Na decisão judicial de que tratamos neste artigo, a condenação do TJSP recaiu sobre quem recebeu os dados e não sobre quem os repassou.
Compreender o conteúdo e a dinâmica de aplicação da Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709/2018) é fundamental para se evitar prejuízos desnecessários.
Em dezembro de 2020 a autora desta ação judicial descobriu que estava grávida e, em fevereiro de 2021, foi constatada a perda gestacional. Dias após o aborto, ela recebeu uma mensagem por WhatsApp da empresa ré, com oferta de serviços de coleta e armazenamento do cordão umbilical.
Na apelação, alegou a empresa que utilizou apenas dados não sensíveis – nome e telefone - da autora.
Inicialmente, sensíveis ou não, os dados pessoais somente podem ser utilizados se a finalidade pretendida se assentar numa das hipóteses para as quais a LGPD autoriza o uso dos dados (base legal). De outro lado, o estado gestacional da autora é um dado pessoal sensível (relativo à saúde) e foi utilizado na atividade empresarial, com o objetivo de angariar uma nova cliente. Para efeito da Lei, os dados de saúde são compreendidos numa acepção muito ampla, incluindo todos os aspectos, quer físicos, quer psíquicos, da saúde de uma pessoa.
Argumentou a empresa que obteve os dados para divulgação dos seus serviços, o que seria lícito e regular e amparado pela base legal do “legítimo interesse” (art. 7º, IX). Contudo, a LGPD não autoriza o tratamento de dados pessoais sensíveis, como é um dado relativo à saúde de uma pessoa, com base no legítimo interesse do agente de tratamento de dados.
Além disso, seja qual for a natureza do dado pessoal, para que a ele se tenha acesso, é preciso identificar uma base legal adequada, apontar uma finalidade legítima e específica, a necessidade e a adequação daquele dado para a finalidade apontada. Tais exigências devem ser cumpridas por parte de quem proporciona o acesso aos dados, mas também por parte de quem os acessa. O descumprimento por qualquer das partes, de algum dos requisitos legais exigidos, importa na responsabilidade de ambas, quer civil perante o titular dos dados, quer administrativa perante a Autoridade de Controle (ANPD).
Daí não procederem os outros argumentos da empresa no recurso, de que a ação judicial deveria ser voltada contra o médico da autora ou a empresa que compartilhou os dados; e de que, por não ser a Controladora dos dados, não se justifica a imposição da sentença, de que identifique as pessoas que os teriam recebido.
A empresa restou condenada a indenizar a autora em dez mil reais, e a informar, em cinco dias, quem divulgou os dados pessoais, quais dados da autora ela possui, para quem foram repassados e a providenciar a sua eliminação.
Determina a LGPD que os agentes de tratamento de dados assegurem a proteção dos dados pessoais contra acessos não autorizados ou usos ilícitos. Esta perspectiva dirige-se, num primeiro momento, a quem compartilhou ou possibilitou o acesso aos dados. Mas do lado de quem os acessou (a empresa ré) houve também flagrante desrespeito à Lei, conforme já evidenciado acima. Além disso, dispõe a LGPD que todos aqueles que intervenham em uma das fases do tratamento obrigam-se a garantir a segurança da informação.
Uma vez na posse dos dados (mediante acesso ilegal), a empresa não está dispensada de adotar medidas protetivas e cumprir a LGPD, sob pena de se somarem outras ações violadoras da Lei, agravando a sua responsabilidade. Neste sentido é a condenação a que informe ao Juízo, em cinco dias, quem lhe deu acesso aos dados, quais dados da autora ela possui e para quem foram por ela repassados, além de providenciar a sua eliminação.
Importa ressaltar que não há a “saída” de dizer que já eliminou os dados, ou que não tem registro dos fatos e não consegue demonstrá-los. Tais argumentos consistem em violações ainda mais graves, uma vez que a LGPD institui expressamente que quem utiliza dados pessoais, para qualquer fim, não apenas deve implementar as medidas de proteção, mas deve ser capaz de demonstrar o cumprimento das exigências legais – trata-se do princípio da responsabilização e prestação de contas (accountability).