Vivemos dias nebulosos desde que a pandemia da Covid-19 virou a nossa realidade. Para além de todas as preocupações que o vírus já traz consigo no que diz respeito aos danos que pode causar, sendo, em muitos casos, uma contaminação fatal, precisamos nos preocupar também com questões outras, que vão desde o colapso do sistema de saúde, da ruína da economia, à preocupação com nossa intimidade e privacidade, garantias fundamentais já consagradas na Constituição Federal.
Em que pese a existência da Lei Geral de Proteção de Dados (Lei 13.709/2018), cuja vigência ainda não foi definida, bem como a necessidade da urgente criação da Autoridade Nacional de Proteção de Dados (ANPD), nos deparamos neste momento com um cenário temerário em relação à Privacidade e Proteção de Dados no enfrentamento da Covid-19.
O compartilhamento de dados pessoais de indivíduos infectados pelo vírus ou com suspeita de infecção, não se mostra somente uma necessidade ao enfrentamento da pandemia, mas também uma obrigação disposta na Lei 13.979/2020, publicada de 06 de fevereiro de 2020, onde constam disposições acerca das “medidas para enfrentamento da emergência de saúde pública de importância internacional decorrente do coronavírus, responsável pelo surto de 2019”, cuja aplicação se tornou uma obrigação legal, tanto para entidades públicas, como para empresas privadas.
A Lei 13.979/2020, dispõe em seu Art. 6º: “É obrigatório o compartilhamento entre órgãos e entidades da administração pública federal, estadual, distrital e municipal de dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo coronavírus, com a finalidade exclusiva de evitar a sua propagação.
§ 1º A obrigação a que se refere o caput deste artigo estende-se às pessoas jurídicas de direito privado quando os dados forem solicitados por autoridade sanitária.
§ 2º O Ministério da Saúde manterá dados públicos e atualizados sobre os casos confirmados, suspeitos e em investigação, relativos à situação de emergência pública sanitária, resguardando o direito ao sigilo das informações pessoais.”
Ou seja, no caso de solicitação de compartilhamento de dados relativos aos pacientes, aos hospitais, clínicas ou planos de saúde, entre outros, estes deverão compartilhar os dados de pessoais dos indivíduos com a autoridade sanitária solicitante, a fim de atender o disposto no art. 6º, § 1º, desta recente legislação.
O que se tem verificado é os os impactos da pandemia da Covid-19 na proteção de dados pessoais são diversos, revelando-se um grande desafio à garantia dos direitos fundamentais de privacidade, diante da realidade que experimentamos neste momento, onde, ainda que compreensível, muitos direitos foram relativizados para minimização dos reflexos da calamidade pública já instalada e pela falta vigência da LGPD.
Diante deste cenário, se faz necessário que algumas considerações sejam feitas, a fim de trazer esclarecimentos sobre um tema tão relevante para a sociedade neste momento, razão pela qual a reflexão se dará no sentido de trazer informações sobre o compartilhamento dos dados pessoais sensíveis, tema que se relaciona intimamente com a pandemia decorrente da Covid-19.
À luz do que dispõe a Lei Geral de Proteção de Dados, é considerado um dado pessoal sensível, conforme regra do 5º, II, “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Sendo assim, toda e qualquer informação relacionada à saúde dos pacientes, assim consideradas a confirmação de sua condição de infectado pelo vírus, bem como qualquer outra condição que diga respeito a qualquer dado referente à saúde deste indivíduo, desde que identificado ou identificável, estará amparada pelo escopo de abrangência da Lei Geral de Proteção de Dados, merecendo maior atenção e respeito às disposições da Lei quando do tratamento deste dado.
Ou seja, cuida-se de informações extras sobre o indivíduo, de modo que, caso tais informações não recebam um tratamento adequado, podem, além da identificação, ensejar discriminação por parte do agente que as possui ou por terceiros cujo acesso seja facilitado.
Há de se mencionar, ainda, que nem todos os dados compartilhados durante a pandemia serão considerados dados pessoais sensíveis, muitos deles, serão considerados somente dados pessoais, conforme o art. 5º, I da LGPD, notadamente àqueles relacionados à pessoa natural identificada ou identificável, assim compreendidos, nomes, telefones, endereços, e-mails, dados de geolocalização, entre o outros – sendo tema para uma próxima reflexão que também tem tomado diversos contornos.
Diante do exposto, e considerando o enquadramento da situação relacionada à pandemia da Covid-19, no que diz respeito ao compartilhamento de dados pessoais sensíveis, em cotejo com as diretrizes trazidas pela Lei Geral de Proteção de Dados, teríamos o seguinte cenário:
Amparado pelo art. 4º, III, alíneas “b” e “c” da LGPD, o tratamento destes dados pessoais não estaria dentro do escopo de aplicabilidade da Lei Geral de Proteção de Dados, tendo em vista se tratar de uma das exceções previstas na legislação, cuja realização seja para fins exclusivos de segurança do Estado ou defesa nacional.
Caso tivéssemos a LGPD vigente, o tratamento dos dados pessoais sensíveis seria admitido sem o consentimento do titular de dados nas seguintes hipóteses:
Art. 7º, III, pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Já o Art. 11, II, traz as disposições específicas sobre o tratamento de dados pessoais sensíveis: “a” cumprimento de obrigação legal ou regulatória pelo controlador; “e” proteção da vida ou da incolumidade física do titular ou de terceiro; “f” tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Desse modo, da análise da Lei já vigente, (Lei 13.979/2020) em relação à Lei Geral de Proteção de Dados que ainda não passou a vigorar, verifica-se que o cumprimento de obrigação legal, previsto tanto no inciso II do art. 7º, como no inciso II, alínea “a” do art. 11, seriam bases legais aplicáveis ao tratamento de dados pessoais sensíveis, sem o consentimento expresso dos titulares de dados, no contexto da pandemia da Covid-19.
Há de se referir, entretanto, que a ausência de consentimento expresso, não possibilita ao controlador e/ou operador a utilização dos dados dos titulares para fins outros que não os que atendam à finalidade para os fins aos quais se destinam, não podendo jamais, exorbitar a finalidade, a fim de atender este princípio, bem como o princípio da adequação.
Além do mais, ainda que sem o consentimento, ao titular de dados pessoais é conferido o direito irrestrito aos seus dados, conforme Art. 9º: “O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso”, em especial o “V. informações acerca do uso compartilhado de dados pelo controlador e a finalidade.”, bem como os demais direitos a eles atribuídos no art.18 da Lei Geral de Proteção de Dados.
Desse modo, percebe-se que hoje, mais do que nunca, é premente a necessidade da vigência da lei, bem como a estruturação e criação da ANPD, a fim de seja possibilitada maior segurança jurídica e o respeito às disposições contidas na LGPD, principalmente, considerando o cenário da Covid-19 onde um grande volume de dados pessoais, em especial de dados sensíveis estão sendo manipulados.
E a necessidade que aqui refiro urge pelos questionamentos que seguem:
Se a lei ainda não está vigente, como esse direito será positivado?
Como estão sendo adotadas as medidas de segurança destas informações pelos controladores e operadores?
De que forma os titulares poderão ter acesso aos seus dados?
Que garantias os titulares de dados têm de que seus dados estão sendo utilizados para finalidades legítimas?
Que não serão utilizados para fins outros?
Vale a reflexão…