Foi publicada recentemente no Brasil a Lei nº 14.289/2022, que veda a divulgação, por agentes públicos ou privados, de informações que permitam a identificação da condição de pessoa que vive com infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV) e de pessoa com hanseníase e com tuberculose, e obriga a manutenção do sigilo sobre estas informações.
Na medida em que se trata de informações relativas a pessoas naturais identificadas, ou passíveis de identificação, são dados pessoais, nos termos da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).
Sabe-se que o critério da identificabilidade, que conduz à classificação de uma informação como dado pessoal, é extremamente amplo, não sendo preciso que a identificação do titular da informação se dê prima facie. A mera possibilidade de se chegar ao titular num segundo momento, mediante uma associação da informação com qualquer outro elemento, mesmo que esteja noutro banco de dados, fora do controle de quem detém aquela primeira informação, impõe que ela seja tratada nos termos da LGPD.
Desta forma, incluem-se no conceito de dado pessoal os números de prontuários médicos ou de atendimento em unidades de saúde, assim como os resultados de exame de pacientes, identificados com um código que esteja relacionado ao titular, dentre outros.
A LGPD é fruto de um processo de conscientização, que acontece em todo o mundo, acerca da relevância que os dados pessoais adquiriram na atual sociedade da informação, cujo desenvolvimento, inclusive econômico, é centrado na análise estratégica e combinada de informações pessoais.
Embora voltada à proteção do titular dos dados, a LGPD, assim como o Regulamento de Proteção de Dados da União Europeia, tem, por fim último, permitir uma liberdade na utilização dos dados pessoais, mas uma liberdade regulada.
Ao contrário do senso comum no Brasil, a LGPD, ao regular a atividade de tratamento de dados, tem por objetivo permitir o fluxo destas informações, para permitir o desenvolvimento e a inovação, resguardando, entretanto, os direitos e liberdades dos titulares dos dados, que acabam por ser ameaçados neste processo.
Daí ser a LGPD uma lei essencialmente aberta e principiológica, que não fixa condutas específicas a serem seguidas e sim confere liberdade para o agente de tratamento de dados, dentro dos parâmetros postos.
O mecanismo da abordagem baseada no risco permite que as medidas de proteção aos dados sejam moduláveis de acordo com a realidade do tipo de negócio. O agente de tratamento deve avaliar os principais aspectos do tratamento de dados e o risco que ele representa para os titulares e implementar medidas que estejam ao seu alcance, mas que sejam potencialmente eficazes para proteger os direitos dos titulares.
É razoável que, paralelamente à liberdade na instituição das medidas de proteção, haja uma responsabilização pelas decisões tomadas e seus efeitos, impondo-se que o agente seja capaz de demonstrar as medidas adotadas e a sua aptidão de eficácia (princípio da accountability).
Sendo o propósito da LGPD conferir liberdade (regulada) para o tratamento de dados, bastando que se informe uma base legal adequada, finalidade específica legítima e se cumpram outros parâmetros legais, a Lei nº 14.289/2022 surge como uma exceção legal que restringe o tratamento dos dados das pessoas acometidas pelas doenças que menciona, uma vez que veda a divulgação destas informações.
A divulgação é uma operação de tratamento de dados – mas no que toca à condição das pessoas que vivem com as infecções mencionadas na Lei nº 14.289/2022, não há liberdade para a sua divulgação, mesmo que o agente possa se enquadrar nas disposições da LGPD.
Ao instituir o dever de sigilo das informações, a Lei nº 14.289/2022 termina por restringir muitos outros tipos de operação de tratamento de dados, além da divulgação, permitindo o tratamento apenas nas hipóteses que ela própria menciona.
A proibição de divulgação e o dever de sigilo alcançam tanto agentes públicos, quanto privados, incluindo as operadoras de planos de saúde e os serviços de saúde, que devem se adequar para atender à proteção de direitos instituída pela nova Lei.
Em caso de descumprimento das ordens proibitivas da Lei nº 14.289/2022, aplicam-se ao infrator as sanções previstas na LGPD e as medidas administrativas cabíveis.
Observa-se que o desenvolvimento, mesmo ainda pequeno, da cultura da proteção de dados pessoais, introduzida pela LGPD, já abriu caminho para a instituição de proteção legal mais reforçada a dados pessoais específicos.
Esta será a tendência nos diversos domínios do Direito.