Você tem direito a sigilo sobre seus dados pessoais sensíveis

Informações de saúde, raça, etnia, religião, visão política, entre outras, são dados pessoais sensíveis e não podem ser compartilhadas ou vazadas por detentores de bancos de dados

Era de 296 o numero total de funcionários em um hospital – mas 900 médicos, o que incluía centenas de profissionais já desligados, continuavam com contas ativas de acesso aos sistemas de prontuário dos pacientes.

O fato aconteceu no ano de 2018 em Portugal, no Hospital do Barreiro, e resultou na aplicação de uma multa pesada, nada menos que 400.000 euros. Foi o primeiro caso de imposição de uma penalidade prevista na GDPR (Lei de Proteção de Dados da União Europeia) pelas autoridades portuguesas em cima de uma instituição de Saúde.

No inicio de 2021, com base na mesma legislação, a justiça da Noruega acolheu denúncia da Autoridade Norueguesa de Proteção de Dados e sancionou em valor equivalente a R$ 65,2 milhões o aplicativo de relacionamentos Grindr por ter compartilhado a localização, a orientação sexual e informações sobre a saúde mental de seus usuários. O valor corresponde a nada menos que 10% da receita anual da empresa.

A Lei Geral de Proteção de Dados (LGPD) brasileira, que entrou em vigor em 2019, também foi construída à imagem e semelhança da GDPR europeia – até porque, como já mencionado em artigo anterior, a nossa lei teve que ser criada de modo a que o Brasil cumprisse requisito para ingresso na OCDE (Organização para a Cooperação e Desenvolvimento Econômico).

Por isso a proteção dos dados sensíveis dos cidadãos brasileiros também passou a ser tutelada por aqui – e entre dados sensíveis estão aqueles referentes à saúde e à vida sexual, além dos dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado genético ou biométrico.

E qual é a finalidade da proteção dos nossos dados pessoais sensíveis?

Ora, em primeiro lugar é preciso ter em mente que um dos princípios da LGPD é o de que o tratamento dos nossos dados pessoais por qualquer empresa privada ou órgão publico deve atender a “propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.

O principio da adequação, por seu turno, obriga a que os dados sejam geridos somente para a finalidade acordada entre a empresa e seu titular, e dentro do contexto previamente combinado para seu uso.

Outro princípio importantíssimo de se observar é o da necessidade: a posse e manejo dos nossos dados pessoais têm que estar limitados ao mínimo necessário para a realização de suas finalidades,“com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.

Assim, quando o hospital em Portugal permitiu acesso de médicos a dados clínicos de pacientes num contexto fora daquele para o qual os dados foram coletados, e quando o aplicativo de relacionamentos da Noruega compartilhou dados sensíveis sobre seus usuários – orientação sexual e saúde mental -, ambos violaram direitos como os de privacidade, autodeterminação informativa, inviolabilidade da intimidade, da honra e da imagem, todos eles igualmente tutelados por nossa LGPD.

Mais grave ainda se a comunicação ou o uso compartilhado de dados sensíveis referentes à saúde tiver como objetivo obter vantagem econômica, o que é expressamente vedado pela LGPD. No caso dos dados pessoais de Saúde, nem mesmo as operadoras de planos privados podem tratar as informações fornecidas por seus clientes para a prática de seleção de riscos na contratação de qualquer modalidade, ou mesmo como critério para contratação e exclusão de beneficiários.   

Mais ainda, se a finalidade, contrato ou objetivo para os quais os dados foram coletados tiverem sido concluídos, o controlador tem obrigação de cessar o tratamento dos mesmos – inclusive, em boa parte das situações, tem o dever mesmo de suprimi-los de sua base de dados, salvo nos casos das pouquíssimas exceções listadas no artigo 16 da LGPD.

Sobre manuseio de dados

Já que estamos falando em dados pessoais sensíveis, vale destacar que outro dos princípios da LGPD no que tange ao manuseio de dados dos cidadãos brasileiros é o da não-discriminação, definida como a impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

Uma empresa que deixa de garantir a segurança e a inviolabilidade dos dados de seus clientes ou usuários pode estar concorrendo para, por exemplo, que o endereço de uma pessoa LGBTQIA+ seja revelado entre pessoas homofóbicas e resulte em um episódio de violência física, ou que um adepto declarado do Candomblé fique em situação vulnerável diante de grupos que têm vandalizado espaços das religiões de matriz africana.

(Sobre este ponto quero enfatizar que, independente de quaisquer vazamentos de dados sensíveis, a homofobia e a violência motivada por ódio religioso são condutas criminosas e passíveis de prisão segundo nosso Código Penal e nossa Jurisprudência.)  

Por isso outro dos princípios previsto na LGPD é o da segurança: os detentores de bancos de dados pessoais ficam obrigados a utilizar medidas técnicas e administrativas aptas a protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Esse princípio é reforçado pelo da prevenção, segundo o qual os mesmos controladores têm que adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

As empresas ou órgão públicos que deixarem de garantir a segurança e o sigilo dos dados, ou mesmo que intencionalmente os compartilharem sem consentimento do titular dos mesmos, serão responsabilizadas.

A indenização, uma multa afixada em até 2% do faturamento de empresa privada, pode chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, nos casos mais graves.

Outras penalidades, a depender do caso, podem ser advertência com indicação de prazo para adoção de medidas corretivas; publicização da infração, bloqueio ou eliminação dos dados pessoais do banco da empresa infratora, multa diária, proibição total ou parcial para que a empresa siga tratando dados pessoais.

Para ler mais sobre LGPD, clique aqui.

direito a privacidadeLGPD
Comentários (0)
Adicionar comentário