51 2108.2108
Área do Associado
esqueci minha senha

Notícias

21/01/2022

Nova lei em vigor: responsabilidade administrativa e judicial pela divulgação indevida de dados pessoais relacionados a doenças

Informações relacionadas à saúde das pessoas são consideradas dados pessoais sensíveis, conforme dispõe o art. 5º, inciso II, da Lei Geral de Proteção de Dados Pessoais (LGPD), que possui a seguinte redação:

“Art. 5º. Para os fins desta Lei, considera-se: (...) II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”

Portanto, dados pessoais de saúde são sensíveis porque, se vazarem, terão maior potencial lesivo e discriminatório contra o titular dos dados. Por tal motivo, foi promulgada a Lei nº 14.289, de 03 de janeiro de 2022, que dispõe sobre a obrigatoriedade de preservação do sigilo sobre a condição de pessoas que vivem com as seguintes doenças:

- imunodeficiência humana (HIV);

- hepatites crônicas (HBV e HCV);

- hanseníase;

- tuberculose;

Portanto, desde 04/01/2022, data em que a Lei entrou em vigor, passou a ser vedada a divulgação, por agentes públicos e privados, de dados pessoais sensíveis que permitam a identificação de pessoas infectadas por HIV, hepatites crônicas (HBV e HCV), bem como de pessoas com diagnóstico de hanseníase e com tuberculose, nos seguintes âmbitos:

I - serviços de saúde;

II - estabelecimentos de ensino;

III - locais de trabalho;

IV - administração pública;

V - segurança pública;

VI - processos judiciais;

VII - mídia escrita e audiovisual.

Segundo a nova legislação, prestadores de serviços de saúde, privados e públicos, bem como as operadoras de planos privados de assistência à saúde, têm a obrigação de “proteger as informações relativas a pessoas que vivem com infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV) e a pessoas com hanseníase e tuberculose, bem como garantir o sigilo das informações que eventualmente permitam a identificação dessa condição” (art. 3º).

Diz a lei que a obrigação de sigilo sobre as referidas doenças recai também sobre todos os profissionais de saúde e os trabalhadores da área de saúde, e que o atendimento nos serviços de saúde, públicos ou privados, será organizado de forma a não permitir a identificação, pelo público em geral, das pessoas acometidas pelas referidas doenças (art. 3º, §§ 1º e 2º da Lei).

O sigilo profissional sobre os referidos dados, contudo, poderá ser quebrado:

- nos casos determinados por lei;

- por justa causa;

- por autorização expressa da pessoa acometida pela doença;

- se o doente for criança, através de da assinatura de termo de consentimento informado, conforme previsto na LGPD, art. 11;

Importante mencionar que, nos inquéritos e em ações judiciais envolvendo pessoa infectada por HIV ou hepatites crônicas (HBV e HCV), pessoa com hanseníase e com tuberculose, devem ser providos os meios necessários para garantir o sigilo da informação sobre essa condição.

Além disso, a divulgação a respeito de fato objeto de investigação ou de julgamento não poderá fornecer informações que permitam a identificação da pessoa doente.

Ainda no âmbito dos inquéritos e ações judiciais, sempre que o julgamento envolver pessoa com HIV, hepatites crônicas, hanseníase e tuberculose, no qual não seja possível manter o sigilo sobre essa condição, o acesso às sessões somente será permitido às partes diretamente interessadas e aos respectivos advogados.

Está previsto na nova legislação que o descumprimento das regras mencionadas nos parágrafos anteriores sujeita o agente público ou privado infrator às sanções previstas no art. 52 da Lei nº 13.709, de 14 de agosto de 2018 (LGPD), bem como às demais sanções administrativas cabíveis, e obriga-o a indenizar a vítima por danos materiais e morais, nos termos do art. 927 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil).

O assunto, portanto, está diretamente vinculado à Lei Geral de Proteção de Dados Pessoais, dispondo o art. 52 da LGPD o seguinte:

“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:  

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

VII - (VETADO);

VIII - (VETADO);

IX - (VETADO).

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.”

Acima estão elencadas as sanções administrativas que a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), órgão responsável pela fiscalização do cumprimento da LGPD, poderá aplicar se houver descumprimento da LGPD.

Assim, se empresas públicas ou privadas infringirem a nova legislação, divulgando indevidamente dados sensíveis de pessoas acometidas pelas doenças referidas ao início deste ensaio, poderão sofrer autuação e penalização, na esfera administrativa, pela indevida divulgação.

Além da punição administrativa, o agente de tratamento de dados poderá sofrer ação judicial de indenização por danos materiais e morais pelo descumprimento da nova legislação, dispondo o art. 927 do Código Civil Brasileiro que dispõe: “Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.” 

Por último, a nova lei dispõe que a divulgação de informação sobre a condição de pessoa que vive com imunodeficiência humana (HIV), hepatites crônicas (HBV e HCV) e hanseníase e tuberculose, por agentes que, por força da profissão ou do cargo que ocupam, estão obrigados à preservação do sigilo, e se a divulgação ficar caracterizada como intencional e com o intuito de causar dano ou ofensa, serão aplicadas em dobro:

I - as penas pecuniárias ou de suspensão de atividades previstas no art. 52 da Lei nº 13.709, de 14 de agosto de 2018 (LGPD);

II - as indenizações pelos danos morais causados à vítima.

Ou seja, sempre que a divulgação indevida acontecer por agentes obrigados à preservação do sigilo, e se ficar comprovada a intenção de lesar ou de causar ofensa/dano, serão aplicadas, na esfera administrativa, em dobro as multas e poderá ser imposta penalidade de suspensão das atividades de tratamento de dados. Além disso, no âmbito do Poder Judiciário, haverá condenação ao pagamento de indenização por danos morais em dobro se a divulgação for considerada intencional e lesiva ao titular dos dados pessoais sensíveis indevidamente divulgados.

Izabela Lehn - Advogada
Integrante do Comitê Jurídico da ACI-NH/CB/EV