Vazamento de dados hospitalares põe à prova parâmetros da LGPD

Recentemente, o nome de uma famosa e jovem atriz ganhou maior visibilidade na mídia, em razão do vazamento de dados pessoais sensíveis e o compartilhamento de informações sem o seu consentimento, o que pode configurar a violação da privacidade, intimidade e outros crimes contra a honra.

A artista de 21 anos relatou em carta aberta ao público que foi vítima de estupro, teve uma gravidez indesejada e decidiu entregar a criança para adoção, sob a proteção do art. 19-A, do Estatuto da Criança e Adolescente (Lei n. 8.069/90). Segundo a artista, uma advogada foi procurada com o intuito de que fosse feita a entrega da criança para adoção, passando por todos os trâmites legais. Entretanto, ao realizar o procedimento cirúrgico no hospital, teve sua privacidade violada supostamente por funcionários do local.

A atriz descreve que, logo após sair da sala de cirurgia, ainda sob efeito da anestesia, foi abordada por uma enfermeira que lhe fez perguntas e a ameaçou, com as seguintes palavras: “imagina se tal colunista descobre essa história”. Pouco tempo depois, quando chegou ao quarto do hospital, já havia mensagens do referido colunista. Logo em seguida, a atriz conversou com o colunista, esclarecendo toda a situação e ele, por sua vez, se comprometeu a não publicar a história. Dias depois, outro colunista também a procurou questionando sobre a gravidez.

Considerando todo o contexto fático e que o caso ainda permanece sob investigação, há fortes indícios de vazamento de dados pessoais sensíveis e quebra do sigilo ético profissional por funcionários do hospital onde a atriz fez o parto. Nas palavras da atriz, “apenas o fato de eles saberem, mostra que os profissionais que deveriam ter me protegido em um momento de extrema dor e vulnerabilidade, que têm a obrigação legal de respeitar o sigilo da entrega, não foram éticos, nem tiveram respeito por mim e nem pela criança”.

A Constituição Federal reconhece como direito fundamental a inviolabilidade da intimidade, vida privada, honra e imagem, art. 5º, X da Constituição Federal (CF). Recentemente, por meio da Emenda Constitucional nº 115, de 10 de fevereiro de 2022, o direito à proteção dos dados pessoais foi também reconhecido como direito fundamental, sendo incluído no art. 5º, inciso LXXIX, da CF.

Os dados pessoais sensíveis (art. 5º, inciso II da Lei Geral de Proteção de Dados), especialmente os que se referem à saúde, como tratamentos e informações médicas, devem ser protegidos pela clínica ou hospital, especialmente por todos os colaboradores. Se há previsão legal, sobretudo constitucional, no que tange a quais direitos devem ser resguardados, deve existir também norma jurídica aplicável que se refira sobre a responsabilidade e indenização do paciente em caso de violação a tais direitos.

A responsabilidade do hospital no caso concreto poderia ser considerada objetiva, por eventuais danos causados ao paciente, aplicando-se a disposição do art. 42 da LGPD e art. 932, inciso III do Código Civil. Melhor dizendo, a instituição (hospital) poderá ser responsabilizada, nos termos das previsões legais mencionadas, ainda que o vazamento ou problemas oriundos do mau uso dos dados pessoais tenha sido causado apenas por funcionários.

A multa administrativa, nesse caso, considerando as disposições do art. 52 da LGPD, pode ser fixada em até 2% do faturamento da pessoa jurídica, limitando-se a R$ 50 milhões por infração.

Não só a sanção pecuniária pode causar impacto à pessoa jurídica, mas também as demais sanções previstas nos demais incisos do art. 52, como a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pela pessoa jurídica. Vale esclarecer que a responsabilidade civil e administrativa não exclui a responsabilidade penal. Ao que parece, nesse caso, para além da possível incidência dos artigos do Código Civil que versam sobre a responsabilidade civil (art. 186, por exemplo), os funcionários do hospital também poderiam incorrer na violação do segredo profissional, prevista como crime pelo art. 154 do Código Penal. Aquele que revela a alguém, sem justa causa, segredo, de que tem ciência em razão de função ou profissão, causando danos a outrem, enseja a detenção de três meses a um ano ou multa prevista pelo dispositivo.

No contexto atual, em que se vive em uma sociedade informacional e tecnológica, na qual são propagadas informações ao redor do mundo em milésimos segundos, os danos psicológicos causados por más condutas que envolvem dados pessoais se tornam cada vez mais difíceis de serem calculados e a reparação, na medida do possível, se revela necessária.

É de extrema importância, seja por empresas do setor público ou privado, o treinamento dos profissionais que atuam no local com o objetivo de mitigar o risco de vazamento ou compartilhamento ilícito de dados pessoais sensíveis. O tratamento de dados pessoais não se limita apenas a manter um sistema de cibersegurança de última geração, mas também, e principalmente, do discernimento e comprometimento humano para que incidentes como este não ocorram.

No caso ocorrido com a atriz, o Conselho Federal de Enfermagem (Cofen), o Conselho Regional de Enfermagem (Coren-SP), o Ministério Público, a Comissão que criou a Lei Geral de Proteção de Dados, entre outras instituições apuram a denúncia e investigam o caso.

* Micaela Mayara Ribeiro é advogada no escritório Medina Guimarães Advogados, especialista em Direito Digital e Proteção de Dados e mestranda em Ciências Jurídicas.

*Claudia Alline Ajita Picironi é advogada no escritório Medina Guimarães Advogados, especialista em Direito Processual Civil.