A decisão judicial fundou-se, entre outras, na Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), que se aplica não somente às entidades públicas, mas também a toda organização, empresa, instituição, com ou sem fins lucrativos, e profissionais liberais.

No processo referido (Apelação nº 1016844-03.2020.8.26.0068), a supervisora do trabalhador de uma empresa, motivada pela frequência de suas idas a médico, consultou o portal de saúde da Prefeitura com o CPF e a data de nascimento dele, tendo acesso completo a todas as suas consultas e exames médicos, descobrindo ser ele portador do vírus HIV, o que gerou constrangimentos no ambiente de trabalho, disseminação da notícia e terminou no seu desligamento da empresa.

Os argumentos utilizados pelo Município em juízo parecem lógicos, mas não socorrem aqueles que tratam dados pessoais em desconformidade com a LGPD.

Entendeu o município que não houve nenhum ato de exposição indevida de sua parte, nem ausência de proteção ou segurança, mas sim que os dados de saúde foram acessados por alguém que detinha informações pessoais do autor da ação (CPF e data de nascimento) e que ele, município, não poderia ser responsável por atos praticados por terceiros, a quem o autor teria repassado suas informações pessoais.

Tais argumentos se distanciam de um conhecimento mínimo do regime da proteção de dados pessoais. 

Nos termos da LGPD, são dados pessoais toda informação relativa a uma pessoa natural identificável. Isto significa que, mesmo se a informação não indicar diretamente a quem se refere, mas se for possível identificar a identidade do titular em algum momento, mediante a associação com outros elementos de identificação, que podem ser obtidos em outros lugares, aquela informação é dado pessoal e se sujeita a toda a disciplina da LGPD.

O que se tem no presente caso é o acesso aos dados de saúde dos cidadãos do município mediante a utilização de outros dados, obtidos facilmente em outros espaços, como o CPF e a data de nascimento.  Logo, os dados de saúde estavam sendo tratados de forma inadequada e ilegal. 

O art. 46 da LGPD determina que todo agente de tratamento de dados tem o dever de assegurar a proteção dos dados pessoais contra acessos não autorizados, acidentais ou ilícitos. Neste sentido, o acesso às informações de saúde jamais deveriam estar disponíveis ao público – ao contrário, o município deveria ter implementado um controle de acesso, com permissão apenas a quem estivesse autorizado, e que registrasse a identidade de quem acessa, bem como as suas ações com os dados.  

Ressalta-se que em qualquer organização, pública ou privada, somente devem estar autorizados a acessar cada dado pessoal quem necessita fazê-lo por dever funcional, para cumprir as suas atribuições, sob pena do acesso se caracterizar como indevido e sujeitar a organização a penalidades.

Sendo as informações de saúde dados sensíveis, a Lei é ainda mais rigorosa na sua proteção.

Por outro lado, também a empresa violou a LGPD no ato da supervisora do trabalhador de acessar indevidamente seus dados de saúde, sem os necessários requisitos legais como finalidade legítima, específica, informada ao titular, base legal etc. 

O próprio uso do CPF e da data de nascimento violou a LGPD. Afinal, nenhuma empresa tem a faculdade de utilizar o número do CPF, a data de nascimento ou qualquer dado que ela detenha dos seus trabalhadores para fins diversos daquele que determinou a coleta e o armazenamento destas informações. 

O acesso indevido da supervisora aos dados de saúde e a disseminação da informação na empresa representam violação da LGPD, passível de punição administrativa pela ANDP, assim como são também passíveis de ensejar a condenação da empresa em indenização pelos danos morais sofridos pelo trabalhador e já provados no processo contra o município.