que ficaram disponíveis na internet, estão incluídos o histórico médico dos pacientes, bem como seus dados de identificação, endereço e telefone. Com o vazamento de informações pessoais, armazenadas por órgão do governo federal, cuja confiabilidade se presume, de imediato vem à mente a possibilidade de aplicar a previsão da Lei Geral de Proteção de Dados (Lei 13.709/2018) à situação. Na forma do artigo 5°, inciso II, da LGPD, os dados pessoais – que dizem respeito à saúde da pessoa física – são considerados dados sensíveis, demandando, portanto, tratamento mais atento por parte do seu controlador. O artigo 11, inciso I, da referida Lei condiciona o tratamento de dados sensíveis ao consentimento específico do titular, enquanto o inciso II elenca exceções taxativas à obrigatoriedade do consentimento. Dentre as exceções previstas pela legislação, está a “tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária” (art. 11, inciso II, alínea “f”, da Lei 13.709/2018). Dessa ressalva legal, surgem alguns questionamentos relevantes. Em primeiro lugar, é possível verificar que a lei não traz qualquer especificação acerca da natureza dos serviços de saúde abrangidos pela exceção discutida. Isso significaria dizer que, tanto os serviços públicos – como o fornecido pelo Sistema Único de Saúde (SUS), e até mesmo através das atividades desenvolvidas pelo Ministério da Saúde – quanto os serviços privados – mantidos pelos planos de assistência particular – são abrangidos pela ressalva legal? Em outras palavras, é certo dizer que todas as instituições que prestam serviços de saúde podem tratar os dados sensíveis dos seus usuários independentemente do seu consentimento?

Conforme adiantado, a lei não oferece resposta a essa questão. Considerando-se o contexto de obtenção dos dados sensíveis pelas instituições médico-hospitalares, é compreensível que estas mantenham um histórico de doenças dos pacientes, afinal, os procedimentos pelos quais são eles submetidos permanecem anotados em prontuário médico e salvos nos registros da instituição.

Entretanto, nesse mesmo contexto, é certamente comum e recomendável que os pacientes assinem um termo de consentimento livre e esclarecido acerca dos procedimentos realizados na oportunidade do atendimento médico; considerando que a formalidade já existe, seria perfeitamente plausível incluir, nesse termo, cláusula acerca do tratamento dos dados pessoais sensíveis, para que o paciente e titular das informações tenha a oportunidade de consentir com o seu manejo.

Outra questão a ser abordada diz respeito ao fato de que, embora haja consentimento do titular ou autorização legal para o tratamento dos dados pessoais sensíveis, esse manejo não engloba a disposição das informações ao público – conforme assegura o artigo 47 da Lei, que obriga os agentes de tratamento a garantir a segurança da informação, mesmo após o término do tratamento dos dados. Partindo dessa premissa, conclui-se que o vazamento de dados deveria acarretar sanção ao responsável, dada a violação aos termos da Lei Geral de Proteção de Dados, além de ofensa ao direito constitucional da intimidade e da vida privada, previsto no artigo 5º, inciso X, da Carta Magna.

Entretanto, como é sabido, a LGPD, apesar de dispor acerca das sanções admissíveis em caso de violação de suas regras, não prevê sobre os pormenores do procedimento administrativo que autorizaria a aplicação da sanção. Na medida em que está ainda pendente de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD), entende-se que a Lei Geral de Proteção de Dados, por ora, age em caráter informativo e preventivo, sem que tenha estrutura normativa para assegurar a execução de qualquer sanção.

Em conclusão, a situação ocasionada pela falha no sistema do Ministério da Saúde, caso não venha a ser investigada por outros meios legais, não poderá sofrer punição administrativa pelos termos da Lei Geral de Proteção de Dados. Consoante o afirmado em comentários anteriores, o que resta, por ora, é aguardar a estruturação da ANPD e futuros provimentos que, ao que se espera, trarão eficácia prática à LGPD.

Cumpre ainda à administração pública apurar responsabilidades e denunciar os responsáveis (pessoas físicas) pela quebra do sigilo, sem prejuízo da responsabilidade objetiva do Estado pela reparação dos danos causados.

Cumpre ainda ao Ministério Público a defesa de interesses coletivos e difusos, através das medidas judiciais competentes, assim como não há impedimento ao ajuizamento das ações individuais que ensejem o conhecimento da extensão dos dados expostos através de habeas data (medida cabível para o conhecimento dos dados constantes de registros ou bancos de dados de entidades governamentais) e a reparação dos eventuais danos (morais e materiais) decorrentes do vazamento de dados.